Blog

Sicherheit in Wordpress 4.3

WordPress hat die erste Beta von Version 4.3 des CMS veröffentlicht. Ein erster Blick auf das Programm offenbart, dass vor allem zwei Bereiche zahlreiche neue Feature enthalten: Zum einen die verbesserten Möglichkeiten des Customizers, zum anderen der Bereich der Sicherheit. Die neuen Security-Funktionen sollen es erschweren, dass sich Unbefugte Zugang zu Ihrem Account verschaffen können. Die Neuerungen drehen sich hauptsächlich rund um die Thematik der Passwörter. Sie reichen dabei von der Erstellung der Zugangsinformation bis zum Erhalt bzw. Anforderung neuer Passwörter. Um für mehr Sicherheit zu sorgen, nimmt das Content Managment System einen Teil der Aufgaben künftig in die automatisierte eigene Hand – und Ihnen ab.

Links haben nur noch eine begrenzte Gültigkeit

Wer sein Passwort zurücksetzen lassen muss, bekam hierfür bislang von WordPress eine Mail mit einem entsprechenden Link. Dieser hatte im Prinzip eine unbegrenzte Gültigkeit, solange er nicht verwendet worden ist. Aus dem Blickwinkel der Sicherheit war dies ein riskantes Spiel, schließlich ist es denkbar, dass man beispielsweise sein Smartphone mit der entsprechenden Mail verliert oder dieses gestohlen wird.

WordPress hat sich deshalb dafür entschieden, die Gültigkeit der Links zu beschränken. Es ist allerdings noch nicht klar, wie lang der Zeitraum schließlich sein wird, indem die Links von Ihnen genutzt werden müssen. Üblich sind zwölf bis zu 24 Stunden.

Keine Passwörter mehr per Mail

Eine weitere Neuerung von WordPress 4.3 ist weniger ein Feature im Bereich Sicherheit als viel mehr das Streichen eines solchen. Künftig werden Passwörter nicht mehr per Mail an Sie versendet. Die Macher erklärten diesen Schritt mit der Furcht vor „unbeabsichtigten und unbekannten Daten-Lecks“. Der Schock der ersten Jahreshälfte 2015, als sich herausstellte, dass sich Accounts von WordPress relativ einfach kapern ließen (seit Version 4.2.1 behoben) sitzt bei den Entwicklern spürbar tief.

WordPress generiert künftig selbst die Passwörter

Ein weiteres Problem im Bereich Sicherheit war schon immer, dass die Passwörter der Nutzer viel zu unsicher waren. Version 4.3 zeigt, dass man sich bei WordPress dafür entschieden hat, die Notbremse zu ziehen. In der Beta gibt nun das CMS selbst die Passwörter vor. Diese fallen bemerkenswert lang aus. Zugangsinformationen mit 24 Zeichen sind keine Seltenheit.

Es ist für Sie auch weiterhin möglich, eigene Passwörter zu verwenden. Künftig ist dieser Vorgang jedoch „optional“, zumindest dann, wenn in die Endversion einfließt, was sich in der ersten Beta andeutet. Dies bedeutet, dass man sich als Nutzer bewusst dafür entscheiden muss, ein eigenes Passwort zu generieren.

Zusammenspiel für mehr Sicherheit

Man erkennt, dass die drei Neuerungen im Bereich Sicherheit aufeinander abgestimmt sind und Hand in Hand arbeiten sollen. Das CMS möchte Sie als den Nutzer in den gesamten Komplex rund um die Passwörter so wenig wie möglich einbinden, weil Sie die größte Sicherheitsschwachstelle darstellen – bzw. Ihr Mail-Konto. WordPress kann nicht für die Sicherheit der entsprechenden Accounts der Nutzer einstehen und hat sich deshalb dafür entschieden, einen Weg zu gehen, bei dem diese so gut wie möglich aus dem Prozess ausgeschlossen werden.

Auch mehr Sicherheit für die mobilen Versionen?

Die Neuerungen im Bereich der Passwörter beziehen sich auf das System insgesamt. In der Vergangenheit gab es allerdings immer wieder bedenken, dass die mobilen Versionen von WordPress – die Apps – besonders angreifbar sein könnten. Auch an dieser Stelle wollen die Entwickler ansetzen. Zumindest lauten so die Ankündigungen.

WordPress soll demnach insgesamt sehr viel freundlicher für Smartphones und Tablets werden. Dies betrifft beide Seiten: Sowohl Sie als Nutzer des CMS wie auch die Leser Ihres Webseite oder Ihres Blogs sollen künftig ein besseres Erlebnis erfahren, wenn sie Mobilgeräte nutzen. Bisher sind allerdings nur wenige Details bekanntgeworden, was dies für Sie als Nutzer konkret bedeutet und wie viele der Neuerungen Sie tatsächlich sehen können und wie viele Änderungen unsichtbar „unter der Oberfläche“ arbeiten. Die Updates im Bereich der Sicherheit dürften wohl ganz wesentlich unter die zweite Kategorie fallen.

Das Release von Version 4.3 ist für den 18. August geplant. Spätestens dann werden Sie Klarheit bezüglich der noch offenen Fragen haben.