Mindst 4.000.000 sider lavet med WordPress ved hjælp af den gratis eller betalte version af Really Simple Security(tidligere Really Simple SSL) var ramt af en kritisk sårbarhed i forbindelse med omgåelse af autentificering.
Alle detaljer findes i denne artikel af István Márton på Wordfence-bloggen.
Sårbarheden, som allerede er fuldt rettet i version 9.1.2 af pluginet, blev opdaget af Wordfence, som siger, at det er en af de mest alvorlige sårbarheder, de har rapporteret i deres 12-årige historie som WordPress-sikkerhedsudbyder. Sårbarheden påvirker Really Simple Security-plugin'et, tidligere kendt som Really Simple SSL, der er installeret på mere end 4 millioner sider, og gør det muligt for en angriber at få fuld administrativ adgang til et websted, der kører plugin'et.
Denne sårbarhed i forbindelse med omgåelse af godkendelse, som påvirker versionerne 9.0.0.0 til 9.1.1.1.1 af plugin'et, gør det muligt for angribere at omgå godkendelse for visse 2FA-konfigurationer.
Dette plugin blev installeret massivt i lang tid bare for at aktivere HTTPS, men senere blev der tilføjet andre sikkerhedsrelaterede funktioner, indtil WordPress i 2021 i version 5.7 introducerede en indbygget mulighed for at skifte fra HTTP til HTTPS med et enkelt klik, så mange af disse Really Simple SSL-installationer var stadig aktive på mange WordPress-installationer.
Det skader aldrig at huske, at det er tilrådeligt at gennemgå plugins med jævne mellemrum og afinstallere dem, du ikke længere har brug for, eller som du kan erstatte med snippets eller funktioner, der er tilføjet i hånden, når det drejer sig om tilføjelser med enkle funktioner.
Som anbefalet af Wordfence er det en god idé at dele advarslen med alle, du kender, som bruger disse plugins, så de opdaterer så hurtigt som muligt, da denne sårbarhed udgør en betydelig risiko.
Udviklerne har allerede givet alle Really Simple Security-brugere (Free og Pro) besked via mail om opdateringen til version 9.1.2, som blev frigivet i går, og som lapper og retter sårbarheden.