2013年以来,随着网站数据泄露事故的频发,越来越多的网站开始提供两步认证(双因子认证)技术提高用户账户的安全强度,而全球最大的博客平台WordPress也通过类似duo_wordpress的第三方插件实现两步认证。
近日,duo_wordpress的开发商,企业级移动安全Duo Security透露该插件存在安全漏洞,用户在登录同一站点群的一个网站跳转到另外一个网站时可以绕过两步认证。
当管理员采用单一后台管理多个网站,而每个网站分别部署duo_wordpress插件时,才会遭遇以上的安全问题。如果在单一后台统一在多个网站部署duo_wordpress,则不会遇到这个麻烦。
据Duo Security透露,该公司的WordPress两步认证插件存在的这个安全漏洞还会影响第三方两步认证厂商的插件,建议所有部署两步认证的WordPress管理员都应当检查系统安全问题。
Duo Security在官网的用户建议给出了如下的情形:
一个多站WordPress平台包含两个站点,站点1和站点2,其中站点1启用了Duo WordPress插件而站点2没有,当用户登录站点1时会要求进行两步认证,登录站点2时只需输入普通的账户密码,但是当站点1的用户首先登录站点2的 登录页面,会获得认证并被重定向到站点1,也就是说绕过两步认证自动获得站点1的认证。
Duo Security给出的解决办法是打开全局范围的两步认证,然后为个别站点关闭两步认证,而不是先关闭全局认证然后为个别站点单独部署两步认证。