Home Concientización WordPress exige autenticación de dos factores para desarrolladores de plugins y temas

WordPress exige autenticación de dos factores para desarrolladores de plugins y temas

WordPress.org ha anunciado una nueva medida de seguridad de cuentas que requerirá que las cuentas con capacidades para actualizar plugins y temas activen la autenticación de dos factores (2FA) de forma obligatoria.

Se espera que la medida entre en vigor a partir del 1 de octubre de 2024.

Además de exigir la autenticación de dos factores obligatoria, WordPress.org dijo que está introduciendo lo que se llama contraseñas SVN, que se refiere a una contraseña dedicada para confirmar cambios.

Según el equipo, se trata de un esfuerzo por introducir una nueva capa de seguridad separando el acceso de los usuarios a las confirmaciones de código de sus credenciales de cuenta de WordPress.org.

WordPress.org también señaló que las limitaciones técnicas han impedido que se aplique la 2FA a los repositorios de código existentes, por lo que ha optado por una “combinación de autenticación de dos factores a nivel de cuenta, contraseñas SVN de alta entropía y otras funciones de seguridad en el momento de la implementación (como las confirmaciones de lanzamiento)”.

Las medidas se consideran una forma de contrarrestar los escenarios en los que un actor malicioso podría tomar el control de la cuenta de un editor, introduciendo así código malicioso en complementos y temas legítimos, lo que da lugar a ataques a gran escala a la cadena de suministro.

La revelación se produce cuando Sucuri advirtió sobre las campañas ClearFake en curso dirigidas a sitios de WordPress que tienen como objetivo distribuir un ladrón de información llamado RedLine engañando a los visitantes del sitio para que ejecuten manualmente el código PowerShell para solucionar un problema con la representación de la página web.

También se ha observado que los actores de amenazas aprovechan los sitios de comercio electrónico infectados de PrestaShop para implementar un escáner de tarjetas de crédito para extraer la información financiera ingresada en las páginas de pago.

Se recomienda a los usuarios mantener sus complementos y temas actualizados, implementar un firewall de aplicaciones web (WAF), revisar periódicamente las cuentas de administrador y monitorear los cambios no autorizados en los archivos del sitio web.