Cuatro millones de instalaciones de WordPress en riesgo por una vulnerabilidad del plugin Really Simple Security

 
Cuatro millones de instalaciones de WordPress en riesgo por una vulnerabilidad del plugin Really Simple Security

Al menos 4.000.000 de páginas hechas con WordPress que usan la versión gratuita o de pago de Really Simple Security (antes Really Simple SSL) se vieron afectadas por una vulnerabilidad crítica de elusión de autenticación.

Todos los detalles están en esta nota de István Márton en el blog de Wordfence.

Esta vulnerabilidad, ya solucionada por completo en la versión 9.1.2 del plugin, fue descubierta por Wordfence desde donde aseguran que se trata de una de las más graves de las que han informado en sus 12 años de historia como proveedor de seguridad para WordPress. La vulnerabilidad afecta al plugin Really Simple Security, antes conocido como Really Simple SSL, instalado en más de 4 millones de páginas y permite a un atacante obtener acceso administrativo completo de forma remota a un sitio que ejecute el plugin.

Esta vulnerabilidad de bypass de autenticación que afecta desde la versión 9.0.0 hasta la 9.1.1.1 del plugin, permitiría a los atacantes saltarse la autenticación para ciertas configuraciones 2FA.

Este plugin se instaló masivamente durante mucho tiempo sólo para activar HTTPS, aunque más tarde se le fueron añadiendo otras funciones relacionadas con la seguridad hasta que, en 2021, WordPress introdujo en su versión 5.7 una opción nativa para pasar de HTTP a HTTPS con un click por lo que una gran cantidad de aquellas instalaciones de Really Simple SSL seguían activas en muchas instalaciones de WordPress.

Nunca está de mas recordar que es recomendable hacer revisiones periódicas de plugins y desinstalar aquellos que no necesites ya o puedas sustituir por snippets o funciones añadidas a mano cuando se trata de complementos de funciones simples.

Como recomienda Wordfence, una buena idea es compartir el aviso con todos aquellos que sepas que usan estos plugins para que actualicen cuanto antes, ya que esta vulnerabilidad supone un riesgo importante.

Los desarrolladores ya han avisado por correo a todos los usuarios de Really Simple Security (Free y Pro) de la actualización a la versión 9.1.2, que se publicó ayer, y que parchea y soluciona la vulnerabilidad.

Deja un comentario

Tu WordPress puede volar

Servicio de optimización

Suscripción por e-mail

Recibe gratis los artículos completos en tu correo sin publicidad en el momento que se publiquen. Se envía el contenido íntegro del feed sin anuncios a través de un servicio externo.