Als verbreitetes Content-Management-System ist WordPress auch ein beliebtes Angriffsziel. Deshalb ist es sinnvoll, den Administrationsbereich per 2-Faktor-Authentifizierung zu schützen.
WordPress hat sich inzwischen zum nahezu alternativlosen Content-Management-System für zahlreiche Einsatzzwecke gemausert. Dementsprechend verbreitet ist es im Netz. Eine hohe Verbreitung verursacht aber leider – Windows-Nutzer können ein Lied davon singen – ein erhöhtes Interesse für Angreifer. Das Problem bei WordPress: Der Administrationsbereich ist ohne Modifikationen immer unter /wp-admin/ erreichbar. Bösartige Bots und manuelle Angreifer arbeiten sich dementsprechend gerade bei größeren Blogs regelmäßig am Login ab – und können zu einfache Benutzernamen-Passwort-Kombinationen mit geringem Aufwand knacken. Es ist daher ausgesprochen sinnvoll, ein zusätzliches Sicherheitsnetz zu etablieren: die Zwei-Faktor-Authentifizierung für WordPress.
Was ist Zwei-Faktor-Authentifizierung für WordPress?
Bei der Zwei-Faktor-Authentifizierung (auch „Two Factor Authentification“, „TFA“ oder „2FA“) handelt es sich um eine einfache Maßnahme mit einem enormen Zugewinn an Sicherheit. Vielleicht kennst du das schon von deinem Apple-, Google-, Microsoft-, Facebook- oder Instagram-Account: Nach der Eingabe von Benutzername und Passwort kommst du nicht direkt „rein“, sondern erhältst noch eine SMS, eine E-Mail oder einen Code über einen Code-Generator. Erst dieser Code schaltet den Zugang zum Dienst frei. Dabei gibt es verschiedene Methoden, um diesen Code auszuliefern:
- SMS
- Ein Online-Dienst wie WordPress Jetpack
- Ein zeitgesteuertes Einmal-Passwörter (TOTP) plus Code-Generator-App
- Ein ereignisgesteuertes Einmalpasswort (HOTP)
Dabei ist die SMS-Variante die wahrscheinlich beste Kombination aus Sicherheit und Bedienkomfort. Falls du die 2FA noch nicht eingestellt hast, solltest du es also umgehend für deine Online-Konten nachholen. Der Clou bei der Zwei-Faktor-Authentifizierung ist nämlich, dass der Angreifer selbst mit Benutzernamen und Passwort ohne den Code nicht weiterkommt – er benötigt zusätzlich Zugriff auf dein Handy oder dein E-Mail-Konto. Dadurch ist es sehr unwahrscheinlich, dass die meist aus der Ferne arbeitenden Angreifer dein auf diese Weise geschütztes Konto knacken. Ein dicker Sicherheitsbonus also – und Grund genug, diese Funktion auch für deine WordPress-Konten zu aktivieren.
2FA per Gratis-Plugin realisieren
Um die Zwei-Faktor-Authentifizierung in WordPress zu verwenden, gibt es mehrere Möglichkeiten. Sie wird in aller Regel über ein Plugin realisiert. Wenn du im WordPress-Plugin-Repository danach suchst, wirst du eine Reihe von Plugins dieser Art finden, manche davon voll ausgewachsene „Sicherheits-Suiten“ wie WordFence, die aber bei falscher Einstellung schnell zum Problem werden können. Eine hübsche und vor allem schlanke Lösung, die ohne Drittanbieter-Dienste auskommt, ist das Plugin Two-Factor: Es fügt deinen Benutzereinstellungen nach Download und Aktivierung verschiedene Möglichkeiten zur Zwei-Faktor-Authentifizierung hinzu, die du im WordPress-Administrationsbereich unter Benutzer → Profil aktivieren kannst.
Hier findest du ganz unten eine Auswahlbox für die 2FA-Methode: Du hast die Wahl zwischen dem Code-Versand per E-Mail und einem zeitbasierten Einmalpasswort (TOTP). Erstere Methode setzt voraus, dass deine WordPress-Installation E-Mails versenden kann: Wenn du über Kommentare per E-Mail informiert wirst, sollte diese Authentifizierungsmethode problemlos funktionieren und ist die einfachste Variante. Für das zeitbasierte Passwort, letzteres benötigst du hingegen eine zusätzliche App, die du auf deinem Handy installieren und über den in den Plugin-Einstellungen angezeigten QR-Code mit WordPress koppeln musst.
Authentificator-App nicht vergessen!
Für die zeitgesteuerte TOTP-Authentifizierung gibt es eine Vielzahl von Apps. Wir empfehlen aber den kostenlosen Google Authentificator für iOS und Android. Alternativ kannst du aber auch die vergleichbare App von Microsoft oder das Tool Authy von Twilio verwenden: Scanne mit der App einfach den QR-Code, den dir das Plugin ausgibt und gib anschließend den Code aus der App im Plugin ein, um die Verknüpfung von App und WordPress zu bestätigen.
Vergiss nicht, zusätzlich Backup-Codes zu erstellen, herunterzuladen und sicher zu speichern, etwa um die 2FA zu deaktivieren, wenn du dein Handy verlieren solltest. Anschließend ist die Zwei-Faktor-Authentifizierung aktiv: Du wirst ab sofort bei jedem Login nach dem Code gefragt, den dir der Google-Authentificator zeitgleich ausgibt. Praktisch: Hast du noch eine Backup-Methode – etwa E-Mail – aktiviert, ist es auch nicht schlimm, wenn du gerade keinen Zugriff auf dein Handy hast: Du kannst dir den Code dann einfach per E-Mail schicken lassen.
Zwei-Faktor-Authentifizierung: ein absolutes Must-have!
Die Zwei-Faktor-Authentifizierung ist ein großes Sicherheitsupdate für dein WordPress-Benutzerkonto und gleichzeitig erstaunlich einfach umsetzbar. Mit dem Plugin Two Factor kannst du dabei mit einfachsten Mitteln eine eigene Implementierung umsetzen, ohne auf einen Drittanbieter-Dienst zurückgreifen zu müssen. Zwar gibt es beim Login in dein WordPress-System dadurch einen zusätzlichen Schritt – dieser Aufwand wird dir aber mit der Sicherheit, dass Angreifer es jetzt deutlich schwerer haben, doppelt und dreifach zurückgezahlt. Und vergiss nicht: Du solltest auch alle anderen Online-Konten auf diese Weise absichern.
Du willst auch direkt mit WordPress durchstarten?
Zu den WordPress-Paketen
Christian Rentrop
Hallo, ich bin Christian Rentrop. Ich bin freier IT-Journalist und schreibe für einige bekannte deutsche Computer- und Foto-Magazine. Zudem blogge ich IT-Workshops. Hier im STRATO Blog kümmere ich mich um Software-Themen.
Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.
Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.