Cel puțin 4.000.000 de pagini realizate cu WordPress folosind versiunea gratuită sau plătită a Really Simple Security(anterior Really Simple SSL) au fost afectate de o vulnerabilitate critică de ocolire a autentificării.
Toate detaliile se găsesc în acest articol scris de István Márton pe blogul Wordfence.
Vulnerabilitatea, deja complet rezolvată în versiunea 9.1.2 a pluginului, a fost descoperită de Wordfence, care spune că este una dintre cele mai grave vulnerabilități pe care le-au raportat în istoria lor de 12 ani ca furnizor de securitate WordPress. Vulnerabilitatea afectează pluginul Really Simple Security, cunoscut anterior ca Really Simple SSL, instalat pe mai mult de 4 milioane de pagini și permite unui atacator să obțină de la distanță acces administrativ complet la un site care rulează pluginul.
Această vulnerabilitate de ocolire a autentificării, care afectează versiunile 9.0.0.0 până la 9.1.1.1.1 ale pluginului, ar permite atacatorilor să ocolească autentificarea pentru anumite configurații 2FA.
Acest plugin a fost instalat masiv pentru o lungă perioadă de timp doar pentru a activa HTTPS, dar mai târziu au fost adăugate alte caracteristici legate de securitate până când, în 2021, WordPress a introdus în versiunea 5.7 o opțiune nativă pentru a comuta de la HTTP la HTTPS cu un singur clic, astfel încât o mulțime de aceste instalații Really Simple SSL erau încă active pe multe instalații WordPress.
Nu strică niciodată să vă amintiți că este recomandabil să faceți revizuiri periodice ale plugin-urilor și să le dezinstalați pe cele de care nu mai aveți nevoie sau pe care le puteți înlocui cu fragmente sau funcții adăugate manual atunci când vine vorba de suplimente cu funcții simple.
După cum recomandă Wordfence, este o idee bună să distribuiți avertismentul tuturor cunoscuților care utilizează aceste pluginuri, astfel încât să actualizeze cât mai curând posibil, deoarece această vulnerabilitate reprezintă un risc semnificativ.
Dezvoltatorii au notificat deja prin e-mail toți utilizatorii Really Simple Security (Free și Pro) cu privire la actualizarea la versiunea 9.1.2, care a fost lansată ieri și care remediază și corectează vulnerabilitatea.