Mindestens 4.000.000 mit WordPress erstellte Seiten, die die kostenlose oder kostenpflichtige Version von Really Simple Security(früher Really Simple SSL) verwenden, waren von einer kritischen Authentifizierungsumgehungsschwachstelle betroffen.
Alle Details dazu finden Sie in diesem Artikel von István Márton im Wordfence-Blog.
Die Schwachstelle, die in Version 9.1.2 des Plugins bereits vollständig behoben ist, wurde von Wordfence entdeckt. Nach eigenen Angaben handelt es sich um eine der schwerwiegendsten Schwachstellen, die Wordfence in seiner 12-jährigen Geschichte als WordPress-Sicherheitsanbieter gemeldet hat. Die Schwachstelle betrifft das Really Simple Security Plugin, früher bekannt als Really Simple SSL, das auf mehr als 4 Millionen Seiten installiert ist und einem Angreifer ermöglicht, aus der Ferne vollen administrativen Zugriff auf eine Website zu erlangen, auf der das Plugin läuft.
Diese Sicherheitslücke bei der Umgehung der Authentifizierung, die die Versionen 9.0.0.0 bis 9.1.1.1.1 des Plugins betrifft, würde es Angreifern ermöglichen, die Authentifizierung für bestimmte 2FA-Konfigurationen zu umgehen.
Dieses Plugin wurde lange Zeit massiv installiert, nur um HTTPS zu aktivieren, aber später wurden andere sicherheitsrelevante Funktionen hinzugefügt, bis WordPress 2021 in Version 5.7 eine native Option einführte, um mit einem Klick von HTTP auf HTTPS umzuschalten, so dass viele dieser Really Simple SSL-Installationen immer noch auf vielen WordPress-Installationen aktiv waren.
Es schadet nie, sich daran zu erinnern, dass es ratsam ist, die Plugins regelmäßig zu überprüfen und diejenigen zu deinstallieren, die Sie nicht mehr benötigen oder durch Snippets oder von Hand hinzugefügte Funktionen ersetzen können, wenn es sich um Add-ons mit einfachen Funktionen handelt.
Wie von Wordfence empfohlen, ist es eine gute Idee, die Warnung an alle Personen weiterzugeben, die diese Plugins verwenden, damit sie so schnell wie möglich aktualisieren, da diese Sicherheitslücke ein erhebliches Risiko darstellt.
Die Entwickler haben bereits alle Nutzer von Really Simple Security (Free und Pro) per E-Mail über das Update auf Version 9.1.2 informiert, das gestern veröffentlicht wurde und die Sicherheitslücke behebt.