WordPress anunció durante el fin de semana que pausarían las actualizaciones de los complementos e iniciarían un restablecimiento forzado de las contraseñas de los autores de los complementos para evitar compromisos adicionales del sitio web debido al actual ataque a la cadena de suministro de los complementos de WordPress.

Ataque a la cadena de suministro

Los piratas informáticos han estado atacando complementos directamente en la fuente utilizando credenciales de contraseña expuestas en filtraciones de datos anteriores (no relacionadas con el propio WordPress). Los piratas informáticos buscan credenciales comprometidas utilizadas por autores de complementos que utilizan las mismas contraseñas en varios sitios web (incluidas contraseñas expuestas en una violación de datos anterior).

WordPress toma medidas para bloquear ataques

Algunos complementos han sido comprometidos por la comunidad de WordPress que se ha unido para tomar medidas drásticas contra otros compromisos de complementos instituyendo un restablecimiento forzado de contraseña y alentando a los autores de complementos a utilizar autenticación de 2 factores.

WordPress también bloqueó temporalmente todas las actualizaciones de complementos nuevos en la fuente a menos que recibieran la aprobación del equipo para asegurarse de que un complemento no se actualice con puertas traseras maliciosas. El lunes, WordPress actualizó su publicación para confirmar que los lanzamientos de complementos ya no están en pausa.

El anuncio de WordPress sobre el restablecimiento forzado de contraseña:

“Hemos comenzado a forzar el restablecimiento de contraseñas para todos los autores de complementos, así como para otros usuarios cuya información fue encontrada por investigadores de seguridad en violaciones de datos. Esto afectará la capacidad de algunos usuarios para interactuar con WordPress.org o realizar confirmaciones hasta que se restablezca su contraseña.

Recibirá un correo electrónico del Directorio de complementos cuando llegue el momento de restablecer su contraseña. No es necesario tomar medidas antes de recibir la notificación”.

Una discusión en la sección de comentarios entre un miembro de la comunidad de WordPress y el autor del anuncio reveló que WordPress no contactó directamente a los autores de complementos que fueron identificados por usar contraseñas “recicladas” porque había evidencia de que la lista de usuarios encontrada en la lista de violación de datos cuyas credenciales eran de hecho seguras (falsos positivos). WordPress también descubrió que algunas cuentas que se suponía que eran seguras estaban en realidad comprometidas (falsos negativos). Eso es lo que llevó a la acción actual de forzar el restablecimiento de contraseñas.

Francisco Torres de WordPress respondió:

“Tiene razón en que comunicarse específicamente con aquellas personas que mencionan que sus datos se han encontrado en violaciones de datos los hará aún más sensibles, pero desafortunadamente, como ya mencioné, eso podría ser inexacto para algunos usuarios y habrá otros que están perdidos. Lo que hemos hecho desde el comienzo de este problema es notificar individualmente a aquellos usuarios que estamos seguros de que han sido comprometidos”.

Lea el anuncio oficial de WordPress:

Se requiere restablecer la contraseña para los autores de complementos