WordPress richiederà 2FA per sviluppatori di plugin entro ottobre

Dal 1 ottobre, gli account WordPress.org che inviano aggiornamenti e modifiche a plugin e temi dovranno attivare l'autenticazione a due fattori (2FA) sui propri account. La decisione fa parte dello sforzo del team di revisione dei plugin della piattaforma per ridurre il rischio di accesso non autorizzato. Ciò potrebbe infatti portare ad attacchi alla supply chain. Come si legge nell’annuncio ufficiale: "gli account con accesso commit possono inviare aggiornamenti e modifiche a plugin e temi utilizzati da milioni di siti WordPress in tutto il mondo. La protezione di questi account è essenziale per prevenire l'accesso non autorizzato e mantenere la sicurezza e la fiducia della community di WordPress.org".

WordPress è un sistema di gestione dei contenuti (CMS) open source. Si tratta di uno strumento per creare blog e aiuta gli utenti a creare e gestire siti web. Gli utenti hanno accesso a un'ampia varietà di temi e plugin gratuiti e a pagamento che consentono di personalizzare l'aspetto e di estendere le funzionalità dei loro siti web. Un malintenzionato che dirotta l'account di un editore potrebbe modificare il codice in un tema o plugin per includere vulnerabilità o backdoor che consentirebbero l'accesso privilegiato ai siti web che li utilizzano.

WordPress: inserite password specifiche per SVN

Per prevenire tali rischi, la funzionalità di sicurezza 2FA deve essere attiva il 1° ottobre per gli account che hanno accesso commit sulla piattaforma WordPress.org. Gli amministratori degli account possono abilitare l'impostazione dal menu di sicurezza del proprio account. Inoltre, WordPress.org ha aggiunto password specifiche per SVN che separano l'accesso per apportare modifiche al codice dalle credenziali dell'account principale. Gli autori di plugin che utilizzano script di distribuzione come GitHub Actions dovranno aggiornare i propri script per utilizzare le nuove password specifiche per SVN. Per maggiori informazioni sull'accesso Subversion (SVN) è possibile consultare il sito ufficiale di WordPress. Il team nota che le limitazioni tecniche impediscono l'applicazione di 2FA ai repository di codice esistenti. Infine, gli sviluppatori hanno optato per combinare "autenticazione a due fattori a livello di account, password SVN ad alta entropia e altre funzionalità di sicurezza in fase di distribuzione".