Mulai 1 Oktober, akun WordPress.org yang dapat mengirimkan pembaruan dan perubahan pada plugin dan tema akan diharuskan mengaktifkan autentikasi dua faktor (2FA) di akun mereka.
Keputusan tersebut merupakan bagian dari upaya tim peninjau plugin platform untuk mengurangi risiko akses tidak sah, yang dapat menyebabkan serangan rantai pasokan.
“Akun dengan akses komit dapat mengirimkan pembaruan dan perubahan pada plugin dan tema yang digunakan oleh jutaan situs WordPress di seluruh dunia,” membaca pengumuman itu.
“Mengamankan akun-akun ini sangat penting untuk mencegah akses tidak sah dan menjaga keamanan dan kepercayaan komunitas WordPress.org.”
WordPress adalah sistem manajemen konten (CMS) sumber terbuka, alat blog, dan platform penerbitan yang membantu pengguna membuat dan mengelola situs web.
Pengguna memiliki akses ke berbagai macam tema dan plugin gratis dan berbayar yang memungkinkan penyesuaian tampilan dan perluasan fungsionalitas situs web mereka.
Aktor jahat yang membajak akun penerbit dapat mengubah kode dalam tema atau plugin hingga menyertakan kerentanan atau pintu belakang yang memungkinkan akses istimewa ke situs web yang menggunakannya.
Kata sandi 2FA dan SVN
Untuk mencegah risiko tersebut, fitur keamanan 2FA harus aktif pada tanggal 1 Oktober untuk akun yang memiliki akses komit pada platform WordPress.org. Administrator akun dapat mengaktifkan pengaturan dari menu keamanan akun mereka. Petunjuk langkah demi langkah tentang cara mengaktifkan 2FA adalah tersedia disini.
Selain itu, WordPress.org telah menambahkan kata sandi khusus SVN yang memisahkan akses untuk membuat perubahan kode dari kredensial akun utama.
Penulis plugin yang menggunakan skrip penerapan seperti GitHub Actions perlu memperbarui skrip mereka untuk menggunakan kata sandi khusus SVN yang baru. Periksa halaman ini untuk informasi lebih lanjut pada akses Subversion (SVN).
Tim mencatat bahwa keterbatasan teknis mencegah 2FA diterapkan pada repositori kode yang ada dan memilih untuk menggabungkan “autentikasi dua faktor tingkat akun, kata sandi SVN entropi tinggi, dan fitur keamanan waktu penerapan lainnya.”
