WordPress.org telah mengumumkan tindakan keamanan akun baru yang akan mengharuskan akun dengan kemampuan untuk memperbarui plugin dan tema untuk mengaktifkan autentikasi dua faktor (2FA) secara wajib.
Pemberlakuan ini diharapkan mulai berlaku pada tanggal 1 Oktober 2024.
“Akun dengan akses komit dapat mengirimkan pembaruan dan perubahan ke plugin dan tema yang digunakan oleh jutaan situs WordPress di seluruh dunia,” kata pengelola versi sistem manajemen konten (CMS) sumber terbuka yang dihosting sendiri tersebut.
“Mengamankan akun-akun ini sangat penting untuk mencegah akses tidak sah dan menjaga keamanan dan kepercayaan komunitas WordPress.org.”
Selain mensyaratkan 2FA wajib, WordPress.org mengatakan pihaknya memperkenalkan apa yang disebut kata sandi SVN, yang merujuk pada kata sandi khusus untuk melakukan perubahan.
Ini, katanya, merupakan upaya untuk memperkenalkan lapisan keamanan baru dengan memisahkan akses komit kode pengguna dari kredensial akun WordPress.org mereka.
“Kata sandi ini berfungsi seperti kata sandi aplikasi atau akun pengguna tambahan,” kata tim tersebut. “Kata sandi ini melindungi kata sandi utama Anda dari kebocoran dan memungkinkan Anda mencabut akses SVN dengan mudah tanpa harus mengubah kredensial WordPress.org Anda.”
WordPress.org juga mencatat bahwa keterbatasan teknis telah mencegah penerapan 2FA pada repositori kode yang ada, sehingga memilih “kombinasi autentikasi dua faktor tingkat akun, kata sandi SVN entropi tinggi, dan fitur keamanan waktu penerapan lainnya (seperti Konfirmasi Rilis).”
Tindakan tersebut dilihat sebagai cara untuk melawan skenario di mana aktor jahat dapat menguasai akun penerbit, sehingga memasukkan kode jahat ke dalam plugin dan tema yang sah, sehingga mengakibatkan serangan rantai pasokan berskala besar.
Pengungkapan itu terjadi saat Sucuri memperingatkan adanya kampanye ClearFake yang sedang berlangsung yang menargetkan situs WordPress yang bertujuan mendistribusikan pencuri informasi bernama RedLine dengan menipu pengunjung situs agar menjalankan kode PowerShell secara manual untuk memperbaiki masalah saat merender halaman web.
Pelaku ancaman juga telah diamati memanfaatkan situs e-commerce PrestaShop yang terinfeksi untuk menyebarkan skimmer kartu kredit guna menyedot informasi keuangan yang dimasukkan pada halaman pembayaran.
“Perangkat lunak yang ketinggalan zaman merupakan target utama bagi para penyerang yang mengeksploitasi kerentanan pada plugin dan tema lama,” kata peneliti keamanan Ben Martin. “Kata sandi admin yang lemah merupakan pintu gerbang bagi para penyerang.”
Pengguna disarankan untuk selalu memperbarui plugin dan tema, menggunakan firewall aplikasi web (WAF), meninjau akun administrator secara berkala, dan memantau perubahan tidak sah pada file situs web.