Geschäftsführer, Webdesigner & Web-Entwickler, staatlich geprüfter Mediengestalter
Die Sicherheit eines Content Management Systems ist äußerst wichtig. Das gilt natürlich auch für WordPress. Eine Möglichkeit zur Optimierung der Sicherheit ist eine Zwei-Faktor-Authentifizierung, um auch eine etwaige Fahrlässigkeit durch Nutzer zu vermeiden. Wir zeigen, wie man diesen Mechanismus unter WordPress einrichten kann.
WordPress ist das beliebteste Content-Management-System der Welt. „Ab Werk“ gilt WordPress bereits als sehr sicher. Allerdings steht und fällt die Sicherheit natürlich auch mit den Anwendern. Während Webmaster oder WordPress Agenturen mittels diverser Optimierungen für mehr Sicherheit sorgen, gibt es nicht selten Nutzer, die z.B. das Thema Passwort-Sicherheit nicht so eng sehen. Das System ist somit gefährdet. Um also auch die Nutzer zu mehr Sicherheit zu „zwingen“, bietet sich die Integration einer Zwei-Faktor-Authentifizierung an.
Inhaltsverzeichnis
Bei der Anwendung der Zwei-Faktor-Authentifizierung wird neben dem Passwort noch eine weitere Sicherheitsmaßnahme zur Identitätsprüfung genutzt. Meist handelt es sich hierbei um einen Code, welchen der Nutzer via SMS oder App zugesendet bekommt. Erst wenn dieser bestätigt ist, gelingt die Anmeldung. Selbst wenn Angreifern also das richtige Passwort bekannt sein sollte, ist eine Anmeldung nicht möglich.
Neben zugeschickten Codes gibt es auch weitere Methoden zur Zwei-Faktor-Überprüfung. Oft handelt es sich hierbei um das Auswählen eines einfachen Bildes oder das Lösen eines simplen Rätsels. Das hält durch Menschenhand durchgeführte Angriffe auf ein System zwar nicht ab, einen automatisierten Angriff über einen Bot könnte das aber schon stoppen.
Übrigens: Theoretisch steht jede Webseite im Visier von Angreifern. Diesen geht es nämlich nicht darum, große Webseiten oder die Portale von Banken zu knacken. Oftmals sind gerade kleine Webseiten oder die Präsenzen von mittelständigen Unternehmen im Fokus, da diese nicht selten wenig geschützt sind. „Wer will uns schon hacken?“, fragen sich viele Unternehmen. Und genau das machen sich die Angreifer zunutze. Bei einer Kompromittierung geht es nämlich nicht um Datendiebstahl oder ähnliches. In der Regel ist das einzige bzw. primäre Ziel, eine Webseite für illegale Zwecke zu missbrauchen. Die Verbreitung von Spam oder illegalen Inhalten steht dabei ganz weit oben auf der Wunschliste von Angreifern.
Die Zwei-Faktor-Authentifizierung kann auf jeder WordPress-Website eingerichtet werden. Praktische und vertrauenswürdige Plugins helfen dabei. Bei der Wahl des Plugin sollte auf einige Aspekte geachtet werden. Natürlich sind gute Bewertungen und viele Downloads das erste Aushängeschild der Plugins, doch auch regelmäßige Updates sind wichtig. Gerade in diesem sensiblen Bereich muss die Software-Erweiterung immer wieder überprüft und erneuert werden, um Sicherheitslücken zu vermeiden. Folgend zeigen wir, wie sich die Authentifizierung einrichten und anwenden lässt.
Es gibt verschiedene Plugins, welche WordPress-Seiten mit der Zwei-Faktor-Authentifizierung sicherer machen können. Viele davon sind effizient, wobei immer ein Blick auf Bewertungen, Downloads und Updates liegen sollte. Eine der beliebtesten und am häufigsten genutzten Plugins ist das „Google Authenticator-Plugin“ von „miniOrange“.
Wie man sehen kann, wird dieses häufig aktualisiert bzw. weiterentwickelt, hat eine hohe Zahl an Installationen und sehr gute Bewertungen. Anhand von diesem Plugin stellen wir deshalb die Installation, Einrichtung und Anwendung auf WordPress dar. Das Plugin ist einfach zu finden. Nachdem man sich im WordPress-Backend angemeldet hat, landet man auf dem Admin-Dashboard. Nun wählt man den Reiter „Plugins“ und den Unterpunkt „Installieren“ an der linken Werkzeugleiste.
Hier findet man anschließend ein Kästchen mit einer Suchleiste, in die man den Namen des gewünschten Plugins eintragen kann. Mit Eingabe des Suchbegriffs „Google Authenticator“, lässt sich die Erweiterung schnell finden. Jetzt muss das Plugin nur noch installiert und aktiviert werden.
Wenn das Plugin aktiviert wurde, kann es in der linken Werkzeugliste gefunden werden. Nach einem Klick auf den Reiter sieht man direkt die verfügbaren Methoden zur Zwei-Faktor-Authentifizierung. Der übliche Weg der Identifikation durch einen Code, welchen man auf eine App oder per SMS erhält, ist natürlich auch verfügbar.
Zudem stehen noch einige weitere Methoden zur Verfügung, wie die Überprüfung durch Sicherheitsfragen oder per E-Mail. Indem man bei der gewählten Methode den Button „Konfigurieren“ wählt, lässt sich die Zwei-Faktor-Authentifizierung einrichten. Entscheidet man sich beispielsweise für den Code per SMS, muss man lediglich seine Handynummer eingeben und schon ist die Zwei-Faktor-Authentifizierung aufgesetzt.
Bei den anderen Methoden funktioniert dieses Vorgehen ähnlich simpel. Bei der nächsten Anmeldung wird die gewählte Identitätsprüfung dann direkt angewandt. Bei den meisten anderen Plugins läuft dieser Prozess gleich ab. Auch die Methoden sind meist dieselben. Zur Unterstützung haben zudem beinahe alle Plugins hilfreiche Tutorial-Videos und Anleitungen auf ihrer Seite.
Die Einrichtung einer Zwei-Faktor-Authentifizierung für WordPress ist eine durchaus sinnvolle Maßnahmen zur Optimierung der Sicherheit. Zumindest dann, wenn es darum geht, auch etwaige Risiken, die mit (vielen) Nutzern einhergehen, zu minimieren. Wird eine WordPress-Webseite nur durch eine einzige Person verwaltet, gibt es auch deutlich simplere Maßnahmen, um den Login-Bereich zu schützen.
Zwei-Faktor-Authentifizierung hin oder her — sichere Passwörter sind dennoch ein absolutes Muss. Auch wenn die vollständige und effektive Einrichtung der Zwei-Faktor-Identifizierung auf den ersten Blick unkompliziert erscheint, sollte man als Laie hierfür einen Profi beauftragen. Grundsätzlich empfiehlt es sich auch, das gesamte System einmal professionell überprüfen zu lassen. Immerhin hat auch eine Zwei-Faktor-Authentifizierung kaum einen Nutzen, wenn es an anderer Stelle kritische Probleme gibt.
Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.
In der Welt des Webhosting sind Begriffe wie FTP und SFTP gängig, doch nicht jede:r weiß direkt, wobei es sich hierbei handelt – geschweige...
mehr lesen
Angriffe auf IT-Systeme sind keine Phänomene der letzten Jahre, in der die Digitalisierung Rekord-artig anstieg. Schon seit den frühen 1990er Jahren lässt sich diese...
mehr lesen
HTTPS ist inzwischen Standard im Internet. Das gilt natürlich auch für Webseiten auf WordPress Basis. In diesem Artikel zeigen wir daher, wie man WordPress...
mehr lesen
Hier finden sich alle aktuellen Sicherheitslücken von WordPress, Plugins und Themes, die im laufenden Monat bekannt wurden. Wer hinsichtlich der Sicherheit in der WordPress-Welt...
mehr lesen
Was ist eine URL? Die Abkürzung URL steht für den Begriff Uniform Resource Locator. Übersetzt bedeutet das so viel wie…
Was bedeutet UTF-8? Unter UTF-8 ist das Unicode Transformation Format – 8 Bits bekannt. Dabei steht die Zahl 8 für…
Was ist ein Cronjob? Innerhalb eines Betriebssystems können Aufgaben automatisiert ablaufen, diese werden vielfach als Cronjob bezeichnet. Das System gibt…
