A los desarrolladores de complementos y temas para WordPress.org se les ha dicho que deben habilitar la autenticación de dos factores (2FA) a partir del 1 de octubre. La medida tiene como objetivo mejorar la seguridad, ayudando a evitar que los piratas informáticos obtengan acceso a cuentas a través de las cuales se podría inyectar código malicioso en el código utilizado por millones de sitios web que ejecutan la versión autoalojada de WordPress. La amenaza que plantean los ataques a la cadena de suministro contra complementos y temas de WordPress.org de terceros es considerable, ya que se estima que el 40% de los sitios web del mundo utilizan la edición de código abierto de la plataforma WordPress como su sistema de gestión de contenido. Una de las cosas que ha hecho de WordPress una plataforma tan popular para los sitios web es su configurabilidad y personalización, a través de complementos (conocidos como complementos) y temas. Sin embargo, la popularidad de WordPress entre los desarrolladores web también ha convertido a la plataforma en un objetivo para los atacantes. Si la cuenta de un desarrollador se ve comprometida, se puede enviar una actualización maliciosa a innumerables sitios web, lo que podría llevar a piratas informáticos maliciosos a instalar puertas traseras para obtener acceso remoto a los sistemas, hacerse con el control de las cuentas de administrador, robar información, difundir spam o inyectar malware o criptomineros en las páginas web. El problema se agrava por el hecho de que es muy poco probable que la gran mayoría de los administradores de sitios web filtren las actualizaciones de complementos y temas de terceros de WordPress en busca de código malicioso, considerando que provienen de una fuente confiable. De hecho, muchos sitios habrán optado por implementar actualizaciones automáticamente sin ninguna interacción manual. «Las cuentas con acceso de confirmación pueden enviar actualizaciones y cambios a los complementos y temas utilizados por millones de sitios de WordPress en todo el mundo», dijo WordPress.org en una publicación de blog que anunciaba la introducción de la 2FA obligatoria para los desarrolladores de complementos y temas. «Asegurar estas cuentas es esencial para evitar el acceso no autorizado y mantener la seguridad y la confianza de la comunidad de WordPress.org». Al reconocer la amenaza, WordPress.org ha estado trabajando arduamente para instar a los autores de complementos y temas a habilitar la 2FA en sus cuentas. Existen opciones para adoptar la autenticación de dos factores a través de una aplicación de autenticación o mediante una clave de hardware. Una vez habilitada, la autenticación de dos factores significa que un hacker necesitará más que un nombre de usuario y una contraseña para iniciar sesión en una cuenta. Necesitará un «factor» adicional (como una clave o un código de un solo uso generado por una aplicación en su teléfono inteligente) para obtener acceso. La autenticación de múltiples factores no hace que sea imposible entrar en las cuentas, pero lo que sí hace es dificultar mucho más el acceso a las cuentas, lo que significa que un hacker necesitará invertir mucho más esfuerzo si quiere tener una oportunidad de tener éxito. Las contraseñas por sí solas no son suficientes para proteger las cuentas en línea de nadie. Agregue otra capa de protección a todas sus cuentas en línea que lo permitan, habilitando la autenticación de dos factores. Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no necesariamente reflejan las de Tripwire.