WordPress с 1 октября 2024 года вводит новое обязательное требование для аккаунтов с доступом к обновлениям плагинов и тем – включение двухфакторной аутентификации (2FA). Этот шаг направлен на усиление безопасности и предотвращение несанкционированного доступа.
По словам представителей WordPress, такие аккаунты имеют возможность вносить изменения в плагины и темы, которые используются миллионами сайтов по всему миру, поэтому их защита является приоритетом для сохранения безопасности и доверия сообщества.
Кроме обязательного 2FA, WordPress.org представил новую функцию – пароли SVN. Это отдельные пароли для внесения изменений в код, которые позволяют отделить доступ к репозиториям от основных учётных данных пользователей. По сути, это дополнительный уровень безопасности, который снижает риск утечки основного пароля и даёт возможность легко отозвать доступ к SVN без изменения учётных данных.
Технические ограничения не позволяют внедрить 2FA для существующих кодовых репозиториев, поэтому было решено использовать комбинацию двухфакторной аутентификации на уровне аккаунта, паролей SVN с высокой стойкостью и других мер безопасности, включая подтверждение релизов.
Эти меры направлены на предотвращение атак, при которых злоумышленники могут получить доступ к учётной записи разработчика и внедрить вредоносный код в плагины и темы, что может привести к крупномасштабным атакам на цепочку поставок.
Основным риском, который может возникнуть с введением обязательной двухфакторной аутентификации, является возможное неудобство для разработчиков. Некоторые пользователи могут столкнуться с трудностями при настройке 2FA, что может замедлить их работу или привести к временной потере доступа к своим учётным записям. Кроме того, внедрение новой системы паролей SVN требует адаптации, что может вызвать дополнительные вопросы у разработчиков, привыкших к стандартным методам аутентификации.
Однако в долгосрочной перспективе эти меры должны значительно улучшить общую безопасность экосистемы WordPress. По сути, негативные последствия могут быть связаны лишь с временными неудобствами, тогда как польза от повышенной защиты аккаунтов и предотвращения атак на цепочки поставок плагинов и тем очевидна.
Объявление было сделано на фоне недавних предупреждений компании Sucuri о продолжающейся вредоносной кампании ClearFake, направленной на WordPress-сайты. Злоумышленники распространяют вредоносное ПО RedLine, заставляя пользователей вручную запускать PowerShell для “устранения проблем” с отображением страниц. Кроме того, киберпреступники используют заражённые сайты PrestaShop для кражи данных кредитных карт на страницах оплаты.
Как отметил исследователь Sucuri Бен Мартин, устаревшее программное обеспечение и слабые пароли администраторов часто становятся целью для атак. Чтобы снизить риски, рекомендуется регулярно обновлять плагины и темы, использовать файрволлы для веб-приложений (WAF), проверять учётные записи администраторов и отслеживать изменения файлов сайта.