WordPress 宣布了一项重大措施,以保护其主题和插件生态系统免受密码不安全的影响。这些改进是在 6 月份发生一系列攻击之后推出的,这些攻击从源头上破坏了多个插件。
提高插件开发人员的安全性
此次 WordPress 安全更新修复了一个漏洞,该漏洞允许黑客使用从其他漏洞中泄露的密码来解锁使用相同凭据并具有“提交权限”的开发者帐户,从而使他们能够从源头更改插件代码。这弥补了WordPress 的安全漏洞,该漏洞允许黑客从今年6 月底开始入侵多个插件。
双层开发人员安全保护
WordPress 引入了两层安全措施,一层针对个人开发者账户,另一层针对代码提交访问。这将作者安全凭证与代码提交环境分开。
1. 双因素授权
安全性的第一项改进是强制所有插件和主题作者进行双重授权,该措施将于 2024 年 10 月 1 日开始执行。WordPress 已提示用户使用 2FA。用户还可以访问此页面来配置他们的双重授权。
2. SVN 密码
WordPress 还宣布将开始使用 SVN(Subversion)密码,这是版本控制系统中用于验证开发人员身份的额外安全层。SVN 确保只有经过授权的个人才能更改代码,为插件和主题增加了第二层安全性。
WordPress 公告解释道:
“我们引入了 SVN 密码功能,将您的提交访问权限与主要 WordPress.org 帐户凭据分开。此密码的功能类似于应用程序或附加用户帐户密码。它可以保护您的主密码免遭泄露,并允许您轻松撤销 SVN 访问权限,而无需更改您的 WordPress.org 凭据。在您的 WordPress.org 个人资料中生成您的 SVN 密码。”
WordPress 指出,技术限制使他们无法对现有代码存储库使用 2FA,因此要求他们改用 SVN。
要点:大大提高了 WordPress 的安全性
这些变化将提高整个 WordPress 生态系统的安全性,并极大地有助于确保所有插件和主题都是值得信赖的,并且不会在源头上受到损害。