WordPress.org 致力於保護在 WordPress 生態系中扮演關鍵角色的帳號。具備提交存取權限的帳號,可以將外掛及佈景主題的更新及變更推送至全球數以百萬計的 WordPress 網站;保護這些帳號的安全性,對於防止未經授權的存取、維護 WordPress.org 社群的安全及信任來說非常重要。
作為這些持續工作的一部分,我們導入了一項新的安全要求:從 2024 年 10 月 1 日開始,強制對外掛及佈景主題開發者帳號進行兩步驟驗證 (2FA)。
除了強制啟用兩步驟驗證外,我們還導入 SVN 密碼,將開發者帳號的密碼替換為 SVN 專屬密碼以提交程式碼變更。
為帳號進行兩步驟驗證組態
開發者可能已經注意到登入 WordPress.org 時會顯示鼓勵設定兩步驟驗證的提示訊息,如果尚未完成設定,請造訪這個連結。
請確保會安全地儲存備用驗證碼,當無法存取兩步驟驗證方法及備用驗證碼時,重新取得帳號存取權限的過程可能並不容易。
區隔 WordPress.org 帳號及 SVN 密碼
這次改進導入了 SVN 密碼功能,將提交程式碼的存取權限從 WordPress.org 主帳號認證進行區隔。SVN 密碼的作用類似應用程式密碼或額外的使用者帳號密碼,它可以保護使用者的主密碼免遭洩露,並能讓使用者輕鬆撤銷 SVN 的存取權限,而不需變更對應的 WordPress.org 認證。使用者可以在個人的 WordPress.org 個人資料頁面中產生 SVN 密碼。
如果開發者採用如 GitHub 動作 (Action) 的開發指令碼,則必須更新指令碼中儲存的 SVN 密碼。
SVN 不採用兩步驟驗證的原因
由於受到 SVN 的技術限制,兩步驟驗證無法套用至現有的程式碼存放庫,因此我們決定採用帳號層級的兩步驟驗證、高度雜湊的 SVN 密碼及其他部署時的安全性功能組合 (例如 [發佈確認]) 以加強 WordPress.org 上的程式碼安全性。
尋求協助
設定兩步驟驗證時如果遇到任何問題,請依照〈Configuring Two-Factor Authentication〉一文中所提及的內容進行設定及疑難排解。
此外,也可以在〈Subversion Access〉一文中找到產生 SVN 密碼的相關資訊。
如果是外掛開發者,請閱讀 @chriscct7 所撰寫的〈Keeping Your Plugin Committer Accounts Secure〉一文,極具參考價值。
如果發現程式碼錯誤、想要意見反應或需要更多技術支援,請前往 #meta Slack 頻道尋求協助,或前往原始文章來源提出 (譯者阿力獅註:不是這篇譯文)。請注意,交流過程中千萬不要分享個人資訊。
內容來源
本篇內容來自官方公告〈Upcoming Security Changes for Plugin and Theme Authors on WordPress.org〉。
發佈留言
很抱歉,必須登入網站才能發佈留言。