Co najmniej 4 000 000 stron utworzonych za pomocą WordPressa przy użyciu darmowej lub płatnej wersji Really Simple Security(dawniej Really Simple SSL) zostało dotkniętych krytyczną luką w zabezpieczeniach.
Wszystkie szczegóły można znaleźć w artykule Istvána Mártona na blogu Wordfence.
Luka, która została już w pełni naprawiona w wersji 9.1.2 wtyczki, została odkryta przez Wordfence, który twierdzi, że jest to jedna z najpoważniejszych luk, jakie zgłosił w swojej 12-letniej historii jako dostawca zabezpieczeń WordPress. Luka dotyczy wtyczki Really Simple Security, znanej wcześniej jako Really Simple SSL, zainstalowanej na ponad 4 milionach stron i pozwala atakującemu na zdalne uzyskanie pełnego dostępu administracyjnego do witryny z uruchomioną wtyczką.
Ta luka w zabezpieczeniach, która dotyczy wersji 9.0.0.0 do 9.1.1.1.1 wtyczki, pozwala atakującym na ominięcie uwierzytelniania w niektórych konfiguracjach 2FA.
Ta wtyczka była masowo instalowana przez długi czas tylko po to, aby włączyć HTTPS, ale później dodano inne funkcje związane z bezpieczeństwem, aż w 2021 r. WordPress wprowadził w wersji 5. 7 natywną opcję przełączania z HTTP na HTTPS za pomocą jednego kliknięcia, więc wiele z tych naprawdę prostych instalacji SSL było nadal aktywnych na wielu instalacjach WordPress.
Nigdy nie zaszkodzi pamiętać, że wskazane jest dokonywanie okresowych przeglądów wtyczek i odinstalowywanie tych, które nie są już potrzebne lub można je zastąpić fragmentami lub funkcjami dodanymi ręcznie, jeśli chodzi o dodatki o prostych funkcjach.
Zgodnie z zaleceniami Wordfence, dobrym pomysłem jest udostępnienie ostrzeżenia wszystkim znajomym, którzy używają tych wtyczek, aby zaktualizowali je tak szybko, jak to możliwe, ponieważ ta luka stanowi poważne zagrożenie.
Deweloperzy powiadomili już pocztą wszystkich użytkowników Really Simple Security (Free i Pro) o aktualizacji do wersji 9.1.2, która została wydana wczoraj i która łata i naprawia lukę.