WordPress Sicherheit mit Google Authenticator Plugin erhöhen
Mit dem Google Authenticator Plugin kannst du schnell und einfach eine Zwei-Faktor-Authentifizierung für das WordPress Loginformular hinzufügen. Durch den besseren Schutz deines Accounts gegen Angreifer erhöhst du so die Sicherheit deiner WordPress Website.
WordPress Login Sicherheit
Neben Sicherheitslücken im Core sowie in Themes und Plugins ist der WordPress Login eine der möglichen Schwachstellen für die Sicherheit deiner WordPress Website.
Hier kommt vor allem der Faktor Mensch zum Tragen.
Nach wie vor werden meist viel zu schwache Passwörter gewählt, welche durch Brute-Force Attacken leicht geknackt werden können. Darunter versteht man das simple Ausprobieren von Logindaten durch automatisierte Anfragen von Bots.
Mit Limit Login Attempts und Login LockDown existieren auch einige Plugins, um solche massenhaften Anfragen abzuwehren. Diese bieten aber inzwischen keinen effektiven Schutz mehr bei großen Botnetzen mit vielen unterschiedlichen IP-Adressen, wie bereits Matthias Pabst vor kurzem in seinem Blog erklärt hat.
Auch lange und komplizierte Passwörter können unsicher sein, wenn das gleiche Passwort auf mehreren Webseiten verwendet wird. Ein Sicherheitsleck auf einer der Seiten kann alle deine Accounts angreifbar machen, wenn Hacker an die Zugangsdaten gelangen.
Zwei-Faktor-Authentifizierung
Einen erhöhten Schutz für den WordPress Login bietet die Zwei-Faktor-Authentifizierung.
Dabei benötigt man für die Anmeldung neben den herkömmlichen Zugangsdaten (Benutzername und Passwort) einen weiteren Weg zur Identifikation (zweiter Faktor).
Im Online Bereich setzen viele Dienste auf einen zufällig generierten Zahlencode. Dieser wird entweder per SMS / E-mail an den Nutzer übermittelt oder mittels einer App auf dem Smartphone generiert. Der Login ist nur noch mit Kombination beider Faktoren möglich.
Ein Angreifer hat damit selbst mit Kenntnis der Logindaten nur noch geringe Chancen für ein Eindringen, weil ihm der Sicherheitsschlüssel als zweiter Faktor für die Anmeldung fehlt.
Google Authenticator Android/iOs App
Eine der populärsten Apps für die Zwei-Faktor-Authentifizierung ist Google Authenticator. Die App steht kostenlos für iOs und Android zum Download bereit. Der Authenticator kann auch mit vielen anderen Diensten wie Amazon, Dropbox, Mailchimp, Facebook und Google genutzt werden, um eure Accounts auch dort zusätzlich abzusichern.
Mit der App wird alle 30 Sekunden ein neuer, sechsstelliger Zahlencode generiert. Dieser muss bei jedem Loginvorgang mit eingegeben werden. Die erhöhte Sicherheit geht daher mit etwas weniger Komfort einher. Zusätzlich muss man immer Zugriff auf sein Smartphone haben, was auch ein Nachteil sein kann.
WordPress Google Authenticator Plugin
Mit dem dazu passenden Google Authenticator Plugin kannst du das WordPress Loginformular auf deiner Website mit einem zusätzlichen Feld zur Eingabe des Sicherheitsschlüssels erweitern.
Das Plugin von Henrik Schack steht im WordPress Plugin Verzeichnis zum Download bereit. Knapp 100 überwiegend positive Bewertungen sprechen für die tadellose Funktionsweise des Plugins. Ich setze es selbst seit mehreren Jahren auf meinen Webseiten ein und hatte noch nie Probleme.
WordPress und Smarthone App verbinden
Nach Installation des Plugins kannst du unter Benutzer → Dein Profil die Zwei-Faktor-Authentifizierung für deinen Account aktivieren.
Das Plugin erzeugt mit einem zufälligen Geheimschlüssel einen QR-Code, welcher mit der Google Authenticator App auf dem Smartphone gescannt werden muss. Damit wird die eigene WordPress Website mit der App verknüpft.
Nach dem Scanvorgang legt die Google Authenticator App die Website mit der gewählten Beschreibung in den Plugin Einstellungen als neuen Dienst an und generiert ab jetzt alle 30 Sekunden einen neuen Auth Code für den Login.
Der Einsatz des Plugins wird also für jeden Nutzer individuell festgelegt. Damit lässt sich der eigene Account mit Adminrechten schützen, normale Nutzer können sich aber ohne 2-Wege-Authentifizierung einloggen. Gerade für Online Shops, Membership-Seiten oder Foren auf WordPress Basis kann so der eigene Account abgesichert werden, ohne andere Nutzer zu beeinträchtigen.
Smartphone weg?
Wenn eine Smartphone App für den Login notwendig ist, frägt man sich natürlich, was passiert wenn mein Smartphone kaputt oder verloren geht. Bei den meisten Plattformen mit Zwei-Faktor-Authentifizierung gibt es daher Möglichkeiten, um sich bei nicht vorhandenem Sicherheitscode trotzdem einzuloggen. Zum Beispiel mit Backup Codes oder dem Zurücksetzen per Telefonnummer.
Auf der eigenen Website ist das Ganze noch weniger dramatisch. Das Google Authenticator Plugin kann einfach via FTP gelöscht werden, womit der Login wieder ohne Sicherheitsschlüssel möglich ist. Danach kann das Plugin neu installiert und für das neue Smartphone neu konfiguriert werden.