Από την 1η Οκτωβρίου, οι λογαριασμοί WordPress.org που μπορούν να προωθήσουν ενημερώσεις και αλλαγές σε προσθήκες και θέματα θα απαιτούνται για να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA) στους λογαριασμούς τους.
Η απόφαση αποτελεί μέρος της προσπάθειας της ομάδας ελέγχου προσθηκών της πλατφόρμας για τη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης, η οποία θα μπορούσε να οδηγήσει σε επιθέσεις στην αλυσίδα εφοδιασμού.
“Οι λογαριασμοί με πρόσβαση δέσμευσης μπορούν να ωθήσουν ενημερώσεις και αλλαγές σε προσθήκες και θέματα που χρησιμοποιούνται από εκατομμύρια ιστότοπους WordPress σε όλο τον κόσμο.” γράφει η ανακοίνωση.
“Η ασφάλεια αυτών των λογαριασμών είναι απαραίτητη για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και τη διατήρηση της ασφάλειας και της εμπιστοσύνης της κοινότητας WordPress.org.”
Το WordPress είναι ένα ανοιχτού κώδικα σύστημα διαχείρισης περιεχομένου (CMS), εργαλείο ιστολογίου και πλατφόρμα δημοσίευσης που βοηθά τους χρήστες να δημιουργούν και να διαχειρίζονται ιστότοπους.
Οι χρήστες έχουν πρόσβαση σε μια μεγάλη ποικιλία από δωρεάν και επί πληρωμή θέματα και πρόσθετα που επιτρέπουν την προσαρμογή της εμφάνισης και την επέκταση της λειτουργικότητας των ιστότοπών τους.
Ένας κακόβουλος παράγοντας που κλέβει τον λογαριασμό ενός εκδότη θα μπορούσε να αλλάξει τον κώδικα σε ένα θέμα ή μια προσθήκη ώστε να περιλαμβάνει ευπάθειες ή κερκόπορτες που θα επέτρεπαν προνομιακή πρόσβαση σε ιστότοπους που τις χρησιμοποιούν.
2 κωδικοί πρόσβασης FA και SVN
Για την αποφυγή τέτοιων κινδύνων, η λειτουργία ασφαλείας 2FA πρέπει να είναι ενεργή την 1η Οκτωβρίου για λογαριασμούς που έχουν πρόσβαση δέσμευσης στην πλατφόρμα WordPress.org. Οι διαχειριστές λογαριασμού μπορούν να ενεργοποιήσουν τη ρύθμιση από το μενού ασφαλείας του λογαριασμού τους. Οι οδηγίες βήμα προς βήμα για την ενεργοποίηση του 2FA είναι διαθέσιμο εδώ.
Επιπλέον, το WordPress.org έχει προσθέσει κωδικούς πρόσβασης ειδικά για SVN που διαχωρίζουν την πρόσβαση για την πραγματοποίηση αλλαγών κώδικα από τα κύρια διαπιστευτήρια λογαριασμού.
Οι συντάκτες προσθηκών που χρησιμοποιούν σενάρια ανάπτυξης, όπως το GitHub Actions, θα πρέπει να ενημερώσουν τα σενάρια τους για να χρησιμοποιήσουν τους νέους κωδικούς πρόσβασης ειδικά για το SVN. Ελέγξτε αυτή τη σελίδα για περισσότερες πληροφορίες σχετικά με την πρόσβαση στο Subversion (SVN).
Η ομάδα σημειώνει ότι οι τεχνικοί περιορισμοί εμποδίζουν την εφαρμογή του 2FA σε υπάρχοντα αποθετήρια κώδικα και επέλεξε να συνδυάσει “επαλήθευση ταυτότητας δύο παραγόντων σε επίπεδο λογαριασμού, κωδικούς πρόσβασης SVN υψηλής εντροπίας και άλλα χαρακτηριστικά ασφαλείας χρόνου ανάπτυξης”.
VIA: bleepingcomputer.com