文章來源：
WordPress Mandates Two-Factor Authentication for Plugin and Theme Developers,Sep/12/2024

⚾️ 新聞概述

WordPress 宣布從 2024 年 10 月 1 日起，所有具有 更新外掛和主題權限的帳戶 將被強制要求啟用雙重驗證（2FA）。

除了強制實施雙重驗證外，WordPress.org 還會推出SVN 密碼，這是一種專門用來 commit 修改的密碼。目的在透過將用戶的程式碼提交權限與其 WordPress 帳戶憑證分開，來增加一層新的安全保護。

團隊解釋道：「這個密碼的功能類似於應用程式或額外的用戶帳戶密碼。它可以保護您的主密碼不被洩露，並允許您輕鬆撤銷 SVN 訪問權限，而無需更改您的 WordPress 憑證。」

值得注意的是，由於技術限制，2FA 無法直接應用於現有的程式碼儲存庫。因此，WordPress 選擇了結合帳戶級別的雙重驗證、高熵 SVN 密碼以及其他部署時的安全功能（如發布確認 release confirmation）的方案。

這些措施的目的是防止惡意行為者接管發布者的帳戶，從而將惡意程式碼引入合法的外掛和主題中，導致大規模的供應鏈攻擊。

◼️ 名詞學習

• 雙重驗證（2FA）：一種安全機制，要求用戶提供兩種不同的身份驗證方式來證明身份。

• 高熵密碼(high-entropy passwords)：指具有高度複雜性和隨機性的密碼，通常包含大小寫字母、數字和特殊符號的組合。

• 供應鏈攻擊：攻擊者透過滲透軟體供應鏈中的薄弱環節來植入惡意程式碼，進而影響大量終端用戶。

◼️ 其他文章

• Hackers Exploit WordPress Sites to Spread New Trojan—Marco Rizal

• 電子商務平臺PrestaShop的臉書外掛程式存在漏洞，已有攻擊者用於竊取信用卡付款詳細資訊—周峻佑