Really Simple Security 'nin(eski adıyla Really Simple SSL) ücretsiz veya ücretli sürümü kullanılarak WordPress ile yapılan en az 4.000.000 sayfa kritik bir kimlik doğrulama atlama açığından etkilenmiştir.
Tüm detaylar István Márton 'un Wordfence blogundaki bu makalesinde yer alıyor.
Eklentinin 9.1.2 sürümünde tamamen düzeltilmiş olan güvenlik açığı, Wordfence tarafından keşfedildi ve Wordfence, bunun bir WordPress güvenlik sağlayıcısı olarak 12 yıllık geçmişlerinde bildirdikleri en ciddi güvenlik açıklarından biri olduğunu söyledi. Güvenlik açığı, daha önce Really Simple SSL olarak bilinen ve 4 milyondan fazla sayfada yüklü olan Really Simple Security eklentisini etkiliyor ve bir saldırganın eklentiyi çalıştıran bir siteye uzaktan tam yönetici erişimi elde etmesine olanak tanıyor.
Eklentinin 9.0.0.0 ila 9.1.1.1.1 sürümlerini etkileyen bu kimlik doğrulama atlama açığı, saldırganların belirli 2FA yapılandırmaları için kimlik doğrulamayı atlamasına olanak tanır.
Bu eklenti uzun bir süre sadece HTTPS'yi etkinleştirmek için kitlesel olarak kuruldu, ancak daha sonra güvenlikle ilgili diğer özellikler eklendi, ta ki 2021'de WordPress 5.7 sürümünde HTTP'den HTTPS'ye tek bir tıklamayla geçmek için yerel bir seçenek sunana kadar, bu nedenle bu Really Simple SSL kurulumlarının çoğu birçok WordPress kurulumunda hala aktifti.
Eklentileri periyodik olarak gözden geçirmenin ve artık ihtiyacınız olmayanları kaldırmanın veya basit işlevlere sahip eklentiler söz konusu olduğunda elle eklenen parçacıklar veya işlevlerle değiştirmenin tavsiye edildiğini hatırlamaktan asla zarar gelmez.
Wordfence tarafından önerildiği üzere, bu güvenlik açığı önemli bir risk oluşturduğundan, uyarıyı bu eklentileri kullanan tanıdığınız herkesle paylaşarak mümkün olan en kısa sürede güncelleme yapmalarını sağlamak iyi bir fikirdir.
Geliştiriciler, tüm Really Simple Security kullanıcılarını (Ücretsiz ve Pro) dün yayınlanan ve güvenlik açığını yamalayan ve düzelten 9.1.2 sürüm güncellemesi hakkında posta yoluyla bilgilendirdi.