WordPress: 2FA wird verpflichtend für Plug-in- und Theme-Entwickler
Um Angreifern den Zugriff auf Code Repositories von WordPress zu erschweren, wird die Anmeldung verschärft.
Plug-in- und Theme-Entwickler für WordPress-Websites haben Berechtigungen, um unter anderem Patches an Millionen Websites zu verteilen. Klinkt sich an dieser Stelle ein Angreifer ein, kann das weitreichende Folgen haben und im schlimmsten Fall verseucht ein mit Schadcode präpariertes Update unzählige Websites.
Zugriffsschutz
Um solchen Attacken vorzubeugen, härten die WordPress-Verantwortlichen nun das Anmeldeverfahren. Ab 1. Oktober 2024 müssen Plug-in- und Theme-Entwickler in ihrem Account die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Die Aktivierung ist verpflichtend.
Ist 2FA aktiv, benötigen Entwickler zum Anmelden neben ihrem Passwort noch einen Code, den etwa eine Authenticator-App erzeugt. Kennt ein Angreifer nur ein Kennwort, genügt das nicht, um sich anzumelden. Wie Entwickler 2FA aktivieren, führen die WordPress-Verantwortlichen in einem Beitrag aus.
Getrennte Passwörter
Darüber hinaus geben sie bekannt, dass Entwickler zusätzlich zu ihrem Passwort für ihren Haupt-WordPress-Account noch ein Subversion-Kennwort (SVN) bekommen, um sich für den Commit-Zugang anzumelden. Diese Passwort-Separierung soll zusätzlich Sicherheit garantieren. So können Plug-in- und Theme-Entwickler etwa nach einem Sicherheitsvorfall ihr SVN-Passwort widerrufen, ohne ihren Hauptaccount ändern zu müssen. SVN-Passwörter kann man im WordPress-Profil generieren.
Aus technischen Gründe ist 2FA aber nicht mit SVN-Passwörtern kompatibel. 2FA kann in diesem Szenario demzufolge nur den Hauptaccount zusätzlich absichern. In einem Beitrag führen die WordPress-Verantwortlichen weitere Praktiken aus, um Entwickler-Accounts vor Attacken abzusichern.
(des)