Четыре миллиона установок WordPress подвергаются риску из-за уязвимости в плагине Really Simple Security

 
Четыре миллиона установок WordPress подвергаются риску из-за уязвимости в плагине Really Simple Security

По меньшей мере 4 000 000 страниц, созданных на WordPress с использованием бесплатной или платной версии Really Simple Security(ранее Really Simple SSL), подвержены критической уязвимости обхода аутентификации.

Все подробности - в этой статье Иштвана Мартона в блоге Wordfence.

Уязвимость, уже полностью исправленная в версии 9.1.2 плагина, была обнаружена компанией Wordfence, которая утверждает, что это одна из самых серьезных уязвимостей, о которых они сообщали за 12-летнюю историю своей работы в качестве поставщика безопасности WordPress. Уязвимость затрагивает плагин Really Simple Security, ранее известный как Really Simple SSL, установленный более чем на 4 миллионах страниц, и позволяет злоумышленнику удаленно получить полный административный доступ к сайту, на котором установлен плагин.

Эта уязвимость обхода аутентификации, затрагивающая версии плагина с 9.0.0.0 по 9.1.1.1.1, позволяет злоумышленникам обойти аутентификацию для определенных конфигураций 2FA.

Этот плагин долгое время массово устанавливался только для включения HTTPS, но позже были добавлены и другие функции, связанные с безопасностью, пока в 2021 году WordPress не представил в версии 5.7 встроенную опцию для переключения с HTTP на HTTPS одним щелчком мыши, так что многие из этих установок Really Simple SSL все еще активны на многих установках WordPress.

Никогда не помешает помнить, что рекомендуется периодически пересматривать плагины и удалять те, которые вам больше не нужны или которые можно заменить сниппетами или функциями, добавленными вручную, если речь идет о дополнениях с простыми функциями.

Как рекомендует Wordfence, стоит поделиться этим предупреждением со всеми знакомыми, которые используют эти плагины, чтобы они как можно скорее обновились, поскольку эта уязвимость представляет собой значительный риск.

Разработчики уже уведомили по почте всех пользователей Really Simple Security (Free и Pro) о вышедшем вчера обновлении до версии 9.1.2, которое исправляет уязвимость и устраняет ее.

Оставьте комментарий

Подписка по электронной почте

Получайте бесплатные полные статьи без рекламы в свой почтовый ящик сразу после их публикации. Полное содержание ленты отправляется без рекламы через внешний сервис.