WordPress обяви мащабна мярка за защита на своята екосистема от теми и плъгини от несигурност на паролите. Тези подобрения следват вълната от атаки през юни, които компрометираха множество плъгини при източника.
Подобряване на сигурността на разработчиците на плъгини
Тази актуализация на сигурността на WordPress отстранява недостатък, който позволява на хакерите да използват компрометирани пароли от други пробиви, за да достъпят акаунти на разработчици, които използват същите идентификационни данни и имат „commit access“, позволяващ им да правят промени в кода на плъгина при източника. По този начин се затваря пропуск в сигурността на WordPress, който позволи на хакерите да компрометират множество плъгини от края на юни тази година.
Двоен слой за сигурност на разработчиците
WordPress въвежда две нива на сигурност – едно за индивидуалния акаунт на разработчика и второ за достъпа до предаването на кода. По този начин се отделят данните за сигурност на автора от средата за предаване на кода.
1. Двуфакторна оторизация
Първото подобрение на сигурността е налагането на задължителна двуфакторна оторизация за всички автори на плъгини и теми, която ще се прилага от 1 октомври 2024 г. WordPress вече подканя потребителите да използват 2FA. Потребителите могат също така да посетят тази страница, за да конфигурират своята двуфакторна оторизация.
2. Пароли за SVN
WordPress също така обяви, че ще започне да използва пароли SVN (Subversion) – допълнително ниво на сигурност за удостоверяване на разработчиците като част от система за контрол на версиите. SVN гарантира, че само упълномощени лица могат да правят промени в кода, като добавя второ ниво на сигурност към плъгините и темите.
В съобщението на WordPress се обяснява:
„Въведохме функция за парола за SVN, за да отделим достъпа ви до предаването на кода от основните Ви данни за акаунта в WordPress.org. Тази парола функционира като парола за приложение или допълнителен потребителски акаунт. Тя предпазва основната ви парола от разкриване и ви позволява лесно да отменяте достъпа до SVN, без да се налага да променяте идентификационните си данни в WordPress.org. Генерирайте паролата си за SVN в профила си в WordPress.org.“
От WordPress отбелязаха, че техническите ограничения им пречат да използват 2FA за съществуващите хранилища на код, което налага вместо това да използват SVN.
Извод: Значително подобрена сигурност на WordPress
Тези промени ще доведат до по-голяма сигурност за цялата екосистема на WordPress и ще допринесат значително за гарантиране, че всички плъгини и теми са надеждни и не са компрометирани при източника.