Zwei-Faktor-Authentisierung für WordPress

WordPress Anmeldung

Die Begriffe Authentisierung, Authentifizierung und Autorisierung gehen oft durcheinander.

  • Authentisierung: Ist die „Behauptung“ einer Person, dass sie tatsächlich diese Person ist, die sie vorgibt zu sein. Das geschieht normalerweise durch ein geheimes Wort (Passwort), einen Gegenstand (Pass, ID-Karte) oder ein Merkmal (Fingerabdruck)
  • Authentifizierung: Ist die Überprüfung der Behauptung, findet also zeitlich nach der Authentisierung statt.
  • Autorisierung: Ist die Einräumung von Rechten nach erfolgter Authentifizierung

Wenn du dich an deiner WordPress Site mit Benutzernamen und Passwort authentisierst, so zählt das als „ein Faktor“. Dein Passwort ist prinzipiell geheim und nur dir bekannt. Wenn du aber deine Zugangsdaten an jemanden weiter gibst, beispielsweise per Messenger oder E-Mail, so kann sich jeder, der diese Nachricht gelesen hat, an deinem WordPress Site anmelden. Manchmal willst du das, manchmal eher nicht und manchmal weisst du gar nicht, dass deine Name/Passwort Kombination bekannt ist. Mehr und mehr Benutzername/Passwort Kombinationen befinden sich durch versehentliche Veröffentlichungen und Hacks in öffentlich lesbaren Dateien.
Es liegt also durchaus nahe, einen zweiten Faktor bei der Authentisierung einzuführen um den Zugang zur Site sicherer zu gestalten.

Der zweite Faktor ist meistens ein Code, der dir per App auf deinem Smartphone angezeigt wird. Dein WordPress verlangt diesen Code, nachdem du dich mit Benutzernamen und Passwort versucht hast zu authentisieren. Das Prinzip basiert auf einer genauen Zeitdefinition. Die Codes wechseln in der App alle 30 Sekunden völlig unabhängig von deiner Website. Wenn das Plugin deine Authentisierung dann authentifiziert muss das innerhalb dieser 30 Sekunden erfolgen.

Hier bei Novatrend bieten wir Zwei-Faktor-Authentisierung ebenfalls an (Mehr Sicherheit für deine Daten mit der Authy App). Beim Content Management System Joomla ist die Zwei-Faktor-Authentisierung bereits im System eingebaut (Zwei-Faktor-Authentisierung in Joomla ist sicher und einfach einzurichten). Um den zweiten Faktor auch in WordPress nutzen zu können, musst du ein Plugin installieren und konfigurieren.

Google Authenticator – WordPress Plugin

Obwohl das Plugin den Namen Google im Namen führt hat es nicht wirklich etwas mit Google zu tun. Es implementiert den Time-based One-time Password Algorithmus (TOTP) und kann daher mit jeder App auf dem Smartphone zusammenarbeiten, die diesen Algorithmus nutzt. Da Google mit seiner Google Authenticator App diesen Algorithmus über das Android Betriebssystem bekannt machte, werden Algorithmus und Google App oft in einem Atemzug genannt.

https://wordpress.org/plugins/google-authenticator/

Nach der Installation und Aktivierung des Google Authenticator Plugins, kannst du in deinem Profil den zweiten Faktor aktivieren. Das hat den Vorteil, dass die Einstellung nicht pauschal gilt, sondern jeder WordPress Benutzer die Zwei-Faktor-Authentisierung individuell aktivieren kann.

Einstellungen zu Google Authenticator

Nun musst du auf deinem Smartphone eine TOTP kompatible App wie Google Authenticator (Android, iOS), Authy (Android, iOS) oder die freie FreeOTP+ (nur für Android) installieren und den angezeigten QR Code scannen.

Eintrag in der Google Authenticator App

Wenn du dich nun wieder an deiner WordPress Site anmeldest, erscheint ein neues Feld, in das du den zweiten Faktor eingeben musst. Der abnehmende Kreis steht für die die Restzeit, die dir dabei zur Verfügung steht.

WordPress Anmeldung mit zweitem Faktor

Fazit

Mit diesem „einfachen“ Schritt hast du deine WordPress Site erheblich sicherer gemacht. Am Anfang ist es noch ein wenig „fummelig“, aber mit der Zeit geht das Login flott von der Hand.


tl;dr: Zwei-Faktor-Authentisierung in WordPress ist einfach und macht deine Seite sicherer

Autor: hagengraf

consultant, author, trainer, solution finder, web architect, developer, open source lover, visionary, orator, the good old webmaster. Able to simplify!

Kommentar verfassen