Really Simple Security(旧Really Simple SSL)の無料版または有料版を使用してWordPressで作成された少なくとも4,000,000ページが、重大な認証バイパスの脆弱性の影響を受けました。
詳細は、WordfenceブログのIstván Mártonによる この記事をご覧ください。
この脆弱性は、すでにプラグインのバージョン9.1.2で完全に修正されているが、Wordfenceによって発見されたもので、WordPressのセキュリティプロバイダーとして12年の歴史の中で報告された最も深刻な脆弱性の1つであるという。この脆弱性は、400万以上のページにインストールされているReally Simple Securityプラグイン(以前はReally Simple SSLとして知られていた)に影響し、攻撃者はリモートからプラグインを実行しているサイトへの完全な管理者アクセスを得ることができる。
この認証バイパスの脆弱性は、プラグインのバージョン9.0.0.0から9.1.1.1に影響し、攻撃者が特定の2FA設定の認証をバイパスすることを可能にします。
このプラグインは長い間、HTTPSを有効にするためだけに大量にインストールされていたが、その後、他のセキュリティ関連機能が追加され、2021年にWordPressはバージョン5.7でHTTPからHTTPSにワンクリックで切り替えるネイティブオプションを導入した。
プラグインを定期的に見直し、不要になったものをアンインストールしたり、シンプルな機能を持つアドオンに関しては、スニペットや手作業で追加した機能で置き換えることをお勧めすることを覚えておいて損はない。
Wordfenceが推奨しているように、この脆弱性は重大なリスクをもたらすため、これらのプラグインを使用している知人全員に警告を共有し、できるだけ早くアップデートを行うことをお勧めします。
開発者は、昨日リリースされたバージョン9.1.2へのアップデートを、すべてのReally Simple Securityユーザー(無料版およびプロ版)にメールで通知している。