O WordPress.org anunciou uma nova medida de segurança de conta que exigirá que contas com recursos para atualizar plugins e temas ativem a autenticação de dois fatores (2FA) obrigatoriamente.
A previsão é que a aplicação da lei entre em vigor a partir de 1º de outubro de 2024.
“Contas com acesso de confirmação podem enviar atualizações e alterações para plugins e temas usados por milhões de websites WordPress no mundo todo”, disseram os mantenedores da versão de código aberto e auto-hospedada do sistema de gerenciamento de conteúdo (CMS).
“Proteger essas contas é essencial para evitar acesso não autorizado e manter a segurança e a confiança da comunidade WordPress.org.”
Além de exigir 2FA obrigatório, o WordPress.org disse que está introduzindo o que é chamado de senhas SVN, que se refere a uma senha dedicada para confirmar alterações.
Isso, segundo ele, é um esforço para introduzir uma nova camada de segurança, separando o acesso de confirmação de código dos usuários das credenciais de sua conta no WordPress.org.
“Essa senha funciona como uma senha de aplicativo ou conta de usuário adicional”, disse a equipe. “Ela protege sua senha principal de exposição e permite que você revogue facilmente o acesso ao SVN sem precisar alterar suas credenciais do WordPress.org.”
O WordPress.org também observou que limitações técnicas impediram que a 2FA fosse aplicada aos repositórios de código existentes, o que fez com que ele optasse por uma “combinação de autenticação de dois fatores no nível da conta, senhas SVN de alta entropia e outros recursos de segurança em tempo de implantação (como Confirmações de Lançamento)”.
As medidas são vistas como uma forma de combater cenários em que um agente malicioso pode assumir o controle da conta de um editor, introduzindo assim código malicioso em plugins e temas legítimos, resultando em ataques em larga escala à cadeia de suprimentos.
A divulgação ocorre no momento em que a Sucuri alerta sobre as campanhas em andamento do ClearFake direcionadas a websites WordPress que visam distribuir um ladrão de informações chamado RedLine, enganando os visitantes do web site para que executem manualmente o código do PowerShell para corrigir um problema de renderização da página da internet.
Também foram observados cibercriminosos aproveitando websites de comércio eletrônico PrestaShop infectados para implantar um skimmer de cartão de crédito para desviar informações financeiras inseridas nas páginas de checkout.
“Software program desatualizado é um alvo primário para invasores que exploram vulnerabilidades em plugins e temas antigos”, disse o pesquisador de segurança Ben Martin. “Senhas de administrador fracas são uma porta de entrada para invasores.”
Recomenda-se que os usuários mantenham seus plugins e temas atualizados, implantem um firewall de aplicativo da internet (WAF), revisem periodicamente as contas de administrador e monitorem alterações não autorizadas nos arquivos do web site.
