Die 2-Faktor-Authentifizierung ermöglicht dir einen doppelten Schutz vor unbefugten Zugriffen auf dein Wordpress-Konto, indem nicht nur ein (starkes) Passwort, sondern auch noch ein zweiter Faktor für den Login benötigt werden. Bei diesem handelt es sich üblicherweise um einen Bestätigungscode via Smartphone-App, wie man es bereits von vielen anderen Diensten kennt.
Die Einrichtung einer 2-Faktor-Authentifizierung in WordPress lässt sich sehr einfach mithilfe von Plugins realisieren. Beim Thema Sicherheit solltest du dich aber nicht auf ein x-beliebiges Plugin verlassen, sondern ausschließlich bekannte und aktuelle Plugins verwenden. Regelmäßige Updates im Monats- oder Quartalsrhythmus sind auf diesem Gebiet absolut essenziell, um die nötigen Sicherheitsvorschriften zu gewährleisten. Je weiter das letzte Update zurückliegt, desto höher ist die Wahrscheinlichkeit, dass das ausgewählte Plugin diverse Sicherheitslücken aufweist, die deine kriminellen Cyber-Fans natürlich auszunutzen wissen.
Um dies zu vermeiden, stellen wir dir die drei beliebtesten WordPress-Plugins zur 2-Faktor-Authentifizierung vor und erklären auch, wo es Nachteile gibt und worauf man achten muss.
Google Authenticator
Im Plugin-Installationsmenü von WordPress gibt es eine ganze Reihe an „Google Authenticator“-Plugins, wir beziehen uns aber auf den Google Authenticator – WordPress Two Factor Authentication (2FA) von MiniOrange.
Das Plugin ist grundsätzlich kostenlos und bietet erstaunlich viele Funktionen rund um die Themen Login-Authentifizierung und Sicherheit. Mit der kostenlosen Variante erhältst du folgende Features:
- 2-Faktor-Authentifizierung (2FA) für einen Benutzer und zeitlich unbegrenzt
- Eine große Auswahl an Authentifizierungsmethoden, zum Beispiel Push-Benachrichtigung, zeitbasierte Passwörter, QR Code, Sicherheitsfragen uvm.
- Schutz vor Brute-Force-Attacken
- Blockieren von IP-Adressen
- Überwachung des Benutzer-Logins
Was uns gut gefällt: Das Interface des Google Authenticators ist sehr übersichtlich und intuitiv aufgebaut, sodass man sich hier schnell zurechtfindet. Nach dem Installieren und Aktivieren des Plugins gibt uns dieses eine kleine Einführung und hilft uns, die 2-Faktor-Authentifizierung für unsere Seite zu konfigurieren. Bild 2 zeigt alle verfügbaren Authentifizierungsmethoden, die das kostenlose Plugin für dich bereithält. Mit dem „Video Guide“, dem „Support“ und den „FAQ“ im linken Menü hast du noch weitere Hilfen in Reichweite, falls beim Authentifizierungsvorgang Fragen aufkommen sollten.
Alles in allem ist der Google Authenticator sehr zu empfehlen, da er flexible Optionen für jeden Bedarf und jede Anforderung liefert. Einziger Nachteil: Noch gibt es das Plugin nur auf Englisch, aber im Zweifel hilft der integrierte Support für Übersetzungen weiter.
Two Factor Authentication
Dieses Plugin ist noch nicht ganz so populär wie der Google Authenticator, zählt aber dennoch zu den zuverlässigsten 2FA-Plugins in WordPress. Auch hier gibt es eine kostenlose Basis-Version und eine kostenpflichtige Premium-Version mit unterschiedlichen Vor- und Nachteilen.
Was dir das Plugin bietet:
- Einmalpasswörter (zeit- oder eventbasiert) mit Apps wie Authy und Google Authenticator
- Rollenspezifische Einstellungen
- Unterstützung von „Theme My Login“, „WP Members“ und WooCommerce-Anmeldeformularen
Das Two Factor Authentication-Plugin ist äußerst simpel und überschaubar. Benutzerspezifische Einstellungen können im Menü unter „Zwei-Faktor-Authentifizierung“ vorgenommen werden. Hier findest du sowohl einen QR-Code als auch einen Private Key, um eine App deiner Wahl mit deinem WordPress-Konto zu verknüpfen.
Unter Einstellungen > Two Factor Authentication kannst du außerdem noch allgemeine Optionen zum Plugin ändern, beispielsweise die Benutzerrollen, welche die 2-Faktor-Authentifizierung verwenden können (Bild 4). Aber Achtung: In der kostenlosen Version können die jeweiligen Benutzer die Option einer 2FA auch deaktivieren, wenn sie sie nicht benutzen wollen. Obligatorisch wird das Ganze erst mit der Premium-Version.
Die Einfachheit des Plugins kann allerdings auch als Nachteil ausgelegt werden: Two Factor Authentication bietet eben nur Einmalpasswörter als Authentifizierungsmethode an. Außerdem werden viele sinnvolle Funktionen erst mit dem Premium-Upgrade verfügbar, wie zum Beispiel Notfallcodes (aka Backup-Codes), zentrale Benutzerverwaltung oder die Option „Trusted Devices“, bei welcher die 2FA für festgelegte Benutzer und Rollen nur sporadisch erfolgt.
Für Einzelbetreiber oder kleine Gruppen ist das Plugin jedoch ziemlich praktisch und unkompliziert, da es sehr schnell konfigurierbar ist.
Two-Factor
Last but not least: das Two-Factor-Plugin. Two-Factor ist ein Open-Source-Plugin, das auf GitHub entwickelt wurde und weiterentwickelt wird. Der Update-Rhythmus könnte hier zwar etwas kürzer sein, doch tut das der Funktionalität des Plugins keinen Abbruch.
Zum Einrichten gehst du auf dein Profil (Benutzer > Dein Profil) und scrollst nach unten zu den Two-Factor-Einstellungen. Diese erlauben dir die Wahl zwischen vier verschiedenen Authentifizierungsmethoden:
- Zeitbasierte, einmalige Passwörter (TOTP)
- FIDO Universal 2. Faktor (U2F)
- Backup-Codes
Die Backup-Variante (welche bei den anderen Plugins kostenpflichtig ist) erspart dir die lästigen Umwege über FTP, wenn dein Login fehlschlägt und das Konto versehentlich gesperrt wird. Ein weiterer großer Bonus: Du kannst mehrere Methoden gleichzeitig aktivieren (linkes Kästchen). Wir empfehlen dir zwei Aktivierungen: E-Mail oder TOTP als Primärmethode und aktivierte Backups, auf die du im Notfall zurückgreifen kannst.
Unterhalb der Two-Factor-Einstellungen ist der Bereich für die Konfiguration von Security-Keys, sofern du die U2F-Authentifizierungsmethode nutzen möchtest (Bild 6).
Fazit
In Sachen Funktionalität, Vielseitigkeit und Einfachheit ist Two-Factor absolut unschlagbar. Vor allem die mitgelieferte Backup-Option ist überaus praktisch, zudem kommt das Plugin mit erstaunlich wenigen Einstellungen aus. Es bietet mehr Authentifizierungsmethoden als das Two Factor Authentication-Plugin, hat aber dafür keine Option für rollenspezifische Einstellungen und kann nur für einen Benutzer konfiguriert werden. Zusätzliche Features zum Thema Web-Security stehen mit dem Google Authenticator bereit, der auch in seiner kostenlosen Version sehr viel Ausstattung mit sich bringt.
No replies yet
Neue Antworten laden...
Administrator
Beteilige dich an der Diskussion in der Basic Tutorials Community →