WordPress.org 对主题和插件开发者增强账户安全措施

今年 6 月份,在五个 WordPress.org 用户帐户遭到入侵后,WordPress.org 暂停了插件发布,并要求所有插件作者重置密码。最近,WordPress 插件团队加大了平台安全性的力度。从 2024 年 10 月 1 日开始,WordPress.org 将推出新的安全措施,旨在增强具有插件和主题提交访问权限的帐户的安全性。

WordPress.org 对主题和插件开发者增强账户安全措施 - WordPress 2fa

强制双重身份验证

从下个月开始,WordPress.org 将强制所有插件和主题作者进行双因素身份验证 (2FA)。作者可以通过访问他们的 WordPress.org 个人资料来配置 2FA ,平台已经开始提示他们这样做。 

WordPress.org 强调了安全存储备份代码的重要性,因为失去对 2FA 方法和备份代码的访问权限可能会使帐户恢复变得复杂。

使用 SVN 密码提交代码

WordPress.org 还将引入 SVN 密码,用于提交对插件和主题的更改。此功能将提交访问与主 WordPress.org 帐户凭据分开,从而提供额外的安全层。作者可以通过他们的个人资料生成 SVN 密码,确保他们的主要帐户密码受到保护。那些使用部署脚本(如 GitHub Actions)的人将需要使用这些新的 SVN 凭据更新他们存储的密码。

对于那些想知道为什么插件审查团队没有使用带有 SVN 的 2FA 的人,Dion 解释说,“由于技术限制,2FA 不能应用于我们现有的代码存储库,这就是为什么我们选择通过结合账户级双因素身份验证、高强 SVN 密码和其他部署时安全功能(如  发布确认)来保护 WordPress.org 代码。”

有关更多信息,作者可以参考有关配置双因素身份验证Subversion 访问的指南以及 Chris Christoff 的帖子“确保插件提交者帐户安全”


【AD】BandwagonHost:$92.30/年/2核/2G内存/40G SSD/1T流量/1Gbps/香港CMI/大阪软银/洛杉矶CN2 GIA

【AD】美国洛杉矶CN2 VPS/香港CN2 VPS/日本CN2 VPS推荐,延迟低、稳定性高、免费备份_搬瓦工vps