WordPress impone l'autenticazione a due fattori per gli account che possono modificare plugin e temi

Il popolare servizio di gestione e creazione di siti web rafforza le misure di sicurezza per quegli account che, se compromessi, possono rappresentare una minaccia potenziale per milioni di siti web
di Andrea Bai pubblicata il 12 Settembre 2024, alle 15:21 nel canale WebWordPress
WordPress.org ha annunciato nei giorni scorsi l'introduzione, a partire dal prossimo 1 ottobre, dell'obbligatorietà ad attivare l'autenticazione a due fattori (2FA) per tutti gli account in grado di apportare modifiche a plugin e temi. Si tratta di una misura che ha lo scopo di ridurre la probabilità di rischio di accessi non autorizzati e va intesa come una misura di protezione da potenziali attacchi di tipo supply chain.
In questo modo WordPress sottolinea l'importanza di proteggere gli account con accesso commit, dal momento che possono andare a condizionare il funzionamento di milioni di siti WordPress in tutto il mondo. "La protezione di questi account è fondamentale per prevenire accessi non autorizzati e mantenere la sicurezza e la fiducia della community di WordPress.org" si legge nell'annuncio ufficiale. Gli amministratori degli account dovranno attivare l'autenticazione a due fattori del proprio account entro la data stabilita, e WordPress ha messo loro a disposizione una guida passo-passo per assisterli.

Oltre all'autenticazione a due fattori, WordPress ha implementato password specifiche per SVN, separando così l'accesso per le modifiche al codice dalle credenziali dell'account principale. Chi ha sviluppato plugin che usano script di distribuzione dovranno aggiornare i propri script per adattarsi alla nuova configurazione.
WordPress riconosce che per via di alcune limitazioni tecniche 2FA non può essere applicato ai repository di codice esistenti e per questo motivo si è reso necessario proteggere il codice WordPress.org tramite una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta entropia e altre funzionalità di sicurezza che saranno prossimamente implementate.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPotevano pensarci anche prima in effetti
Per la cronaca comunque sono tanti anni che si può attivare la MFA su Wordpress usando diversi plugins, alcuni dei quali sono tra i più gettonati, utilizzati e costantemente aggiornati, non certo roba fatta da qualche pincopallino nel tempo libero e abbandonata da anni.
Per la cronaca comunque sono tanti anni che si può attivare la MFA su Wordpress usando diversi plugins, alcuni dei quali sono tra i più gettonati, utilizzati e costantemente aggiornati, non certo roba fatta da qualche pincopallino nel tempo libero e abbandonata da anni.
Certo che c'erano già i plugin, ma sinceramente si dovrebbe cercare di utilizzarne il meno possibile.
E plugin di quel tipo, sono i più delicati, non c'è molto da fidarsi.
Però è un mondo che non conosco, magari ce ne sono di veramente validi e sicuri
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".