WordPress wymusza 2FA i oddzielne poświadczenia dla administratora witryny

WordPress ogłosił, że od 1 października dla autorów wtyczek i motywów zacznie obowiązywać dwuskładnikowe uwierzytelnianie (2FA). To znaczący krok w podniesieniu poziomu cyberbezpieczeństwa w wielu witrynach internetowych, które nadal są niezwykle podatne na wszelkiego rodzaju cyberataki.

WordPress – gigant na celownikach cyberprzestępców

WordPress zajmuje dużą część rynku, zasilając niezliczone witryny, co czyni go głównym celem hakerów. Podstawową bronią atakujących jest inżynieria społeczna, nakłaniająca ludzi do dobrowolnego ujawniania swoich danych uwierzytelniających. Cyberprzestępcy polegają również na sprawdzonej i prawdziwej metodzie korzystania z danych uwierzytelniających, które wyciekły już w innych naruszeniach danych, ponieważ wiedzą, że ludzie mają tendencję do ponownego używania haseł.

WordPress wymusza 2FA

Dlatego dodatkowe warstwy zabezpieczeń, takie jak uwierzytelnianie dwuskładnikowe (2FA), są świetnym dodatkiem do każdej usługi online. Co ciekawe, WordPress poszedł o krok dalej i oddzielił dane uwierzytelniające potrzebne do zalogowania się do usługi od danych uwierzytelniających potrzebnych do wysyłania aktualizacji do wtyczek i motywów.

„W ramach tych ciągłych wysiłków wprowadzamy nowy wymóg bezpieczeństwa: obowiązkowe uwierzytelnianie dwuskładnikowe (2FA) dla autorów wtyczek i motywów, począwszy od 1 października 2024 r.”, poinformowała firma. „Oprócz obowiązkowego uwierzytelniania dwuskładnikowego wprowadzamy hasła SVN, zastępując hasło konta użytkownika hasłem specyficznym dla SVN w celu zatwierdzania zmian”.

„Wprowadziliśmy funkcję hasła SVN, aby oddzielić dostęp do commitów od danych logowania głównego konta WordPress.org. To hasło działa jak hasło aplikacji lub dodatkowego konta użytkownika. Chroni ono główne hasło przed ujawnieniem i umożliwia łatwe cofnięcie dostępu SVN bez konieczności zmiany danych logowania WordPress.org” — dodała firma.

Wtyczki WordPress są często atakowane

„Wtyczki są często celem ataków hakerów, którzy znajdują i wykorzystują zawarte w nich luki do uzyskania dostępu. Możliwe są też ataki typu Man-in-the-middle, dlatego należy zadbać o odpowiedni poziom bezpieczeństwa, aby utrudnić im pracę. Warto pamiętać, aby wszystkie urządzenia, na których pracują administratorzy danej witryny zostały odpowiednio zabezpieczone za pomocą skutecznego systemu antywirusowego” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Administratorzy WordPressa nie muszą czekać do 1 października. Mogą już teraz skonfigurować uwierzytelnianie dwuskładnikowe (2FA) i generować hasła SVN o wysokiej entropii.