وردپرس برای محافظت از تم و اکوسیستم افزونه خود در برابر ناامنی رمز عبور، یک سرکوب بزرگ را اعلام کرد. این بهبودها به دنبال حملات متعددی در ماه ژوئن است که چندین پلاگین را در منبع به خطر انداختند.
امنیت برنامه نویس پلاگین را بهبود می بخشد
این بهروزرسانی امنیتی وردپرس نقصی را برطرف میکند که به هکرها اجازه میدهد از رمزهای عبور به خطر افتاده از سایر نقضها برای باز کردن قفل حسابهای توسعهدهندهای استفاده کنند که از همان اعتبارنامهها استفاده میکردند و «دسترسی متعهد» داشتند و آنها را قادر میسازد تا در کد افزونه دقیقاً از منبع تغییراتی ایجاد کنند. این یک شکاف امنیتی وردپرس را که به هکرها اجازه می داد تا از اواخر ژوئن سال جاری چندین پلاگین را به خطر بیاندازند، از بین می برد.
دو لایه امنیت توسعه دهندگان
وردپرس در حال معرفی دو لایه امنیتی است، یکی در حساب توسعه دهنده فردی و دیگری در مورد دسترسی به کد. این کار اعتبارنامه امنیتی نویسنده را از محیط متعهد کد جدا می کند.
1. مجوز دو عاملی
اولین بهبود امنیت، تحمیل مجوز دو مرحله ای اجباری برای همه نویسندگان افزونه و تم است که از اول اکتبر 2024 اجرا می شود. وردپرس در حال حاضر کاربران را به استفاده از 2FA ترغیب می کند. کاربران همچنین می توانند برای پیکربندی مجوز دو مرحله ای خود از این صفحه بازدید کنند.
2. رمزهای عبور SVN
وردپرس همچنین اعلام کرد که استفاده از رمزهای عبور SVN (Subversion) را آغاز خواهد کرد، یک لایه امنیتی اضافی برای احراز هویت توسعه دهندگان به عنوان بخشی از سیستم کنترل نسخه. SVN تضمین می کند که فقط افراد مجاز می توانند تغییراتی در کد ایجاد کنند و لایه دوم امنیتی را به افزونه ها و تم ها اضافه می کند.
در اطلاعیه وردپرس توضیح داده شده است:
“ما یک ویژگی رمز عبور SVN را برای جدا کردن دسترسی commit شما از اعتبارنامه های اصلی حساب WordPress.org معرفی کرده ایم. این رمز عبور مانند یک برنامه کاربردی یا رمز عبور حساب کاربری اضافی عمل می کند. از رمز عبور اصلی شما در برابر قرار گرفتن در معرض محافظت می کند و به شما امکان می دهد به راحتی دسترسی SVN را بدون نیاز به تغییر اعتبار WordPress.org لغو کنید. رمز عبور SVN خود را در نمایه WordPress.org خود ایجاد کنید.
وردپرس خاطرنشان کرد که محدودیت های فنی آنها را از استفاده از 2FA در مخازن کد موجود باز می دارد و در نتیجه آنها را ملزم به استفاده از SVN می کند.
غذای آماده: امنیت وردپرس بسیار بهبود یافته است
این تغییرات منجر به امنیت بیشتر برای کل اکوسیستم وردپرس میشود و کمک زیادی به اطمینان از قابل اعتماد بودن همه افزونهها و تمها میکند و در منبع به خطر نمیافتد.
اطلاعیه را بخوانید
تغییرات امنیتی آتی برای نویسندگان پلاگین و تم در WordPress.org
تصویر ویژه توسط Shutterstock/Cast Of Thousands