Начиная с 1 октября 2024 года, все учетные записи на WordPress.org, которые имеют право отправлять обновления и вносить изменения в плагины и темы для CMS, должны будут использовать двухфакторную аутентификацию (2ФА).
Разработчики объясняют, что это решение направлено на повышение безопасности и снижение риска несанкционированного доступа к плагинам, что может повлечь за собой атаки на цепочки поставок.
«Учетные записи с доступом к коммиту могут распространять обновления и вносить изменения в плагины и темы, используемые миллионами сайтов WordPress по всему миру, — гласит официальное заявление. — Защита этих учетных записей необходима для предотвращения несанкционированного доступа, а также поддержания безопасности и доверия в сообществе WordPress.org».
Владельцы учетных записей могут активировать двухфакторную аутентификацию в настройках безопасности своего аккаунта. Пошаговые инструкции по активации 2ФА уже опубликованы здесь.
Также сообщается, что разработчики WordPress.org добавили специальные SVN (Subversion) пароли, которые призваны разграничить доступ к внесению изменений в код и основные учетные данные. Авторам плагинов, использующим скрипты развертывания (например, GitHub Actions), нужно будет обновить их, чтобы использовать новые пароли, специфичные для Subversion.
Разработчики отмечают, что технические ограничения не позволяют применить 2ФА к уже существующим репозиториям кода, поэтому они решили объединить «двухфакторную аутентификацию на уровне учетных записей, пароли SVN с высокой энтропией и другие защитные функции».