makeブログで告知 “Upcoming Security Changes for Plugin and Theme Authors on WordPress.org” があったとおり、2024年10月1日からWordPress公式ディレクトリに掲載しているプラグインとテーマの作者は2段階認証(2FA)が義務化される。2段階認証は現時点でもプロフィールページから登録できる。
この変更は「プラグイン・テーマ作者のセキュリティを高めるため」とあるが、明らかに以前お伝えしたサプライチェーン攻撃(他のサービスでのパスワード漏洩によりパスワードを使い回していたプラグイン作者のアカウントが漏洩した)によるものだろう。
さて、これ自体はエコシステムがより安全になるため、歓迎すべきことだが、困ってしまうのが筆者のようにWordPress.orgのSVNに対してGitHub Actionsなどで自動デプロイをしているケースである。これに対応するため、SNVパスワードという仕組みが新たに導入された。プロフィール画面から生成できるようだ。
これまで、自動デプロイであっても本物のアカウントのパスワードを利用しなければならなかったが、SVNパスワードを利用することによって、仮にSVNパスワードが漏洩しても、プロフィール画面からrevoke(無効化)することができる。安全性は高まるといえるだろう。
なお、SNVパスワードに2段階認証がない理由としては、既存SVNリポジトリの技術的な制約によるものらしい。筆者はAWSでバックエンド処理を行うツールを作ろうとしたが2段階認証必須のアカウントなので無理だった、という苦い経験があるので、2段階認証がない方がありがたい。
なんにせよ、プラグイン・テーマ作者は次のことをしておく必要がありそうだ。
- WordPress.orgのアカウントに2段階認証を設定する。
- SVNパスワードを生成する。
- (必要なら)GitHub Actionsなどの認証情報(e.g. repository secrets)を新しいSVNパスワードに設定しなおす。
- あわせて、リリース確認通知を採用する。
自分では特に悪いことをしていなくても、攻撃者の側がどんどん巧妙になっているので、おすすめのセキュリティ設定は行っておこう。
コメントを残す