Zwei-Faktor-Authentifizierung für WordPress

Sicherheit ist vielen wichtig. Viele nutzen deshalb auch die Zwei-Faktor-Authentifizierung, die von diversen Diensten wie Gmail, Evernote, Outlook und Co angeboten wird. Hierbei muss man nicht nur den Nutzernamen und das Passwort kennen, sondern auch einen Code, der per SMS oder E-Mail gesendet wird, alternativ in speziellen Apps generiert wird.

WordpRess Code

Für WordPress gibt es schon einige dieser Plugins, gefallen hat mir persönlich bislang keines. Sergej Müller, aus Hamburg kommender Entwickler hinter wpSEO, AntispamBee und vielen weiteren Plugins, hat nun ein Plugin für WordPress realisiert, welches die  Zwei-Faktor-Authentifizierung via Mail abwickelt.

Heißt: wer sich erstmal oder vom fremden Rechnern in sein WordPress einloggt, der muss nicht nur Passwort und Nutzernamen eingeben, sondern auch einen generierten Code, der von eurem Server an die Mail-Adresse geschickt wird, mit der ihr auch bei WordPress registriert habt.


Dieser Code muss innerhalb von 5 Minuten eingegeben werden, bevor er verfällt. Momentan findet man den Code und das Plugin bei Github, ich selber habe das Plugin mal scharfgeschaltet und kann bestätigen: funktioniert. Schiefgehen kann nichts, im schlimmsten Fall löscht man das Plugin via FTP wieder oder benennt es um.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

16 Kommentare

  1. Vielen Dank! Toller Tipp – werden wir direkt einmal ausprobieren.
    Gruß
    MaTT

  2. Hallo Caschy,

    hast Du Erfahrungen in Verbindung mir der WordPress-App auf iOS?

  3. Also ich verwende schon seit langem das Plugin Google Authenticator (https://wordpress.org/plugins/google-authenticator/) und bin wirklich sehr zufrieden. Finde die Lösungen per E-Mail allgemein nicht so gelungen…

    Aber wie man Sergej Müller kennt, wird sein Plugin großartig. (Qualität und Support immer super!)

  4. Ich nutze schon lange das Plugin „Limit Login Attempts“. Nach x-facher falscher Anmeldung wird die IP gesperrt. Sehr komfortabel und auch sicher, wenn man ein sicheres Kennwort für die Anmeldung nutzt.
    Mit dem Plugin sieht man dann auch, wie oft sich Dritte Zugriff verschaffen wollen. Das ist weitaus häufiger, als man vermutet.

  5. @Mark: Keine Probleme

    @Axel: http://stadt-bremerhaven.de/wordpress-login-absichern-zweite-variante/ damit habe ich das Limit Logins wegfallen lassen können 😉

  6. Die meisten Hacks werden nicht durch einen Angriff auf das Passwort durchgeführt, deswegen bringt das Plugin wohl auch keine größere Sicherheit. Viel wichtiger ist es meiner Meinung nach ein sauberes System zu betreiben, wenige PlugIns, lange Passwörter, Verrechtung etc.

  7. Gibt es eine Info wann das Plugin im offiziellen Verzeichnis von WordPress verfügbar sein wird?

  8. @Andreas: Ich denke, der Sergej wird es veröffentlichen – via Twitter oder G+

  9. Man sollte dann aber auch nicht das gleiche Passwort für WordPress und Mail verwenden 😉

  10. Hallo, mal eine allg. Frage zu dem Thema. Ich finde diese Art der Authentifizierung durchaus sympathisch. Doch was mache ich, wenn mir kein Handyzugrang zur Verfügung steht.
    In meinem Konkreten Fall war ich in Japan. Dort mit Handy unterwegs zu sein ist schwierig und sehr teuer. Also Verzicht ist angesagt. Nun wurden alle meine Zugriffsversuche auf meine Dienste als Bedenklich eingestuft und eine weitere Authentifizierung war nötig.
    Hätte ich diese 2-Wege-Authentifizierung aktiviert, hätte ich keine Möglichkeit gehabt diese Art der Authentifizierung durchzuführen und hätte ich mich dann vollständig ausgeschlossen. Oder welche Wege sind da zu beschreiten?
    Ich bin durchaus viel im Ausland (nicht Europa) wo sich mir regelmäßig das Problem mit der Nutzung von Mobilgeräten stellt.

  11. @Caschy & Axel: habe neulich mal einen Artikel zu „Limit Logins“ etc gelesen und dort wurde gesagt, dass dies nur den Nutzer in falscher Sicherheit wiegt, da man bei WP wohl immer angezeigt bekommt (in einem Log) was falsch war (User oder PW). Wieso einen falscher User / Bot / Spammer überhaupt so weit kommen lassen? Seitdem habe ich meine Login-Seite mit htaccess geschützt (zusätzlich zu Limit Logins). Beide Logins natürlich mit unterschiedlichen PWs.

    Oben erwähnter Artikel: http://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/

    Persönlich würde auch eine App statt Mail für den Code vorziehen. Hatte schon mal überlegt das einzusetzen. Weiß jemand, ob es ein Authenticator Plugin gibt, welches auch einen Sicherheitscode generiert, falls man keinen Zugriff auf FTP hat um das Plugin zu deaktivieren?

    Schön wäre natürlich, wenn WP das direkt einbauen würde.

    @abogomolov: funktioniert das Plugin auch mit WP 3.9.x? Da auf der Plugin-Seite nur von 3.8.x die Rede ist.

  12. Hab das „Google Authenticator“ Plugin eben mit WP 3.9 getestet. Läuft wunderbar.

    Zusätzlich läuft noch „Limit Login Attempts“ (http://devel.kostdoktorn.se/limit-login-attempts), „Captcha“ (http://bestwebsoft.com/plugin/captcha-plugin) und eben htaccess. Sollte sicher genug sein um Spammer und Bots fern zu halten.

    Sieht dann so aus: http://prntscr.com/3tbrwp

  13. Ich benutze jetzt schon ziemlich lange das Plugin „Google Authenticator“ und bin damit total zufrieden. Hatte bisher noch keine Probleme damit. Ich finde das auch ein wenig sicherer, als einen Code per Mail zugeschickt zu bekommen, da der Code auf meinem Smartphone ausgegeben wird und somit zwei Geräte nötig sind, um den Schutzcode zu bekommen.

  14. @Mark
    Die Sicherheitsabfrage erfolgt nur im Browser. Apps sind nicht betroffen (siehe Plugin-Beschreibung).

    @Mainboarder
    Gleiche Passwörter sollte man eh nie nutzen 😉

    @abogomolov
    Mit dem Plugin wird versucht, auf jegliche Drittanbieter, Apps und Devices zu verzichten. Halt eine Lösung, wo du der Herr über den 2. Faktor bist.

    @Roman
    Das weißt du sicherlich, weil dir bestimmte Zahlen vorliegen? Lass mich dran teilhaben.

    @Andre Kreitlein
    Da es sich um eine E-Mail-Adresse handelt, kannst du diese mit dem Device abfragen, mit dem du auch grade versuchst, dich anzumelden.

    @Timo
    Und sie vertragen sich alle? 😉
    Wenn dein .htaccess Schutz stark genug ist, dürfte keiner „drüber“ kommen. Allerdings kann man den .htaccess Schutz nicht immer einsetzen. Sonst ist es immer meine erste Wahl.

    @Sven
    In einer zukünftigen Version kannst du eine abweichende E-Mail-Adresse definieren, an die der Code zugeschickt wird. Diese Adresse kannst nur du und nur mit deinem Raspberry Pi abfragen 😉

    @all
    Sobald die Zeit zulässt, versuche ich den FAQ-Bereich zu pflegen: https://github.com/sergejmueller/2-Step-Verification/wiki/Häufige-Fragen