Google Authenticator sichert auch WordPress ab
von caschy | 19 Kommentare
Nachdem nun Facebook, LastPass, Dropbox und auch Google mit Zwei Faktor-Authentifizierung ausgestattet sind, kann man als Blogger doch auch mal sein WordPress-Blog so absichern, oder? Dies ist auch problemlos möglich, denn für WordPress gibt es ebenfalls ein Plugin, welches euer Blog mit der doppelten Sicherheitsmethode ein wenig sicherer macht. Man kann sich mit der Kombination Nutzername und Passwort einloggen, denn neben dem Passwort wird auch der angezeigte Code aus der Authentificator-App benötigt.
Die Sache lässt sich übrigens für jeden Benutzer einzeln aktivieren. Sofern ihr normale Editoren ohne Veröffentlichungsrechte habt, so müssen diese ja nicht zwingend diese Art der Authentification nutzen, hier könnte man sich auf den Admin beschränken. (danke Andreas!)
Wird geladen ...
Gute Sache. Aber was ist, wenn ich mal das Handy wechsel und so keinen Code habe? Bei Google druckt man sich dafür Codes für den Notfall aus. Wie siehts hier aus?
@shad Dann nehm ich den Hintereingang und deaktivier des Plugin einfach in der Datenbank 😛
Leider ist das ganze bei einem Blognetzwerk nicht für das ganze Netzwerk aktiv. Man braucht für jeden Blog ein eigenen Code und muss es auch dort aktivieren was das ganze umständlich macht.
Leider nicht für das Fußvolk auf wordpress.com möglich, keine Plugins erlaubt.
Sehr, sehr cool. Vielen Dank für den Tipp. 🙂
Nice! Muss ich morgen gleich mal ausprobieren.
Danke für den Tipp!
Plugin isntalliert, aktiviert und bei der Anmeldung wird mir auch angezeigt, dass ich den „Google Authenticator“-Code eingeben soll. Mache ich das aber nicht und logge mich nur mit Benutzername und Passwort ein, so wie immer, kann ich mich trotzdem einloggen und auf mein Dashboard zugreifen. Das Plugin ist in meinen Augen somit überflüssig. Und ja, ich habe es von verschiedenen Geräten wie Netbook, Desktop PC und iPhone probiert.
Klappt perfekt. Gleich mal auf all meinen BLOGs aktiviert. Danke für den Tipp.
Super Tipp, merci, das hatte mir für WP immer noch gefehlt. Schön dass GA jetzt immer universeller wird, ersetzt bei mir den Yubikey. @Shad Du kannst Dir jederzeit Ersatzcodes über Deinen Google Account an das neue oder jedes andere Handy schicken lassen..
Hallo Caschy, ist es hier auch wir bei Ladtpast, das man an seinem eigenen vertrauensvollen Rechner diese Prozedur „nur“ alle paar Wochen machem muss?
Oder jedesmal?
Motgen ist Freitag!
Matthias
Das Zeug ist quatsch, genau wie bei Dropbox. Eine Lösung über OpenID (z. B. eben über Google) macht m. E. mehr Sinn.
Ich finde diese Loesung bissi kompliziert aber im not wenn es anderes nicht geht wurde ich es auch in meinem Blog implementieren.Jetzt geht noch nur mit spammers 😉
Ich habe jetzt gerade mal angefangen mich um die Sicherheitsproblematik meines Blogs zu kümmern und Limit Login Attempts installiert. Dank des Beitrags kann ich jetzt noch einiges mehr tun. Die Arbeit geht nie aus.
Was bringt diese Lösung, wenn per SQL-Injection in die Datenbank geschrieben und dort das Plug-In abgestellt und das Passwort geändert werden kann? IMHO ist es nur dafür gut, auf fremden Computern etwas mehr Sicherheit zu haben.
Schöne Sache. Damit kann man auch das UserLocker Plugin in Rente schicken. Fehlgeschlagene Logins stören jetzt nicht mehr, denn selbst wenn jemand das Passwort „erraten“ sollte kommt er am Authenticator nicht mehr vorbei.
Sehr cool. Gleich mal ausprobieren. Danke für den Hinweis!
Hast du das Plugin selbst schon getestet bzw. setzt es ein? Ich meine mal gelesen zu haben das du generell positiv zum Google Authenticator stehst.
Ich setze es nicht ein.
Ich werde das Plugin auch mal testen, bin gespannt was es drauf hat.