WordPress.org to require 2FA for plugin developers by October

10月1日から、WordPress.orgのアカウントでプラグインやテーマの更新や変更をプッシュできるアカウントは、二要素認証(2FA)の有効化が義務付けられる。

この決定は、サプライチェーン攻撃につながる可能性のある不正アクセスのリスクを減らすための、プラットフォームのプラグイン審査チームの努力の一環です。

「コミットアクセスを持つアカウントは、世界中の何百万ものWordPressサイトで使用されているプラグインやテーマのアップデートや変更をプッシュすることができます

「これらのアカウントを保護することは、不正アクセスを防止し、WordPress.orgコミュニティのセキュリティと信頼を維持するために不可欠です。

WordPressは、オープンソースのコンテンツ管理システム(CMS)、ブログツール、パブリッシングプラットフォームであり、ユーザーのウェブサイト作成と管理を支援する。

ユーザーは、ウェブサイトの外観をカスタマイズしたり機能を拡張したりできる、無料および有料のさまざまなテーマやプラグインを利用できます。

パブリッシャーのアカウントを乗っ取った悪意のある行為者は、テーマやプラグインのコードを変更し、それらを使用するウェブサイトへの特権的なアクセスを可能にする脆弱性やバックドアを含めることができます。

2FAとSVNパスワード

このようなリスクを防ぐため、WordPress.orgプラットフォームでコミットアクセス権を持つアカウントでは、10月1日から2FAセキュリティ機能を有効にする必要があります。アカウント管理者は、アカウントのセキュリティメニューからこの設定を有効にすることができます。2FAを有効にする方法のステップバイステップの手順は、こちらをご覧ください

さらに、WordPress.org は SVN 固有のパスワードを追加し、コードを変更するためのアクセスをメインアカウントの認証情報から分離しました。

GitHub Actions などのデプロイスクリプトを使用しているプラグイン作者は、新しい SVN 固有のパスワードを使用するようにスクリプトを更新する必要があります。Subversion (SVN) へのアクセスに関する詳細はこちらをご覧ください

チームは、技術的な制限により既存のコードリポジトリに2FAを適用することができないことを指摘し、”アカウントレベルの2要素認証、高エントロピーのSVNパスワード、その他のデプロイ時のセキュリティ機能 “を組み合わせることを選択した。