WordPress.org ha anunciado una nueva medida de seguridad de la cuenta que requerirá que las cuentas con capacidades de actualización de temas y complementos habiliten obligatoriamente la autenticación de dos factores (2FA).
EL aplicación de la ley debería entrar en vigor a partir del 1 de octubre de 2024.
“Las cuentas con acceso de validación pueden enviar actualizaciones y cambios a complementos y temas utilizados por millones de sitios de WordPress en todo el mundo”, dijeron los responsables de la versión de código abierto autohospedada del sistema de gestión de contenidos (CMS) de WordPress. dicho.
“Asegurar estas cuentas es esencial para evitar el acceso no autorizado y mantener la seguridad y confianza de la comunidad de WordPress.org. »
Además de exigir una autenticación obligatoria de dos factores, WordPress.org anunció la introducción de las llamadas contraseñas SVN, que se refieren a una contraseña dedicada para validar los cambios.
Según la compañía, esto es un esfuerzo por introducir una nueva capa de seguridad al separar el acceso de los usuarios a la validación del código de las credenciales de su cuenta de WordPress.org.
«Esta contraseña funciona como una aplicación adicional o una contraseña de cuenta de usuario», dijo el equipo. “Protege su contraseña maestra contra la divulgación y le permite revocar fácilmente el acceso SVN sin tener que cambiar sus credenciales de WordPress.org. »
WordPress.org también señaló que las limitaciones técnicas impidieron que 2FA se aplicara a los repositorios de código existentes, lo que lo llevó a optar por una «combinación de autenticación de dos factores a nivel de cuenta, pase SVN de alta entropía y otras características de seguridad en el momento de la implementación (como confirmaciones de lanzamiento)”.
Estas medidas se consideran una forma de contrarrestar escenarios en los que un actor malintencionado podría tomar el control de la cuenta de un editor, introduciendo así código malicioso en complementos y temas legítimos, lo que provocaría ataques a gran escala en la cadena de suministro.
La revelación llega como Sucuri prevenido Campañas ClearFake en curso dirigidas a sitios de WordPress que tienen como objetivo distribuir un ladrón de información llamado RedLine engañando a los visitantes del sitio para que ejecuten manualmente el código PowerShell para solucionar un problema de representación de la página web.
También se ha observado que actores maliciosos explotan sitios de comercio electrónico PrestaShop infectados para implementar un skimmer de tarjetas de crédito para desviar información financiera ingresada en las páginas de pago.
«El software obsoleto es el objetivo principal de los atacantes que aprovechan las vulnerabilidades de complementos y temas antiguos», afirma el investigador de seguridad Ben Martin. dicho“Las contraseñas de administrador débiles son una puerta de entrada para los atacantes. »
Se recomienda a los usuarios mantener actualizados sus complementos y temas, implementar un firewall de aplicaciones web (WAF), verificar periódicamente las cuentas de administrador y monitorear los cambios no autorizados en los archivos del sitio web.
