Щонайменше 4 000 000 сторінок, створених на WordPress з використанням безкоштовної або платної версії Really Simple Security(раніше Really Simple SSL), були уражені критичною уразливістю обходу автентифікації.
Всі подробиці у статті Іштвана Мартона на блозі Wordfence.
Уразливість, яка вже повністю виправлена у версії 9.1.2 плагіна, була виявлена компанією Wordfence, яка стверджує, що це одна з найсерйозніших уразливостей, про які вони повідомляли за свою 12-річну історію роботи в якості постачальника послуг з безпеки для WordPress. Уразливість впливає на плагін Really Simple Security, раніше відомий як Really Simple SSL, встановлений на більш ніж 4 мільйонах сторінок, і дозволяє зловмиснику віддалено отримати повний адміністративний доступ до сайту з цим плагіном.
Ця уразливість, яка впливає на версії плагіна від 9.0.0.0 до 9.1.1.1.1, дозволяє зловмисникам обійти автентифікацію для певних конфігурацій 2FA.
Цей плагін масово встановлювався протягом тривалого часу лише для того, щоб увімкнути HTTPS, але пізніше були додані інші функції, пов'язані з безпекою, поки в 2021 році WordPress не представив у версії 5.7 вбудовану опцію перемикання з HTTP на HTTPS одним клацанням миші, тож багато з тих установок Really Simple SSL все ще були активні в багатьох установках WordPress.
Ніколи не завадить пам'ятати, що бажано періодично переглядати плагіни і видаляти ті з них, які вам більше не потрібні або які можна замінити фрагментами чи функціями, доданими вручну, якщо мова йде про доповнення з простими функціями.
Як рекомендує Wordfence, варто поділитися попередженням з усіма знайомими, які використовують ці плагіни, щоб вони оновили їх якнайшвидше, оскільки ця вразливість становить значний ризик.
Розробники вже повідомили всіх користувачів Really Simple Security (Free та Pro) про оновлення до версії 9.1.2, яке було випущено вчора, і яке виправляє уразливість.