A partir do dia 1º de outubro, contas no WordPress.org que têm permissão para publicar atualizações e alterações em plugins e temas serão obrigadas a ativar a autenticação de dois fatores (2FA) em suas contas.
A decisão faz parte do esforço da equipe de revisão de plugins da plataforma para reduzir o risco de acesso não autorizado, que poderia levar a ataques na cadeia de fornecimento.
“Contas com acesso para commit podem publicar atualizações e mudanças em plugins e temas usados por milhões de sites WordPress ao redor do mundo,” diz o anúncio.
Proteger essas contas é essencial para prevenir o acesso não autorizado e manter a segurança e a confiança da comunidade WordPress.org.
O WordPress é um sistema de gestão de conteúdo (CMS), ferramenta de blog, e plataforma de publicação de código aberto que auxilia usuários a criar e gerenciar sites.
Usuários têm acesso a uma ampla variedade de temas e plugins gratuitos e pagos que permitem personalizar a aparência e estender a funcionalidade de seus sites.
Um ator malicioso sequestrando a conta de um publicador poderia alterar o código de um tema ou plugin para incluir vulnerabilidades ou backdoors que permitiriam acesso privilegiado aos sites que os utilizam.
Para prevenir tais riscos, a funcionalidade de segurança 2FA precisa estar ativa no dia 1º de outubro para contas que possuem acesso de commit na plataforma WordPress.org.
Administradores de contas podem habilitar a configuração a partir do menu de segurança de sua conta.
Instruções passo a passo sobre como ativar o 2FA estão disponíveis aqui.
Adicionalmente, o WordPress.org adicionou senhas específicas para SVN que separam o acesso para fazer mudanças de código das credenciais principais da conta.
Autores de plugins que usam scripts de deploy como GitHub Actions precisarão atualizar seus scripts para usar as novas senhas específicas para SVN.
Confira esta página para mais informações sobre acesso ao Subversion (SVN).
A equipe observa que limitações técnicas impedem o 2FA de ser aplicado a repositórios de código existentes e optou por combinar “autenticação de dois fatores no nível da conta, senhas SVN de alta entropia e outras funcionalidades de segurança no momento do deploy.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...