WordPress verplicht tweefactorauthenticatie voor plug-in- en themaontwikkelaars

WordPress.org heeft een nieuwe beveiligingsmaatregel voor accounts aangekondigd. Accounts die plug-ins en thema’s kunnen updaten, moeten verplicht tweefactorauthenticatie (2FA) activeren.

De verwachting is dat de handhaving vanaf 1 oktober 2024 van kracht wordt.

“Accounts met commit-toegang kunnen updates en wijzigingen doorvoeren in plug-ins en thema’s die door miljoenen WordPress-sites wereldwijd worden gebruikt”, aldus de beheerders van de open-source, zelfgehoste versie van het contentmanagementsysteem (CMS).

“Het beveiligen van deze accounts is essentieel om ongeautoriseerde toegang te voorkomen en de veiligheid en het vertrouwen van de WordPress.org-community te behouden.”

Naast de verplichte 2FA introduceert WordPress.org ook zogenaamde SVN-wachtwoorden. Dit zijn speciale wachtwoorden voor het doorvoeren van wijzigingen.

Dit is een poging om een ​​nieuwe beveiligingslaag te introduceren door de code-committoegang van gebruikers te scheiden van hun WordPress.org-accountgegevens.

“Dit wachtwoord functioneert als een applicatie- of extra gebruikersaccountwachtwoord,” aldus het team. “Het beschermt je hoofdwachtwoord tegen blootstelling en stelt je in staat om eenvoudig SVN-toegang in te trekken zonder dat je je WordPress.org-referenties hoeft te wijzigen.”

WordPress.org merkte ook op dat technische beperkingen het toepassen van 2FA op bestaande codeopslagplaatsen onmogelijk maakten. Daarom is gekozen voor een “combinatie van tweefactorauthenticatie op accountniveau, SVN-wachtwoorden met hoge entropie en andere beveiligingsfuncties tijdens de implementatie (zoals releasebevestigingen).”

Deze maatregelen worden gezien als een manier om scenario’s tegen te gaan waarin kwaadwillenden de controle over een uitgeversaccount overnemen en zo schadelijke code in legitieme plug-ins en thema’s introduceren, wat kan leiden tot grootschalige aanvallen op de toeleveringsketen.

De onthulling volgt op een waarschuwing van Sucuri voor de lopende ClearFake-campagnes die gericht zijn op WordPress-sites. Deze campagnes proberen een informatiedief genaamd RedLine te verspreiden door sitebezoekers te misleiden tot het handmatig uitvoeren van PowerShell-code om een ​​probleem met de weergave van de webpagina op te lossen.

Er is ook waargenomen dat cybercriminelen geïnfecteerde PrestaShop-e-commercesites misbruiken om een ​​creditcardskimmer te installeren en zo financiële informatie te stelen die op betaalpagina’s wordt ingevoerd.

“Verouderde software is een primair doelwit voor aanvallers die kwetsbaarheden in oude plugins en thema’s misbruiken,” aldus beveiligingsonderzoeker Ben Martin. “Zwakke adminwachtwoorden zijn een gateway voor aanvallers.”

Gebruikers wordt aangeraden hun plug-ins en thema’s up-to-date te houden, een webapplicatiefirewall (WAF) te implementeren, beheerdersaccounts regelmatig te controleren en te controleren op ongeautoriseerde wijzigingen in websitebestanden.

Thijs Van der Does