1 Ekim'den itibaren, güncellemeleri ve eklentileri ve temalara değişiklikleri zorlayabilecek WordPress.org hesapları, hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmesi gerekecektir.
Karar, platformun eklenti inceleme ekibinin yetkisiz erişim riskini azaltma çabasının bir parçasıdır ve bu da tedarik zinciri saldırılarına yol açabilir.
Duyuru, “Taahhüt Access ile ilgili hesaplar, dünya çapında milyonlarca WordPress sitesi tarafından kullanılan eklentiler ve temalarda güncellemeleri ve değişiklikleri zorlayabilir” diye açıklıyor.
“Bu hesapları güvence altına almak, WordPress.org topluluğunun yetkisiz erişimi ve güvenliğini ve güvenini korumak için şarttır.”
WordPress, kullanıcıların web siteleri oluşturmasına ve yönetmelerine yardımcı olan açık kaynaklı bir içerik yönetim sistemi (CMS), blog aracı ve yayınlama platformudur.
Kullanıcılar, görünümü özelleştirmeye ve web sitelerinin işlevselliğini genişletmeye izin veren çok çeşitli ücretsiz ve ücretli temalara ve eklentilere erişebilir.
Bir yayıncının hesabını ele geçiren kötü amaçlı bir aktör, bir tema veya eklentideki kodu, güvenlik açıklarını veya arka kapıları içerecek şekilde değiştirebilir, bu da bunları kullanan web sitelerine ayrıcalıklı erişim sağlayacaktır.
Bu tür riskleri önlemek için, 2FA güvenlik özelliğinin WordPress.org platformuna erişim sağlayan hesaplar için 1 Ekim'de etkin olması gerekir. Hesap yöneticileri, hesaplarının güvenlik menüsünden ayarı etkinleştirebilir. 2FA'nın nasıl etkinleştirileceğine dair adım adım talimatlar burada mevcuttur.
Ayrıca, WordPress.org, kod değişiklikleri oluşturma erişimini ana hesap kimlik bilgilerinden ayıran SVN'ye özgü şifreler ekledi.
GitHub Eylemleri gibi dağıtım komut dosyalarını kullanan eklenti yazarlarının, yeni SVN'ye özgü şifreleri kullanmak için komut dosyalarını güncellemesi gerekecektir. Subversion (SVN) erişimi hakkında daha fazla bilgi için bu sayfayı kontrol edin.
Ekip, teknik sınırlamaların 2FA'nın mevcut kod depolarına uygulanmasını engellediğini ve "hesap düzeyinde iki faktörlü kimlik doğrulama, yüksek entropi SVN şifreleri ve diğer dağıtım zamanı güvenlik özelliklerini" birleştirmeyi seçtiğini belirtiyor.
Litespeed Cache Bug, 6 milyon WordPress sitesini devralma saldırılarına maruz bırakıyor
Hacker Tuzağı: Sahte Onlyfans Aracı Backstabs Siber suçlular, şifreleri çalar
Bilgisayar korsanları Litespeed Cache eklentisinde kritik hatayı kullanıyor
Litespeed Cache Bug, Milyonlarca WordPress sitesini devralma saldırılarına maruz bırakıyor
Kaynak: Bleeping Computer