Setidaknya 4.000.000 halaman yang dibuat dengan WordPress menggunakan versi gratis atau berbayar dari Really Simple Security(sebelumnya bernama Really Simple SSL) terpengaruh oleh kerentanan bypass otentikasi yang kritis.
Semua detailnya ada di artikel ini oleh István Márton di blog Wordfence.
Kerentanan tersebut, yang sudah sepenuhnya diperbaiki pada versi 9.1.2 dari plugin tersebut, ditemukan oleh Wordfence, yang mengatakan bahwa ini adalah salah satu kerentanan paling serius yang pernah mereka laporkan dalam sejarah 12 tahun mereka sebagai penyedia keamanan WordPress. Kerentanan ini memengaruhi plugin Really Simple Security, yang sebelumnya dikenal sebagai Really Simple SSL, yang dipasang di lebih dari 4 juta halaman dan memungkinkan penyerang mendapatkan akses administratif penuh dari jarak jauh ke situs yang menjalankan plugin tersebut.
Kerentanan bypass otentikasi ini, yang memengaruhi versi 9.0.0.0 hingga 9.1.1.1.1 dari plugin, akan memungkinkan penyerang untuk mem-bypass otentikasi untuk konfigurasi 2FA tertentu.
Plugin ini dipasang secara besar-besaran untuk waktu yang lama hanya untuk mengaktifkan HTTPS, tetapi kemudian fitur-fitur terkait keamanan lainnya ditambahkan hingga, pada tahun 2021, WordPress memperkenalkan pada versi 5.7 opsi asli untuk beralih dari HTTP ke HTTPS dengan satu klik, sehingga banyak dari instalasi Really Simple SSL tersebut masih aktif di banyak instalasi WordPress.
Tidak ada salahnya untuk mengingat bahwa disarankan untuk melakukan tinjauan berkala terhadap pengaya dan menghapus pengaya yang tidak lagi Anda perlukan atau dapat diganti dengan potongan atau fungsi yang ditambahkan dengan tangan ketika menyangkut pengaya dengan fungsi sederhana.
Seperti yang direkomendasikan oleh Wordfence, sebaiknya Anda membagikan peringatan ini kepada semua orang yang Anda kenal yang menggunakan plugin ini agar mereka memperbarui sesegera mungkin, karena kerentanan ini menimbulkan risiko yang signifikan.
Para pengembang telah memberi tahu melalui surat kepada semua pengguna Really Simple Security (Gratis dan Pro) tentang pembaruan ke versi 9.1.2, yang dirilis kemarin, dan yang menambal dan memperbaiki kerentanan.