WordPress impune autentificarea Two-Factor

WordPress.org a anunțat o nouă măsură de securitate a conturilor, care va solicita conturilor cu capacități de actualizare a plugin-urilor și temelor să activeze în mod obligatoriu autentificarea cu doi factori (2FA).

Se așteaptă ca aplicarea să intre în vigoare începând cu 1 octombrie 2024.

Pe lângă cerința obligatorie 2FA, WordPress.org a declarat că introduce ceea ce se numește parole SVN, care se referă la o parolă dedicată pentru efectuarea modificărilor.

Măsurile sunt văzute ca o modalitate de a contracara posibilele scenarii în care o persoana rău intenționată ar putea prelua controlul asupra contului unui dezvoltator, introducând astfel cod malițios în plugin-uri și teme legitime, ceea ce ar duce la atacuri pe scară largă în lanțul de aprovizionare.

Dezvăluirea vine în contextul în care au fost semnalate campaniile ClearFake în desfășurare ce vizează site-urile WordPress în vederea distribuirii unui informațion stealer denumit RedLine prin păcălirea vizitatorilor site-ului să ruleze manual codul PowerShell pentru a rezolva o problemă cu redarea paginii web.

Utilizatorilor li se recomandă să își mențină plugin-urile și temele actualizate, să implementeze un firewall pentru aplicații web (WAF), să revizuiască periodic conturile de administrator și să monitorizeze modificările neautorizate ale fișierelor site-ului.

Sursă: https://thehackernews.com/2024/09/wordpress-mandates-two-factor.html