WordPress только что заблокировал безопасность для всех плагинов и тем • Продвижение Web 2.0

WordPress объявил о серьезном ужесточении мер по защите экосистемы своих тем и плагинов от ненадежности паролей. Эти улучшения последовали за серией атак в июне, которые скомпрометировали несколько плагинов в источнике.

Содержание

1 Повышает безопасность разработчиков плагинов
2 Двойной уровень безопасности разработчика
- 2.1 1. Двухфакторная авторизация
- 2.2 2. Пароли SVN
3 Вывод: значительно улучшенная безопасность WordPress

Повышает безопасность разработчиков плагинов

Это обновление безопасности WordPress устраняет уязвимость, которая позволяла хакерам использовать скомпрометированные пароли из других нарушений, чтобы разблокировать учетные записи разработчиков, которые использовали те же учетные данные и имели «доступ для фиксации», позволяющий им вносить изменения в код плагина прямо в источнике. Это закрывает брешь в безопасности WordPress, которая позволяла хакерам скомпрометировать несколько плагинов, начиная с конца июня этого года.

Двойной уровень безопасности разработчика

WordPress вводит два уровня безопасности: один для индивидуальной учетной записи разработчика и второй для доступа к коммиту кода. Это отделяет учетные данные безопасности автора от среды коммита кода.

1. Двухфакторная авторизация

Первым улучшением безопасности является введение обязательной двухфакторной авторизации для всех авторов плагинов и тем, которая будет применяться с 1 октября 2024 года. WordPress уже предлагает пользователям использовать 2FA. Пользователи также могут посетить эта страница для настройки двухфакторной авторизации.

2. Пароли SVN

WordPress также объявил, что начнет использовать пароли SVN (Subversion), дополнительный уровень безопасности для аутентификации разработчиков как часть системы контроля версий. SVN гарантирует, что только авторизованные лица могут вносить изменения в код, добавляя второй уровень безопасности плагинам и темам.

В объявлении WordPress поясняется:

«Мы ввели функцию пароля SVN, чтобы отделить ваш доступ к фиксации от ваших основных учетных данных WordPress.org. Этот пароль функционирует как пароль приложения или дополнительного пользовательского аккаунта. Он защищает ваш основной пароль от раскрытия и позволяет вам легко отозвать доступ SVN без необходимости менять ваши учетные данные WordPress.org. Сгенерируйте свой пароль SVN в вашем профиле WordPress.org».

WordPress отметил, что технические ограничения не позволяют им использовать 2FA для существующих репозиториев кода, поэтому вместо этого им приходится использовать SVN.

ЧИТАТЬ Что такое ОАО и чем оно занимается?

Вывод: значительно улучшенная безопасность WordPress

Эти изменения приведут к повышению безопасности всей экосистемы WordPress и внесут огромный вклад в обеспечение надежности всех плагинов и тем и отсутствия компрометации исходного кода.

Прочитать объявление

Предстоящие изменения безопасности для авторов плагинов и тем на WordPress.org

Главное изображение от Shutterstock/Cast Of Thousands

Source link