À partir d’octobre 2024, WordPress exigera que les auteurs de plugins et de thèmes activent l’authentification à deux facteurs (2FA) et utilisent des mots de passe spécifiques à SVN pour l’accès aux validations, renforçant ainsi la sécurité de millions de sites Web et de développeurs dans le monde entier.
WordPress, la plateforme de système de gestion de contenu (CMS) qui alimente plus de 478 millions de sites Web dans le monde, prend des mesures pour améliorer la sécurité de sa base d’utilisateurs et de sa communauté de développeurs. Pour empêcher les accès et modifications non autorisés aux plugins et aux thèmes, la plateforme mettra en œuvre de nouveaux protocoles de sécurité de connexion à partir d’octobre 2024.
Les plugins WordPress jouent un rôle essentiel pour maintenir les sites Web à jour avec de nouvelles fonctionnalités. Cependant, au fil des ans, ils sont également devenus une menace majeure pour la cybersécurité. Des vulnérabilités zero-day aux logiciels malveillants dans les plugins, des millions de sites Web ont été compromis ces dernières années. Il était temps que l’entreprise introduise de nouvelles options d’authentification de sécurité.
L’authentification forte 2FA arrive sur WordPress
Le changement concerne les propriétaires de sites WordPress, les auteurs et les administrateurs qui ont un accès de validation, leur permettant d’apporter des modifications aux composants de sites Web largement utilisés. Ces personnes devront désormais activer l’authentification à deux facteurs (2FA) sur leurs comptes. 2FA ajoute une couche de protection supplémentaire, obligeant les utilisateurs à fournir une deuxième forme de vérification, comme un code d’une application pour smartphone, en plus de leur mot de passe.
Mot de passe SVN
Mais WordPress.org ne s’arrête pas là. Ils mettent également en œuvre une nouvelle fonctionnalité de sécurité : les mots de passe SVN (Subversion). Cela sépare l’accès de validation de l’auteur de ses identifiants de compte WordPress.org principaux. Ce mot de passe SVN ajoute une couche de sécurité, permettant aux auteurs de révoquer l’accès de validation sans compromettre leur compte principal.
L’explication derrière cette décision est de fournir une défense solide contre les violations potentielles. En séparant l’accès au code des identifiants de compte généraux, WordPress limite efficacement les dommages possibles d’une seule connexion compromise.
Selon l’annonce faite par la société mercredi, bien que la plateforme ait envisagé d’intégrer la 2FA au système de référentiel de code, elle a choisi de ne pas le faire en raison des limitations techniques de son infrastructure actuelle de gestion de code.
Ces nouvelles exigences sont une bonne nouvelle pour les utilisateurs de WordPress et jouent un rôle important dans la protection de centaines de millions de sites Web contre les escroqueries, les failles de sécurité, les dégradations et autres problèmes de sécurité.
