Zwei-Faktor-Authentifizierung für WordPress

Sicherheit ist vielen wichtig. Viele nutzen deshalb auch die Zwei-Faktor-Authentifizierung, die von diversen Diensten wie Gmail, Evernote, Outlook und Co angeboten wird. Hierbei muss man nicht nur den Nutzernamen und das Passwort kennen, sondern auch einen Code, der per SMS oder E-Mail gesendet wird, alternativ in speziellen Apps generiert wird.

WordpRess Code

Für WordPress gibt es schon einige dieser Plugins, gefallen hat mir persönlich bislang keines. Sergej Müller, aus Hamburg kommender Entwickler hinter wpSEO, AntispamBee und vielen weiteren Plugins, hat nun ein Plugin für WordPress realisiert, welches die  Zwei-Faktor-Authentifizierung via Mail abwickelt.

Heißt: wer sich erstmal oder vom fremden Rechnern in sein WordPress einloggt, der muss nicht nur Passwort und Nutzernamen eingeben, sondern auch einen generierten Code, der von eurem Server an die Mail-Adresse geschickt wird, mit der ihr auch bei WordPress registriert habt.


Dieser Code muss innerhalb von 5 Minuten eingegeben werden, bevor er verfällt. Momentan findet man den Code und das Plugin bei Github, ich selber habe das Plugin mal scharfgeschaltet und kann bestätigen: funktioniert. Schiefgehen kann nichts, im schlimmsten Fall löscht man das Plugin via FTP wieder oder benennt es um.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. Vielen Dank! Toller Tipp – werden wir direkt einmal ausprobieren.
    Gruß
    MaTT

  2. Hallo Caschy,

    hast Du Erfahrungen in Verbindung mir der WordPress-App auf iOS?

  3. Also ich verwende schon seit langem das Plugin Google Authenticator (https://wordpress.org/plugins/google-authenticator/) und bin wirklich sehr zufrieden. Finde die Lösungen per E-Mail allgemein nicht so gelungen…

    Aber wie man Sergej Müller kennt, wird sein Plugin großartig. (Qualität und Support immer super!)

  4. Ich nutze schon lange das Plugin „Limit Login Attempts“. Nach x-facher falscher Anmeldung wird die IP gesperrt. Sehr komfortabel und auch sicher, wenn man ein sicheres Kennwort für die Anmeldung nutzt.
    Mit dem Plugin sieht man dann auch, wie oft sich Dritte Zugriff verschaffen wollen. Das ist weitaus häufiger, als man vermutet.

  5. @Mark: Keine Probleme

    @Axel: http://stadt-bremerhaven.de/wordpress-login-absichern-zweite-variante/ damit habe ich das Limit Logins wegfallen lassen können 😉

  6. Die meisten Hacks werden nicht durch einen Angriff auf das Passwort durchgeführt, deswegen bringt das Plugin wohl auch keine größere Sicherheit. Viel wichtiger ist es meiner Meinung nach ein sauberes System zu betreiben, wenige PlugIns, lange Passwörter, Verrechtung etc.

  7. Gibt es eine Info wann das Plugin im offiziellen Verzeichnis von WordPress verfügbar sein wird?

  8. @Andreas: Ich denke, der Sergej wird es veröffentlichen – via Twitter oder G+

  9. Man sollte dann aber auch nicht das gleiche Passwort für WordPress und Mail verwenden 😉

  10. Hallo, mal eine allg. Frage zu dem Thema. Ich finde diese Art der Authentifizierung durchaus sympathisch. Doch was mache ich, wenn mir kein Handyzugrang zur Verfügung steht.
    In meinem Konkreten Fall war ich in Japan. Dort mit Handy unterwegs zu sein ist schwierig und sehr teuer. Also Verzicht ist angesagt. Nun wurden alle meine Zugriffsversuche auf meine Dienste als Bedenklich eingestuft und eine weitere Authentifizierung war nötig.
    Hätte ich diese 2-Wege-Authentifizierung aktiviert, hätte ich keine Möglichkeit gehabt diese Art der Authentifizierung durchzuführen und hätte ich mich dann vollständig ausgeschlossen. Oder welche Wege sind da zu beschreiten?
    Ich bin durchaus viel im Ausland (nicht Europa) wo sich mir regelmäßig das Problem mit der Nutzung von Mobilgeräten stellt.

  11. Hab das „Google Authenticator“ Plugin eben mit WP 3.9 getestet. Läuft wunderbar.

    Zusätzlich läuft noch „Limit Login Attempts“ (http://devel.kostdoktorn.se/limit-login-attempts), „Captcha“ (http://bestwebsoft.com/plugin/captcha-plugin) und eben htaccess. Sollte sicher genug sein um Spammer und Bots fern zu halten.

    Sieht dann so aus: http://prntscr.com/3tbrwp

  12. Ich benutze jetzt schon ziemlich lange das Plugin „Google Authenticator“ und bin damit total zufrieden. Hatte bisher noch keine Probleme damit. Ich finde das auch ein wenig sicherer, als einen Code per Mail zugeschickt zu bekommen, da der Code auf meinem Smartphone ausgegeben wird und somit zwei Geräte nötig sind, um den Schutzcode zu bekommen.

  13. @Mark
    Die Sicherheitsabfrage erfolgt nur im Browser. Apps sind nicht betroffen (siehe Plugin-Beschreibung).

    @Mainboarder
    Gleiche Passwörter sollte man eh nie nutzen 😉

    @abogomolov
    Mit dem Plugin wird versucht, auf jegliche Drittanbieter, Apps und Devices zu verzichten. Halt eine Lösung, wo du der Herr über den 2. Faktor bist.

    @Roman
    Das weißt du sicherlich, weil dir bestimmte Zahlen vorliegen? Lass mich dran teilhaben.

    @Andre Kreitlein
    Da es sich um eine E-Mail-Adresse handelt, kannst du diese mit dem Device abfragen, mit dem du auch grade versuchst, dich anzumelden.

    @Timo
    Und sie vertragen sich alle? 😉
    Wenn dein .htaccess Schutz stark genug ist, dürfte keiner „drüber“ kommen. Allerdings kann man den .htaccess Schutz nicht immer einsetzen. Sonst ist es immer meine erste Wahl.

    @Sven
    In einer zukünftigen Version kannst du eine abweichende E-Mail-Adresse definieren, an die der Code zugeschickt wird. Diese Adresse kannst nur du und nur mit deinem Raspberry Pi abfragen 😉

    @all
    Sobald die Zeit zulässt, versuche ich den FAQ-Bereich zu pflegen: https://github.com/sergejmueller/2-Step-Verification/wiki/Häufige-Fragen

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.