17/09/2567

WordPress.org จะบังคับและกำหนดให้ใช้ 2FA สำหรับนักพัฒนาปลั๊กอินภายในเดือนตุลาคม


    เริ่มตั้งแต่วันที่ 1 ตุลาคม 2567 เป็นต้นไปผู้ใช้งาน Account ของ WordPress.org ที่สามารถส่งอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมได้ จะต้องเปิดระบบการยืนยันตัวตนแบบสองขั้นตอน (2FA) บน Account ของผ้ใช้งาน
    การตัดสินใจนี้เป็นส่วนหนึ่งของความพยายามจากทีมตรวจสอบปลั๊กอินของแพลตฟอร์ม เพื่อลดความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การโจมตีแบบ supply-chain attack
    “Account ที่มีสิทธิ์ในการส่งข้อมูล สามารถอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมที่ใช้งานในเว็บไซต์ WordPress หลายล้านเว็บไซต์ทั่วโลก”
    “การรักษาความปลอดภัยของ Account เหล่านี้เป็นสิ่งสำคัญในการป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต และคงความปลอดภัย และความเชื่อมั่นของกลุ่มผู้ใช้งาน WordPress.org”
    WordPress เป็นระบบจัดการเนื้อหา (CMS) แบบ open-source ซึ่งเป็นเครื่องมือที่ใช้สำหรับสร้าง Blog และเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้สร้าง และจัดการเว็บไซต์ได้อย่างง่ายดาย
ผู้ใช้สามารถเข้าถึงธีม และปลั๊กอินต่าง ๆ ทั้งแบบฟรี และแบบเสียเงิน ซึ่งช่วยให้ปรับแต่งรูปลักษณ์ และขยายฟังก์ชันการทำงานของเว็บไซต์ได้
    หากผู้ไม่ประสงค์ดีสามารถยึด Account ของผู้ใช้ได้ อาจทำให้สามารถแก้ไขโค้ดในธีม หรือปลั๊กอินเพื่อใส่ช่องโหว่ หรือช่องทางการเข้าถึงที่ช่วยให้สามารถเข้าถึงเว็บไซต์ที่ใช้งานสิ่งเหล่านั้นได้

2FA และ SVN passwords
    เพื่อลดโอกาศที่จะเกิดความเสี่ยงดังกล่าว วิธีการรักษาความปลอดภัย 2FA จำเป็นต้องเปิดใช้งานภายในวันที่ 1 ตุลาคม สำหรับAccountที่มีสิทธิ์ส่งข้อมูลบนแพลตฟอร์ม WordPress.org ผู้ดูแลระบบ Account สามารถเปิดใช้ฟีเจอร์นี้ได้จากเมนูความปลอดภัยใน Account ของตน คำแนะนำขั้นตอนการเปิดใช้ 2FA มีให้ตามลิงก์นี้
    นอกจากนี้ WordPress.org ได้เพิ่มรหัสผ่านเฉพาะสำหรับ SVN ซึ่งแยกการเข้าถึงเพื่อทำการเปลี่ยนแปลงโค้ดออกจากข้อมูลประจำตัวของ Account หลัก
    ผู้เขียนปลั๊กอินที่ใช้ deployment scripts เช่น GitHub Actions จะต้องอัปเดตสคริปต์ของพวกเขาเพื่อใช้รหัสผ่าน SVN ใหม่ สามารถตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึง Subversion (SVN) ได้ที่นี้
ทีมงานยังระบุว่า เนื่องจากข้อจำกัดทางเทคนิค การเปิดใช้ 2FA ไม่สามารถทำได้กับโค้ดที่มีอยู่เดิม และได้เลือกที่จะผสมผสาน "การยืนยันตัวตนแบบสองขั้นตอน รหัสผ่าน SVN ที่มีความซับซ้อนสูง และฟีเจอร์ความปลอดภัยในขณะปรับใช้อื่น ๆ"

ที่
ป้ายกำกับ: ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)