A WordPress.org anunciou uma nova medida de segurança que exigirá que desenvolvedores de plugins e temas ativem obrigatoriamente a autenticação de dois fatores (2FA) em suas contas. A exigência entrará em vigor a partir de 1º de outubro de 2024 e visa reforçar a segurança das contas que possuem acesso para atualizar plugins e temas, utilizados por milhões de sites no mundo todo. Segundo os mantenedores do WordPress.org, proteger essas contas é essencial para prevenir acessos não autorizados e manter a segurança da comunidade.
“Contas com acesso de commit podem enviar atualizações e mudanças para plugins e temas que são amplamente usados, e garantir a segurança dessas contas é fundamental”, afirmaram em um comunicado. Além de tornar a 2FA obrigatória, o WordPress.org está introduzindo senhas SVN, que funcionam como uma camada adicional de segurança ao separar o acesso ao código dos credenciais da conta principal do WordPress.org.
A medida permitirá que os usuários revoguem o acesso ao SVN sem precisar alterar a senha principal da conta. As novas senhas SVN funcionarão como senhas de aplicativos, protegendo a senha principal de ser exposta durante o processo de envio de código. Essa mudança é vista como uma tentativa de reforçar a segurança do processo de commits e proteger contra ataques de cadeia de suprimentos, nos quais um invasor poderia comprometer contas de desenvolvedores e inserir códigos maliciosos em plugins e temas legítimos.