Pre používateľov WordPressu prišla ďalšia výstraha: plugin Really Simple Security (predtým známy ako Really Simple SSL) obsahuje kritickú bezpečnostnú chybu, ktorá môže útočníkom umožniť získať plný administrátorský prístup k postihnutým webom.

Táto zraniteľnosť sa týka tak bezplatnej, ako aj platenej verzie pluginu, pričom podľa odhadov je nainštalovaný na viac ako 4 miliónoch webstránok. Na tému upozornili bezpečnostní experti z Wordfence.

Čo presne sa stalo?

Zraniteľnosť umožňuje obísť autentifikáciu a získať prístup k akémukoľvek používateľskému účtu, vrátane administrátorského. Tento problém sa týka funkcie dvojfaktorovej autentifikácie (2FA), ktorá je však v plugine predvolene vypnutá.

Chyba spočíva v nesprávnom spracovaní užívateľských dát, konkrétne funkciou „check_login_and_get_user“. Aj keď je parameter prístupového tokenu (nonce) neplatný, proces autentifikácie pokračuje a neoverený útočník môže získať prístup na základe jednoduchého požiadavku cez REST API.

Wordfence vyhodnotil túto zraniteľnosť ako kritickú s hodnotením CVSS 9.8, čo predstavuje najvyššiu úroveň rizika.

Bing/Freepik (úprava redakcie)

Rýchla reakcia vývojárov

Keď tím Wordfence odhalil tento problém 6. novembra 2024, okamžite kontaktoval vývojárov pluginu. Tí vydali opravy pre prémiové verzie 12. novembra a pre bezplatnú verziu 14. novembra. Aby sa minimalizovalo riziko, WordPress.org tím nasadil nútenú aktualizáciu na verziu 9.1.2 pre všetky weby používajúce zraniteľnú verziu (9.0.0 až 9.1.1.1).

Napriek tomu sa odporúča manuálne skontrolovať, či je plugin aktualizovaný. Weby bez platnej licencie môžu mať vypnuté automatické aktualizácie, čo ich vystavuje zvýšenému riziku.

Ak si správcom viacerých stránok, pouvažuj nad implementáciou firewallu, akým je Wordfence, ktorý poskytuje ochranu pred podobnými útokmi. Prémioví používatelia Wordfence boli chránení už od 6. novembra, zatiaľ čo používatelia bezplatnej verzie získajú túto ochranu až 6. decembra 2024.

Nebezpečenstvá číhajú všade

Táto situácia ukazuje, aké riziká so sebou prináša rýchla integrácia nových funkcií do bezpečnostných pluginov bez dostatočného testovania. Hoci dvojfaktorová autentifikácia patrí medzi najlepšie praktiky ochrany, jej nesprávna implementácia môže predstavovať ešte väčšie nebezpečenstvo.

Preto by si mal pri výbere bezpečnostných riešení dôkladne preveriť reputáciu vývojárov a frekvenciu vydávania opráv. Okrem toho by WordPress komunita mala tlačiť na zodpovedné a dôsledné testovanie nových funkcií ešte pred ich nasadením.

Ak chceš zabezpečiť svoje weby, neváhaj investovať čas aj do manuálneho overovania používaných pluginov, lebo aj najsilnejšia reťaz je len taká silná, ako jej najslabší článok.

Čítajte viac z kategórie: Cyber