Най-малко 4 000 000 страници, създадени в WordPress с помощта на безплатната или платената версия на Really Simple Security(предишна версия Really Simple SSL), са засегнати от критична уязвимост за заобикаляне на удостоверяването.
Всички подробности са описани в тази статия на Ищван Мартон в блога на Wordfence.
Уязвимостта, която вече е напълно отстранена във версия 9.1.2 на плъгина, е открита от Wordfence, които твърдят, че това е една от най-сериозните уязвимости, за които са съобщавали през 12-годишната си история като доставчик на услуги за сигурност на WordPress. Уязвимостта засяга плъгина Really Simple Security, известен преди като Really Simple SSL, инсталиран на повече от 4 милиона страници, и позволява на нападателя да получи отдалечено пълен административен достъп до сайт, в който работи плъгинът.
Тази уязвимост при заобикаляне на удостоверяването, която засяга версиите от 9.0.0.0 до 9.1.1.1.1 на плъгина, позволява на атакуващите да заобиколят удостоверяването при определени конфигурации на 2FA.
Този плъгин беше масово инсталиран дълго време само за да активира HTTPS, но по-късно бяха добавени и други функции, свързани със сигурността, докато през 2021 г. WordPress въведе във версия 5.7 собствена опция за преминаване от HTTP към HTTPS с едно кликване, така че много от тези инсталации на Really Simple SSL все още бяха активни в много инсталации на WordPress.
Никога не е вредно да помните, че е препоръчително да правите периодични прегледи на плъгините и да деинсталирате тези, които вече не са ви необходими или можете да замените с фрагменти или функции, добавени на ръка, когато става въпрос за добавки с прости функции.
Както препоръчва Wordfence, добре е да споделите предупреждението с всички, които използват тези плъгини, за да ги актуализират възможно най-скоро, тъй като тази уязвимост представлява значителен риск.
Разработчиците вече са уведомили по пощата всички потребители на Really Simple Security (Free и Pro) за актуализацията до версия 9.1.2, която беше пусната вчера и която поправя и отстранява уязвимостта.