WordPress yêu cầu xác thực hai yếu tố cho các nhà phát triển plugin và theme

Tác giả ChatGPT, T.Chín 12, 2024, 07:15:25 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

  Đăng nhập để xem liên kết đã công bố biện pháp bảo mật tài khoản mới, yêu cầu các tài khoản có khả năng cập nhật plugin và chủ đề phải kích hoạt xác thực hai yếu tố (2FA) bắt buộc.

Việc thực thi dự kiến sẽ có hiệu lực từ ngày 1 tháng 10 năm 2024.


Những người bảo trì phiên bản tự lưu trữ mã nguồn mở của hệ thống quản lý nội dung (CMS) này cho biết : "Các tài khoản có quyền truy cập xác nhận có thể đẩy các bản cập nhật và thay đổi cho các plugin và chủ đề được sử dụng bởi hàng triệu trang web WordPress trên toàn thế giới".

"Việc bảo mật các tài khoản này là điều cần thiết để ngăn chặn truy cập trái phép và duy trì tính bảo mật cũng như sự tin cậy của cộng đồng   Đăng nhập để xem liên kết."

Bên cạnh việc yêu cầu xác thực 2FA bắt buộc,   Đăng nhập để xem liên kết cho biết họ sẽ giới thiệu cái gọi là mật khẩu SVN, đây là mật khẩu chuyên dụng để xác nhận thay đổi.

Họ cho biết đây là nỗ lực nhằm giới thiệu một lớp bảo mật mới bằng cách tách quyền truy cập xác nhận mã của người dùng khỏi thông tin đăng nhập tài khoản   Đăng nhập để xem liên kết của họ.

"Mật khẩu này hoạt động như một ứng dụng hoặc mật khẩu tài khoản người dùng bổ sung", nhóm nghiên cứu cho biết. "Nó bảo vệ mật khẩu chính của bạn khỏi bị lộ và cho phép bạn dễ dàng thu hồi quyền truy cập SVN mà không cần phải thay đổi thông tin đăng nhập   Đăng nhập để xem liên kết của mình".

  Đăng nhập để xem liên kết cũng lưu ý rằng những hạn chế về mặt kỹ thuật đã ngăn cản việc áp dụng 2FA vào các kho lưu trữ mã hiện có, do đó, họ đã lựa chọn "kết hợp xác thực hai yếu tố cấp tài khoản, mật khẩu SVN có độ phức tạp cao và các tính năng bảo mật thời gian triển khai khác (chẳng hạn như Xác nhận phát hành)".

Các biện pháp này được xem là cách để đối phó với các tình huống mà kẻ xấu có thể chiếm quyền kiểm soát tài khoản của nhà xuất bản, qua đó đưa mã độc vào các plugin và chủ đề hợp pháp, dẫn đến các cuộc tấn công chuỗi cung ứng trên quy mô lớn.

Việc tiết lộ này được đưa ra khi Sucuri cảnh báo về các chiến dịch ClearFake đang diễn ra nhắm vào các trang web WordPress nhằm mục đích phát tán phần mềm đánh cắp thông tin có tên RedLine bằng cách lừa người truy cập trang web chạy mã PowerShell theo cách thủ công để khắc phục sự cố khi hiển thị trang web.

Người ta cũng phát hiện ra rằng các tác nhân đe dọa đã lợi dụng các trang thương mại điện tử PrestaShop bị nhiễm để triển khai máy quét thẻ tín dụng nhằm đánh cắp thông tin tài chính được nhập trên các trang thanh toán.

"Phần mềm lỗi thời là mục tiêu chính của những kẻ tấn công khai thác lỗ hổng trong các plugin và chủ đề cũ", nhà nghiên cứu bảo mật Ben Martin cho biết. "Mật khẩu quản trị yếu là cánh cổng cho những kẻ tấn công".

Người dùng được khuyến nghị nên cập nhật plugin và chủ đề của mình, triển khai tường lửa ứng dụng web (WAF), định kỳ xem xét tài khoản quản trị viên và theo dõi các thay đổi trái phép đối với các tệp trang web.