WordPress.org объявил о введении новой меры безопасности, которая обяжет учетные записи с правами на обновление плагинов и тем активировать двухфакторную аутентификацию (2FA). Это нововведение вступит в силу 1 октября 2024 года.
«Учетные записи, которые могут вносить изменения в плагины и темы, используемые миллионами сайтов на WordPress, критически важны для защиты от несанкционированного доступа. Сохранение безопасности этих аккаунтов является ключевым для поддержания доверия сообщества WordPress.org», — сообщили разработчики.
Кроме обязательной двухфакторной аутентификации, WordPress.org вводит так называемые SVN-пароли — специальные коды, предназначенные для управления изменениями. «Эти пароли работают как пароли для приложений или дополнительных учетных записей», — отметила команда. «Они защищают основной пароль и позволяют легко отозвать доступ к SVN, не изменяя основные учетные данные WordPress.org». Это решение направлено на разделение доступа к внесению изменений в код от основных данных учетной записи для повышения уровня безопасности.
Из-за технических ограничений невозможно применить 2FA к существующим репозиториям кода. Поэтому было выбрано решение, сочетающее двухфакторную аутентификацию на уровне учетной записи, высокоэнтропийные пароли SVN и другие защитные механизмы, такие как подтверждения выпусков.
Эти меры направлены на предотвращение сценариев, при которых злоумышленники могут захватить учетную запись издателя и внедрить вредоносный код в плагины и темы, что потенциально может привести к масштабным атакам на цепочку поставок.
Данная инициатива последовала после предупреждений Sucuri о кампаниях ClearFake, нацеленных на сайты WordPress с целью распространения вредоносного ПО RedLine для кражи данных. Вредоносные сайты побуждают пользователей вручную запускать код PowerShell, маскируя это под устранение проблем с отображением страниц.
Также были зафиксированы случаи, когда злоумышленники использовали зараженные сайты PrestaShop для внедрения скиммеров кредитных карт, собирая финансовую информацию с страниц оформления заказа.
Как заявляют разработчики, устаревшие плагины и темы часто становятся мишенью злоумышленников, эксплуатирующих их уязвимости. Слабые пароли администраторов также представляют угрозу. Пользователям рекомендуется регулярно обновлять плагины, использовать брандмауэр веб-приложений (WAF), проверять администраторские учетные записи и следить за изменениями файлов сайта.
Злоумышленники сканируют 1,6 млн сайтов WordPress на наличие уязвимого плагина