Vor über 6 Jahren habe ich hier auf KrautPress.de einen Artikel über Zwei-Faktor-Authentifizierung geschrieben, auf den ich heute noch gerne verweise, wann immer ich über die Sicherheit von WordPress (oder eigentlich jede Art von Online-Account) spreche.
In der Zwischenzeit hat sich meine Begeisterung für Zwei-Faktor-Authentifizierung kein bisschen getrübt. Und deshalb war ich besonders angetan, als ich vor einigen Monaten von den Plänen gehört habe, die Accounts von Benutzer*innen auf WordPress.org mit einer Zwei-Faktor-Authentifizierung zu sichern. Genau die ist seit heute Nacht offiziell als Beta-Test verfügbar.
Weiterlesen: Zwei-Faktor-Authentifizierung: WordPress.org ist sicherer gewordenAb sofort können angemeldete Benutzer*innen auf WordPress.org ihren Account also zusätzlich absichern. Das Meta-Team greift dafür auf dasselbe Plugin zurück, das ich seit 2016 immer wieder empfohlen habe, hat aber ein eigenes sehr gelungenes Interface ergänzt.
Einrichtung auf WordPress.org
Ein Besuch auf wordpress.org/support/users/profile/edit/account/ befördert uns direkt auf die fragliche Seite.
Von hier aus lässt sich mit wenigen Klicks nicht nur der zweite Faktor an sich einrichten, sondern auch einige Backup-Codes generieren. Letztere sind ausgedruckt, abgespeichert oder abgeheftet eine geschickte Alternative, falls die passende App für die Zwei-Faktor-Authentifizierung mal nicht zur Verfügung steht.
Wer sich noch etwas weiter voran wagen möchte, hat außerdem demnächst die Möglichkeit, einen Passkey als zweiten Faktor zu benutzen. Passkeys werden im Moment unter anderem von Apple, Microsoft und Google als Standard zur passwortlosen Authentifizierung vorangetrieben. Das Meta-Team arbeitet derzeit auch hierfür an einem passenden Interface.
Ausblick
Für den Moment ist der Einsatz eines zweiten Faktors optional, das Team denkt aber laut darüber nach, die zusätzliche Absicherung etwa für Plugin- oder Theme-Entwickler*innen verpflichtet zu machen.
Das ist unterm Strich eine wunderbare Neuigkeit für die allgemeine Sicherheit im WordPress-Ökosystem. Aber neben den sofortigen Sicherheitsgewinnen hoffe ich, dass der Einsatz des Two-Factor-Plugins auf WordPress.org der weiteren Integration von 2FA und Passkeys im WordPress-Core einen Vorschub leistet.