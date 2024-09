I responsabili della nota piattaforma di blogging WordPress.org hanno stabilito che a partire dal 1° ottobre 2024 gli account che possono effettuare aggiornamenti e modifiche su plugin e temi, sostanzialmente gli utilizzatori attivi sul network, dovranno utilizzare l'autenticazione a due fattori. Si tratta di una decisione del team che si occupa della revisione dei plugin. Con l'intenzione di rendere più sicuro il servizio riducendo gli accessi non autorizzati spesso alla base degli attacchi basati sulla supply chain.

WordPress.org: più sicurezza con la 2FA

La two-factor authentication, o semplicemente 2FA, prevede appunto che per completare una sessione di login siano necessari due fattori di autenticazione. Il primo è generalmente una password, il secondo può essere un codice ricevuto tramite applicazione, SMS o e-mail così come un passaggio che prevede il riconoscimento biometrico.

Questo sistema potrebbe rivelarsi molto utile per una community come quella di WordPress. Un CMS che permette ai propri utilizzatori di selezionare un gran numero di temi e plugin, anche gratuiti, per la personalizzazione del layout e l'estensione delle funzionalità di base.

Dato che gli attacchi basati sulla sottrazione di account sono spesso finalizzati ad alterare il codice di temi e plugin. Spesso i siti Web vengono facilmente compromessi da credenziali poco sicure. Ciò avviene non di rado tramite l'inclusione di malware e backdoor pensati per scalare i privilegi di accesso ad un sito Internet.

Maggiori informazioni sull'attivazione dell'autenticazione a due fattori sono disponibili sul sito ufficiale della piattaforma. La procedura si basa sull'impostazione di una chiave di sicurezza o di una TOPT (Time-Based One-Time Password).

Accessi separati con le password SVN

Insieme alla 2FA WordPress.org ha introdotto anche le password SVN con cui il login di accesso e quello necessario per intervenire su temi e plugin vengono di fatto separati. Ad usarli dovranno essere in particolare gli utenti che sfruttano script come per esempio le GitHub Action. Questi ultimi infatti dovranno essere aggiornati per supportare le password SVN.