サイトアイコン Capital P

WordPressのプラグイン・テーマ作者は2段階認証義務化

makeブログで告知 “Upcoming Security Changes for Plugin and Theme Authors on WordPress.org” があったとおり、2024年10月1日からWordPress公式ディレクトリに掲載しているプラグインとテーマの作者は2段階認証(2FA)が義務化される。2段階認証は現時点でもプロフィールページから登録できる。

この変更は「プラグイン・テーマ作者のセキュリティを高めるため」とあるが、明らかに以前お伝えしたサプライチェーン攻撃(他のサービスでのパスワード漏洩によりパスワードを使い回していたプラグイン作者のアカウントが漏洩した)によるものだろう。

さて、これ自体はエコシステムがより安全になるため、歓迎すべきことだが、困ってしまうのが筆者のようにWordPress.orgのSVNに対してGitHub Actionsなどで自動デプロイをしているケースである。これに対応するため、SNVパスワードという仕組みが新たに導入された。プロフィール画面から生成できるようだ。

SVNパスワードの生成画面

これまで、自動デプロイであっても本物のアカウントのパスワードを利用しなければならなかったが、SVNパスワードを利用することによって、仮にSVNパスワードが漏洩しても、プロフィール画面からrevoke(無効化)することができる。安全性は高まるといえるだろう。

なお、SNVパスワードに2段階認証がない理由としては、既存SVNリポジトリの技術的な制約によるものらしい。筆者はAWSでバックエンド処理を行うツールを作ろうとしたが2段階認証必須のアカウントなので無理だった、という苦い経験があるので、2段階認証がない方がありがたい。

なんにせよ、プラグイン・テーマ作者は次のことをしておく必要がありそうだ。

自分では特に悪いことをしていなくても、攻撃者の側がどんどん巧妙になっているので、おすすめのセキュリティ設定は行っておこう。

モバイルバージョンを終了