WordPress: an die Zwei-Faktor-Authentifizierung denken

Ob man selber ein Blog mittels WordPress betreibt, oder ob man zum Dienst von WordPress.com greift – denken sollte man an die Zwei-Faktor-Authentifizierung auf jeden Fall. Selbst wenn man der Meinung ist, man hätte sein selbst gehostetes Blog dahingehend abgesichert, sollte ein Blick in den WordPress.com-Account nicht schaden.

Warum? Nutzt man beispielsweise die Erweiterung Jetpack und das Modul „Verwalten“ mit einem WordPress.com-Account, dann ist die Chance vorhanden, dass man in ein abgesichertes selbst gehostetes Blog kommen kann.WordPress mit angekoppelten Jetpack und dem Modul „Verwalten“ sorgt nämlich dafür, dass man nicht nur über das eigene Backend des Blogs Artikel schreiben kann, sondern auch über das von WordPress.com.

Habe ich Zugriff auf den WordPress.com-Account eines Nutzers, der ein verbundenes, aber selbst gehostetes Blog nutzt, dann kann ich über das Backend von WordPress nicht nur Artikel schreiben oder verändern, ich kann auch Plugins de- oder aktivieren – und da ist es egal, ob das Blog des Nutzers mit einer Zwei-Faktor-Authentifizierung versehen ist, wie sie beispielsweise durch ein Plugin von Sergej Müller realisiert wird.

WordPress.com setzt auf die Methode mit Einmalpasswörtern, wie sie beispielsweise von Dropbox, LastPass, Google und Co angeboten wird. Das Generieren dieser Passwörter erfolgt über OTP-Apps, wie beispielsweise den Google Authenticator oder Authy. Will man sich einloggen, wird nicht nur das Passwort fällig, sondern eben auch das Einmalpasswort, Apps hingegen müssen separat mit Anwendungspasswörtern hinterlegt werden.

Das ist einmalig natürlich ein wenig Arbeit, schützt in diesem speziellen Fall allerdings vor unerwünschten Nebenwirkungen, wenn irgendwie jemand in euren Account kommt. Sofern ihr ein Blog bei WordPress.com nutzt: hier könnt ihr die Funktion aktivieren.