Zwei-Faktor-Authentifizierung für WordPress
Sicherheit ist vielen wichtig. Viele nutzen deshalb auch die Zwei-Faktor-Authentifizierung, die von diversen Diensten wie Gmail, Evernote, Outlook und Co angeboten wird. Hierbei muss man nicht nur den Nutzernamen und das Passwort kennen, sondern auch einen Code, der per SMS oder E-Mail gesendet wird, alternativ in speziellen Apps generiert wird.
Für WordPress gibt es schon einige dieser Plugins, gefallen hat mir persönlich bislang keines. Sergej Müller, aus Hamburg kommender Entwickler hinter wpSEO, AntispamBee und vielen weiteren Plugins, hat nun ein Plugin für WordPress realisiert, welches die Zwei-Faktor-Authentifizierung via Mail abwickelt.
Heißt: wer sich erstmal oder vom fremden Rechnern in sein WordPress einloggt, der muss nicht nur Passwort und Nutzernamen eingeben, sondern auch einen generierten Code, der von eurem Server an die Mail-Adresse geschickt wird, mit der ihr auch bei WordPress registriert habt.
Gestern bei @WordCampHH viele Ideen gesammelt. Eine als Plugin umgesetzt. https://t.co/o9p4bv1FuC #wcch14
— Sergej Müller (@wpseo) 15. Juni 2014
Dieser Code muss innerhalb von 5 Minuten eingegeben werden, bevor er verfällt. Momentan findet man den Code und das Plugin bei Github, ich selber habe das Plugin mal scharfgeschaltet und kann bestätigen: funktioniert. Schiefgehen kann nichts, im schlimmsten Fall löscht man das Plugin via FTP wieder oder benennt es um.
Vielen Dank! Toller Tipp – werden wir direkt einmal ausprobieren.
Gruß
MaTT
Hallo Caschy,
hast Du Erfahrungen in Verbindung mir der WordPress-App auf iOS?
Also ich verwende schon seit langem das Plugin Google Authenticator (https://wordpress.org/plugins/google-authenticator/) und bin wirklich sehr zufrieden. Finde die Lösungen per E-Mail allgemein nicht so gelungen…
Aber wie man Sergej Müller kennt, wird sein Plugin großartig. (Qualität und Support immer super!)
Ich nutze schon lange das Plugin „Limit Login Attempts“. Nach x-facher falscher Anmeldung wird die IP gesperrt. Sehr komfortabel und auch sicher, wenn man ein sicheres Kennwort für die Anmeldung nutzt.
Mit dem Plugin sieht man dann auch, wie oft sich Dritte Zugriff verschaffen wollen. Das ist weitaus häufiger, als man vermutet.
@Mark: Keine Probleme
@Axel: http://stadt-bremerhaven.de/wordpress-login-absichern-zweite-variante/ damit habe ich das Limit Logins wegfallen lassen können 😉
Die meisten Hacks werden nicht durch einen Angriff auf das Passwort durchgeführt, deswegen bringt das Plugin wohl auch keine größere Sicherheit. Viel wichtiger ist es meiner Meinung nach ein sauberes System zu betreiben, wenige PlugIns, lange Passwörter, Verrechtung etc.
Gibt es eine Info wann das Plugin im offiziellen Verzeichnis von WordPress verfügbar sein wird?
@Andreas: Ich denke, der Sergej wird es veröffentlichen – via Twitter oder G+
Man sollte dann aber auch nicht das gleiche Passwort für WordPress und Mail verwenden 😉
Hallo, mal eine allg. Frage zu dem Thema. Ich finde diese Art der Authentifizierung durchaus sympathisch. Doch was mache ich, wenn mir kein Handyzugrang zur Verfügung steht.
In meinem Konkreten Fall war ich in Japan. Dort mit Handy unterwegs zu sein ist schwierig und sehr teuer. Also Verzicht ist angesagt. Nun wurden alle meine Zugriffsversuche auf meine Dienste als Bedenklich eingestuft und eine weitere Authentifizierung war nötig.
Hätte ich diese 2-Wege-Authentifizierung aktiviert, hätte ich keine Möglichkeit gehabt diese Art der Authentifizierung durchzuführen und hätte ich mich dann vollständig ausgeschlossen. Oder welche Wege sind da zu beschreiten?
Ich bin durchaus viel im Ausland (nicht Europa) wo sich mir regelmäßig das Problem mit der Nutzung von Mobilgeräten stellt.
Hab das „Google Authenticator“ Plugin eben mit WP 3.9 getestet. Läuft wunderbar.
Zusätzlich läuft noch „Limit Login Attempts“ (http://devel.kostdoktorn.se/limit-login-attempts), „Captcha“ (http://bestwebsoft.com/plugin/captcha-plugin) und eben htaccess. Sollte sicher genug sein um Spammer und Bots fern zu halten.
Sieht dann so aus: http://prntscr.com/3tbrwp
Ich benutze jetzt schon ziemlich lange das Plugin „Google Authenticator“ und bin damit total zufrieden. Hatte bisher noch keine Probleme damit. Ich finde das auch ein wenig sicherer, als einen Code per Mail zugeschickt zu bekommen, da der Code auf meinem Smartphone ausgegeben wird und somit zwei Geräte nötig sind, um den Schutzcode zu bekommen.
@Mark
Die Sicherheitsabfrage erfolgt nur im Browser. Apps sind nicht betroffen (siehe Plugin-Beschreibung).
@Mainboarder
Gleiche Passwörter sollte man eh nie nutzen 😉
@abogomolov
Mit dem Plugin wird versucht, auf jegliche Drittanbieter, Apps und Devices zu verzichten. Halt eine Lösung, wo du der Herr über den 2. Faktor bist.
@Roman
Das weißt du sicherlich, weil dir bestimmte Zahlen vorliegen? Lass mich dran teilhaben.
@Andre Kreitlein
Da es sich um eine E-Mail-Adresse handelt, kannst du diese mit dem Device abfragen, mit dem du auch grade versuchst, dich anzumelden.
@Timo
Und sie vertragen sich alle? 😉
Wenn dein .htaccess Schutz stark genug ist, dürfte keiner „drüber“ kommen. Allerdings kann man den .htaccess Schutz nicht immer einsetzen. Sonst ist es immer meine erste Wahl.
@Sven
In einer zukünftigen Version kannst du eine abweichende E-Mail-Adresse definieren, an die der Code zugeschickt wird. Diese Adresse kannst nur du und nur mit deinem Raspberry Pi abfragen 😉
@all
Sobald die Zeit zulässt, versuche ich den FAQ-Bereich zu pflegen: https://github.com/sergejmueller/2-Step-Verification/wiki/Häufige-Fragen