WordPress anunció durante el fin de semana que pausaría las actualizaciones de los complementos e iniciaría un restablecimiento forzado de las contraseñas de los autores de los complementos para evitar compromisos adicionales del sitio net debido al continuo ataque de la cadena de suministro a los complementos de WordPress.
Ataque a la cadena de suministro
Los piratas informáticos han estado atacando complementos directamente en la fuente utilizando credenciales de contraseña expuestas en violaciones de datos anteriores (no relacionadas con WordPress en sí). Los piratas informáticos están buscando credenciales comprometidas utilizadas por autores de complementos que usan las mismas contraseñas en varios sitios net (incluidas las contraseñas expuestas en una violación de datos anterior).
WordPress toma medidas para bloquear ataques
Algunos complementos se han visto comprometidos por la comunidad de WordPress, que se ha unido para tomar medidas enérgicas contra futuros compromisos de complementos instituyendo un restablecimiento de contraseña forzado y alentando a los autores de complementos a utilizar la autenticación de dos factores.
WordPress también bloqueó temporalmente todas las actualizaciones de complementos nuevos en la fuente a menos que recibieran la aprobación del equipo para asegurarse de que un complemento no se esté actualizando con puertas traseras maliciosas. El lunes, WordPress actualizó su publicación para confirmar que los lanzamientos de complementos ya no están en pausa.
El anuncio de WordPress sobre el restablecimiento forzado de contraseña:
“Hemos comenzado a forzar el restablecimiento de contraseñas para todos los autores de complementos, así como para otros usuarios cuya información fue encontrada por investigadores de seguridad en violaciones de datos. Esto afectará la capacidad de algunos usuarios de interactuar con WordPress.org o realizar confirmaciones hasta que se restablezca su contraseña.
Recibirá un correo electrónico del directorio de complementos cuando sea el momento de restablecer su contraseña. No es necesario que haga nada antes de recibir la notificación”.
A Discusión en los comentarios La sección entre un miembro de la comunidad de WordPress y el autor del anuncio reveló que WordPress no se comunicó directamente con los autores de complementos que fueron identificados como usuarios de contraseñas “recicladas” porque había evidencia de que la lista de usuarios que se encontró en la lista de violación de datos cuyas credenciales eran de hecho seguras (falsos positivos). WordPress también descubrió que algunas cuentas que se suponía que eran seguras estaban de hecho comprometidas (falsos negativos). Eso es lo que llevó a la acción precise de forzar el restablecimiento de contraseñas.
Francisco Torres de WordPress contestada:
“Tienes razón en que comunicarnos específicamente con aquellas personas que mencionan que sus datos han sido encontrados en violaciones de datos los hará aún más sensibles, pero desafortunadamente, como ya mencioné, eso podría ser inexacto para algunos usuarios y habrá otros que no estén disponibles. Lo que hemos hecho desde el comienzo de este problema es notificar individualmente a aquellos usuarios que estamos seguros de que han sido comprometidos”.
Lea el anuncio oficial de WordPress:
Se requiere restablecimiento de contraseña para los autores de complementos
Imagen destacada de Shutterstock/Aleutie