一款安装量超过400万的流行WordPress安全插件被发现存在一个严重漏洞。该漏洞允许攻击者以任何用户（包括管理员）身份登录，并获得对其站点级权限的完全访问权限。该漏洞的威胁评分为9.8分（满分10分），凸显了该漏洞的易利用性和对整个站点造成危害的可能性，包括恶意软件注入、未经授权的内容更改以及对站点访问者的攻击。

真正简单的安全

ReallySimpleSecurity是一款WordPress插件，旨在提高WordPress网站对漏洞的抵抗力（称为安全强化），启用双因素身份验证，检测漏洞，并生成SSL证书。它宣传自己轻量级的原因之一是它被设计为模块化软件，允许用户选择启用哪些安全增强功能，以便（理论上）禁用功能的进程不会加载并减慢网站速度。这是WordPress插件的一个流行趋势，它允许软件执行许多操作，但只执行用户需要的任务。

该插件通过联盟评论进行推广，根据GoogleAI概览，该插件获得了高度好评。官方WordPress存储库中超过97%的评论都获得了五星评价，这是最高评级，只有不到1%的评论将该插件评为1星。

哪里出了问题？

该插件的安全漏洞使其容易受到身份验证绕过的影响，这种漏洞允许攻击者无需提供凭据即可访问需要用户名和密码的网站区域。ReallySimpleSecurity特有的漏洞允许攻击者只需知道用户名即可获得网站任何注册用户的访问权限，包括管理员。

这被称为未经身份验证的访问漏洞，是最严重的漏洞之一，因为它通常比“经过身份验证的”漏洞更容易被利用，后者要求攻击者首先获得注册用户的用户名和密码。

Wordfence解释了该漏洞的具体原因：

“WordPress的ReallySimpleSecurity（免费版、专业版和专业版多站点版）插件在9.0.0至9.1.1.1版本中容易受到身份验证绕过攻击。这是由于使用“check_login_and_get_user”函数的双因素RESTAPI操作中对用户检查错误处理不当造成的。当启用“双因素身份验证”设置（默认情况下禁用）时，这使得未经身份验证的攻击者能够以网站上任何现有用户的身份（例如管理员）登录。

Wordfence在过去24小时内阻止了310次针对此漏洞的攻击。”

建议的行动方案：

Wordfence鼓励插件用户更新到ReallySimpleSecurity版本9.1.2（或更高版本）。

ReallySimpleSecurity插件的更新日志负责任地宣布了更新软件的原因：

“变更日志9.1.2安全性：身份验证绕过”