一款在 WordPress 上备受欢迎,安装量超过 400 万的安全插件,最近被发现有个大漏洞。这个漏洞让攻击者可以直接以任何用户(包括管理员)的身份登录,完全控制网站。这种漏洞的威胁评分高达 9.8 分(满分 10 分),说明它非常容易被利用,可能给整个网站带来严重后果,比如恶意软件入侵、内容被篡改,甚至攻击访问者。
安全也可以简单
Really Simple Security 是一款专为 WordPress 网站设计的插件,主要目的是增强网站的安全性(也就是进行所谓的安全强化),提供双因素身份验证、漏洞检测和生成 SSL 证书。它声称自己轻量级的原因之一就是它采用了模块化设计,用户可以自由选择需要的安全功能,避免加载不必要的进程,从而不拖慢网站速度。这种设计在 WordPress 插件中越来越流行,因为它能让软件只执行用户所需的任务。
这个插件通过联盟评论进行推广,Google AI 概览显示它的评价相当高。在官方 WordPress 存储库里,超过 97% 的评论都是五星好评,而只有不到 1% 的评论给了它 1 星的低分。
问题出在哪里?
这个插件的安全漏洞使得它容易受到身份验证绕过攻击,攻击者可以在不输入任何凭据的情况下访问需要用户名和密码才能进入的区域。Really Simple Security 的独特漏洞让攻击者只需知道某个用户名,就能获得任何注册用户的访问权限,包括管理员。
这种情况被称为未经身份验证的访问漏洞,是一种非常严重的漏洞,因为它通常比需要用户凭据的“经过身份验证的”漏洞更容易被利用。
Wordfence 对这个漏洞的具体原因做了详细解释:
“WordPress 的 Really Simple Security 插件(无论是免费版、专业版还是专业版多站点版)在 9.0.0 到 9.1.1.1 版本中都存在身份验证绕过的风险。这是由于在执行双因素 REST API 操作时,对用户检查的错误处理不当导致的。当双因素身份验证设置开启时(默认是关闭的),这使得未经身份验证的攻击者可以以网站上任何现有用户的身份登录(例如管理员)。
过去 24 小时内,Wordfence 阻止了 310 次针对该漏洞的攻击。”
建议的应对措施:
Wordfence 强烈建议使用该插件的用户更新到 Really Simple Security 版本 9.1.2 或更高版本。
Really Simple Security 插件的更新日志也明确说明了更新的原因:
“变更日志9.1.2安全性:身份验证绕过”
