Zwei-Faktor-Authentifizierung (2FA) mit WordPress

Auch ohne Zwei-Faktor-Authentifizierung ist WordPress an sich schon eine sichere Software, das kann ich aus Erfahrung sagen. Doch wie bei jeder Software entstehen leider immer wieder Sicherheitslücken, die erst einmal entdeckt und geschlossen werden müssen.

Von daher ist es eine gute Idee zusätzliche Hürden für potentielle Angreifer aufzubauen. Ein effektive Möglichkeit dazu bietet die Zwei-Faktor-Authentifizierung.

(Die Möglichkeiten sind nicht auf den beschriebenen Weg beschränkt. Jedoch ist der Gedanke hinter diesem Artikel, möglichst vielen Menschen einen recht einfach umsetzbaren Weg aufzuzeigen.)

Inhaltsverzeichnis

1. Was ist eine Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsverfahren, welches die Wahrscheinlichkeit erhöht, dass eine Person diejenige ist, die sie vorgibt zu sein.

Bei diesem Verfahren werden die Benutzer aufgefordert, zwei verschiedene Authentifizierungsfaktoren einzugeben, bevor sie auf eine Anwendung oder ein System zugreifen können, und nicht nur ihren Benutzernamen und ihr Passwort.

Unternehmen jeder Größe müssen mit der Raffinesse der Angreifer Schritt halten und ihre Abwehrmaßnahmen kontinuierlich weiterentwickeln, um böswillige Akteure von ihren Netzwerken und Systemen fernzuhalten. Durch Zwei-Faktor-Authentifizierung wird es für Cyberkriminelle schwieriger, die Identität von Benutzern zu stehlen oder auf deren Geräte und Konten zuzugreifen.

Außerdem hilft es Unternehmen, Angreifer von ihren Systemen fernzuhalten, selbst wenn das Passwort eines Benutzers gestohlen wurde. Das Verfahren wird eingesetzt, um gängige Cyber-Bedrohungen wie Phishing-Angriffe zu verhindern, bei denen Angreifer Identitäten vortäuschen, nachdem sie die Passwörter ihrer Opfer gestohlen haben.

2. Welche Vorteile bietet eine Zwei-Faktor-Authentifizierung?

Passwörter sind die primäre Verteidigungslinie zum Schutz Ihrer persönlichen Konten, starke Passwörter sind jedoch nicht leicht zu merken. Zu viele Menschen tappen in die Falle, leicht zu merkende Passwörter zu verwenden. Es ist vielleicht keine Überraschung, dass das am häufigsten verwendete Passwort im Jahr 2020 „123456“ lautet. Konten, die dieses Passwort verwenden, wurden über 23 Millionen Mal gehackt.

2FA ist eine der zuverlässigsten Sicherheitsmaßnahmen, die für jeden geeignet ist. Wenn Sie auf Ihrer Webseite eine 2-Faktor-Authentifizierung implementiert haben, reicht das Passwort alleine nicht mehr aus, um Ihr Konto zu knacken. Selbst wenn jemand Ihr sicheres und kompliziertes Passwort erraten hat, hat er wahrscheinlich keinen Zugriff auf den zweiten Faktor, der z. B. an Ihr Smartphone gesendet wurde. Wenn mehr Plattformen solche Sicherheitsmaßnahmen durchsetzen würden, könnten sie sich mehr auf die Verbesserung ihres Angebots als auf Datenschutzverletzungen konzentrieren.

Die Zwei-Faktor-Authentifizierung hat noch einige weitere Vorteile. Wenn Sie über Ihre Website Kunden-, Finanz- oder auch Gesundheitsdaten speichern, sorgen Sie mit einer Zwei-Faktor-Authentifizierung für mehr Datensicherheit und Datenschutz.

3. Gängige Arten von 2-Faktor-Authentifizierung

  • E-Mail-Codes
  • Zeitbasierte Einmal-Passwörter (TOTP)
  • FIDO Universal 2. Faktor (U2F)
  • Backup-Codes

4. WordPress um eine 2FA erweitern

Erfreulicherweise lässt sich WordPress um 2FA erweitern. Das geschieht mit funktionserweiternden Plugins. Gute Erfahrungen habe ich in diesem Zusammenhang mit dem Plugin „Two-Factor“ gesammelt. Es bietet über E-Mail-Codes oder auch zeitbasierte Einmal-Passwörter recht einfach zu nutzende Möglichkeiten der Absicherung.

Two-Factor
Sie brauchen an dieser Stelle das Plugin nicht herunterladen. Die Installation nehmen Sie direkt im Backend von WordPress vor.

5. Wie richte ich die Zwei-Faktor-Authentifizierung in WordPress ein?

Zunächst müssen Sie das Zwei-Faktor-Plugin installieren und aktivieren. Der einfachste Weg, ein WordPress-Plugin zu installieren, ist die Verwendung der Plugin-Suche.

Als Erstes müssen Sie die Seite Plugins » Installieren in Ihrem WordPress-Adminbereich aufrufen.

Bildschirmfoto: Plugin-Suche innerhalb von WordPress
Über das Suchfeld können Sie gezielt nach Plugins suchen.

Ändern Sie das links neben dem Suchfeld stehende Drop-down am besten auf „Schlagwort“. Im Suchfeld dann den Namen des Plugins „Two-Factor“ eingeben und kurz warten.

Im Anschluss können Sie das Plugins durch Klick auf „Jetzt installieren“ installieren.

Bildschirmfoto: Plugin zur Zwei-Faktor-Authentifizierung installieren
Sind Sie fündig geworden, können Sie das Plugin direkt installieren.

Im nächsten Schritt erfolgt die Aktivierung des Plugin durch Klick auf den blauen Button „Aktivieren“.

Bildschirmfoto: Plugin zur Zwei-Faktor-Authentifizierung aktivieren
Nach der Installation lässt sich das Plugin wiederum direkt aktivieren.

Nach der Aktivierung müssen Sie die Seite Benutzer » Profil besuchen und nach unten zum Abschnitt Two-Factor-Einstellungen scrollen.

Bildschirmfoto: Einrichtung der Zwei-Faktor-Authentifizierung

Hier wählen Sie eine Zwei-Faktor-Anmeldeoption aus. Die einfachste Methode ist E-Mail, dann erhalten Sie den Einmalcode zur Authentifizierung per E-Mail an die in Ihrem Profil hinterlegte E-Mail-Adresse.

Vergessen Sie nicht, unten links auf die Schaltfläche Profil aktualisieren zu klicken, um Ihre Einstellungen zu speichern. Fertig.

Jetzt werden Sie jedes Mal, wenn Sie sich auf Ihrer WordPress-Website anmelden, aufgefordert, zusätzlich den per E-Mail zugesandten Authentifizierungscode einzugeben.

Bildschirmfoto: Login-Bildschirm für die Eingabe des Verifizierungs-Codes

Zwei-Faktor-Authentifizierung für alle Nutzer

Als kleinen Nachteil könnte man ansehen, dass sich die Zwei-Faktor-Anmeldung mit „Two-Factor“ nicht für alle Benutzer erzwingen lässt. Es gibt bisher noch keine Einstellung dafür. Jeder Nutzer muss sie selbst aktivieren bzw. einrichten und kann sie in seinem Profil deaktivieren.

Doch gibt es einen Workaround über einen Filter, den man in der function.php des aktiven Themes hinterlegen kann. Mit diesem Filter wird die Zwei-Faktor-Authentifizierung per E-Mail alle für Benutzer aktiviert, die keine 2FA konfiguriert haben.

⚠️ Legen Sie immer eine Sicherung an, bevor Sie Dateien ändern. So lässt sich bei Fehlern die Originaldatei unkompliziert wiederherstellen.

/**
 * Enable two-factor authentication via email for all users who do not have 2FA configured.
 * Source: https://wordpress.org/support/topic/can-i-by-default-turn-on-this-feature-for-all-my-existing-and-for-new-user/
*/
add_filter(
    'two_factor_enabled_providers_for_user',
    function( $providers ) {
        if ( empty( $providers ) && class_exists( 'Two_Factor_Email' ) ) {
            $providers[] = 'Two_Factor_Email';
        }

        return $providers;
    }
);

Fazit

Eine gut geschützte Webseite lohnt sich in jedem Fall. Die Basis dafür bietet die Wahl eines zuverlässigen Webhosting-Anbieters sowie eine korrekt eingerichtete Transportverschlüsselung (TLS/SSL) Ihrer Webseite.

Denken Sie in diesem Zusammenhang bitte auch an die sinngemäße Absicherung Ihres E-Mail-Kontos. Auch dort lässt sich oftmals eine Zwei-Faktor-Authentifizierung aktivieren. Bewahren Sie sich einen kritischen Blick bei neuen E-Mails in Ihrem Posteingang und öffnen Sie keine Dateianhänge sobald Ihnen irgendetwas merkwürdig vorkommt.

Viel Erfolg!

PS: Sollte der Text irgendwo unklar sein oder ich etwas übersehen haben, freue ich mich über Ihren Hinweis. 😊

Beitragsbild: Roberto Cortese // Unsplash ↗︎

Das könnte Sie auch interessieren