全球超过40%的网站由 WordPress 提供支持,其庞大的插件和主题生态系统在全球范围内提供了灵活性和定制性。然而,这种受欢迎程度也使其成为网络攻击的主要目标。
WordPress 将为所有插件和主题开发人员引入强制性双因素身份验证 (2FA),以应对日益严重的安全威胁,该措施将于 2024 年 10 月 1 日生效。
此举可防止未经授权访问开发者帐户,并保护数百万个网站免受潜在的供应链攻击,从而支持平台的安全性。WordPress 的新安全政策旨在通过确保开发者帐户(可以直接将代码更新推送到网站)受到不仅仅是密码的保护来保护其用户。
为什么 WordPress 强制使用 2FA
WordPress 决定对插件和主题开发人员强制实施双因素身份验证不仅仅是一种预防措施,也是对针对该平台日益增多的网络攻击的直接回应。
近年来,供应链攻击已成为一个严重问题,利用被盗用的开发人员账户将恶意代码注入受信任的插件或主题。这些攻击可能会造成灾难性的后果,通过引入后门、恶意软件甚至加密挖掘脚本,影响数千甚至数百万个网站。
问题的根源在于密码重复使用和薄弱的安全措施。许多开发人员和普通用户一样,可能会在多个平台上重复使用密码。
如果一个帐户因其他地方的数据泄露而受到损害,攻击者可以使用相同的凭据访问开发人员的 WordPress 帐户。
对于具有“提交权限”的帐户来说,这尤其危险,这意味着他们可以直接更改插件或主题代码,从而可能推出恶意更新。
对于 WordPress 来说,风险极高。全球 40% 的网站都依赖其平台,插件或主题生态系统中的任何漏洞都可能造成大面积破坏。这尤其成问题,因为许多 WordPress 网站会自动推出插件更新,这使得受损代码很容易渗透到众多网站,而无需网站所有者进行任何手动干预。
了解双因素身份验证
双因素身份验证是保护在线帐户安全的关键步骤,现在所有 WordPress 插件和主题开发人员都必须使用双因素身份验证。那么,2FA 到底是什么?它如何增强安全性?
2FA 在您的用户名和密码之外提供了额外的保护层。当开发人员登录他们的 WordPress 帐户时,他们必须提供第二种验证形式,通常是身份验证器应用程序或硬件密钥生成的一次性代码。
它确保即使有人获得了开发人员的密码,他们也无法在没有二次验证的情况下访问该帐户。
这一额外的安全层至关重要,因为单靠密码通常是不够的。
攻击者可以通过网络钓鱼或数据泄露等各种方法获取密码,但 2FA 使得入侵账户的难度成倍增加。
黑客需要窃取开发人员的密码并获取其 2FA 方法的访问权限,例如智能手机或硬件密钥。
简而言之,它显著提高了屏障,防止了未经授权的访问。
额外的安全措施:SVN 密码
除了双因素身份验证之外,WordPress 还通过 Subversion (SVN) 密码引入了另一层开发人员保护。这些专用密码将用于提交平台上插件和主题的更改,从而确保即使主帐户被盗,黑客也无法直接将恶意代码注入WordPress 生态系统。
SVN 密码与主要的 WordPress 登录凭据是分开的,这意味着即使有人未经授权访问开发人员的帐户,他们也无法自动修改插件或主题代码。
这种权限分离减少了违规过程中可能发生的潜在损害。本质上,SVN 密码创建了一个额外的检查点,使攻击者更难在未经适当授权的情况下对 WordPress 插件进行更改。
这一额外的安全措施不仅保护了代码的完整性,而且还维护了依赖这些插件和主题的网站所有者的信任。
开发人员如何做好准备
随着 2024 年 10 月 1 日双因素身份验证截止日期的临近,WordPress 开发人员必须采取主动措施来保护其帐户并确保遵守平台的新安全措施。以下是开发人员可以如何做好准备:
启用 2FA
WordPress 让插件和主题开发人员能够相对轻松地启用 2FA。开发人员可以选择使用密码验证器应用程序或硬件密钥。
身份验证器应用(例如 Google Authenticator 或 Authy)会生成一次性使用的代码,这些代码在有限的时间内有效。需要这些代码和开发人员的密码才能登录他们的 WordPress 帐户。
或者,可以使用 YubiKey 等硬件密钥来实现更安全的双因素身份验证方法。
要启用 2FA,开发人员可以按照以下步骤操作:
1. 登录 WordPress 帐户。
2. 导航到帐户设置。
3. 选择双重身份验证选项。
4. 选择身份验证器应用程序或硬件密钥,然后根据提示完成设置。
开发人员可以按如下方式设置 SVN 密码:
1. 转到 WordPress.org 开发者帐户设置。
2. 转到安全设置。
3. 找到设置 SVN 密码的选项。
4. 创建一个专门用于 SVN 访问的强大且唯一的密码。
安全最佳实践
除了启用 2FA 和设置 SVN 密码之外,开发人员还应采用其他安全最佳实践来进一步保护他们的帐户:
使用强密码:确保密码唯一、长且复杂,避免在多个平台上重复使用密码。
定期更新软件:保持所有软件程序(包括 WordPress 主题和插件)保持最新版本,以修补任何(及所有)漏洞。
审查管理员访问权限:定期审核谁有权访问 WordPress 管理面板,并确保只向绝对需要的人授予权限。
这对网站所有者意味着什么
虽然新的安全措施直接影响 WordPress 开发人员,但它们对网站所有者也具有重大影响。双因素身份验证的要求和 SVN 密码的引入应该会让网站所有者对他们所依赖的插件和主题的安全性更有信心。
使用更严格的安全协议,受感染的插件给网站带来漏洞的可能性大大降低。
增强信任和安全
对于网站所有者来说,新的 2FA 要求意味着对 WordPress 插件和主题完整性的信任度增强。由于插件是许多 WordPress 网站功能不可或缺的一部分(无论是添加新功能、改进 SEO 还是增强安全性),因此这些工具不被泄露至关重要。
强制性 2FA 可确保只有经过验证的开发人员才能访问和更新代码,从而降低未经授权的更改(可能引入恶意软件或导致网站入侵)的风险。
最大限度降低您的风险
尽管 WordPress 实施了这些安全升级,网站所有者仍必须对其网站安全负责。遵循最佳实践(例如定期更新插件和主题、使用强密码以及实施自己的 2FA)仍然至关重要。网站所有者还应监控其网站是否存在异常活动,因为即使采取了这些增强措施,也没有哪个系统是万无一失的。
自动更新与手动审核
自动更新对于确保插件和主题保持最新状态非常方便,但如果没有经过适当审查,它们也可能带来风险。虽然 WordPress 的新安全策略将受感染更新推送的可能性降到最低,但管理关键任务网站的网站所有者可能仍然倾向于在应用更新之前手动检查更新。这一额外的监督层可以成为整体安全策略的重要组成部分。
展望未来
虽然 WordPress 正在采取重要措施来保护其生态系统,但对于开发人员和网站所有者来说,保持警惕并遵循帐户和网站安全的最佳实践仍然至关重要。
随着网络威胁形势的不断发展,WordPress 的主动措施有助于确保其平台长期保持安全和可信。引入 2FA 不仅仅是一项新要求,更是加强 WordPress 生态系统抵御不断演变的安全威胁的关键一步。
将密码管理解决方案与网络安全实践相结合,进一步加强您的安全态势。
