WordPress Sicherheit: Zwei-Faktor-Authentifizierung einschalten

Einen Blick auf die Zwei-Faktor-Authentifizierung lohnt sich für jeden, der ein WordPress Blog hat, auch dann wenn es selbst gehostet und vermeintlich abgesichert ist. Wieso? Über Plugins kann der Webmaster Sicherheitslücken in seinen Blog reißen, ohne es zu merken. Die Zwei-Faktor-Authentifizierung für WordPress lässt sich einfach einrichten.

Was ist eigentlich Zwei-Faktor-Authentifizierung? Über eine Zwei-Faktor-Authentifizierung werden zum Login nicht nur der Benutzername und Passwort abgefragt (erster Faktor) sondern eine zusätzlicher Faktor benötigt. Dies wird in der Regel über einen Code erreicht, der an ein separates Gerät geschickt oder von diesem erzeugt wird. Das sieht beispielsweise wie folgt aus:

  • Faktor 1: Login auf einer Webseite mit Benutzername und Passwort
  • Faktor 2: SMS mit Bestätigungscode an das Smartphone des Benutzers

Somit wird verhindert, dass Dritte, die sich Benutzername und Passwort verschafft haben, ohne euere Kenntnis einloggen können.

Wird beispielsweise das WordPress Plugin Jetpack verwendet und das darin enthaltene Modul Verwalten aktiviert, muss der WordPress Blog, auch wenn er selbst gehostet ist, mit WordPress.com verbunden werden. Und schon entsteht eine potentielle Sicherheitslücke. Das Problem, WordPress.com erhält weitreichende Zugriffsrechte auf das selbst gehostete Blog. Über die WordPress.com Seite können Beiträge geschrieben, geändert und gelöscht sowie Plugins verwaltet werden.

WordPress: Zwei-Faktor-Authentifizierung einschalten

Damit diese Sicherheitslücke geschlossen wird, empfiehlt es sich die Zwei-Faktor-Authentifizierung für WordPress einzuschalten.

Schritt 1: Einloggen bei WordPress.com

Ist der eigene Blog mit WordPress.com verbunden oder nutzt man WordPress.com als Blogging-Platform, muss man sich zur Aktivierung der Zwei-Faktor-Authentifizierung bei WordPress.com eingeloggen.

Schritt 2: WordPress.com Profil aufrufen

Nach dem Einloggen auf WordPress.com muss das Benutzerprofil aufgerufen werden. Der Knopf dazu befindet sich rechts oben. Anschließend die Kontoeinstellungen aufrufen und in den Reiter Sicherheit wechseln.

WordPress Sicherheit mit Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).
WordPress Sicherheit mit Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).

Schritt 3: Zwei-Faktor-Authentifizierung aktivieren

Die Zwei-Faktor-Authentifizierung in WordPress funktioniert entweder per SMS oder mit der Google Authenticator-App. Die Wahl bleibt dem Nutzer überlassen.

WordPress Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).
WordPress Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).

Wichtig zu wissen ist, dass ohne das jeweilige Handy ein Login über WordPress.com nicht mehr möglich ist. Das erhöht die Sicherheit, reduziert jedoch die Bequemlichkeit, da zum Login das Gerät immer in der Nähe sein muss.

WordPress Zwei-Faktor-Authentifizierung aktivieren (Bild: Screenshot WordPress.com).
WordPress Zwei-Faktor-Authentifizierung aktivieren (Bild: Screenshot WordPress.com).

Schritt 4: Backup Codes

WordPress erstellt eine Liste an Backup-Codes für den Fall, dass das Handy nicht Griff bereit ist. Diese sollten ausgedruckt und sicher verwahrt werden, damit im Notfall auf WordPress.com zugegriffen werden kann.

Schritt 5: Login mit Zwei-Faktor-Authentifizierung

Wurde die Aktivierung erfolgreich beendet, wird beim nächsten Login die Zwei-Faktor-Authentifizierung aktiv und WordPress.com (nicht euer selbst gehostetes Blog) fragt nach einem Verifizierungscode. Dazu die Google Authenticator-App öffnen und gegebenenfalls die entsprechende Webseite in der App auswählen, die einen Code benötigt. Dieser wird umgehend erstellt und ist für kurze Zeit gültig. Code eingeben und einloggen. Fertig.

WordPress.com Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).
WordPress.com Zwei-Faktor-Authentifizierung (Bild: Screenshot WordPress.com).

Persönliche Meinung

Die erhöhte Sicherheit reduziert den Komfort, sorgt jedoch für ein gutes Gefühl. Der Schaden der entstehen kann, wenn Fremde sich Zugriff auf den eigenen Blog verschaffen, ist kaum vorzustellen. Für etwas Bequemlichkeit kann gesorgt werden, wenn der eigene Browser für 30 Tage verifiziert wird (siehe Login-Bildschirm oben). Das heißt, der eigene Computer wird nur 12 mal im Jahr nach dem Verifizierungscode gefragt. Weitere Tipps zu WordPress Plugins für Blogger oder Anleitungen wie man die WordPress Sternebewertung für Beiträge in Google einrichten kann, finden sich ebenfalls auf diesem Blog. Der Beitrag erklärt, wie die Bewertungen in einem Beitrag schon in der Google Suche angezeigt werden. Im Artikel zu WordPress Problem beim Bilder hochladen beheben wird erklärt, wie nach dem Update auf 4.2.1 Bilder wieder über WordPress hocheladen werden können.

Quelle: Caschys Blog

Ein Gedanke zu „WordPress Sicherheit: Zwei-Faktor-Authentifizierung einschalten

Kommentar verfassen