1 Ekim’den itibaren eklenti ve temalarda güncelleme ve değişiklik yapabilen WordPress.org hesaplarının hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmesi gerekecek.
Bu karar, tedarik zinciri saldırılarına yol açabilecek yetkisiz erişim riskini azaltmayı amaçlayan platformun eklenti inceleme ekibinin çabalarının bir parçası.
Duyuruda, “Komutlama erişimine sahip hesaplar, dünya çapında milyonlarca WordPress sitesi tarafından kullanılan eklentiler ve temalarda güncelleme ve değişiklikler yapabilir” ifadeleri yer alıyor.
“Bu hesapların güvenliğini sağlamak, yetkisiz erişimi engellemek ve WordPress.org topluluğunun güvenliğini ve güvenini sağlamak için önemlidir.”
WordPress, kullanıcıların web siteleri oluşturmasına ve yönetmesine yardımcı olan açık kaynaklı bir içerik yönetim sistemi (CMS), blog aracı ve yayınlama platformudur.
Kullanıcılar, web sitelerinin görünümünü özelleştirmelerine ve işlevselliğini genişletmelerine olanak tanıyan çok çeşitli ücretsiz ve ücretli temalara ve eklentilere erişebilirler.
Kötü niyetli bir aktör, bir yayıncının hesabını ele geçirerek, bunları kullanan web sitelerine ayrıcalıklı erişime izin verecek güvenlik açıkları veya arka kapılar içerecek şekilde bir tema veya eklentideki kodu değiştirebilir.
2FA ve SVN şifreleri
Bu tür riskleri önlemek için, WordPress.org platformunda commit erişimi olan hesaplar için 2FA güvenlik özelliğinin 1 Ekim’de aktif hale getirilmesi gerekir. Hesap yöneticileri, bu ayarı hesaplarının güvenlik menüsünden etkinleştirebilir. 2FA’nın nasıl etkinleştirileceğine dair adım adım talimatlar burada mevcuttur.
Ayrıca WordPress.org, kod değişikliği yapma erişimini ana hesap kimlik bilgilerinden ayıran SVN’ye özgü parolalar ekledi.
GitHub Actions gibi dağıtım betiklerini kullanan eklenti yazarlarının, betiklerini yeni SVN’ye özgü parolaları kullanacak şekilde güncellemeleri gerekecektir. Subversion (SVN) erişimi hakkında daha fazla bilgi için bu sayfayı kontrol edin.
Ekip, teknik kısıtlamaların 2FA’nın mevcut kod depolarına uygulanmasını engellediğini ve “hesap düzeyinde iki faktörlü kimlik doğrulama, yüksek entropili SVN parolaları ve diğer dağıtım zamanı güvenlik özelliklerini” birleştirmeyi tercih ettiğini belirtiyor.