WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro

Para reduzir o risco de acesso não autorizado, o WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro.

A partir de 1º de outubro, as contas do WordPress.org que podem enviar atualizações e alterações para plugins e temas serão obrigadas a ativar a autenticação de dois fatores (2FA) em suas contas.

WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro

WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro
WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro

Sim. O WordPress.org exigirá 2FA para desenvolvedores de plugins até outubro. A decisão faz parte do esforço da equipe de revisão de plugins da plataforma para reduzir o risco de acesso não autorizado, o que pode levar a ataques à cadeia de suprimentos.

“Contas com acesso de confirmação podem enviar atualizações e alterações para plugins e temas usados ​​por milhões de sites WordPress em todo o mundo”, diz o anúncio.

“Proteger essas contas é essencial para evitar acesso não autorizado e manter a segurança e a confiança da comunidade WordPress.org.”

O WordPress é um sistema de gerenciamento de conteúdo (CMS) de código aberto, ferramenta de blog e plataforma de publicação que ajuda os usuários a criar e gerenciar sites.

Os usuários têm acesso a uma ampla variedade de temas e plugins gratuitos e pagos que permitem personalizar a aparência e estender a funcionalidade de seus sites.

Um ator malicioso sequestrando a conta de um editor pode alterar o código em um tema ou plugin para incluir vulnerabilidades ou backdoors que permitiriam acesso privilegiado a sites que os utilizam.

2FA e senhas SVN

Para evitar tais riscos, o recurso de segurança 2FA precisa estar ativo em 1º de outubro para contas que têm acesso de confirmação na plataforma WordPress.org.

Os administradores de conta podem habilitar a configuração no menu de segurança de sua conta. Instruções passo a passo sobre como ativar o 2FA estão disponíveis aqui.

Além disso, o WordPress.org adicionou senhas específicas do SVN que separam o acesso para fazer alterações no código das credenciais da conta principal.

Os autores de plugins que usam scripts de implantação, como GitHub Actions, precisarão atualizar seus scripts para usar as novas senhas específicas do SVN. Verifique esta página para obter mais informações sobre o acesso ao Subversion (SVN).

A equipe observa que limitações técnicas impedem que a 2FA seja aplicada a repositórios de código existentes e optou por combinar “autenticação de dois fatores em nível de conta, senhas SVN de alta entropia e outros recursos de segurança em tempo de implantação”.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.