Benutzername und Passwort sind nach wie vor die häufigsten Methoden, um sich an Systemen einzuloggen. So auch bei WordPress. Allerdings sind diese begrenzt sicher. Auch aus dem Online-Banking kennen wir die Tatsache, dass man noch ein zusätzliches Merkmal angeben muss, um zu bestätigen, dass man sich einloggen oder eine Überweisung tätigen darf. Diese zusätzliche Legitimierung nennt sich Zwei-Faktor-Authentifizierung und lässt sich auch in WordPress nachrüsten.

Hierfür gibt es in WordPress verschiedene Plugins. Mein Favorit ist Two-Factor. Dieses Plugin schaltet sich im Login-Prozess ein und verlangt dann den zweiten Faktor, mit dem man sich anmelden muss.

Freie Auswahl des zweiten Faktors

Nach der Eingabe des Benutzernamens kann man sich dann mit einem weiteren Merkmal einloggen. Dabei hat man die Auswahl aus:

  • E-Mail: es wird eine E-Mail mit einem Code geschickt, der eingegeben werden muss
  • Einmal-Passwort: dieses wird zum Beispiel im Google-Authenticator verwaltet.
  • FIDO-Universal 2nd-Factor (U2F): ein USB-Key (ich habe es mit dem Yubikey probiert) der ein Einmal-Passwort generiert.
  • Ein Backup-Code: man kann Backup-Codes generieren, die man in den Schrank legt, wenn die andere Methode nicht mehr funktioniert.

Es lässt sich nur ein zweiter Faktor einrichten, aber auch mehrere, zum Beispiel als Backup. Letzteres empfiehlt sich auf jeden Fall, da man sich sonst ausschließen kann. Man kann das Einmal-Passwort und E-Mail zum Beispiel gut kombinieren. Oder man generiert tatsächlich Backup-Codes, die man dann zuhause an einer sicheren Stelle hinterlegt.

Einrichten des zweiten Faktors

Die Einrichtung des zweiten Faktors ist relativ einfach und muss für jeden Benutzer einzeln eingerichtet werden. Nach der Installation des Plug-Ins geht man hierfür auf den Benutzer, den man einrichten möchte. In den Einstellungen gibt es jetzt die Sektion: “Two-Factor-Einstellungen”. Dort sind alle Möglichkeiten aufgelistet:

So sehen die zwei-Faktor-Optionen in den Benutzereinstellungen aus.

Hier kann man nun die einzelnen Faktoren einrichten und aktivieren. Das schöne ist: jede Option ist aktiviervbar und steht dann zur Verfügung. Außerdem kann man einstellen, welches die bevorzugte Login-Variante ist. Diese wird dann nach dem Benutzernamen und Passwort immer als erstes zum Login vorgeschlagen. Das sieht dann zum Beispiel so aus:

Der Login mit der Zwei-Faktor-Authentifizierung. Hier muss nun der Code eingegeben werden, oder es kann eine Backup-Methode ausgewählt werden.

Falls man statt der Standard-Verifikation eine Backup-Methode verwenden möchte, kann man diese über den Link unter dem Fenster auswählen. Mit dieser funktioniert es dann gleichwertig gut.

Schwachstelle WordPress-App

Es gibt leider ein Problem: wenn ein Account mit einem zweiten Faktor installiert wurde, ist es heute leider nicht möglich, diesen Account noch in der WordPress-App zu benutzen. Wenn man also die App weiterhin benutzen möchte und trotzdem auf die Zwei-Faktor-Authentifizierung nicht verzichten möchte, empfehle ich folgendes:

Der Admin-Account sollte auf jeden Fall mit einer Zwei-Faktor-Authentifizierung ausgestattet werden. Wenn dieser bisher in der App verwendet wurde, sollte er ausgeloggt werden. Dieser kann ab sofort in der App nicht mehr verwendet werden. Für die App legt man sich einen zweiten Benutzer an, der nur die Rechte zum Schreiben von Artikeln besitzt. Vielleicht auch noch zum Veröffentlichen (je nach Notwendigkeit). So kann man das Risiko eingehen, einen schwächer geschützten Account zu haben, die App weiter verwenden und hat den wichtigen Account besser geschützt.

Fazit

Ich finde es eine leichte und gute Möglichkeit, die SIcherheit mit wenigen Handgriffen zu erhöhen und trotzdem wenig Aufwand damit zu haben. Vor allem die Authentifizierung mit einem USB-Key ist so einfach und schön, dass man es nicht als hinderlich empfindet.

Was haltet ihr von der Zwei-Faktor-Authentifizierung? Ist sie trotzdem zu hinderlich oder nutzt ihr sie gerne, um WordPress besser abzusichern. Schreibt Eure Kommentare oder Anmerkungen gerne in die Kommentare.

Ich habe noch mehr Artikel über WordPress geschrieben.