今年 6 月份,在五个 WordPress.org 用户帐户遭到入侵后,WordPress.org 暂停了插件发布,并要求所有插件作者重置密码。最近,WordPress 插件团队加大了平台安全性的力度。从 2024 年 10 月 1 日开始,WordPress.org 将推出新的安全措施,旨在增强具有插件和主题提交访问权限的帐户的安全性。
强制双重身份验证
从下个月开始,WordPress.org 将强制所有插件和主题作者进行双因素身份验证 (2FA)。作者可以通过访问他们的 WordPress.org 个人资料来配置 2FA ,平台已经开始提示他们这样做。
WordPress.org 强调了安全存储备份代码的重要性,因为失去对 2FA 方法和备份代码的访问权限可能会使帐户恢复变得复杂。
使用 SVN 密码提交代码
WordPress.org 还将引入 SVN 密码,用于提交对插件和主题的更改。此功能将提交访问与主 WordPress.org 帐户凭据分开,从而提供额外的安全层。作者可以通过他们的个人资料生成 SVN 密码,确保他们的主要帐户密码受到保护。那些使用部署脚本(如 GitHub Actions)的人将需要使用这些新的 SVN 凭据更新他们存储的密码。
对于那些想知道为什么插件审查团队没有使用带有 SVN 的 2FA 的人,Dion 解释说,“由于技术限制,2FA 不能应用于我们现有的代码存储库,这就是为什么我们选择通过结合账户级双因素身份验证、高强 SVN 密码和其他部署时安全功能(如 发布确认)来保护 WordPress.org 代码。”
有关更多信息,作者可以参考有关配置双因素身份验证和Subversion 访问的指南以及 Chris Christoff 的帖子“确保插件提交者帐户安全”。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
