Los plugins Really Simple Security (Free, Pro y Pro Multisite) para WordPress son vulnerables a un bypass de autenticación en las versiones 9.0.0 a 9.1.1.1. Esto se debe a un manejo incorrecto del error de verificación de usuario en las acciones de la API REST de dos factores con la función ‘check_login_and_get_user’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, cuando la configuración de ‘Autenticación de Dos Factores’ está habilitada (deshabilitada de forma predeterminada).
Para subsanar este problema de seguridad, se recomienda a los usuarios actualizar los plugins Really Simple Security a la última versión disponible (9.1.2 o superior) lo antes posible. Además, se puede deshabilitar temporalmente la funcionalidad de ‘Autenticación de Dos Factores’ hasta que se haya aplicado la actualización pertinente. Es importante mantener siempre actualizados todos los plugins y temas en WordPress para mitigar posibles vulnerabilidades de seguridad.
Es fundamental tomar medidas proactivas para proteger la seguridad de tu sitio web. Mantente informado sobre posibles vulnerabilidades en los plugins que utilizas y toma acciones correctivas de inmediato. La seguridad en línea es un proceso continuo que requiere atención constante.