Mehr Sicherheit mit Zwei-Faktor-Authentifizierung in WordPress
Als verbreitetes Content-Management-System ist WordPress auch ein beliebtes Angriffsziel. Deshalb ist es sinnvoll, den Administrationsbereich per 2-Faktor-Authentifizierung zu schützen.
WordPress hat sich inzwischen zum nahezu alternativlosen Content-Management-System für zahlreiche Einsatzzwecke gemausert. Dementsprechend verbreitet ist es im Netz. Eine hohe Verbreitung verursacht aber leider – Windows-Nutzer können ein Lied davon singen – ein erhöhtes Interesse für Angreifer. Das Problem bei WordPress: Der Administrationsbereich ist ohne Modifikationen immer unter /wp-admin/ erreichbar. Bösartige Bots und manuelle Angreifer arbeiten sich dementsprechend gerade bei größeren Blogs regelmäßig am Login ab – und können zu einfache Benutzernamen-Passwort-Kombinationen mit geringem Aufwand knacken. Es ist daher ausgesprochen sinnvoll, ein zusätzliches Sicherheitsnetz zu etablieren: die Zwei-Faktor-Authentifizierung für WordPress.
Was ist Zwei-Faktor-Authentifizierung für WordPress?
Bei der Zwei-Faktor-Authentifizierung (auch „Two Factor Authentication“, „TFA“ oder „2FA“) handelt es sich um eine einfache Maßnahme mit einem enormen Zugewinn an Sicherheit. Vielleicht kennen Sie das schon von Ihrem Apple-, Google-, Microsoft-, Facebook- oder Instagram-Account: Nach der Eingabe von Benutzername und Passwort kommen Sie nicht direkt „rein“, sondern erhalten noch eine SMS, eine E-Mail oder einen Code über einen Code-Generator. Erst dieser Code schaltet den Zugang zum Dienst frei. Dabei gibt es verschiedene Methoden, um diesen Code auszuliefern:
- SMS
- Ein Online-Dienst wie WordPress Jetpack
- Ein zeitgesteuertes Einmal-Passwort (TOTP) plus Code-Generator-App
- Ein ereignisgesteuertes Einmalpasswort (HOTP)
Dabei ist die SMS-Variante die wahrscheinlich beste Kombination aus Sicherheit und Bedienkomfort. Falls Sie die 2FA noch nicht eingestellt haben, sollten Sie dies also umgehend für Ihre Online-Konten nachholen. Der Clou bei der Zwei-Faktor-Authentifizierung ist nämlich, dass der Angreifer selbst mit Benutzernamen und Passwort ohne den Code nicht weiterkommt – er benötigt zusätzlich Zugriff auf Ihr Handy oder Ihr E-Mail-Konto. Dadurch ist es sehr unwahrscheinlich, dass die meist aus der Ferne arbeitenden Angreifer Ihr auf diese Weise geschütztes Konto knacken. Ein dicker Sicherheitsbonus also – und Grund genug, diese Funktion auch für Ihre WordPress-Konten zu aktivieren.
2FA per Gratis-Plugin realisieren
Um die Zwei-Faktor-Authentifizierung in WordPress zu verwenden, gibt es mehrere Möglichkeiten. Sie wird in aller Regel über ein Plugin realisiert. Wenn Sie im WordPress-Plugin-Repository danach suchen, werden Sie eine Reihe von Plugins dieser Art finden, manche davon voll ausgewachsene „Sicherheits-Suiten“ wie WordFence, die aber bei falscher Einstellung schnell zum Problem werden können. Eine hübsche und vor allem schlanke Lösung, die ohne Drittanbieter-Dienste auskommt, ist das Plugin Two-Factor: Es fügt Ihren Benutzereinstellungen nach Download und Aktivierung verschiedene Möglichkeiten zur Zwei-Faktor-Authentifizierung hinzu, die Sie im WordPress-Administrationsbereich unter Benutzer → Profil aktivieren können.
Hier finden Sie ganz unten eine Auswahlbox für die 2FA-Methode: Sie haben die Wahl zwischen dem Code-Versand per E-Mail und einem zeitbasierten Einmalpasswort (TOTP). Erstere Methode setzt voraus, dass Ihre WordPress-Installation E-Mails versenden kann: Wenn Sie über Kommentare per E-Mail informiert werden, sollte diese Authentifizierungsmethode problemlos funktionieren und ist die einfachste Variante. Für das zeitbasierte Passwort benötigen Sie hingegen eine zusätzliche App, die Sie auf Ihrem Handy installieren und über den in den Plugin-Einstellungen angezeigten QR-Code mit WordPress koppeln müssen.
Authenticator-App nicht vergessen!
Für die zeitgesteuerte TOTP-Authentifizierung gibt es eine Vielzahl von Apps. Wir empfehlen aber den kostenlosen Google Authenticator für iOS und Android. Alternativ können Sie aber auch die vergleichbare App von Microsoft oder das Tool Authy von Twilio verwenden: Scannen Sie mit der App einfach den QR-Code, den Ihnen das Plugin ausgibt und geben Sie anschließend den Code aus der App im Plugin ein, um die Verknüpfung von App und WordPress zu bestätigen.
Vergessen Sie nicht, zusätzlich Backup-Codes zu erstellen, herunterzuladen und sicher zu speichern, etwa um die 2FA zu deaktivieren, falls Sie Ihr Handy verlieren sollten. Anschließend ist die Zwei-Faktor-Authentifizierung aktiv: Sie werden ab sofort bei jedem Login nach dem Code gefragt, den Ihnen der Google Authenticator zeitgleich ausgibt. Praktisch: Haben Sie noch eine Backup-Methode – etwa E-Mail – aktiviert, ist es auch nicht schlimm, wenn Sie gerade keinen Zugriff auf Ihr Handy haben: Sie können sich den Code dann einfach per E-Mail schicken lassen.
Zwei-Faktor-Authentifizierung: ein absolutes Must-have!
Die Zwei-Faktor-Authentifizierung ist ein großes Sicherheitsupdate für Ihr WordPress-Benutzerkonto und gleichzeitig erstaunlich einfach umsetzbar. Mit dem Plugin Two Factor können Sie dabei mit einfachsten Mitteln eine eigene Implementierung umsetzen, ohne auf einen Drittanbieter-Dienst zurückgreifen zu müssen. Zwar gibt es beim Login in Ihr WordPress-System dadurch einen zusätzlichen Schritt – dieser Aufwand wird Ihnen aber mit der Sicherheit, dass Angreifer es jetzt deutlich schwerer haben, doppelt und dreifach zurückgezahlt. Und vergessen Sie nicht: Sie sollten auch alle anderen Online-Konten auf diese Weise absichern.