12 de septiembre de 2024Ravie LakshmananSeguridad web / Gestión de contenido WordPress.org ha anunciado una nueva medida de seguridad de cuenta que requerirá que las cuentas con capacidades para actualizar complementos y temas activen la autenticación de dos factores (2FA) de forma obligatoria. Se espera que la aplicación entre en vigor a partir del 1 de octubre de 2024. «Las cuentas con acceso de confirmación pueden enviar actualizaciones y cambios a los complementos y temas utilizados por millones de sitios de WordPress en todo el mundo», dijeron los encargados del mantenimiento de la versión de código abierto y autoalojada del sistema de gestión de contenido (CMS). «Asegurar estas cuentas es esencial para evitar el acceso no autorizado y mantener la seguridad y la confianza de la comunidad de WordPress.org». Además de exigir la 2FA obligatoria, WordPress.org dijo que está introduciendo lo que se llama contraseñas SVN, que se refiere a una contraseña dedicada para confirmar cambios. Esto, dijo, es un esfuerzo por introducir una nueva capa de seguridad al separar el acceso de confirmación de código de los usuarios de sus credenciales de cuenta de WordPress.org. «Esta contraseña funciona como una contraseña de aplicación o de cuenta de usuario adicional», dijo el equipo. «Protege su contraseña principal de la exposición y le permite revocar fácilmente el acceso a SVN sin tener que cambiar sus credenciales de WordPress.org». WordPress.org también señaló que las limitaciones técnicas han impedido que la 2FA se aplique a los repositorios de código existentes, como resultado de lo cual ha optado por una «combinación de autenticación de dos factores a nivel de cuenta, contraseñas SVN de alta entropía y otras características de seguridad en el momento de la implementación (como las confirmaciones de lanzamiento)». Las medidas se consideran una forma de contrarrestar los escenarios en los que un actor malicioso podría tomar el control de la cuenta de un editor, introduciendo así código malicioso en complementos y temas legítimos, lo que resulta en ataques a gran escala a la cadena de suministro. La revelación se produce cuando Sucuri advirtió sobre las campañas ClearFake en curso dirigidas a los sitios de WordPress que tienen como objetivo distribuir un ladrón de información llamado RedLine engañando a los visitantes del sitio para que ejecuten manualmente el código PowerShell para solucionar un problema con la representación de la página web. También se ha observado que los actores de amenazas aprovechan los sitios de comercio electrónico infectados de PrestaShop para implementar un escáner de tarjetas de crédito para extraer la información financiera ingresada en las páginas de pago. «El software obsoleto es un objetivo principal para los atacantes que explotan las vulnerabilidades en complementos y temas antiguos», dijo el investigador de seguridad Ben Martin. «Las contraseñas de administrador débiles son una puerta de entrada para los atacantes». Se recomienda a los usuarios mantener sus complementos y temas actualizados, implementar un firewall de aplicaciones web (WAF), revisar periódicamente las cuentas de administrador y monitorear los cambios no autorizados en los archivos del sitio web. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.