Desenvolvedores de plugins e temas para o WordPress.org foram informados de que será necessário ativar a autenticação em dois fatores (2FA) a partir de 1º de outubro.
A medida tem o objetivo de melhorar a segurança, ajudando a evitar que hackers tenham acesso às contas através das quais códigos maliciosos poderiam ser injetados nos códigos usados por milhões de sites que rodam a versão auto-hospedada do WordPress.
A ameaça representada por ataques à cadeia de suprimentos contra plugins e temas de terceiros do WordPress.org é considerável, já que cerca de 40% dos sites do mundo estão usando a edição de código aberto da plataforma WordPress como seu sistema de gerenciamento de conteúdo.
Uma das coisas que tornaram o WordPress tão popular para sites é sua capacidade de configuração e personalização – através de complementos (conhecidos como plugins) e temas.
No entanto, a popularidade do WordPress entre os desenvolvedores da web também tornou a plataforma um alvo para os atacantes. Se a conta de um desenvolvedor for comprometida com sucesso, uma atualização maliciosa pode ser enviada para incontáveis sites – o que poderia levar a hackers maliciosos inserindo backdoors para obter acesso remoto aos sistemas, assumir contas de administrador, roubar informações, espalhar spam ou injetar malware ou criptomineradores nas páginas da web.
O problema é agravado pelo fato de que a grande maioria dos administradores de sites é altamente improvável de verificar as atualizações de plugins e temas de terceiros do WordPress para códigos maliciosos, considerando-os provenientes de uma fonte confiável. De fato, muitos sites terão escolhido automaticamente implementar as atualizações sem qualquer interação manual.
“As contas com acesso de envio podem enviar atualizações e alterações para plugins e temas usados por milhões de sites do WordPress em todo o mundo,” disse o WordPress.org em um post do blog anunciando a introdução da 2FA obrigatória para os desenvolvedores de plugins e temas. “Proteger essas contas é essencial para prevenir acesso não autorizado e manter a segurança e a confiança da comunidade do WordPress.org.”
Reconhecendo a ameaça, o WordPress.org tem incentivado fervorosamente os autores de plugins e temas a habilitarem a 2FA em suas contas. Existem opções para adotar a 2FA através de um aplicativo autenticador ou via uma chave de hardware.
Uma vez habilitada, a 2FA significa que um hacker vai precisar de mais do que apenas um nome de usuário e senha para acessar uma conta. Eles vão precisar de um “fator” adicional (como uma chave ou um código único gerado por um aplicativo em seu smartphone) para obter acesso.
A autenticação de vários fatores não torna impossível invadir contas. Mas o que faz é tornar muito mais difícil comprometer contas, o que significa que um hacker precisará investir muito mais esforço se quiser ter alguma chance de sucesso.
Senhas sozinhas não são suficientes para proteger as contas online de ninguém. Adicione outra camada de proteção a todas as suas contas online que permitam, ativando a autenticação em dois fatores.
