WordPress.org a annoncé une nouvelle mesure de sécurité des comptes qui obligera les comptes dotés de capacités de mise à jour des plugins et des thèmes à activer obligatoirement l’authentification à deux facteurs (2FA).
Le application de la loi devrait entrer en vigueur à compter du 1er octobre 2024.
« Les comptes avec accès de validation peuvent envoyer des mises à jour et des modifications aux plugins et aux thèmes utilisés par des millions de sites WordPress dans le monde », ont déclaré les responsables de la version open source et auto-hébergée du système de gestion de contenu (CMS) dit.
« La sécurisation de ces comptes est essentielle pour empêcher tout accès non autorisé et maintenir la sécurité et la confiance de la communauté WordPress.org. »
En plus d’exiger l’authentification à deux facteurs obligatoire, WordPress.org a annoncé l’introduction de ce qu’on appelle les mots de passe SVN, qui font référence à un mot de passe dédié pour valider les modifications.
Il s’agit, selon l’entreprise, d’un effort visant à introduire une nouvelle couche de sécurité en séparant l’accès des utilisateurs à la validation du code de leurs informations d’identification de compte WordPress.org.
« Ce mot de passe fonctionne comme un mot de passe d’application ou de compte utilisateur supplémentaire », a déclaré l’équipe. « Il protège votre mot de passe principal de toute divulgation et vous permet de révoquer facilement l’accès SVN sans avoir à modifier vos identifiants WordPress.org. »
WordPress.org a également noté que des limitations techniques ont empêché l’application de la 2FA aux référentiels de code existants, ce qui l’a amené à opter pour une « combinaison d’authentification à deux facteurs au niveau du compte, de mots de passe SVN à haute entropie et d’autres fonctionnalités de sécurité au moment du déploiement (telles que les confirmations de publication) ».
Ces mesures sont considérées comme un moyen de contrer les scénarios dans lesquels un acteur malveillant pourrait prendre le contrôle du compte d’un éditeur, introduisant ainsi du code malveillant dans des plugins et des thèmes légitimes, entraînant des attaques à grande échelle sur la chaîne d’approvisionnement.
La révélation intervient alors que Sucuri averti des campagnes ClearFake en cours ciblant les sites WordPress qui visent à distribuer un voleur d’informations appelé RedLine en incitant les visiteurs du site à exécuter manuellement du code PowerShell afin de résoudre un problème de rendu de la page Web.
Des acteurs malveillants ont également été observés en train d’exploiter des sites de commerce électronique PrestaShop infectés pour déployer un écrémeur de carte de crédit afin de siphonner les informations financières saisies sur les pages de paiement.
« Les logiciels obsolètes sont une cible principale pour les attaquants qui exploitent les vulnérabilités des anciens plugins et thèmes », explique Ben Martin, chercheur en sécurité dit« Les mots de passe d’administrateur faibles sont une porte d’entrée pour les attaquants. »
Il est recommandé aux utilisateurs de maintenir leurs plugins et thèmes à jour, de déployer un pare-feu d’application Web (WAF), de vérifier périodiquement les comptes d’administrateur et de surveiller les modifications non autorisées apportées aux fichiers du site Web.