WordPress.org setzt sich dafür ein, die Konten zu schützen, die eine wichtige Rolle im WordPress-Ökosystem spielen. Konten mit Commit-Zugriff können Updates und Änderungen an Plugins und Themes vornehmen, die auf Millionen von WordPress-Seiten weltweit genutzt werden. Die Sicherung dieser Konten ist entscheidend, um unbefugten Zugriff zu verhindern und die Sicherheit sowie das Vertrauen der WordPress.org-Community zu erhalten.
Als Teil dieser laufenden Bemühungen führen wir eine neue Sicherheitsanforderung ein: Ab dem 1. Oktober 2024 wird die Zwei-Faktor-Authentifizierung (2FA) für Plugin- und Theme-Autoren verpflichtend.
Zusätzlich zur verpflichtenden 2FA führen wir SVN-Passwörter ein, die das Benutzerkontopasswort durch ein SVN-spezifisches Passwort zum Committen von Änderungen ersetzen.
2FA für Dein Konto konfigurieren
Du hast möglicherweise bereits Aufforderungen bemerkt, 2FA zu konfigurieren, wenn du Dich bei WordPress.org anmeldest. Falls nicht, besuche diesen Link, um es einzurichten: https://profiles.wordpress.org/me/profile/security.
Bitte stelle sicher, dass du Deine Backup-Codes sicher speicherst. Wenn du den Zugriff auf Deine Zwei-Faktor-Authentifizierungsmethode und Deine Backup-Codes verlierst, kann der Prozess, um wieder Zugang zu Deinem Konto zu erhalten, schwierig sein.
Trennung des SVN-Passworts von Deinem WordPress.org-Konto
Wir haben eine SVN-Passwortfunktion eingeführt, um Deinen Commit-Zugang von Deinen Hauptanmeldedaten auf WordPress.org zu trennen. Dieses Passwort funktioniert wie ein Anwendungs- oder zusätzliches Benutzerkontopasswort. Es schützt Dein Hauptpasswort vor Missbrauch und ermöglicht es Dir, SVN-Zugriff einfach zu widerrufen, ohne Deine WordPress.org-Anmeldedaten ändern zu müssen. Generiere Dein SVN-Passwort in Deinem WordPress.org-Profil.
Falls du ein Deployment-skript verwendest, wie z.B. eine GitHub Action, musst du auch Dein gespeichertes Passwort durch dieses SVN-Passwort ersetzen.
Warum keine 2FA für SVN?
Aufgrund technischer Einschränkungen kann 2FA nicht auf unsere bestehenden Code-Repositories angewendet werden. Deshalb haben wir uns dafür entschieden, den WordPress.org-Code durch eine Kombination aus Konto-Level Zwei-Faktor-Authentifizierung, SVN-Passwörtern und anderen Sicherheitsfunktionen zur Bereitstellung (wie Release-Bestätigungen) zu sichern.
Benötigst Du Unterstützung?
Falls du Schwierigkeiten bei der Einrichtung von 2FA hast, folge den Schritten unter „Konfiguration der Zwei-Faktor-Authentifizierung“.
Weitere Informationen zur Generierung von SVN-Passwörtern findest du in der Subversion-Zugriffsdokumentation.
Wenn du Plugin-Autor bist und den Beitrag von @chriscct7 „Keeping Your Plugin Committer Accounts Secure“ noch nicht gelesen hast, ist jetzt ein guter Zeitpunkt dafür.
Solltest du Bugs finden, Feedback haben oder weitere Unterstützung benötigen, melde dich einfach im #meta Slack-Kanal.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.