WordPress.org hat eine neue Sicherheitsmaßnahme für Konten angekündigt, die von Konten mit der Berechtigung zur Aktualisierung von Plugins und Themes die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) vorschreibt.
Die Durchsetzung dieser Maßnahme wird voraussichtlich ab dem 1. Oktober 2024 erfolgen.
„Konten mit Commit-Zugriff können Updates und Änderungen an Plugins und Themes veröffentlichen, die von Millionen von WordPress-Sites weltweit genutzt werden“, so die Betreuer der quelloffenen, selbstgehosteten Version des Content-Management-Systems (CMS).
„Die Sicherung dieser Konten ist unerlässlich, um unbefugten Zugriff zu verhindern und die Sicherheit und das Vertrauen der WordPress.org-Community zu gewährleisten.“
Neben der obligatorischen 2FA führt WordPress.org nach eigenen Angaben sogenannte SVN-Passwörter ein, d. h. ein eigenes Passwort für das Einreichen von Änderungen.
Dies sei ein Versuch, eine neue Sicherheitsebene einzuführen, indem der Zugriff der Benutzer auf Code-Commits von ihren WordPress.org-Kontodaten getrennt werde.
„Dieses Passwort funktioniert wie ein Anwendungs- oder zusätzliches Benutzerkontopasswort“, so das Team. „Es schützt Ihr Hauptpasswort vor dem Zugriff durch Unbefugte und ermöglicht es Ihnen, den SVN-Zugriff einfach zu widerrufen, ohne Ihre WordPress.org-Anmeldedaten ändern zu müssen.“
WordPress.org wies auch darauf hin, dass technische Einschränkungen die Anwendung von 2FA auf bestehende Code-Repositorys verhindert haben, weshalb man sich für eine „Kombination aus Zwei-Faktor-Authentifizierung auf Kontoebene, hochentropischen SVN-Passwörtern und anderen Sicherheitsfunktionen zur Bereitstellungszeit (wie z. B. Release-Bestätigungen)“ entschieden habe.
Die Maßnahmen werden als ein Weg gesehen, Szenarien entgegenzuwirken, in denen sich ein böswilliger Akteur die Kontrolle über das Konto eines Herausgebers verschaffen und so bösartigen Code in legitime Plugins und Themes einschleusen könnte, was zu groß angelegten Lieferkettenangriffen führen würde.
Die Enthüllung erfolgt, während Sucuri vor laufenden ClearFake-Kampagnen warnt, die auf WordPress-Sites abzielen und darauf abzielen, einen Informationsdieb namens RedLine zu verbreiten, indem Website-Besucher dazu gebracht werden, manuell PowerShell-Code auszuführen, um ein Problem mit der Darstellung der Webseite zu beheben.
Es wurde auch beobachtet, dass Bedrohungsakteure infizierte PrestaShop E-Commerce-Sites nutzen, um einen Kreditkartenskimmer zu installieren, der auf den Checkout-Seiten eingegebene Finanzinformationen abzweigt.
„Veraltete Software ist ein Hauptziel für Angreifer, die Schwachstellen in alten Plugins und Themes ausnutzen“, so der Sicherheitsforscher Ben Martin. „Schwache Admin-Passwörter sind ein Einfallstor für Angreifer.“
Benutzern wird empfohlen, ihre Plugins und Themes auf dem neuesten Stand zu halten, eine Web Application Firewall (WAF) einzusetzen, regelmäßig die Administratorkonten zu überprüfen und auf unbefugte Änderungen an den Website-Dateien zu achten.
