WordPress impone l'autenticazione a due fattori per gli account che possono modificare plugin e temi

WordPress impone l'autenticazione a due fattori per gli account che possono modificare plugin e temi

Il popolare servizio di gestione e creazione di siti web rafforza le misure di sicurezza per quegli account che, se compromessi, possono rappresentare una minaccia potenziale per milioni di siti web

di pubblicata il , alle 15:21 nel canale Web
WordPress
 

WordPress.org ha annunciato nei giorni scorsi l'introduzione, a partire dal prossimo 1 ottobre, dell'obbligatorietà ad attivare l'autenticazione a due fattori (2FA) per tutti gli account in grado di apportare modifiche a plugin e temi. Si tratta di una misura che ha lo scopo di ridurre la probabilità di rischio di accessi non autorizzati e va intesa come una misura di protezione da potenziali attacchi di tipo supply chain.

In questo modo WordPress sottolinea l'importanza di proteggere gli account con accesso commit, dal momento che possono andare a condizionare il funzionamento di milioni di siti WordPress in tutto il mondo. "La protezione di questi account è fondamentale per prevenire accessi non autorizzati e mantenere la sicurezza e la fiducia della community di WordPress.org" si legge nell'annuncio ufficiale. Gli amministratori degli account dovranno attivare l'autenticazione a due fattori del proprio account entro la data stabilita, e WordPress ha messo loro a disposizione una guida passo-passo per assisterli.

Oltre all'autenticazione a due fattori, WordPress ha implementato password specifiche per SVN, separando così l'accesso per le modifiche al codice dalle credenziali dell'account principale. Chi ha sviluppato plugin che usano script di distribuzione dovranno aggiornare i propri script per adattarsi alla nuova configurazione.

WordPress riconosce che per via di alcune limitazioni tecniche 2FA non può essere applicato ai repository di codice esistenti e per questo motivo si è reso necessario proteggere il codice WordPress.org tramite una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta entropia e altre funzionalità di sicurezza che saranno prossimamente implementate.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Wikkle12 Settembre 2024, 17:40 #1
Ma questo sembra fantastico.
Potevano pensarci anche prima in effetti
Tasslehoff12 Settembre 2024, 19:15 #2
Beh non mi sembra cmq male, se consideri che prodotti per fare portali enterprise usati in progetti con budget milionari non prevedono nemmeno la MFA sulla login con un "banale" TOTP, per farlo tocca federare o fare sso con servizi di autenticazione e autorizzazione che forniscono quella funzionalità...

Per la cronaca comunque sono tanti anni che si può attivare la MFA su Wordpress usando diversi plugins, alcuni dei quali sono tra i più gettonati, utilizzati e costantemente aggiornati, non certo roba fatta da qualche pincopallino nel tempo libero e abbandonata da anni.
Wikkle12 Settembre 2024, 21:20 #3
Originariamente inviato da: Tasslehoff
Beh non mi sembra cmq male, se consideri che prodotti per fare portali enterprise usati in progetti con budget milionari non prevedono nemmeno la MFA sulla login con un "banale" TOTP, per farlo tocca federare o fare sso con servizi di autenticazione e autorizzazione che forniscono quella funzionalità...

Per la cronaca comunque sono tanti anni che si può attivare la MFA su Wordpress usando diversi plugins, alcuni dei quali sono tra i più gettonati, utilizzati e costantemente aggiornati, non certo roba fatta da qualche pincopallino nel tempo libero e abbandonata da anni.


Certo che c'erano già i plugin, ma sinceramente si dovrebbe cercare di utilizzarne il meno possibile.
E plugin di quel tipo, sono i più delicati, non c'è molto da fidarsi.
Però è un mondo che non conosco, magari ce ne sono di veramente validi e sicuri

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^