Tanger
Member
Neu: WordPress.org führt neue Sicherheitsmaßnahmen für Plugin- und Theme-Autoren ein
ein neuer Artikel auf WPTavern notiert wié folgt (vgl. Link unten):
Ab dem 1. Oktober 2024 führt WordPress.org neue Sicherheitsmaßnahmen ein, die darauf abzielen, die Sicherheit von Konten mit Commit-Zugriff auf Plugins und Themes zu erhöhen. Dies gab der von Automattic gesponserte Entwickler Dion Hulse bekannt.
Obligatorische Zwei-Faktor-Authentifizierung
Ab nächsten Monat wird WordPress.org die Zwei-Faktor-Authentifizierung (2FA) für alle Plugin- und Theme-Autoren zur Pflicht machen. Autoren können 2FA konfigurieren, indem sie ihre WordPress.org-Profile besuchen, und die Plattform hat bereits damit begonnen, sie dazu aufzufordern.
Dion Hulse betonte die Bedeutung der sicheren Speicherung von Backup-Codes, da der Verlust des Zugriffs sowohl auf 2FA-Methoden als auch auf Backup-Codes die Kontowiederherstellung erschweren könnte.
SVN-Passwörter für Commit-Zugriff
WordPress.org wird außerdem SVN-Passwörter zum Übertragen von Änderungen an Plugins und Themes einführen. Diese Funktion trennt den Commit-Zugriff von den Anmeldeinformationen des Hauptkontos von WordPress.org und bietet so eine zusätzliche Sicherheitsebene. Autoren können SVN-Passwörter über ihre Profile generieren und so sicherstellen, dass die Passwörter ihres Hauptkontos geschützt sind. Diejenigen, die Bereitstellungsskripte wie GitHub Actions verwenden, müssen ihre gespeicherten Passwörter mit diesen neuen SVN-Anmeldeinformationen aktualisieren.
Für diejenigen, die sich fragen, warum das Plugin-Review-Team 2FA nicht mit SVN verwendet, erklärt Dion: „Aufgrund technischer Einschränkungen kann 2FA nicht auf unsere bestehenden Code-Repositories angewendet werden, deshalb haben wir uns entschieden, den WordPress.org-Code durch eine Kombination aus zu sichern.“ Zwei-Faktor-Authentifizierung auf Kontoebene, SVN-Passwörter mit hoher Entropie und andere Sicherheitsfunktionen zur Bereitstellungszeit (z. B. Release-Bestätigungen).“
Weitere Informationen finden Autoren in den Leitfäden zum Konfigurieren der Zwei-Faktor-Authentifizierung und des Subversion-Zugriffs sowie im Beitrag von Chris Christoff zum Thema „Keeping Your Plugin Committer Accounts Secure“.
Community-Reaktion
Die Community hat positiv auf diese Änderungen reagiert, wobei einige zum Ausdruck brachten, dass diese Aktualisierungen längst überfällig seien. „Zumindest waren wir früher dran, als jemand den Mars betrat“, scherzte Entwickler Toma Todua.
Vor kurzem hat das WordPress-Plugin-Team seine Bemühungen zur Verbesserung der Plattformsicherheit verstärkt. Im Juni stoppten sie vorübergehend die Veröffentlichung von Plugins und zwangen alle Plugin-Autoren, ihre Passwörter zurückzusetzen, nachdem fünf WordPress.org-Benutzerkonten kompromittiert worden waren.
weitere Infos - Hintergründe und Links
the wordpress-article:
Keeping Your Plugin Committer Accounts Secure:
Configuring Two-Factor Authentication:
ein neuer Artikel auf WPTavern notiert wié folgt (vgl. Link unten):
Ab dem 1. Oktober 2024 führt WordPress.org neue Sicherheitsmaßnahmen ein, die darauf abzielen, die Sicherheit von Konten mit Commit-Zugriff auf Plugins und Themes zu erhöhen. Dies gab der von Automattic gesponserte Entwickler Dion Hulse bekannt.
Obligatorische Zwei-Faktor-Authentifizierung
Ab nächsten Monat wird WordPress.org die Zwei-Faktor-Authentifizierung (2FA) für alle Plugin- und Theme-Autoren zur Pflicht machen. Autoren können 2FA konfigurieren, indem sie ihre WordPress.org-Profile besuchen, und die Plattform hat bereits damit begonnen, sie dazu aufzufordern.
Dion Hulse betonte die Bedeutung der sicheren Speicherung von Backup-Codes, da der Verlust des Zugriffs sowohl auf 2FA-Methoden als auch auf Backup-Codes die Kontowiederherstellung erschweren könnte.
SVN-Passwörter für Commit-Zugriff
WordPress.org wird außerdem SVN-Passwörter zum Übertragen von Änderungen an Plugins und Themes einführen. Diese Funktion trennt den Commit-Zugriff von den Anmeldeinformationen des Hauptkontos von WordPress.org und bietet so eine zusätzliche Sicherheitsebene. Autoren können SVN-Passwörter über ihre Profile generieren und so sicherstellen, dass die Passwörter ihres Hauptkontos geschützt sind. Diejenigen, die Bereitstellungsskripte wie GitHub Actions verwenden, müssen ihre gespeicherten Passwörter mit diesen neuen SVN-Anmeldeinformationen aktualisieren.
Für diejenigen, die sich fragen, warum das Plugin-Review-Team 2FA nicht mit SVN verwendet, erklärt Dion: „Aufgrund technischer Einschränkungen kann 2FA nicht auf unsere bestehenden Code-Repositories angewendet werden, deshalb haben wir uns entschieden, den WordPress.org-Code durch eine Kombination aus zu sichern.“ Zwei-Faktor-Authentifizierung auf Kontoebene, SVN-Passwörter mit hoher Entropie und andere Sicherheitsfunktionen zur Bereitstellungszeit (z. B. Release-Bestätigungen).“
Weitere Informationen finden Autoren in den Leitfäden zum Konfigurieren der Zwei-Faktor-Authentifizierung und des Subversion-Zugriffs sowie im Beitrag von Chris Christoff zum Thema „Keeping Your Plugin Committer Accounts Secure“.
Community-Reaktion
Die Community hat positiv auf diese Änderungen reagiert, wobei einige zum Ausdruck brachten, dass diese Aktualisierungen längst überfällig seien. „Zumindest waren wir früher dran, als jemand den Mars betrat“, scherzte Entwickler Toma Todua.
Vor kurzem hat das WordPress-Plugin-Team seine Bemühungen zur Verbesserung der Plattformsicherheit verstärkt. Im Juni stoppten sie vorübergehend die Veröffentlichung von Plugins und zwangen alle Plugin-Autoren, ihre Passwörter zurückzusetzen, nachdem fünf WordPress.org-Benutzerkonten kompromittiert worden waren.
weitere Infos - Hintergründe und Links
the wordpress-article:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Keeping Your Plugin Committer Accounts Secure:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Configuring Two-Factor Authentication:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren