/https://www.ilsoftware.it/app/uploads/2024/09/wordpress-autenticazione-due-fattori-2FA.jpg "Perché WordPress richiede l'autenticazione a due fattori agli sviluppatori")
L’autenticazione a due fattori (2FA), lo sappiamo, è uno strumento prezioso per difendersi dall’azione dei criminali informatici. È ormai diventata “un must”: oltre al nome utente e alla password, per accedere a un servizio che supporta la 2FA con le credenziali corrette, è necessario autorizzare l’operazione confermando un codice OTP generato su un proprio dispositivo, utilizzare il riconoscimento dell’impronta digitale o altre verifiche biometriche, in generale superare una challenge.
A partire dal 1° ottobre 2024, gli account WordPress.org che possono inviare aggiornamenti e modifiche a plugin e temi, dovranno obbligatoriamente attivare l’autenticazione a due fattori.
La mossa è facilmente comprensibile: WordPress mira a preservare l’integrità e la sicurezza dei componenti aggiuntivi offerti attraverso il sito. Può accadere, infatti, che la “catena di fornitura” venga in qualche modo aggredita: si pensi alle situazioni in cui il sistema di uno sviluppatore o di qualche collaboratore viene violato. Gli aggressori possono sottrarre le credenziali WordPress.org e usarle, ad esempio, per caricare una versione pericolosa di un plugin.
In questi frangenti il problema, a seconda della popolarità del plugin, può diventare drammatico. Immaginate un plugin contenente codice dannoso distribuito attraverso i canali ufficiali: gli utenti di WordPress lo caricheranno sulle loro installazioni senza porsi domande e a quel punto gli attaccanti potrebbero guadagnare le chiavi di accesso a migliaia o milioni di siti Web.
Per quali account WordPress è necessaria l’autenticazione a due fattori
Purtroppo, gli attacchi alla supply chain (catena di fornitura) stanno diventando sempre più frequenti. Capita che, per i motivi spiegati nell’introduzione, gruppi di aggressori riescano a farsi largo all’interno di progetti open source e commerciali.
Nel caso di WordPress, per scongiurare qualunque rischio, dal 1° ottobre 2024 l’autenticazione a due fattori deve essere attivata su tutti gli account che hanno un accesso commit sulla piattaforma WordPress.org.
Gli amministratori degli account possono abilitare l’impostazione dal menu Sicurezza, seguendo le istruzioni disponibili qui.
Credit immagine in apertura: Microsoft Copilot Designer
/https://www.ilsoftware.it/app/uploads/2024/09/app-windows-11-piu-veloci-50-percento.jpg "App Windows 11 il 50% più veloci: come può accadere")
/https://www.ilsoftware.it/app/uploads/2024/09/rust-linux-polemiche.jpg "Rust e Linux: accesa polemica e un maintainer del kernel se ne va")
/https://www.ilsoftware.it/app/uploads/2024/08/wine-mono-project.jpg "Microsoft dona a Wine il progetto Mono: cosa significa")
/https://www.ilsoftware.it/app/uploads/2024/08/zed-ai-sviluppare-codice-llm.jpg "Non perdetevi Zed AI: l'editor di testo si arricchisce dell'intelligenza artificiale")