Nejméně 4 000 000 stránek vytvořených ve WordPressu pomocí bezplatné nebo placené verze Really Simple Security(dříve Really Simple SSL) bylo postiženo kritickou zranitelností obcházení ověřování.
Všechny podrobnosti najdete v článku Istvána Mártona na blogu společnosti Wordfence.
Zranitelnost, která je již plně opravena ve verzi 9.1.2 zásuvného modulu, objevila společnost Wordfence, která tvrdí, že se jedná o jednu z nejzávažnějších zranitelností, které za svou 12letou historii jako poskytovatel zabezpečení WordPressu zaznamenala. Zranitelnost se týká pluginu Really Simple Security, dříve známého jako Really Simple SSL, který je nainstalován na více než 4 milionech stránek a umožňuje útočníkovi vzdáleně získat plný administrátorský přístup k webu, na kterém plugin běží.
Tato chyba obcházení ověřování, která se týká verzí 9.0.0.0 až 9.1.1.1.1 zásuvného modulu, umožňuje útočníkům obejít ověřování pro určité konfigurace 2FA.
Tento plugin byl dlouhou dobu masivně instalován jen proto, aby umožnil HTTPS, ale později byly přidány další funkce související s bezpečností, dokud WordPress v roce 2021 nezavedl ve verzi 5.7 nativní možnost přepnout z HTTP na HTTPS jedním kliknutím, takže mnoho z těchto opravdu jednoduchých instalací SSL bylo stále aktivní na mnoha instalacích WordPress.
Nikdy není na škodu si uvědomit, že je vhodné provádět pravidelné revize zásuvných modulů a odinstalovat ty, které již nepotřebujete nebo které můžete nahradit fragmenty nebo funkcemi přidanými ručně, pokud jde o doplňky s jednoduchými funkcemi.
Jak doporučuje společnost Wordfence, je dobré sdílet toto varování se všemi známými, kteří tyto pluginy používají, aby je co nejdříve aktualizovali, protože tato zranitelnost představuje značné riziko.
Vývojáři již všem uživatelům Really Simple Security (Free a Pro) zaslali poštou oznámení o aktualizaci na verzi 9.1.2, která byla vydána včera a která zranitelnost opravuje.