Wordpress führt Zwei-Faktor-Authentifizierung ein

Durch Cyberattacken kann der Code eines Wordpress-Themes oder -Plugins so verändert werden, dass er Schwachstellen oder Hintertüren enthält, die einen unbefugten Zugriff auf Websites ermöglichen. Um dieses Risiko zu minimieren, müssen Konten, die Updates und Änderungen an Plugins und Themes durchführen können, auf der Wordpress-Plattform künftigt die 2FA aktivieren, berichtet "Bleepingcomputer". Dies können die Konto-Inhaberinnen und Inhaber über das Sicherheitsmenü des Kontos einstellen. Die Regel gilt ab dem 1. Oktober 2024.

Die Entscheidung sei Teil der Bemühungen des Plugin-Review-Teams von Wordpress, das Risiko unbefugter Zugriffe und möglicher Lieferkettenangriffe zu reduzieren, heisst es weiter.

Ausserdem führt Wordpress auch SVN-spezifische Passwörter ein, die den Zugriff auf Codeänderungen von Zugangsdaten des Hauptkontos trennen. Plugin-Autoren, die Deployment-Skripte wie GitHub Actions verwenden, müssen ihre Skripte aktualisieren, um die neuen SVN-spezifischen Passwörter zu verwenden.

Wordpress erklärt in einer Mitteilung, dass 2FA wegen technischer Einschränkungen nicht auf bestehende Code-Repositories angewendet werden kann, und setzt stattdessen auf eine Kombination aus Konto-2FA, hochentropischen SVN-Passwörtern und weiteren Sicherheitsmassnahmen während der Bereitstellung.

Übrigens: Larry Ellison hat in seiner Keynote an der Oracle Cloud World unter anderem auch über KI und Cloud-Sicherheit gesprochen. Dabei erklärte er, warum Passwörter böse sind. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.