
WordPress ha tomado medidas significativas para combatir los ataques a la cadena de suministro deteniendo las actualizaciones de plugins y restableciendo las contraseñas.
WordPress enfrenta ataques a plugins con acciones decisivas
Durante el fin de semana, WordPress anunció que estaban deteniendo las actualizaciones de plugins e iniciando un restablecimiento forzado de las contraseñas de los autores de plugins para evitar compromisos adicionales en los sitios web debido al ataque en curso a la cadena de suministro de los plugins de WordPress.
Entendiendo el ataque a la cadena de suministro
Los hackers han estado atacando directamente a los plugins usando credenciales de contraseñas expuestas en brechas de datos previas (no relacionadas con WordPress en sí). Los hackers buscan credenciales comprometidas usadas por autores de plugins que utilizan las mismas contraseñas en múltiples sitios web.
Estas contraseñas expuestas en brechas anteriores permiten a los hackers infiltrarse en los plugins desde su origen, poniendo en riesgo la seguridad de muchos sitios web que utilizan WordPress.
WordPress toma medidas para bloquear ataques
Algunos plugins ya han sido comprometidos, pero la comunidad de WordPress se ha unido para evitar más compromisos instituyendo un restablecimiento forzado de contraseñas y alentando a los autores de plugins a utilizar la autenticación de dos factores.
Además, WordPress bloqueó temporalmente todas las nuevas actualizaciones de plugins en la fuente a menos que recibieran la aprobación del equipo para asegurarse de que un plugin no se actualice con puertas traseras maliciosas.
Anuncio de WordPress sobre el restablecimiento forzado de contraseñas
WordPress informó:
“Hemos comenzado a restablecer forzosamente las contraseñas de todos los autores de plugins, así como de otros usuarios cuya información fue encontrada por investigadores de seguridad en brechas de datos. Esto afectará la capacidad de algunos usuarios para interactuar con WordPress.org o realizar commits hasta que su contraseña sea restablecida.
Recibirás un correo electrónico del Directorio de Plugins cuando sea el momento de restablecer tu contraseña. No es necesario tomar ninguna acción antes de ser notificado.”
En la sección de comentarios, un miembro de la comunidad de WordPress y el autor del anuncio revelaron que WordPress no contactó directamente a los autores de plugins que fueron identificados como usuarios de contraseñas «recicladas» porque había evidencia de que la lista de usuarios encontrada en la brecha de datos contenía credenciales que en realidad eran seguras (falsos positivos).
Desafíos y soluciones en la seguridad de WordPress
Francisco Torres de WordPress explicó:
“Tienes razón en que contactar específicamente a esos individuos mencionando que sus datos han sido encontrados en brechas de datos los hará más sensibles, pero desafortunadamente, como ya he mencionado, eso podría ser inexacto para algunos usuarios y habrá otros que faltarán. Lo que hemos hecho desde el comienzo de este problema es notificar individualmente a aquellos usuarios de los que estamos seguros que han sido comprometidos.”
WordPress está trabajando diligentemente para asegurar que los plugins en su plataforma sean seguros y que los usuarios estén protegidos contra futuros ataques. El restablecimiento de contraseñas y la implementación de autenticación de dos factores son pasos cruciales en esta dirección.
Con estas medidas, WordPress demuestra su compromiso con la seguridad de su comunidad y la integridad de los sitios web que dependen de sus plugins.
Fuente: https://www.searchenginejournal.com/wordpress-takes-bite-out-of-plugin-attacks/521167/