WordPress.org, la plataforma de gestión de contenidos más utilizada en el mundo, ha anunciado una importante medida de seguridad que afectará a los desarrolladores de plugins y temas. A partir del 1 de octubre, todos los usuarios con acceso para realizar actualizaciones y cambios en plugins y temas deberán activar la autenticación de dos factores (2FA) en sus cuentas.
Una decisión enfocada en la seguridad
Esta iniciativa forma parte de los esfuerzos del equipo de revisión de plugins de WordPress para reducir el riesgo de accesos no autorizados que podrían derivar en ataques a la cadena de suministro. La plataforma reconoce la importancia de proteger estas cuentas, ya que tienen la capacidad de enviar actualizaciones y modificaciones a plugins y temas utilizados por millones de sitios web en todo el mundo.
Impacto en la comunidad WordPress
WordPress, siendo un sistema de gestión de contenidos de código abierto, ofrece a sus usuarios una amplia variedad de temas y plugins gratuitos y de pago para personalizar y extender la funcionalidad de sus sitios web. La seguridad de estas herramientas es crucial, ya que un actor malintencionado que logre acceder a una cuenta de desarrollador podría alterar el código para incluir vulnerabilidades o puertas traseras, comprometiendo la seguridad de los sitios que las utilizan.
Implementación de la autenticación de dos factores
Los administradores de cuentas podrán activar la autenticación de dos factores desde el menú de seguridad de su cuenta. WordPress.org ha puesto a disposición instrucciones detalladas para facilitar este proceso a los desarrolladores.
Contraseñas específicas para SVN
Además de la implementación de 2FA, WordPress.org ha introducido contraseñas específicas para SVN (Subversion), separando así el acceso para realizar cambios en el código de las credenciales principales de la cuenta. Esta medida adicional refuerza la seguridad de las operaciones de desarrollo.
Adaptación necesaria para scripts de implementación
Los autores de plugins que utilicen scripts de implementación, como GitHub Actions, deberán actualizar sus scripts para usar las nuevas contraseñas específicas de SVN. La plataforma ha proporcionado información detallada sobre el acceso a Subversion para facilitar esta transición.
Limitaciones técnicas y soluciones
El equipo de WordPress.org ha señalado que existen limitaciones técnicas que impiden aplicar 2FA directamente a los repositorios de código existentes. Como solución, han optado por combinar «la autenticación de dos factores a nivel de cuenta, contraseñas SVN de alta entropía y otras características de seguridad en el momento de la implementación».
Esta medida representa un paso significativo en la protección del ecosistema WordPress y demuestra el compromiso de la plataforma con la seguridad de sus millones de usuarios en todo el mundo.
vía: WordPress
