Los escépticos ya advierten sobre las posibles consecuencias de la innovación.
WordPress, a partir del 1 de octubre de 2024, introducirá un nuevo requisito obligatorio para las cuentas con acceso a actualizaciones de complementos y temas: la activación de la autenticación de dos factores (2FA). Este paso está destinado a reforzar la seguridad y prevenir el acceso no autorizado.
Según los representantes de WordPress, dichas cuentas tienen la capacidad de realizar cambios en los complementos y temas que son utilizados por millones de sitios web en todo el mundo, por lo que su protección es una prioridad para mantener la seguridad y la confianza de la comunidad.
Además del 2FA obligatorio, WordPress.org presentó una nueva función: las contraseñas SVN. Estas son contraseñas separadas para realizar cambios en el código, que permiten separar el acceso a los repositorios de las credenciales principales de los usuarios. En esencia, es un nivel adicional de seguridad que reduce el riesgo de fuga de la contraseña principal y permite revocar fácilmente el acceso a SVN sin modificar las credenciales.
Las limitaciones técnicas no permiten implementar 2FA para los repositorios de código existentes, por lo que se decidió utilizar una combinación de autenticación de dos factores de cuenta, contraseñas SVN de alta seguridad y otras medidas de seguridad, incluyendo la confirmación de lanzamientos.
Estas medidas están destinadas a prevenir ataques en los que los delincuentes puedan acceder a la cuenta de un desarrollador e inyectar código malicioso en complementos y temas, lo que podría llevar a ataques a gran escala en la cadena de suministro.
El principal riesgo que puede surgir con la introducción de la autenticación de dos factores obligatoria es la posible incomodidad para los desarrolladores. Algunos usuarios podrían enfrentarse a dificultades al configurar el 2FA, lo que podría ralentizar su trabajo o provocar una pérdida temporal de acceso a sus cuentas. Además, la implementación del nuevo sistema de contraseñas SVN requiere adaptación, lo que podría generar preguntas adicionales entre los desarrolladores acostumbrados a los métodos de autenticación estándar.
No obstante, a largo plazo, estas medidas deberían mejorar significativamente la seguridad general del ecosistema de WordPress. En esencia, las consecuencias negativas solo podrían estar relacionadas con inconvenientes temporales, mientras que los beneficios de una mayor protección de las cuentas y la prevención de ataques a la cadena de suministro de complementos y temas son evidentes.
El anuncio se realizó en medio de advertencias recientes de la empresa Sucuri sobre la campaña maliciosa ClearFake en curso, dirigida a sitios web de WordPress. Los atacantes están distribuyendo malware RedLine, obligando a los usuarios a ejecutar manualmente PowerShell para "solucionar problemas" con la visualización de las páginas. Además, los ciberdelincuentes están utilizando sitios infectados de PrestaShop para robar datos de tarjetas de crédito en las páginas de pago.
Como señaló el investigador de Sucuri Ben Martin, el software desactualizado y las contraseñas débiles de los administradores a menudo se convierten en objetivos de los ataques. Para reducir los riesgos, se recomienda actualizar regularmente los complementos y temas, usar firewalls para aplicaciones web (WAF), revisar las cuentas de administrador y monitorear los cambios en los archivos del sitio.