Os desenvolvedores de plugins e temas do WordPress.org foram informados de que são obrigados a habilitar a autenticação de dois fatores (2FA) a partir de 1º de outubro.
Esta mudança tem como objetivo melhorar a segurança, para ajudar a evitar que os cibercriminosos acessem contas onde códigos maliciosos possam ser injetados no código usado por milhões de sites que executam uma versão auto-hospedada do WordPress.
A ameaça representada pelos ataques à cadeia de suprimentos contra plug-ins e temas de terceiros para WordPress.org é grande, pois estima-se que 40% dos sites do mundo usam a plataforma WordPress de código aberto como sistema de gerenciamento de conteúdo.
Uma das coisas que tornou o WordPress uma plataforma popular para sites é a sua adaptabilidade e personalização – através do uso de complementos (conhecidos como plugins) e temas.
No entanto, a popularidade do WordPress entre os desenvolvedores web também tornou a plataforma um alvo para invasores. Se a conta de um desenvolvedor for comprometida com sucesso, uma atualização maliciosa pode ser enviada para vários sites – potencialmente levando hackers mal-intencionados a instalar backdoors para obter acesso remoto a sistemas, assumir o controle de contas de administrador, roubar informações, espalhar spam ou instalar malware ou criptomineradores. em páginas da web.
O problema é agravado pelo fato de que é improvável que a maioria dos webmasters teste plugins WordPress de terceiros e atualizações de temas em busca de códigos maliciosos, presumindo que venham de uma fonte confiável. Na verdade, muitos sites terão optado por emitir atualizações automaticamente, sem qualquer interação manual.
“Contas com acesso de commit podem enviar atualizações e alterações em plug-ins e temas usados por milhões de sites WordPress em todo o mundo”, disse WordPress.org em uma postagem no blog anunciando a introdução de 2FA obrigatório para desenvolvedores de plug-ins e temas. “Proteger essas contas é importante para impedir o acesso não autorizado e para manter a segurança e a confiança da comunidade WordPress.org.”
Reconhecendo a ameaça, o WordPress.org tem encorajado ativamente os autores de plugins e temas a habilitarem 2FA em suas contas. Existem opções para aceitar 2FA com um aplicativo de autenticação ou com uma chave de hardware.
Uma vez ativado, o 2FA significa que um hacker precisará de mais do que apenas um nome de usuário e uma senha para fazer login em uma conta. Eles precisarão de um “fator” adicional (como uma chave ou código único gerado por um aplicativo em seu smartphone) para obter acesso.
A autenticação multifator não impossibilita o login nas contas. Mas o que isso faz é dificultar o comprometimento de contas, o que significa que um hacker precisará investir mais esforço se quiser ter chance de sucesso.
As senhas por si só não são suficientes para proteger as contas online de ninguém. Adicione outra camada de segurança a todas as suas contas online que permitem isso, habilitando a autenticação de dois fatores.
Nota do editor: As opiniões expressas neste artigo do autor convidado são exclusivamente do colaborador e não refletem necessariamente as da Tripwire.
