Aggiornato recentemente a Ottobre 12th, 2024 alle 03:15 pm
WordPress impone l’autenticazione a due fattori per gli sviluppatori di plugin e temi
WordPress.org ha annunciato una nuova misura di sicurezza per gli account che richiederà agli account in grado di aggiornare plugin e temi di attivare obbligatoriamente l’autenticazione a due fattori (2FA).
L’applicazione dovrebbe entrare in vigore a partire dal 1° ottobre 2024.
“Gli account con accesso commit possono inviare aggiornamenti e modifiche a plugin e temi utilizzati da milioni di siti WordPress in tutto il mondo”, hanno dichiarato i manutentori della versione open-source e self-hosted del sistema di gestione dei contenuti (CMS).
“Proteggere questi account è essenziale per prevenire accessi non autorizzati e mantenere la sicurezza e la fiducia della comunità di WordPress.org”.
Oltre a richiedere l’obbligo di 2FA, WordPress.org ha dichiarato che sta introducendo le cosiddette password SVN, che si riferiscono a una password dedicata per il commit delle modifiche.
Si tratta di un tentativo di introdurre un nuovo livello di sicurezza, separando l’accesso degli utenti al commit del codice dalle credenziali dell’account WordPress.org.
“Questa password funziona come la password di un’applicazione o di un account utente aggiuntivo”, ha dichiarato il team. “Protegge la vostra password principale dall’esposizione e vi permette di revocare facilmente l’accesso a SVN senza dover cambiare le vostre credenziali di WordPress.org”.
WordPress.org ha anche osservato che le limitazioni tecniche hanno impedito di applicare la 2FA ai repository di codice esistenti, per cui ha optato per una “combinazione di autenticazione a due fattori a livello di account, password SVN ad alta entropia e altre funzioni di sicurezza in tempo reale (come le conferme di rilascio)”.
Le misure sono considerate un modo per contrastare gli scenari in cui un attore malintenzionato potrebbe prendere il controllo dell’account di un editore, introducendo così codice maligno in plugin e temi legittimi, con conseguenti attacchi alla catena di distribuzione su larga scala.
La rivelazione arriva mentre Sucuri ha messo in guardia dalle campagne ClearFake in corso che prendono di mira i siti WordPress e che mirano a distribuire un ruba-informazioni chiamato RedLine, inducendo i visitatori del sito a eseguire manualmente il codice PowerShell per risolvere un problema di rendering della pagina web.
È stato inoltre osservato che gli attori delle minacce sfruttano i siti di e-commerce PrestaShop infetti per distribuire uno skimmer di carte di credito per sottrarre le informazioni finanziarie inserite nelle pagine di checkout.
“Il software obsoleto è un obiettivo primario per gli aggressori che sfruttano le vulnerabilità dei vecchi plugin e temi”, ha dichiarato Ben Martin, ricercatore di sicurezza. “Le password di amministrazione deboli sono una porta d’accesso per gli aggressori”.
Si raccomanda agli utenti di mantenere aggiornati i propri plugin e temi, di implementare un firewall per applicazioni web (WAF), di rivedere periodicamente gli account di amministratore e di monitorare le modifiche non autorizzate ai file del sito web. Ecco il tweet di The Hacker News.
Andrea Barbieri è consulente SEO, svilppattore di siti web e specialista in web marketing, fondatore di BTF Traduzioni SEO Sviluppo Web. Aiuta aziende e professionisti a ottenere visibilità online con siti ottimizzati, contenuti efficaci e strategie SEO mirate. Visita la mia pagina.
