Suscríbete gratis a nuestra newsletter!

WordPress.org introduce nuevas medidas de seguridad para autores de plugins y temas

A partir del 1 de octubre de 2024, WordPress.org implementará una serie de nuevas medidas de seguridad destinadas a reforzar la protección de las cuentas con acceso a la gestión de complementos y temas. Este anuncio fue realizado por Dion Hulse, desarrollador patrocinado por Automattic.

Autenticación de dos factores obligatoria

Desde el próximo mes, todos los autores de plugins y temas en WordPress.org estarán obligados a habilitar la autenticación de dos factores (2FA). Los autores ya pueden configurar esta medida de seguridad en sus perfiles de WordPress.org, y la plataforma ha comenzado a notificarles sobre la importancia de realizar este ajuste.

Hulse destacó la necesidad de almacenar los códigos de respaldo de manera segura, ya que perder tanto el acceso a los métodos 2FA como a estos códigos podría dificultar la recuperación de la cuenta.

Contraseñas SVN para acceso a confirmaciones

WordPress.org también introducirá contraseñas SVN para gestionar la confirmación de cambios en los complementos y temas. Esta medida desvincula el acceso a las confirmaciones de las credenciales principales de la cuenta, proporcionando así una capa adicional de seguridad. Los autores pueden generar estas contraseñas SVN desde sus perfiles, asegurando que las contraseñas principales permanezcan protegidas. Aquellos que utilicen scripts automatizados, como GitHub Actions, deberán actualizar sus credenciales almacenadas con las nuevas contraseñas SVN.

En respuesta a preguntas sobre por qué el equipo de revisión de complementos no aplica 2FA en el acceso a SVN, Hulse aclaró: “Por limitaciones técnicas, no es posible implementar 2FA en nuestros repositorios de código actuales, por eso optamos por combinar autenticación de dos factores a nivel de cuenta con contraseñas SVN de alta entropía y otras medidas de seguridad durante las confirmaciones y publicaciones”.

Los autores pueden consultar guías detalladas para configurar tanto la autenticación de dos factores como el acceso a Subversion, así como la publicación de Chris Christoff sobre cómo asegurar las cuentas de los confirmadores de complementos.

Reacción de la comunidad

La comunidad ha recibido de manera positiva estos cambios, y varios miembros han señalado que estas actualizaciones eran necesarias desde hace tiempo. El desarrollador Toma Todua comentó con humor: “Al menos lo implementamos antes de que alguien llegue a Marte”.

En los últimos meses, el equipo de WordPress ha intensificado sus esfuerzos para mejorar la seguridad en la plataforma. En junio, suspendieron temporalmente la publicación de nuevos complementos y forzaron a todos los autores a restablecer sus contraseñas después de que cinco cuentas de usuarios de WordPress.org fueran comprometidas.

También que te guste