À partir du 1er octobre, WordPress.org les comptes qui peuvent pousser les mises à jour et les modifications des plugins et des thèmes devront activer l’authentification à deux facteurs (2FA) sur leurs comptes.
Cette décision fait partie des efforts de l’équipe d’examen des plugins de la plate-forme pour réduire le risque d’accès non autorisé, ce qui pourrait entraîner des attaques de la chaîne d’approvisionnement.
“Les comptes avec accès commit peuvent pousser les mises à jour et les modifications des plugins et des thèmes utilisés par des millions de sites WordPress dans le monde entier”, lit-on dans l’annonce.
« La sécurisation de ces comptes est essentielle pour empêcher tout accès non autorisé et maintenir la sécurité et la confiance des WordPress.org communauté.”
WordPress est un système de gestion de contenu (CMS) open source, un outil de blog et une plate-forme de publication qui aide les utilisateurs à créer et à gérer des sites Web.
Les utilisateurs ont accès à une grande variété de thèmes et de plugins gratuits et payants qui permettent de personnaliser l’apparence et d’étendre les fonctionnalités de leurs sites Web.
Un acteur malveillant détournant le compte d’un éditeur pourrait modifier le code d’un thème ou d’un plugin pour inclure des vulnérabilités ou des portes dérobées qui permettraient un accès privilégié aux sites Web les utilisant.
Mots de passe 2FA et SVN
Pour prévenir de tels risques, la fonctionnalité de sécurité 2FA doit être active le 1er octobre pour les comptes disposant d’un accès commit sur le WordPress.org plateforme. Les administrateurs de compte peuvent activer le paramètre à partir du menu Sécurité de leur compte. Des instructions étape par étape sur la façon d’activer 2FA sont disponibles ici.
De plus, WordPress.org a ajouté des mots de passe spécifiques à SVN qui séparent l’accès aux modifications de code des informations d’identification du compte principal.
Les auteurs de plugins utilisant des scripts de déploiement tels que des actions GitHub devront mettre à jour leurs scripts pour utiliser les nouveaux mots de passe spécifiques à SVN. Consultez cette page pour plus d’informations sur l’accès à Subversion (SVN).
L’équipe note que des limitations techniques empêchent l’application de 2FA aux référentiels de code existants et a choisi de combiner « une authentification à deux facteurs au niveau du compte, des mots de passe SVN à haute entropie et d’autres fonctionnalités de sécurité au moment du déploiement. »