14. Sicherheitshinweis

·

Verschiedene Angriffe auf WordPress-Benutzerkonten haben dazu geführt, dass mehrere Plugins kompromittiert wurden und der Zugriff auf Tausende von Websites ermöglicht wurde.

Du kannst diesen Podcast über Pocket Casts, Spotify und Apple Podcasts anhören oder den Feed direkt abonnieren.

Transkript

Hallo, ich bin Simon Kraft und ihr hört den WordPress Podcast, mit den wöchentlichen Nachrichten aus der WordPress-Community.

Diese Folge behandelt die Woche vom 24. bis 30. Juni 2024.

Ist WordPress sicher? Die Antwort ist klar und einfach: ja. Allerdings ist wie in so vielen Bereichen oft der Mensch das schwächste Glied in der Kette, wenn es um IT-Sicherheit geht.

In der letzten Woche wurden wir Zeugen eines Angriffs auf einige WordPress.org-Konten. Die Angreifer nutzten dabei Zugangsdaten, die offenbar im Rahmen von Datenleaks auf anderen Plattformen bekannt wurden. Die Accounts von mindestens fünf Plugin-Entwicklern wurden kompromittiert, weil sie Passwörter von einer anderen Website auch für WordPress.org benutzten. Die so gekaperten Accounts wurden dann genutzt um Schad-Code in die Plugins der betroffenen Entwickler einzuschleusen.

Es gibt auf WordPress.org eine Reihe von Sicherheitsmaßnahmen, die Entwickler*innen nutzen können um Ihre Accounts zu sichern. Seit April 2021 gibt es etwa das Release Confirmation-System. Dieses System sendet eine E-Mail, jedes Mal wenn eine Änderung am Quelltext eines Plugins im offiziellen Verzeichnis vorgenommen wird. Erst wenn ein Link in dieser E-Mail angeklickt wird, wird die neue Version auch auf WordPress.org veröffentlicht.

Zusätzlich gibt es seit einigen Monaten die Option auf WordPress.org, eine zwei-Faktor-Authentifizierung zu aktivieren. Das bedeutet, dass auch wenn Passwörter bekannt werden, immer ein zweiter Faktor erforderlich ist. Dieser zweite Faktor kann zum Beispiel von einer extra App auf eine Smartphone generiert werden, ähnlich wie wir das von der Autorisierung im Online-Banking kennen.

Am Wochenende hat das Plugin-Team dann weitere Sicherheitsmaßnahmen ergriffen. In einer E-Mail wurden alle Account-Inhaber*innen, mit Zugriff auf Plugins darüber informiert, dass ihr Passwort zurückgesetzt wurde und neu vergeben werden muss. Bis auf weiteres ist außerdem die Einreichung neuer Plugins pausiert und alle Code-Änderungen an Plugins müssen vorübergehend durch das Plugin-Team freigegeben werden.

Aber das war nicht das einzige Sicherheits-Thema diese Woche. WordPress 6.5.5 wurde veröffentlicht und hat die Behebung dreier Sicherheitslücken im Gepäck.

Diese kleinen Patch-Updates sind so angelegt, dass sie sich in Funktionsumfang und Kompatibilität nicht von ihrer Hautpversion unterscheiden und deshalb in der Regel bedenkenlos installiert werden können.

WordPress 6.6 RC1

Und wo wir bei neuen Versionen sind: Der erste Release-Kandidat für WordPress 6.6 ist jetzt verfügbar. Diese Version sollte alle Funktionen umfassen, die auch in der finalen Version enthalten sein werden. Jetzt ist also ein guter Zeitpunkt, mit dem Testen zu beginnen, um die Kompatibilität von Plugins und Themes mit dem Update zu verifizieren, das voraussichtlich am 16. Juli erscheinen wird. Diese Veröffentlichung friert auch alle Textstrings für Übersetzungen ein und startet den WordPress 6.7-Zweig.

Mit dem Erscheinen dieses Release-Kandidaten wurde auch der WordPress 6.6 Field Guide veröffentlicht. Der Field Guide ist ein Dokument, das alle technischen Änderungen einer kommenden Version erklärt. Diese Version enthält viele Änderungen im Editor und in den Themes, im Gegensatz zur vorherigen Version, die mehr auf Leistung fokussiert war.

Core-Team

Das Core-Team stellt einen Vorschlag zur Einführung von Aliasen für Block-Varianten vor. Dieser Vorschlag zielt darauf ab, die Flexibilität und Konsistenz bei der Erstellung und Verwaltung von Block-Varianten innerhalb des Editors zu verbessern.

Diese Aliase würden die Wiederverwendung von Einstellungen und Stilen vorhandener Variationen ermöglichen, was den Entwicklungs- und Anpassungsprozess von Blöcken sowohl für Entwickler*innen als auch für Benutzer*innen vereinfachen könnte.

Design-Team

Das Design-Team hat mehrere Vorschläge präsentiert, an denen sie arbeiten, wie die Integration von Werkzeugen zum Bearbeiten von Hintergrundbildern im Editor.

Ein weiteres wichtiges Projekt, noch in einer Konzept-Phase, könnte die Möglichkeit sein, neue Spalten zum Data-View hinzuzufügen, mit Informationen aus individuellen Feldern. Zum Beispiel könnten so in einer Liste von Benutzer*innen die Telefonnummern in die Auflistung aufgenommen werden.

Polyglots-Team

Das Polyglots-Team erinnert daran, dass die Übersetzung der ausstehenden Strings für WordPress 6.6 jetzt verfügbar ist.

WordPress 6.6 enthält etwa 300 neue Strings von denen viele aus dem Gutenberg-Plugin stammen. Sie müssen vor dem Veröffentlichungstermin in die WordPress-Core-Sprachpakete aufgenommen werden. Zusätzlich zu den Änderungen in den Standard-Themes Twenty Twenty-Four, Twenty Three und Twenty Two.

Training-Team

Das Training-Team wird bald mit dem Testen und Überprüfen von GatherPress beginnen. GatherPress ist Tool, das entwickelt wurde, um die Organisation und Verwaltung von Community-Veranstaltungen in WordPress zu erleichtern. Das Team wird die verschiedenen Funktionen von GatherPress testen. Dabei stehen vor allem das Verwalten von Veranstaltungskalender, das Registrieren Teilnehmender und die Kommunikation zwischen Orga und Teilnehmenden im Fokus.

Community-Team

Das Community-Team startet das Projekt zur Reaktivierung inaktiver Meetups wieder. Wie vor ein paar Jahren ist es das Ziel, Meetup-Gruppen zu identifizieren, die in den letzten Monaten keine Veranstaltungen durchgeführt haben. Dann werden Orga-Teams und Mitglieder kontaktiert, um die Gruppen wiederzubeleben.

Außerdem gibt es einen Vorschlag, alle lokalen Communities mit Slack dem globalen Community Slack Enterprise Grid beitreten zu lassen. Seit Matt Mullenwegs State of the Word Rede im Dezember 2023 wurde diese Idee einige Male diskutiert, es bleibt aber fraglich, ob daraus dieses Mal etwas wird. Angestoßen wurden die Diskussionen durch eine Mail von Slack, Nachrichten, die älter als 1 Jahr sind, unwiederbringlich zu löschen.

Team-Zusammenarbeit

Und Abschließend ein wenig Zusammenarbeit. Auf dem WordCamp Europe wurde von einigen Teams diskutiert, enger zusammen zu arbeiten und damit für eine bessere Koordination bei einander überschneidenden Initiativen im WordPress-Projekt zu erreichen.

Aufgrund des Wachstums der Community und der vielfältigen Projekte hat es zusetzt eine deutliche Zunahme von Initiativen gegeben, die sich die Arbeit mehrerer Teams berühren.

Vielen Dank fürs Zuhören und bis zur nächsten Woche!

Alle Informationen zu diesem Podcast und alle Links findet ihr wie immer auf wppodcast.de. Außerdem gibt es diesen Podcast in weiteren Sprachen: Katalanisch, Spanisch, Französisch, Englisch und Esperanto.

Dieser Podcast ist eine Co-Produktion von KrautPress. Er wird unter einer Creative Commons-Lizenz veröffentlicht. Der Text im spanischen Original stammt von Javier Casares. Deutsche Übersetzung, Schnitt und Produktion von mir, Simon Kraft.

Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert