iT邦幫忙

2024 iThome 鐵人賽

DAY 11
0

文章來源:
WordPress Mandates Two-Factor Authentication for Plugin and Theme Developers,Sep/12/2024

⚾️ 新聞概述

WordPress 宣布從 2024 年 10 月 1 日起,所有具有 更新外掛和主題權限的帳戶 將被強制要求啟用雙重驗證(2FA)。

除了強制實施雙重驗證外,WordPress.org 還會推出SVN 密碼,這是一種專門用來 commit 修改的密碼。目的在透過將用戶的程式碼提交權限與其 WordPress 帳戶憑證分開,來增加一層新的安全保護。

團隊解釋道:「這個密碼的功能類似於應用程式或額外的用戶帳戶密碼。它可以保護您的主密碼不被洩露,並允許您輕鬆撤銷 SVN 訪問權限,而無需更改您的 WordPress 憑證。」

值得注意的是,由於技術限制,2FA 無法直接應用於現有的程式碼儲存庫。因此,WordPress 選擇了結合帳戶級別的雙重驗證、高熵 SVN 密碼以及其他部署時的安全功能(如發布確認 release confirmation)的方案。

這些措施的目的是防止惡意行為者接管發布者的帳戶,從而將惡意程式碼引入合法的外掛和主題中,導致大規模的供應鏈攻擊。

◼️ 名詞學習

  • 雙重驗證(2FA):一種安全機制,要求用戶提供兩種不同的身份驗證方式來證明身份。

  • 高熵密碼(high-entropy passwords):指具有高度複雜性和隨機性的密碼,通常包含大小寫字母、數字和特殊符號的組合。

  • 供應鏈攻擊:攻擊者透過滲透軟體供應鏈中的薄弱環節來植入惡意程式碼,進而影響大量終端用戶。

◼️ 其他文章


上一篇
Day 10:趨勢科技揭露Mustang Panda頻頻攻擊政府單位
下一篇
Day 12:台灣重要網站12日遭受 DDoS 攻擊
系列文
初探資安:30 天小白挑戰 - 透過新聞了解網路安全30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言