WordPress.org ha anunciado una nueva medida de seguridad de cuentas que requerirá que las cuentas con capacidades para actualizar complementos y temas activen obligatoriamente la autenticación de dos factores (2FA).
El aplicación Se espera que entre en vigor a partir del 1 de octubre de 2024.
«Las cuentas con acceso de confirmación pueden enviar actualizaciones y cambios a los complementos y temas utilizados por millones de sitios de WordPress en todo el mundo», dijeron los mantenedores de la versión de código abierto y autoalojada del sistema de gestión de contenido (CMS). dicho.
«Proteger estas cuentas es esencial para evitar el acceso no autorizado y mantener la seguridad y la confianza de la comunidad de WordPress.org».
Además de exigir 2FA obligatorio, WordPress.org dijo que está introduciendo lo que se llama contraseñas SVN, que se refieren a una contraseña dedicada para confirmar cambios.
Se trata, afirma, de un esfuerzo por introducir una nueva capa de seguridad separando el acceso de los usuarios a las confirmaciones de código de sus credenciales de cuenta de WordPress.org.
«Esta contraseña funciona como una contraseña de aplicación o de cuenta de usuario adicional», dijo el equipo. «Protege su contraseña principal de la exposición y le permite revocar fácilmente el acceso a SVN sin tener que cambiar sus credenciales de WordPress.org».
WordPress.org también señaló que las limitaciones técnicas han impedido que la 2FA se aplique a los repositorios de código existentes, por lo que ha optado por una «combinación de autenticación de dos factores a nivel de cuenta, contraseñas SVN de alta entropía y otras características de seguridad en el momento de la implementación (como las confirmaciones de lanzamiento)».
Las medidas se consideran una forma de contrarrestar escenarios en los que un actor malicioso podría tomar el control de la cuenta de un editor, introduciendo así código malicioso en complementos y temas legítimos, lo que daría lugar a ataques a la cadena de suministro a gran escala.
La revelación llega cuando Sucuri prevenido de campañas ClearFake en curso dirigidas a sitios de WordPress que buscan distribuir un ladrón de información llamado RedLine engañando a los visitantes del sitio para que ejecuten manualmente el código de PowerShell para solucionar un problema con la representación de la página web.
También se ha observado que los actores de amenazas aprovechan los sitios de comercio electrónico PrestaShop infectados para implementar un skimmer de tarjetas de crédito para extraer la información financiera ingresada en las páginas de pago.
«El software obsoleto es un objetivo principal para los atacantes que explotan vulnerabilidades en complementos y temas antiguos», dijo el investigador de seguridad Ben Martin. dicho«Las contraseñas de administrador débiles son una puerta de entrada para los atacantes».
Se recomienda a los usuarios mantener sus complementos y temas actualizados, implementar un firewall de aplicaciones web (WAF), revisar periódicamente las cuentas de administrador y monitorear cambios no autorizados en los archivos del sitio web.