WordPress rafforza la sicurezza per tutti i plugin e temi
WordPress ha annunciato un importante intervento per proteggere il proprio ecosistema di temi e plugin da problemi di sicurezza legati alle password. Questi miglioramenti seguono una serie di attacchi a giugno che hanno compromesso diversi plugin alla fonte. Il nuovo aggiornamento di sicurezza di WordPress corregge una falla che permetteva agli hacker di utilizzare password […]
WordPress ha annunciato un importante intervento per proteggere il proprio ecosistema di temi e plugin da problemi di sicurezza legati alle password. Questi miglioramenti seguono una serie di attacchi a giugno che hanno compromesso diversi plugin alla fonte.
Il nuovo aggiornamento di sicurezza di WordPress corregge una falla che permetteva agli hacker di utilizzare password compromise da altre violazioni per sbloccare gli account degli sviluppatori che utilizzavano le stesse credenziali e avevano “accesso al commit”, consentendo loro di apportare modifiche al codice del plugin direttamente dalla fonte. Questo chiude un vuoto di sicurezza di WordPress che ha permesso agli hacker di compromettere diversi plugin a partire dalla fine di giugno di quest’anno.
WordPress sta introducendo due livelli di sicurezza, uno sull’account individuale dello sviluppatore e un secondo sull’accesso al commit del codice. Questo separa le credenziali di sicurezza dell’autore dall’ambiente di commit del codice.
Il primo miglioramento alla sicurezza è l’obbligo di un’autorizzazione a due fattori per tutti gli autori di plugin e temi, che sarà implementata a partire dal 1 ottobre 2024. WordPress sta già chiedendo agli utenti di utilizzare l’autenticazione a due fattori. Gli utenti possono anche visitare questa pagina per configurare la propria autorizzazione a due fattori.
WordPress ha anche annunciato l’utilizzo delle password SVN (Subversion), un ulteriore livello di sicurezza per l’autenticazione degli sviluppatori come parte di un sistema di controllo versione. SVN garantisce che solo persone autorizzate possano apportare modifiche al codice, aggiungendo un secondo livello di sicurezza ai plugin e temi.
Questi cambiamenti comporteranno una maggiore sicurezza per l’intero ecosistema di WordPress e contribuiranno in modo significativo ad assicurarsi che tutti i plugin e temi siano affidabili e non compromessi alla fonte.