WordPress.org ha revelado que las cuentas con capacidades para actualizar complementos y temas deberán activar 2FA a partir del 1 de octubre de 2024. Esta medida busca proteger las cuentas con acceso de commit y prevenir el acceso no autorizado para mantener la seguridad y confianza en la comunidad de WordPress.org.
‘
Además de la autenticación de dos factores obligatoria (2FA), WordPress.org implementará contraseñas SVN como una capa adicional de seguridad al separar el acceso de compromiso de código de las credenciales de la cuenta. Estas contraseñas funcionan como una capa adicional de seguridad para proteger la contraseña principal de exposiciones y permiten revocar el acceso SVN sin cambiar las credenciales de WordPress.org.
‘
Debido a limitaciones técnicas, WordPress.org optó por una combinación de 2FA a nivel de cuenta, contraseñas SVN de alta entropía y otras medidas de seguridad en el momento de la implementación. Estas medidas buscan contrarrestar situaciones en las que un actor malintencionado pueda tomar el control de la cuenta de un editor, lo que podría conducir a la introducción de código malicioso en complementos y temas legítimos, provocando ataques de cadena de suministro a gran escala.
‘
Estas medidas buscan mitigar amenazas como las campañas ClearFake que buscan distribuir el ladrón de información RedLine a través de sitios de WordPress y el aprovechamiento de sitios de comercio electrónico PrestaShop infectados para desplegar skimmers de tarjetas de crédito. Los usuarios se insta a mantener actualizados sus complementos y temas, implementar un firewall de aplicaciones web, revisar periódicamente las cuentas de administrador y monitorear los cambios no autorizados en los archivos del sitio web.
Vía The Hacker News