Vor über 6 Jahren habe ich hier auf KrautPress.de einen Artikel über Zwei-Faktor-Authentifizierung geschrieben, auf den ich heute noch gerne verweise, wann immer ich über die Sicherheit von WordPress (oder eigentlich jede Art von Online-Account) spreche.

In der Zwischenzeit hat sich meine Begeisterung für Zwei-Faktor-Authentifizierung kein bisschen getrübt. Und deshalb war ich besonders angetan, als ich vor einigen Monaten von den Plänen gehört habe, die Accounts von Benutzer*innen auf WordPress.org mit einer Zwei-Faktor-Authentifizierung zu sichern. Genau die ist seit heute Nacht offiziell als Beta-Test verfügbar.

Weiterlesen: Zwei-Faktor-Authentifizierung: WordPress.org ist sicherer geworden

Ab sofort können angemeldete Benutzer*innen auf WordPress.org ihren Account also zusätzlich absichern. Das Meta-Team greift dafür auf dasselbe Plugin zurück, das ich seit 2016 immer wieder empfohlen habe, hat aber ein eigenes sehr gelungenes Interface ergänzt.

Einrichtung auf WordPress.org

Ein Besuch auf wordpress.org/support/users/profile/edit/account/ befördert uns direkt auf die fragliche Seite.

Screenshot der Account-Einstellungen auf WordPress.org.
Neben Links zum Setzen von Passwort und E-Mail-Adresse finden sich hier auch Links zum Aufsetzen von Zwei Faktor Authentifizierung und Backup-Codes.

Von hier aus lässt sich mit wenigen Klicks nicht nur der zweite Faktor an sich einrichten, sondern auch einige Backup-Codes generieren. Letztere sind ausgedruckt, abgespeichert oder abgeheftet eine geschickte Alternative, falls die passende App für die Zwei-Faktor-Authentifizierung mal nicht zur Verfügung steht.

Screenshot von WordPress.org. Dialog, der zum Speichern frisch generierter Backup-Codes auffordert.

Wer sich noch etwas weiter voran wagen möchte, hat außerdem demnächst die Möglichkeit, einen Passkey als zweiten Faktor zu benutzen. Passkeys werden im Moment unter anderem von Apple, Microsoft und Google als Standard zur passwortlosen Authentifizierung vorangetrieben. Das Meta-Team arbeitet derzeit auch hierfür an einem passenden Interface.

Ausblick

Für den Moment ist der Einsatz eines zweiten Faktors optional, das Team denkt aber laut darüber nach, die zusätzliche Absicherung etwa für Plugin- oder Theme-Entwickler*innen verpflichtet zu machen.

Das ist unterm Strich eine wunderbare Neuigkeit für die allgemeine Sicherheit im WordPress-Ökosystem. Aber neben den sofortigen Sicherheitsgewinnen hoffe ich, dass der Einsatz des Two-Factor-Plugins auf WordPress.org der weiteren Integration von 2FA und Passkeys im WordPress-Core einen Vorschub leistet.

Josepha und Simon bei der Aufnahme des Interviews
Josepha und Simon während des Interviews. Foto: Dennis Hipp

Auf dem CloudFest 2023 im März hatte ich die Gelegenheit, mich mit Josepha Haden Chomphosy zu unterhalten. Die englische Audio-Version des Gespräch haben wir zeitgleich mit diesem Beitrag als Folge des PressWerk Podcast veröffentlicht. Hier gibt es eine leicht gekürzte deutsche Übersetzung.

Simon: Ich habe eine sehr dumme Frage. Dein Jobtitel ist »Executive Director of WordPress«. Was tut ein Executive Director of WordPress?

Josepha: Die Frage ist gar nicht dumm. Mein Job ist sehr schwierig zu erklären, weil nach ungefähr 20 Sekunden die Reaktion kommt: »Das ist kompliziert, das möchte ich nicht«. Also wenn ich dir meinen Job in einem Fahrstuhl erklären müsste, würde ich sagen, dass ich verantwortlich bin für die allgemeine Gesundheit und das Wohlbefinden des WordPress-Projekts und -Ökosystems. Das würde ich sagen.

Weiterlesen

Zé Fontainhas ist eine europäische WordPress-Legende. Er hatte beim offiziellen Übersetzungs-Team, den Polyglots, eine Weile den Hut auf, hat das WordCamp Europe gestartet und war 2014 wie niemand anderes entscheidend dafür, dass die deutsche WordPress-Community heute überhaupt existiert. Wir haben diesen Beitrag mit Zés freundlicher Erlaubnis aus dem Englischen übersetzt. Die originale Version findet sich auf zedejose.com.

Moment. Ich soll 250 Dollar für dein Plugin bezahlen und mir den Arsch abarbeiten, um sicherzustellen, dass es in meine Sprache übersetzt ist, damit ich es auch tatsächlich verwenden kann? Und du kannst jetzt alle meine Bemühungen und die von anderen als Verkaufsargument nutzen, um mehr Geld zu verdienen? Was?

Warum hat die WordPress-Welt diese Situation so lange stillschweigend hingenommen? Ich denke, wir können zumindest eine bösartige Verschwörung der Plugin-Anbieter ausschließen. Ich weiß wie viele Entwickler*innen und Agenturen arbeiten, ich habe im Laufe der Zeit mit einigen von ihnen zusammengearbeitet. Die Idee mit unbezahlter Arbeit von Freiwilligen Mehrwert für ein kommerzielles Produkt zu schaffen ist in den meisten Fällen nicht aus Gründen der Bosheit, sondern aus Gründen der Selbstgefälligkeit. Es gibt einfach keine Regel, die besagt, dass Übersetzer*innen für kommerzielle Arbeit entschädigt werden müssen (sollte es auch nicht geben müssen, das gebietet der Anstand.).

Weiterlesen

Wer im IndieWeb unterwegs ist und/oder sich für das Thema interessiert, wird vermutlich mitbekommen haben, dass das ActivityPub-Plugin von Automattic übernommen wurde und in dem Zuge auch Matthias Pfefferle, Entwickler des Plugins, als Open Web Lead zu Automattic wechselt.

Simon und ich haben uns Matthias während des Cloudfest-Hackathons geschnappt und für das PressWerk mit ihm über seine neue Rolle und die Plugin-Übernahme gesprochen.

Weiterlesen

Update 28. Februar 2023:
Die Openverse-Integration in WordPress 6.2 wird Bilder jetzt doch in der Mediathek lokal in WordPress speichern! Die Veröffentlichung der nächsten Beta-Version wurde zugunsten dieser Änderung auf den 1. März verschoben. 🎉

Mit WordPress 6.2 hält das Openverse Einzug in den WordPress-Core. Die Creative-Commons-lizenzierte Bild-Datenbank könnte Website-Betreiber*innen das Erstellen von Inhalten deutlich erleichtern – einfach nutzbare Bilder werden nur wenige Mausklicks entfernt sein.

Doch neben grundsätzlichen Bedenken, die ich persönlich im Hinblick auf Urheberrechte habe, stellt sich seit letzter Woche die Frage, ob die Openverse-Integration nicht auf ein grundsätzliche Problem zusteuert.
Wie es sich im Moment darstellt, soll das Feature zumindest zum Start von WordPress 6.2 ausgewählte Openverse-Bilder nicht zur lokalen Mediathek hinzufügen, sondern hotlinken.

Weiterlesen

Am 11. Februar 2021 war es soweit: die CSS-Working-Group hat in einem Meeting das Thema Container-Queries mit »RESOLVED: Define container queries […]« beendet. Damit ist beschlossen, dass Container-Queries in der CSS-Spezifikation CSS Containment Module Level 3 spezifiziert werden. 🎉

Falls ihr euch jetzt fragt, »Was sind Container-Queries und warum freut sich Florian so darüber?«, findet ihr die Antwort in diesem Beitrag.

Weiterlesen

Lucy Beer ist ein waschechter WordPress-Profi. Mit ihren Beiträgen und Trainings hilft sie WordPress-Anwender/innen seit Jahren, schnelle, sichere und zuverlässige Websites zu bauen. Passend zu Simons Post aus der letzten Woche haben wir diesen Beitrag mit Lucys freundlicher Erlaubnis aus dem Englischen übersetzt. Die originale Version findet sich auf webtrainingwheels.com.

Wenn du Google PageSpeed Insights zum Testen deiner Website verwendest, siehst du die Warnung „Sehr große Netzwerknutzlasten vermeiden“, wenn die Gesamtgröße deiner Seite 1,6 MB übersteigt.

Das klingt erstmal technisch, ist aber tatsächlich eine der Empfehlungen, über die du als Website-Besitzer/in die meiste Kontrolle haben kannst. Im Gegensatz zu einigen PageSpeed-Empfehlungen kannst du das selbst beheben!

Mit Netzwerk ist in diesem Fall die Verbindung zwischen dem Browser deiner Besucher/in und dem Server, auf dem deine Website gehostet wird, gemeint. Die Nutzlast sind alle Dateien, aus denen deine Website besteht – Schriften, Bilder, CSS-Dateien, JavaScript-Dateien usw. – die vom Server zum Browser heruntergeladen werden müssen. Jede dieser Dateien hat eine Dateigröße in KBs (Kilobytes) oder sogar MBs (Megabytes). Die gesamte Dateigröße aller Ressourcen für die Seite ist die Nutzlast deiner Website.

Weiterlesen