Wordpress führt Zwei-Faktor-Authentifizierung ein
Wordpress-Konten mit Commit-Zugang müssen ab dem 1. Oktober die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Damit soll das Risiko unbefugter Zugriffe und möglicher Lieferkettenangriffe reduzieren.

Durch Cyberattacken kann der Code eines Wordpress-Themes oder -Plugins so verändert werden, dass er Schwachstellen oder Hintertüren enthält, die einen unbefugten Zugriff auf Websites ermöglichen. Um dieses Risiko zu minimieren, müssen Konten, die Updates und Änderungen an Plugins und Themes durchführen können, auf der Wordpress-Plattform künftigt die 2FA aktivieren, berichtet "Bleepingcomputer". Dies können die Konto-Inhaberinnen und Inhaber über das Sicherheitsmenü des Kontos einstellen. Die Regel gilt ab dem 1. Oktober 2024.
Die Entscheidung sei Teil der Bemühungen des Plugin-Review-Teams von Wordpress, das Risiko unbefugter Zugriffe und möglicher Lieferkettenangriffe zu reduzieren, heisst es weiter.
Ausserdem führt Wordpress auch SVN-spezifische Passwörter ein, die den Zugriff auf Codeänderungen von Zugangsdaten des Hauptkontos trennen. Plugin-Autoren, die Deployment-Skripte wie GitHub Actions verwenden, müssen ihre Skripte aktualisieren, um die neuen SVN-spezifischen Passwörter zu verwenden.
Wordpress erklärt in einer Mitteilung, dass 2FA wegen technischer Einschränkungen nicht auf bestehende Code-Repositories angewendet werden kann, und setzt stattdessen auf eine Kombination aus Konto-2FA, hochentropischen SVN-Passwörtern und weiteren Sicherheitsmassnahmen während der Bereitstellung.
Übrigens: Larry Ellison hat in seiner Keynote an der Oracle Cloud World unter anderem auch über KI und Cloud-Sicherheit gesprochen. Dabei erklärte er, warum Passwörter böse sind. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Der Innovation auf die Finger geschaut

Update: Ex-Google-Forscher verlassen OpenAIs Zürcher Büro für Meta

Digitale Souveränität sichern – Strategien für die Cloud

Finanzwelt von morgen: KI, Sicherheit und das Rückgrat der Rechenzentren

Wie ISAE-Standards Sicherheit im Finanzsektor schaffen

Update: Doch kein Phishing mit Fake-Tickets für UEFA-Frauenfinal

E-ID als Katalysator für QES und den digitalen Wandel des Finanzwesens

Multi-Cloud beherrschen – KI bringt Ordnung ins Chaos

Update: Strafverfahren eröffnet wegen Russland-Skandal beim Schweizer Geheimdienst
