Τουλάχιστον 4.000.000 σελίδες που έχουν δημιουργηθεί με το WordPress και χρησιμοποιούν τη δωρεάν ή επί πληρωμή έκδοση του Really Simple Security(πρώην Really Simple SSL) επηρεάζονται από μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας.
Όλες οι λεπτομέρειες βρίσκονται σε αυτό το άρθρο του István Márton στο blog της Wordfence.
Η ευπάθεια, η οποία έχει ήδη διορθωθεί πλήρως στην έκδοση 9.1.2 του πρόσθετου, ανακαλύφθηκε από την Wordfence, η οποία αναφέρει ότι πρόκειται για μία από τις πιο σοβαρές ευπάθειες που έχει αναφέρει στα 12 χρόνια της ιστορίας της ως πάροχος ασφάλειας WordPress. Η ευπάθεια επηρεάζει το πρόσθετο Really Simple Security, παλαιότερα γνωστό ως Really Simple SSL, το οποίο είναι εγκατεστημένο σε περισσότερες από 4 εκατομμύρια σελίδες και επιτρέπει σε έναν εισβολέα να αποκτήσει εξ αποστάσεως πλήρη διαχειριστική πρόσβαση σε έναν ιστότοπο που εκτελεί το πρόσθετο.
Αυτή η ευπάθεια παράκαμψης ελέγχου ταυτότητας, η οποία επηρεάζει τις εκδόσεις 9.0.0.0 έως 9.1.1.1.1.1 του πρόσθετου, θα επέτρεπε στους επιτιθέμενους να παρακάμψουν τον έλεγχο ταυτότητας για ορισμένες διαμορφώσεις 2FA.
Αυτό το πρόσθετο εγκαταστάθηκε μαζικά για μεγάλο χρονικό διάστημα μόνο για να ενεργοποιήσει το HTTPS, αλλά αργότερα προστέθηκαν και άλλα χαρακτηριστικά που σχετίζονταν με την ασφάλεια, μέχρι που το 2021, το WordPress εισήγαγε στην έκδοση 5. 7 μια εγγενή επιλογή για τη μετάβαση από HTTP σε HTTPS με ένα κλικ, οπότε πολλές από αυτές τις εγκαταστάσεις Really Simple SSL ήταν ακόμα ενεργές σε πολλές εγκαταστάσεις WordPress.
Ποτέ δεν βλάπτει να θυμάστε ότι είναι σκόπιμο να κάνετε περιοδικές αναθεωρήσεις των πρόσθετων και να απεγκαταστήσετε εκείνα που δεν χρειάζεστε πλέον ή μπορείτε να αντικαταστήσετε με αποσπάσματα ή λειτουργίες που προστίθενται με το χέρι, όταν πρόκειται για πρόσθετα με απλές λειτουργίες.
Όπως συνιστά η Wordfence, είναι καλή ιδέα να μοιραστείτε την προειδοποίηση με όλους όσους γνωρίζετε ότι χρησιμοποιούν αυτά τα πρόσθετα, ώστε να ενημερώσουν το συντομότερο δυνατό, καθώς αυτή η ευπάθεια ενέχει σημαντικό κίνδυνο.
Οι προγραμματιστές έχουν ήδη ειδοποιήσει μέσω ταχυδρομείου όλους τους χρήστες του Really Simple Security (Free και Pro) για την ενημέρωση στην έκδοση 9.1.2, η οποία κυκλοφόρησε χθες και η οποία επιδιορθώνει και διορθώνει την ευπάθεια.