WordPress impone l'autenticazione a due fattori per gli account che possono modificare plugin e temi

WordPress.org ha annunciato nei giorni scorsi l'introduzione, a partire dal prossimo 1 ottobre, dell'obbligatorietà ad attivare l'autenticazione a due fattori (2FA) per tutti gli account in grado di apportare modifiche a plugin e temi. Si tratta di una misura che ha lo scopo di ridurre la probabilità di rischio di accessi non autorizzati e va intesa come una misura di protezione da potenziali attacchi di tipo supply chain.

In questo modo WordPress sottolinea l'importanza di proteggere gli account con accesso commit, dal momento che possono andare a condizionare il funzionamento di milioni di siti WordPress in tutto il mondo. "La protezione di questi account è fondamentale per prevenire accessi non autorizzati e mantenere la sicurezza e la fiducia della community di WordPress.org" si legge nell'annuncio ufficiale. Gli amministratori degli account dovranno attivare l'autenticazione a due fattori del proprio account entro la data stabilita, e WordPress ha messo loro a disposizione una guida passo-passo per assisterli.

Oltre all'autenticazione a due fattori, WordPress ha implementato password specifiche per SVN, separando così l'accesso per le modifiche al codice dalle credenziali dell'account principale. Chi ha sviluppato plugin che usano script di distribuzione dovranno aggiornare i propri script per adattarsi alla nuova configurazione.

WordPress riconosce che per via di alcune limitazioni tecniche 2FA non può essere applicato ai repository di codice esistenti e per questo motivo si è reso necessario proteggere il codice WordPress.org tramite una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta entropia e altre funzionalità di sicurezza che saranno prossimamente implementate.