Para dificultar o acesso dos invasores aos repositórios de código do WordPress, o registro está sendo reforçado.

Os desenvolvedores de plug-ins e temas para sites WordPress têm permissão para, entre outras coisas, distribuir patches para milhões de sites. Se um invasor se envolver neste momento, poderá ter consequências de longo alcance e, na pior das hipóteses, uma atualização contendo código malicioso contaminará inúmeros sites.

Proteção de acesso
Para evitar tais ataques, os responsáveis ​​pelo WordPress estão agora endurecendo o processo de registro . A partir de 1º de outubro de 2024, os desenvolvedores de plugins e temas deverão habilitar a autenticação de dois fatores (2FA) em suas contas. A ativação é obrigatória.

Se o 2FA estiver ativo, os desenvolvedores precisarão de um código além da senha para fazer login, gerado por um aplicativo autenticador. Se um invasor souber apenas uma senha, isso não será suficiente para fazer login. Os responsáveis ​​pelo WordPress explicam como os desenvolvedores ativam o 2FA em um post .

Senhas separadas
Além disso, eles anunciam que os desenvolvedores receberão uma senha do Subversion (SVN) , além da senha da conta principal do WordPress, para fazer login e obter acesso de commit. Esta separação de senha visa garantir segurança adicional. Por exemplo, desenvolvedores de plug-ins e temas podem revogar sua senha SVN após um incidente de segurança sem precisar alterar sua conta principal. As senhas SVN podem ser geradas no perfil do WordPress.

No entanto, por razões técnicas, o 2FA não é compatível com senhas SVN. Neste cenário, o 2FA só pode fornecer segurança adicional para a conta principal. Em um artigo, os responsáveis ​​pelo WordPress descrevem outras práticas para proteger as contas dos desenvolvedores contra ataques .

Fonte:
https://www.heise.de/news/WordPress-2FA-wird-verpflichtend-fuer-Plug-in-und-Theme-Entwickler-9865670.html