WordPress anunció una importante medida drástica para proteger su ecosistema de temas y complementos de la inseguridad de las contraseñas. Estas mejoras siguen a una serie de ataques en junio que comprometieron varios complementos en el origen.

Mejora la seguridad del desarrollador de complementos

Esta actualización de seguridad de WordPress corrige una falla que permitía a los piratas informáticos usar contraseñas comprometidas de otras infracciones para desbloquear cuentas de desarrolladores que usaban las mismas credenciales y tenían “acceso de confirmación”, lo que les permitía realizar cambios en el código del complemento directamente en la fuente. Esto cierra una brecha de seguridad de WordPress que permitió a los piratas informáticos comprometer múltiples complementos a partir de finales de junio de este año.

Doble capa de seguridad para desarrolladores

WordPress está introduciendo dos capas de seguridad, una en la cuenta de desarrollador individual y una segunda en el acceso de confirmación del código. Esto separa las credenciales de seguridad del autor del entorno de confirmación del código.

1. Autorización de dos factores

La primera mejora de la seguridad es la imposición de una autorización obligatoria de dos factores para todos los autores de complementos y temas que se aplicará a partir del 1 de octubre de 2024. WordPress ya está solicitando a los usuarios que utilicen 2FA. Los usuarios también pueden visitar esta página para configurar su autorización de dos factores.

2. Contraseñas SVN

WordPress también anunció que comenzará a usar contraseñas SVN (Subversion), una capa adicional de seguridad para autenticar a los desarrolladores como parte de un sistema de control de versiones. SVN garantiza que sólo las personas autorizadas puedan realizar cambios en el código, añadiendo una segunda capa de seguridad a los complementos y temas.

El anuncio de WordPress explica:

“Hemos introducido una función de contraseña SVN para separar su acceso de confirmación de las credenciales de su cuenta principal de WordPress.org. Esta contraseña funciona como una aplicación o una contraseña de cuenta de usuario adicional. Protege su contraseña principal de la exposición y le permite revocar fácilmente el acceso SVN sin tener que cambiar sus credenciales de WordPress.org. Genera tu contraseña SVN en tu perfil de WordPress.org”.

WordPress señaló que las limitaciones técnicas les impedían usar 2FA en los repositorios de código existentes, por lo que les exigían usar SVN en su lugar.

Conclusión: seguridad de WordPress enormemente mejorada

Estos cambios darán como resultado una mayor seguridad para todo el ecosistema de WordPress y contribuirán enormemente a garantizar que todos los complementos y temas sean confiables y no estén comprometidos en la fuente.

Leer el anuncio

Próximos cambios de seguridad para autores de complementos y temas en WordPress.org

Imagen destacada de Shutterstock/Cast Of Thousands