Vor über 6 Jahren habe ich hier auf KrautPress.de einen Artikel über Zwei-Faktor-Authentifizierung geschrieben, auf den ich heute noch gerne verweise, wann immer ich über die Sicherheit von WordPress (oder eigentlich jede Art von Online-Account) spreche.

In der Zwischenzeit hat sich meine Begeisterung für Zwei-Faktor-Authentifizierung kein bisschen getrübt. Und deshalb war ich besonders angetan, als ich vor einigen Monaten von den Plänen gehört habe, die Accounts von Benutzer*innen auf WordPress.org mit einer Zwei-Faktor-Authentifizierung zu sichern. Genau die ist seit heute Nacht offiziell als Beta-Test verfügbar.

Weiterlesen: Zwei-Faktor-Authentifizierung: WordPress.org ist sicherer geworden

Ab sofort können angemeldete Benutzer*innen auf WordPress.org ihren Account also zusätzlich absichern. Das Meta-Team greift dafür auf dasselbe Plugin zurück, das ich seit 2016 immer wieder empfohlen habe, hat aber ein eigenes sehr gelungenes Interface ergänzt.

Einrichtung auf WordPress.org

Ein Besuch auf wordpress.org/support/users/profile/edit/account/ befördert uns direkt auf die fragliche Seite.

Screenshot der Account-Einstellungen auf WordPress.org. Neben Links zum Setzen von Passwort und E-Mail-Adresse finden sich hier auch Links zum Aufsetzen von Zwei Faktor Authentifizierung und Backup-Codes.

Von hier aus lässt sich mit wenigen Klicks nicht nur der zweite Faktor an sich einrichten, sondern auch einige Backup-Codes generieren. Letztere sind ausgedruckt, abgespeichert oder abgeheftet eine geschickte Alternative, falls die passende App für die Zwei-Faktor-Authentifizierung mal nicht zur Verfügung steht.

Screenshot von WordPress.org. Dialog, der zum Speichern frisch generierter Backup-Codes auffordert.

Wer sich noch etwas weiter voran wagen möchte, hat außerdem demnächst die Möglichkeit, einen Passkey als zweiten Faktor zu benutzen. Passkeys werden im Moment unter anderem von Apple, Microsoft und Google als Standard zur passwortlosen Authentifizierung vorangetrieben. Das Meta-Team arbeitet derzeit auch hierfür an einem passenden Interface.

Ausblick

Für den Moment ist der Einsatz eines zweiten Faktors optional, das Team denkt aber laut darüber nach, die zusätzliche Absicherung etwa für Plugin- oder Theme-Entwickler*innen verpflichtet zu machen.

Das ist unterm Strich eine wunderbare Neuigkeit für die allgemeine Sicherheit im WordPress-Ökosystem. Aber neben den sofortigen Sicherheitsgewinnen hoffe ich, dass der Einsatz des Two-Factor-Plugins auf WordPress.org der weiteren Integration von 2FA und Passkeys im WordPress-Core einen Vorschub leistet.