Poprawia bezpieczeństwo twórców wtyczek w WordPress
Ta aktualizacja zabezpieczeń WordPress naprawia luki, które umożliwiały hakerom wykorzystywanie skradzionych haseł z innych naruszeń do odblokowania kont twórców, którzy używali tych samych danych uwierzytelniających i mieli „dostęp do zmian kodu w źródle”. Zamyka to lukę bezpieczeństwa w WordPress, która umożliwiała hakerom przejęcie kontroli nad wieloma wtyczkami od końca czerwca tego roku.
Podwójna warstwa bezpieczeństwa dla twórców
WordPress wprowadza dwie warstwy zabezpieczeń – jedną dla indywidualnych kont twórców i drugą dla dostępu do kodu. To oddziela poświadczenia bezpieczeństwa autora od środowiska wprowadzania zmian w kodzie.
1. Dwuskładnikowe uwierzytelnianie
Pierwsze ulepszenie to obowiązkowe dwuskładnikowe uwierzytelnianie dla wszystkich autorów wtyczek i motywów, które zostanie wprowadzone 1 października 2024 r. WordPress już teraz zachęca użytkowników do korzystania z dwuskładnikowego uwierzytelniania. Użytkownicy mogą także odwiedzić tę stronę, aby skonfigurować swoje dwuskładnikowe uwierzytelnianie.
2. Hasła SVN
WordPress ogłosił również, że rozpocznie używanie haseł SVN (Subversion) – dodatkowej warstwy zabezpieczeń uwierzytelniania twórców w ramach systemu kontroli wersji. SVN zapewnia, że tylko autoryzowane osoby mogą wprowadzać zmiany w kodzie, dodając drugą warstwę zabezpieczeń dla wtyczek i motywów.
Ogłoszenie WordPressa wyjaśnia:
„Wprowadziliśmy funkcję hasła SVN, aby oddzielić dostęp do wprowadzania zmian od danych uwierzytelniających konta głównego w WordPress.org. To hasło działa jak hasło aplikacji lub dodatkowego użytkownika. Chroni ono Twoje główne hasło przed ujawnieniem i umożliwia łatwe odwołanie dostępu do SVN bez konieczności zmiany danych uwierzytelniających w WordPress.org. Wygeneruj swoje hasło SVN w swoim profilu WordPress.org”.
WordPress zauważył, że ograniczenia techniczne uniemożliwiły im użycie dwuskładnikowego uwierzytelniania dla istniejących repozytoriów kodu, dlatego muszą korzystać z SVN.
Podsumowanie: Radykalne poprawienie bezpieczeństwa WordPressa
Te zmiany będą prowadzić do większego bezpieczeństwa całego ekosystemu WordPress i w znaczący sposób przyczynią się do zapewnienia, że wszystkie wtyczki i motywy są wiarygodne i nie zostały naruszone w kodzie źródłowym.
Przeczytaj ogłoszenie: Nadchodzące zmiany w zabezpieczeniach dla autorów wtyczek i motywów na WordPress.org
Ilustracja główna ze strony Shutterstock/Cast Of Thousands