Theo thông báo, việc này là bắt buộc với những tài khoản có quyền truy cập nhằm đưa ra các bản cập nhật và thay đổi đối với plugin và chủ đề (theme) được hàng triệu website WordPress trên toàn thế giới sử dụng. Việc tăng cường bảo mật các tài khoản này là điều cần thiết để ngăn chặn các truy cập trái phép và duy trì tính bảo mật và tin cậy của cộng đồng WordPress.org.
Bên cạnh yêu cầu xác thực 2FA bắt buộc, WordPress.org nói sẽ giới thiệu mật khẩu SVN, được cho là một loại mật khẩu chuyên dụng để thực hiện các thay đổi. Đây là một lớp bảo mật mới với chức năng tách quyền chỉnh sửa mã nguồn của các nhà phát triển và thông tin xác thực tài khoản WordPress.org của họ.
Hãng mô tả mật khẩu SVN sẽ hoạt động giống như một ứng dụng hoặc mật khẩu tài khoản bổ sung, giúp bảo vệ mật khẩu chính của nhà phát triển khỏi bị lộ, cũng như cho phép dễ dàng thu hồi quyền truy cập SVN mà không cần phải thay đổi thông tin đăng nhập WordPress.org của họ.
WordPress.org cũng đề cập về những hạn chế kỹ thuật đã ngăn việc áp dụng 2FA cho các kho lưu trữ mã nguồn hiện có, do đó đã chọn kết hợp xác thực hai yếu tố cấp tài khoản, mật khẩu SVN và các cách triển khai bảo mật thời gian. Các biện pháp này là cách để chống lại các tình huống tác nhân độc hại có thể chiếm quyền kiểm soát tài khoản của nhà phát triển, từ đó đưa mã độc vào các plugin và theme dẫn đến các cuộc tấn công chuỗi cung ứng quy mô lớn.
Xác thực hai yếu tố giúp WordPress trở nên an toàn hơn
ẢNH: CHỤP MÀN HÌNH
Thông báo này tiếp sau sự kiện hãng bảo mật Sucuri cảnh báo về các chiến dịch ClearFake nhắm mục tiêu vào các website WordPress. Chiến dịch này phân phối công cụ đánh cắp thông tin RedLine bằng việc lừa khách truy cập website thực thi lệnh để khắc phục sự cố khi hiển thị website.
Phần mềm lỗi thời sẽ luôn là mục tiêu của những kẻ tấn công nhằm khai thác lỗ hổng, trong đó plugin và theme của WordPress sẽ là đối tượng chính. Các chuyên gia bảo mật đưa ra lời khuyên các quản trị viên nên thường xuyên kiểm tra cập nhật, triển khai tường lửa ứng dụng web, xem xét định kỳ tài khoản quản trị và theo dõi các thay đổi trái phép đối với các tập tin của website.
Bình luận (0)