今年 6 月份,在五個 WordPress.org 用戶帳戶遭到入侵后,WordPress.org 暫停了插件發(fā)布,并要求所有插件作者重置密碼。最近,WordPress 插件團隊加大了平臺安全性的力度。從 2024 年 10 月 1 日開始,WordPress.org 將推出新的安全措施,旨在增強具有插件和主題提交訪問權(quán)限的帳戶的安全性。
強制雙重身份驗證
從下個月開始,WordPress.org 將強制所有插件和主題作者進行雙因素身份驗證 (2FA)。作者可以通過訪問他們的 WordPress.org 個人資料來配置 2FA ,平臺已經(jīng)開始提示他們這樣做。?
WordPress.org 強調(diào)了安全存儲備份代碼的重要性,因為失去對 2FA 方法和備份代碼的訪問權(quán)限可能會使帳戶恢復(fù)變得復(fù)雜。
使用 SVN 密碼提交代碼
WordPress.org 還將引入 SVN 密碼,用于提交對插件和主題的更改。此功能將提交訪問與主 WordPress.org 帳戶憑據(jù)分開,從而提供額外的安全層。作者可以通過他們的個人資料生成 SVN 密碼,確保他們的主要帳戶密碼受到保護。那些使用部署腳本(如 GitHub Actions)的人將需要使用這些新的 SVN 憑據(jù)更新他們存儲的密碼。
對于那些想知道為什么插件審查團隊沒有使用帶有 SVN 的 2FA 的人,Dion 解釋說,“由于技術(shù)限制,2FA 不能應(yīng)用于我們現(xiàn)有的代碼存儲庫,這就是為什么我們選擇通過結(jié)合賬戶級雙因素身份驗證、高強 SVN 密碼和其他部署時安全功能(如 ?發(fā)布確認)來保護 WordPress.org 代碼。”
有關(guān)更多信息,作者可以參考有關(guān)配置雙因素身份驗證和Subversion 訪問的指南以及 Chris Christoff 的帖子“確保插件提交者帳戶安全”。
