El pasado 6 de noviembre de 2024, el equipo de Inteligencia de Amenazas de Wordfence identificó una vulnerabilidad crítica en el plugin Really Simple Security, anteriormente conocido como Really Simple SSL. Este plugin es ampliamente utilizado en sitios de WordPress, y cuenta con más de 4 millones de instalaciones activas. La vulnerabilidad en cuestión, catalogada como CVE-2024-10924, permitía a un atacante remoto acceder a cualquier cuenta del sitio, incluida la de administrador, siempre que la autenticación de dos factores (2FA) estuviera habilitada.
El problema radicaba en una gestión incorrecta de los errores en las funciones REST API relacionadas con la autenticación de dos factores. En particular, la función denominada ‘check_login_and_get_user’. Esto daba lugar a una situación crítica: el proceso de autenticación continuaba incluso cuando debería fallar, permitiendo que un atacante no autenticado pudiera iniciar sesión como cualquier usuario del sitio.
El equipo de Wordfence notificó esta vulnerabilidad al desarrollador del plugin, Really Simple Plugins, el mismo día en que se descubrió. Afortunadamente, respondieron de manera rápida y responsable, publicando una actualización de seguridad el 14 de noviembre de 2024. Esta actualización, que corresponde a la versión 9.1.2, corrige el fallo y protege a los sitios contra ataques que exploten esta vulnerabilidad. Además, debido a la gravedad del problema, se coordinó con el equipo de plugins de WordPress.org para llevar a cabo una actualización forzada en todos los sitios que ejecutaban versiones vulnerables del plugin.
Es importante destacar que esta vulnerabilidad tenía un impacto severo porque podía comprometer completamente la seguridad de los sitios afectados. Un atacante con acceso al nivel de administrador podría realizar cambios críticos en la configuración, inyectar código malicioso o incluso eliminar contenido.
Para quienes utilizan este plugin, es fundamental comprobar que están ejecutando al menos la versión 9.1.2 o una posterior. Adicionalmente, se recomienda realizar una revisión exhaustiva de las configuraciones de seguridad, actualizar contraseñas de usuarios clave y monitorizar cualquier actividad sospechosa que pudiera haber ocurrido antes de la actualización.
Este incidente subraya la importancia de mantener siempre actualizados los plugins y temas de WordPress, así como de contar con medidas de seguridad adicionales, como cortafuegos de aplicaciones web y herramientas de monitoreo de amenazas. Si no quieres dedicar tiempo en esto por muy poquito, puedo ayudarte y dedicar el tiempo a lo que realmente necesites. La rapidez en la detección y corrección de este fallo también es un recordatorio del valor de contar con desarrolladores y comunidades comprometidas con la seguridad del ecosistema WordPress.
