WordPress: nagyobb védelmet kapnak a fejlesztői fiókok

​A WordPress.org üzemeltetője szigorítást jelentett be a fejlesztői fiókok vonatkozásában.
 

A WordPress tartalomkezelő gyakran kerül a kiberbűnözők érdeklődésének középpontjába. Ők sok esetben különféle bővítményekben feltárt sérülékenységeket használnak ki ahhoz, hogy a kártékony tevékenységeiket végrehajthassák. Ráadásul mindezt nem egyszer tömegesen, automatizált módszerekkel teszik, tehát egy-egy támadás jelentős kiterjedésű lehet. 

A kockázatok csökkentése érdekében a WordPress.org üzemeltetője úgy döntött, hogy következő védelmi lépésként a fejlesztői fiókok biztonságát erősíti meg, hogy ezzel vegye elejét az úgynevezett supply-chain típusú támadásoknak, és ezzel együtt a bővítmények, témák kompromittálásának.

A bejelentés szerint 2024. október 1-től minden olyan fiók esetében kötelezővé válik a kétfaktoros hitelesítés használata, amelyekről történik plugin vagy téma feltöltés, illetve frissítés. E megerősített azonosítási folyamat használatára már eddig is volt lehetőség, de a következő hónap elejétől ez már nem opcionális lehetőség lesz. 

A fentiek kapcsán az üzemeltetők azt is megjegyezték, hogy bevezették az SVN-jelszavakat annak érdekében, hogy a kódfrissítésekhez használt hitelesítő adatok szeparálhatóvá válhassanak a fejlesztői fiókok esetében megadott hitelesítő adatoktól.  

Az üzemeltetők hangsúlyozták, hogy a szigorítással érintett fiókokból frissítések és módosítások végezhetők a bővítmények és témák kapcsán, amelyeket akár több millió weboldalon is használhatnak a webhelyek fejlesztői, tulajdonosai. Ezért lényeges ezek fokozott védelme, és az azokhoz történő jogosulatlan hozzáférések megakadályozása.