Новости WordPress ужесточает контроль: двухфакторная аутентификация становится обязательной

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Специалисты предупреждают о возможных последствиях нововведения.


8scwwvqtfc0rjm9bw7lp9gehl4ue7dl9.jpg


WordPress с 1 октября 2024 года Для просмотра ссылки Войди или Зарегистрируйся для аккаунтов с доступом к обновлениям плагинов и тем — включение двухфакторной аутентификации ( 2FA ). Этот шаг направлен на усиление безопасности и предотвращение несанкционированного доступа.

По словам представителей WordPress, такие аккаунты имеют возможность вносить изменения в плагины и темы, которые используются миллионами сайтов по всему миру, поэтому их защита является приоритетом для сохранения безопасности и доверия сообщества.

Кроме обязательного 2FA, WordPress.org представил новую функцию — пароли SVN. Это отдельные пароли для внесения изменений в код, которые позволяют отделить доступ к репозиториям от основных учётных данных пользователей. По сути, это дополнительный уровень безопасности, который снижает риск утечки основного пароля и даёт возможность легко отозвать доступ к SVN без изменения учётных данных.

Технические ограничения не позволяют внедрить 2FA для существующих кодовых репозиториев, поэтому было решено использовать комбинацию двухфакторной аутентификации на уровне аккаунта, паролей SVN с высокой стойкостью и других мер безопасности, включая подтверждение релизов.

Эти меры направлены на предотвращение атак, при которых злоумышленники могут получить доступ к учётной записи разработчика и внедрить вредоносный код в плагины и темы, что может привести к крупномасштабным атакам на цепочку поставок.

Основным риском, который может возникнуть с введением обязательной двухфакторной аутентификации, является возможное неудобство для разработчиков. Некоторые пользователи могут столкнуться с трудностями при настройке 2FA, что может замедлить их работу или привести к временной потере доступа к своим учётным записям. Кроме того, внедрение новой системы паролей SVN требует адаптации, что может вызвать дополнительные вопросы у разработчиков, привыкших к стандартным методам аутентификации.

Однако в долгосрочной перспективе эти меры должны значительно улучшить общую безопасность экосистемы WordPress. По сути, негативные последствия могут быть связаны лишь с временными неудобствами, тогда как польза от повышенной защиты аккаунтов и предотвращения атак на цепочки поставок плагинов и тем очевидна.

Объявление было сделано на фоне Для просмотра ссылки Войди или Зарегистрируйся компании Sucuri о продолжающейся вредоносной кампании ClearFake, направленной на WordPress-сайты. Злоумышленники распространяют вредоносное ПО RedLine, заставляя пользователей вручную запускать PowerShell для «устранения проблем» с отображением страниц. Кроме того, киберпреступники Для просмотра ссылки Войди или Зарегистрируйся для кражи данных кредитных карт на страницах оплаты.

Как отметил исследователь Sucuri Бен Мартин, устаревшее программное обеспечение и слабые пароли администраторов часто становятся целью для атак. Чтобы снизить риски, рекомендуется регулярно обновлять плагины и темы, использовать файрволлы для веб-приложений (WAF), проверять учётные записи администраторов и отслеживать изменения файлов сайта.
 
Источник новости
www.securitylab.ru

Похожие темы