13.09.2024 | WordPress объявляет войну хакерам: 2FA и SVN-пароли станут обязательными |
WordPress с 1 октября 2024 года вводит новое обязательное требование для аккаунтов с доступом к обновлениям плагинов и тем — включение двухфакторной аутентификации ( 2FA ). Этот шаг направлен на усиление безопасности и предотвращение несанкционированного доступа. По словам представителей WordPress, такие аккаунты имеют возможность вносить изменения в плагины и темы, которые используются миллионами сайтов по всему миру, поэтому их защита является приоритетом для сохранения безопасности и доверия сообщества. Кроме обязательного 2FA, WordPress.org представил новую функцию — пароли SVN. Это отдельные пароли для внесения изменений в код, которые позволяют отделить доступ к репозиториям от основных учётных данных пользователей. По сути, это дополнительный уровень безопасности, который снижает риск утечки основного пароля и даёт возможность легко отозвать доступ к SVN без изменения учётных данных. Технические ограничения не позволяют внедрить 2FA для существующих кодовых репозиториев, поэтому было решено использовать комбинацию двухфакторной аутентификации на уровне аккаунта, паролей SVN с высокой стойкостью и других мер безопасности, включая подтверждение релизов. Эти меры направлены на предотвращение атак, при которых злоумышленники могут получить доступ к учётной записи разработчика и внедрить вредоносный код в плагины и темы, что может привести к крупномасштабным атакам на цепочку поставок. Основным риском, который может возникнуть с введением обязательной двухфакторной аутентификации, является возможное неудобство для разработчиков. Некоторые пользователи могут столкнуться с трудностями при настройке 2FA, что может замедлить их работу или привести к временной потере доступа к своим учётным записям. Кроме того, внедрение новой системы паролей SVN требует адаптации, что может вызвать дополнительные вопросы у разработчиков, привыкших к стандартным методам аутентификации. Однако в долгосрочной перспективе эти меры должны значительно улучшить общую безопасность экосистемы WordPress. По сути, негативные последствия могут быть связаны лишь с временными неудобствами, тогда как польза от повышенной защиты аккаунтов и предотвращения атак на цепочки поставок плагинов и тем очевидна. Объявление было сделано на фоне недавних предупреждений компании Sucuri о продолжающейся вредоносной кампании ClearFake, направленной на WordPress-сайты. Злоумышленники распространяют вредоносное ПО RedLine, заставляя пользователей вручную запускать PowerShell для «устранения проблем» с отображением страниц. Кроме того, киберпреступники используют заражённые сайты PrestaShop для кражи данных кредитных карт на страницах оплаты. Как отметил исследователь Sucuri Бен Мартин, устаревшее программное обеспечение и слабые пароли администраторов часто становятся целью для атак. Чтобы снизить риски, рекомендуется регулярно обновлять плагины и темы, использовать файрволлы для веб-приложений (WAF), проверять учётные записи администраторов и отслеживать изменения файлов сайта. |
Проверить безопасность сайта