WordPress.org, eklenti ve temaları güncelleme olanağına sahip hesapların iki faktörlü kimlik doğrulamayı (2FA) zorunlu olarak etkinleştirmesini gerektirecek yeni bir hesap güvenliği önlemi duyurdu.
Uygulamanın 1 Ekim 2024’ten itibaren yürürlüğe girmesi bekleniyor.
İçerik yönetim sisteminin (CMS) açık kaynaklı, kendi kendine barındırılan sürümünün yöneticileri, “Komutlama erişimine sahip hesaplar, dünya çapında milyonlarca WordPress sitesi tarafından kullanılan eklentiler ve temalarda güncelleme ve değişiklikler yapabilir” dedi.
“Bu hesapların güvenliğini sağlamak, yetkisiz erişimi engellemek ve WordPress.org topluluğunun güvenliğini ve güvenini sağlamak için önemlidir.”
WordPress.org, zorunlu 2FA’yı zorunlu kılmanın yanı sıra, değişiklikleri kaydetmek için özel bir parola anlamına gelen SVN parolalarını da tanıttığını duyurdu.
Bunun, kullanıcıların kod ekleme erişimini WordPress.org hesap kimlik bilgilerinden ayırarak yeni bir güvenlik katmanı sunma çabası olduğu belirtildi.
“Bu parola bir uygulama veya ek kullanıcı hesabı parolası gibi işlev görür,” dedi ekip. “Ana parolanızı ifşa olmaktan korur ve WordPress.org kimlik bilgilerinizi değiştirmek zorunda kalmadan SVN erişimini kolayca iptal etmenizi sağlar.”
WordPress.org ayrıca, teknik sınırlamaların 2FA’nın mevcut kod depolarına uygulanmasını engellediğini ve bunun sonucunda “hesap düzeyinde iki faktörlü kimlik doğrulama, yüksek entropili SVN parolaları ve diğer dağıtım zamanı güvenlik özelliklerinin (Yayın Onayları gibi) bir kombinasyonunu” seçtiğini belirtti.
Bu önlemlerin, kötü niyetli bir aktörün bir yayıncının hesabını ele geçirerek meşru eklentilere ve temalara kötü amaçlı kod sokması ve bunun sonucunda büyük ölçekli tedarik zinciri saldırılarına yol açması senaryolarına karşı bir yol olarak görüldüğü belirtiliyor.
Açıklama, Sucuri’nin WordPress sitelerini hedef alan ve web sayfasının oluşturulmasında yaşanan bir sorunu gidermek için site ziyaretçilerini PowerShell kodunu manuel olarak çalıştırmaya kandırarak RedLine adlı bir bilgi hırsızlığını dağıtmayı amaçlayan devam eden ClearFake kampanyaları konusunda uyarmasının ardından geldi.
Tehdit aktörlerinin ayrıca, ödeme sayfalarında girilen finansal bilgileri çalmak için enfekte PrestaShop e-ticaret sitelerinde kredi kartı kopyalama yazılımı kullandıkları da gözlemlendi.
Güvenlik araştırmacısı Ben Martin, “Güncel olmayan yazılımlar, eski eklentiler ve temalardaki güvenlik açıklarını kullanan saldırganlar için birincil hedeftir,” dedi. “Zayıf yönetici parolaları, saldırganlar için bir geçittir.”
Kullanıcıların eklentilerini ve temalarını güncel tutmaları, bir web uygulama güvenlik duvarı (WAF) dağıtmaları, yönetici hesaplarını düzenli olarak incelemeleri ve web sitesi dosyalarında yetkisiz değişiklikleri izlemeleri önerilir.