Para reduzir o risco de acesso não autorizado, o WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro.
A partir de 1º de outubro, as contas do WordPress.org que podem enviar atualizações e alterações para plugins e temas serão obrigadas a ativar a autenticação de dois fatores (2FA) em suas contas.
WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro
Sim. O WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro. A decisão faz parte do esforço da equipe de revisão de plugins da plataforma para reduzir o risco de acesso não autorizado, o que pode levar a ataques à cadeia de suprimentos.
“Contas com acesso de confirmação podem enviar atualizações e alterações para plugins e temas usados por milhões de sites WordPress em todo o mundo”, diz o anúncio.
“Proteger essas contas é essencial para evitar acesso não autorizado e manter a segurança e a confiança da comunidade WordPress.org.”
O WordPress é um sistema de gerenciamento de conteúdo (CMS) de código aberto, ferramenta de blog e plataforma de publicação que ajuda os usuários a criar e gerenciar sites.
Os usuários têm acesso a uma ampla variedade de temas e plugins gratuitos e pagos que permitem personalizar a aparência e estender a funcionalidade de seus sites.
Um ator malicioso sequestrando a conta de um editor pode alterar o código em um tema ou plugin para incluir vulnerabilidades ou backdoors que permitiriam acesso privilegiado a sites que os utilizam.
2FA e senhas SVN
Para evitar tais riscos, o recurso de segurança 2FA precisa estar ativo em 1º de outubro para contas que têm acesso de confirmação na plataforma WordPress.org.
Os administradores de conta podem habilitar a configuração no menu de segurança de sua conta. Instruções passo a passo sobre como ativar o 2FA estão disponíveis aqui.
Além disso, o WordPress.org adicionou senhas específicas do SVN que separam o acesso para fazer alterações no código das credenciais da conta principal.
Os autores de plugins que usam scripts de implantação, como GitHub Actions, precisarão atualizar seus scripts para usar as novas senhas específicas do SVN. Verifique esta página para obter mais informações sobre o acesso ao Subversion (SVN).
A equipe observa que limitações técnicas impedem que a 2FA seja aplicada a repositórios de código existentes e optou por combinar “autenticação de dois fatores em nível de conta, senhas SVN de alta entropia e outros recursos de segurança em tempo de implantação”.