今年 6 月份,在五个 WordPress用户帐户遭到入侵后,WordPress暂停了插件发布,并要求所有插件作者重置密码。最近,WordPress 插件团队加大了平台安全性的力度。从 2024 年 10 月 1 日开始,WordPress将推出新的安全措施,旨在增强具有插件和主题提交访问权限的帐户的安全性。
WordPress对主题和插件开发者增强账户安全措施 – WordPress 2fa
强制双重身份验证
从下个月开始,WordPress将强制所有插件和主题作者进行双因素身份验证 (2FA)。作者可以通过访问他们的 WordPress个人资料来配置 2FA ,平台已经开始提示他们这样做。
WordPress强调了安全存储备份代码的重要性,因为失去对 2FA 方法和备份代码的访问权限可能会使帐户恢复变得复杂。
使用 SVN 密码提交代码
WordPress还将引入 SVN 密码,用于提交对插件和主题的更改。此功能将提交访问与主 WordPress帐户凭据分开,从而提供额外的安全层。作者可以通过他们的个人资料生成 SVN 密码,确保他们的主要帐户密码受到保护。那些使用部署脚本(如 GitHub Actions)的人将需要使用这些新的 SVN 凭据更新他们存储的密码。
对于那些想知道为什么插件审查团队没有使用带有 SVN 的 2FA 的人,Dion 解释说,“由于技术限制,2FA 不能应用于我们现有的代码存储库,这就是为什么我们选择通过结合账户级双因素身份验证、高强 SVN 密码和其他部署时安全功能(例如:发布确认)来保护WordPress代码。”
