Foi recentemente descoberta uma nova falha sobre o plugin do WordPress “Really Simple Security”, que caso seja explorada, pode levar a que os sites sejam comprometidos através do acesso administrativo aos mesmos.
O Really Simple Security é um plugin de WordPress que permite aos utilizadores facilitarem a configuração SSL do site, bem como adicionarem mecanismos de proteção ao sistema de autenticação do mesmo. A versão gratuita do plugin é usada em quase 4 milhões de websites, de acordo com os dados do site do WordPress.
No entanto, a empresa Wordfence reportou ter descoberto uma grave falha, que afeta tanto a versão gratuita como Pro do plugin, e que pode permitir o controlo remoto e administrativo dos sites, sem grande esforço. Esta falha é uma das mais graves descobertas no plugin, e pode levar os atacantes a terem total controlo sobre o site WordPress.
Esta falha encontra-se diretamente associada com o sistema de autenticação em duas etapas que se encontra no plugin, mas pode afetar até mesmo quem não tenha a definição ativa. A falha encontra-se entre as versões 9.0.0 e 9.1.1.1, tanto nas versões gratuitas do plugin como nas versões Pagas (Pro).
A falha foi corrigida com a versão 9.1.2, lançada a 12 de Novembro para a versão Pro e a 14 de Novembro para os utilizadores da versão gratuita. Quem tenha o plugin instalado é aconselhado a atualizar o mesmo o mais rapidamente possível.
Os dados do site do WordPress indicam que existe mais de 3.500.000 sites que ainda se encontram nas versões antigas, o que deixa um alargado número de conteúdos vulneráveis. A ter em conta que esta falha, agora que foi publicamente revelada, pode começar a ser ativamente explorada para ataques em larga escala.
Nenhum comentário
Seja o primeiro!