WordPress und 2FA (Zwei-Faktor-Authentisierung)

Heute ist Samstag Abend und mir spinnt schon die ganze Tag das Thema 2FA durch den Kopf. Konkret muss ich den Google Authenticator bei einem Kunden auf dem Webserver installieren und könnte dies auch direkt bei meinem WordPress Blog durchführen.

Zunächst würde ich gerne das Thema 2FA etwas in Einklang bringen, Wikipedia beschreibt dies relativ einfach in ein paar kurzen Sätzen:

Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, sowie Passphrase und TAN beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.


Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für sicherheitskritische Anwendungsbereiche die Zwei-Faktor-Authentisierung in seinen IT-Grundschutz-Katalogen.

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung

Das Thema 2FA finden wir in unterschiedlichen Bereichen wieder. Mittlerweile unterstützen viele Anbieter das 2FA Verfahren (z.B. Paypal, AMAZON & Co), wobei die Auswahl des zweiten Faktors oft das Mobiltelefon (z.B. SMS) oder auch eine App sein kann. Bei der Auswahl der App empfehle ich Authy, welches viele nützliche Funktionen bietet. Neben Fingerprint Authentication sind auch Cloud Backups möglich.

2FA für WordPress

Um 2FA für WordPress zu aktivieren, ist zunächst ein Plugin notwendig. Um einen einzelnen Admin Account abzusichern, ist das Plugin Google Authenticator – WordPress Two Factor Authentication (2FA) von miniOrange eine gute Lösung. Das Plugin wird normal hinzugefügt und anschließend aktiviert.

Nach der Installation findet man links im Menü das Item miniOrange 2 Faktor, in welchem dann der Google Authenticator konfiguriert werden kann.

Die nächsten Schritte sind jetzt relativ einfach: Es wird ein QR Code erzeugt, der mit Authy gescannt wird (1) . Anschließend wird der erzeugte OTP rechts eingetragen, um das ganze zu verifizieren (2). Nun muss noch Enable 2FA prompt on the WP Login Page aktiviert werden. Es empfiehlt sich außerdem seinen Token zu testen, bevor man sich abmeldet und erneut anmeldet (Test Authentication Method).

Wenn alles funktioniert hat, kann man sich abmelden und erneut anmelden. Nun wird man nach einem Benutzernamen, Kennwort und dem OTP Token gefragt.
.

Fertig – Zwei-Faktor-Authentisierung

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.