WordPress absichern: Zwei Faktor Authentifizierung

Zwei Faktor Authentifizierung

Der WordPress-Administrationsbereich stellt eines der am häufigsten ausgenutzten Schlupflöchern dar. Nicht, weil das System generell unsicher ist. In den meisten Fällen erfolgt der unberechtigte Zugriff dadurch, dass Passwörter nicht ausreichend sicher gewählt sind.

Für den eigenen Account würde es hier sicherlich schon helfen, dass Passwort entsprechend komplex auszuwählen. Was aber mit weiteren Benutzern, die Zugriff auf die Verwaltungsoberfläche / den WordPress Adminbereich bekommen sollen?

An dieser Stelle setzt die Zwei-Faktor-Authentifizierung an. Das Passwort, welches idealerweise immer noch sehr komplex aufgebaut sein sollte, wird durch einen zweiten Faktor ergänzt.

Grundsätzlich gilt: Ein System ist nur so sicher, wie es von seinem jeweiligen Benutzer auch bedient wird.

Was genau versteht man unter Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ermöglicht einem Benutzer, sich mit Hilfe einer Kombination von zwei unterschiedlichen und unabhängigen Komponenten gegenüber einem System, in diesem Fall dem Administrationsbereich von WordPress, zu authentifizieren.

Ein gängiges Beispiel für eine solche Zwei-Faktor-Authentifizierung dürfte Ihnen aus dem Alltag bestens bekannt sein: die Benutzung eines Geldautomaten.

Erst die Kombination der zwei Faktoren Bankkarte und PIN ermöglicht es, eine Transaktion am Geldautomaten durchzuführen. Ohne den jeweiligen zweiten Faktor ist weder ein Einsatz der Bankkarte, noch ein Einsatz des PIN-Codes erfolgreich möglich.

Kommen mehr als zwei unterschiedliche und unabhängige Faktoren zum Einsatz, so spricht man in der Praxis von der Multi-Faktor-Authentifizierung.

Wie sichere ich meinen WordPress Login mit einem zweiten Faktor ab?

Grundsätzlich ist es dringend anzuraten, alle verwendeten Benutzerzugänge (Accounts) mit sehr sicheren Passwörtern auszustatten. Ein sicheres Passwort sollte ausreichend lang (ich empfehle an dieser Stelle mindestens 16 Zeichen) sein, über Groß- und Kleinbuchstaben verfügen sowie mit Zahlen und Sonderzeichen ausgestattet sein.

Die Bereitstellung des zweiten Faktors erfolgt über die Installation eines dafür entwickelten Plugins.

Wie richte ich eine Zwei-Faktor-Authentifizierung in WordPress ein?

Die Einrichtung in WordPress ist mit wenigen Klicks und ganz ohne großen Aufwand schnell erledigt. Aktuell empfehlen wir die Verwendung des Plugins „Two Factor“ von George Stephanis. Bitte beachten Sie jedoch, dass es sich hierbei um eine sog. Entwicklerversion handelt, die im produktiven Einsatz evtl. noch einige Probleme verursachen kann.

Das Plugin verrichtet in unseren Tests sehr gute Dienste. Trotzdem empfehlen wir grundsätzlich, insbesondere aber von der Verwendung einer solchen Entwicklerversion, ein vollumfängliches Backup der Dateien und der Datenbank zu erstellen.

Welche Arten der Zwei-Faktor-Authentifizierung gibt es?

Im Anwendungsfall der Zwei-Faktor-Authentifizierung auf Computersystemen gibt es verschiedene Möglichkeiten, diese zu nutzen. Jede Art der Zwei-Faktor-Authentifizierung hat ihre Vor- und Nachteile.

Nachfolgend stelle ich Ihnen weit verbreitete Arten des zweiten Faktors vor:

• U2F Security Keys:
  Eine sehr sichere Authentifizierung bietet ein „Security Key“, der nach dem U2F-Standard funktioniert. Weitere Informationen zu U2F finden Sie bei Wikipedia.Bei dieser Art des zweiten Faktors wird der WordPress-Benutzeraccount mit einem „Security Key“ fest verbunden, der, für einen erfolgreichen Login, am jeweiligen Computer per USB angesteckt sein muss. So funktioniert ein Login in das WordPress-System nur dann, wenn der jeweilige, dem einzelnen Benutzer zugeordnete Stick, auch mit dem Computer verbunden ist.U2F Security Keys sind bereits ab ca. 8,00 EUR erhältlich und funktionieren aktuell direkt mit dem Google Chrome Browser. Um diese Sticks auch in Firefox zu verwenden, ist dort die Installation eines zusätzlichen Plugins notwendig.

• Google Authenticator:
  Eine ebenfalls weit verbreitete Möglichkeit der Zwei-Faktor-Authentifizierung stellt der „Google Authenticator“ dar. Hierbei handelt es sich um eine App, die, einmal auf dem Smartphone, installiert, einen zusätzlichen Code anzeigt, der bei der Anmeldung an WordPress eingegeben werden muss.

Live-Demo und Bedienungshinweise

Auf dem WordCamp Berlin im Mai 2017 habe ich einen Vortrag (Lightning Talk) über die Absicherung des WordPress-Logins mithilfe der Zwei-Faktor-Authentifizierung gehalten.

Der Vortrag wurde vom WordCamp Berlin Team aufgezeichnet und steht bei WordPress.tv zum kostenfreien Abruf zur Verfügung.

In diesem Video zeige ich, wie sich WordPress mit dem Plugin „Two Factor“ bedient und wie sich die einzelnen Faktoren (Security Key, Authenticator, Einmalpasswörter) nutzen lassen.