WordPress Sicherheit: Zwei-Faktor-Authentifizierung einschalten
Einen Blick auf die Zwei-Faktor-Authentifizierung lohnt sich für jeden, der ein WordPress Blog hat, auch dann wenn es selbst gehostet und vermeintlich abgesichert ist. Wieso? Über Plugins kann der Webmaster Sicherheitslücken in seinen Blog reißen, ohne es zu merken. Die Zwei-Faktor-Authentifizierung für WordPress lässt sich einfach einrichten.
Was ist eigentlich Zwei-Faktor-Authentifizierung? Über eine Zwei-Faktor-Authentifizierung werden zum Login nicht nur der Benutzername und Passwort abgefragt (erster Faktor) sondern eine zusätzlicher Faktor benötigt. Dies wird in der Regel über einen Code erreicht, der an ein separates Gerät geschickt oder von diesem erzeugt wird. Das sieht beispielsweise wie folgt aus:
- Faktor 1: Login auf einer Webseite mit Benutzername und Passwort
- Faktor 2: SMS mit Bestätigungscode an das Smartphone des Benutzers
Somit wird verhindert, dass Dritte, die sich Benutzername und Passwort verschafft haben, ohne euere Kenntnis einloggen können.
Wird beispielsweise das WordPress Plugin Jetpack verwendet und das darin enthaltene Modul Verwalten aktiviert, muss der WordPress Blog, auch wenn er selbst gehostet ist, mit WordPress.com verbunden werden. Und schon entsteht eine potentielle Sicherheitslücke. Das Problem, WordPress.com erhält weitreichende Zugriffsrechte auf das selbst gehostete Blog. Über die WordPress.com Seite können Beiträge geschrieben, geändert und gelöscht sowie Plugins verwaltet werden.
WordPress: Zwei-Faktor-Authentifizierung einschalten
Damit diese Sicherheitslücke geschlossen wird, empfiehlt es sich die Zwei-Faktor-Authentifizierung für WordPress einzuschalten.
Schritt 1: Einloggen bei WordPress.com
Ist der eigene Blog mit WordPress.com verbunden oder nutzt man WordPress.com als Blogging-Platform, muss man sich zur Aktivierung der Zwei-Faktor-Authentifizierung bei WordPress.com eingeloggen.
Schritt 2: WordPress.com Profil aufrufen
Nach dem Einloggen auf WordPress.com muss das Benutzerprofil aufgerufen werden. Der Knopf dazu befindet sich rechts oben. Anschließend die Kontoeinstellungen aufrufen und in den Reiter Sicherheit wechseln.
Schritt 3: Zwei-Faktor-Authentifizierung aktivieren
Die Zwei-Faktor-Authentifizierung in WordPress funktioniert entweder per SMS oder mit der Google Authenticator-App. Die Wahl bleibt dem Nutzer überlassen.
Wichtig zu wissen ist, dass ohne das jeweilige Handy ein Login über WordPress.com nicht mehr möglich ist. Das erhöht die Sicherheit, reduziert jedoch die Bequemlichkeit, da zum Login das Gerät immer in der Nähe sein muss.
Schritt 4: Backup Codes
WordPress erstellt eine Liste an Backup-Codes für den Fall, dass das Handy nicht Griff bereit ist. Diese sollten ausgedruckt und sicher verwahrt werden, damit im Notfall auf WordPress.com zugegriffen werden kann.
Schritt 5: Login mit Zwei-Faktor-Authentifizierung
Wurde die Aktivierung erfolgreich beendet, wird beim nächsten Login die Zwei-Faktor-Authentifizierung aktiv und WordPress.com (nicht euer selbst gehostetes Blog) fragt nach einem Verifizierungscode. Dazu die Google Authenticator-App öffnen und gegebenenfalls die entsprechende Webseite in der App auswählen, die einen Code benötigt. Dieser wird umgehend erstellt und ist für kurze Zeit gültig. Code eingeben und einloggen. Fertig.
Persönliche Meinung
Die erhöhte Sicherheit reduziert den Komfort, sorgt jedoch für ein gutes Gefühl. Der Schaden der entstehen kann, wenn Fremde sich Zugriff auf den eigenen Blog verschaffen, ist kaum vorzustellen. Für etwas Bequemlichkeit kann gesorgt werden, wenn der eigene Browser für 30 Tage verifiziert wird (siehe Login-Bildschirm oben). Das heißt, der eigene Computer wird nur 12 mal im Jahr nach dem Verifizierungscode gefragt. Weitere Tipps zu WordPress Plugins für Blogger oder Anleitungen wie man die WordPress Sternebewertung für Beiträge in Google einrichten kann, finden sich ebenfalls auf diesem Blog. Der Beitrag erklärt, wie die Bewertungen in einem Beitrag schon in der Google Suche angezeigt werden. Im Artikel zu WordPress Problem beim Bilder hochladen beheben wird erklärt, wie nach dem Update auf 4.2.1 Bilder wieder über WordPress hocheladen werden können.
Quelle: Caschys Blog
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.
Pingback: WordPress Admin-Login: Wo ist die wp-login.php? – random brick [DE]
Pingback: Zwei-Faktor-Authentifizierung für das Amazon Konto einschalten - RandomBrick.de