Uno de los complementos más populares de WordPress tiene un grave fallo de seguridad que deja a más de 4 millones de sitios web vulnerables a posibles intentos de piratería.
El complemento Really Simple Security, anteriormente conocido como Really Simple SSL, contiene una vulnerabilidad de omisión de autenticación que podría permitir a un atacante obtener acceso administrativo completo a un sitio afectado.
Esta vulnerabilidad fue descubierta por el equipo de Wordfence Threat Intelligence el 6 de noviembre de 2024 y afecta a las versiones 9.0.0 a 9.1.1.1 del complemento Really Simple Security, incluidas las versiones Free, Pro y Pro Multisite.
Esta falla se rastrea como 'CVE-2024-10924' y ha recibido una puntuación CVSS crítica de '9,8'. Este problema de seguridad se debe a un manejo inadecuado de errores en la función de autenticación de dos factores del complemento.
Los analistas de seguridad de Wordfence han determinado que habilitar esta vulnerabilidad permite a atacantes no autenticados eludir la autenticación e iniciar sesión como usuarios existentes en el sitio, incluidos los administradores. Esto puede provocar un compromiso total de su sitio y más infecciones.
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
análisis técnico
Really Simple Plugins, el desarrollador de los complementos afectados, fue notificado el 6 de noviembre y respondió de inmediato. El 12 de noviembre se lanzó un parche para la versión pro y el 14 de noviembre se lanzó un parche para la versión gratuita.
Debido a la gravedad de la vulnerabilidad, el equipo de complementos de WordPress(.)org ha iniciado una actualización de seguridad obligatoria a la versión 9.1.2 para todas las instalaciones afectadas.
Aunque la mayoría de los sitios deberían actualizarse automáticamente, recomendamos encarecidamente que los propietarios de sitios web se aseguren de que la versión instalada tenga el parche 9.1.2 o posterior.
Mecanismo de protección (Fuente – Wordfence)
Es especialmente importante que los usuarios de la versión Pro se aseguren de que sus sitios estén actualizados, ya que es posible que las actualizaciones automáticas no funcionen en sitios sin una licencia válida.
Los expertos en seguridad enfatizan la importancia de mantener los complementos actualizados y verificar periódicamente las vulnerabilidades conocidas.
Recomendamos que los administradores de sitios web utilicen complementos de seguridad confiables, mantengan todos los componentes del software actualizados y deshabiliten o eliminen inmediatamente los complementos con problemas de seguridad conocidos.
Este incidente es un claro recordatorio de los continuos desafíos de seguridad en el ecosistema de WordPress. Esto resalta la necesidad crítica de vigilancia, actualizaciones periódicas y prácticas de seguridad sólidas para proteger su sitio web de posibles amenazas.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
