Machen Sie Ihre Website mit Multi-Faktor-Authentifizierung sicherer
Veröffentlicht: 2022-03-11Vielleicht sind Sie es leid, sich so viele verschiedene Passwörter zu merken, und Sie gehen davon aus, dass sich Ihr Hosting-Unternehmen um die Sicherheit Ihrer Website kümmert. Aber ich versichere Ihnen: Wenn Sie die Sicherheit Ihrer Website schützen und pflegen, werden Sie sich vor großen Unannehmlichkeiten und unerwünschten Folgen bewahren. Denken Sie daran, dass eine Sicherheitsverletzung auf Ihrer Website nicht nur Sie und Ihr Unternehmen betrifft, sondern auch Ihre Kunden beeinträchtigen kann und Sie sogar rechtliche Probleme bekommen können, wenn Sie nicht die entsprechenden Sicherheitsmaßnahmen ergriffen haben.
Damit Sie ein wenig ruhiger schlafen können (sofern das in der heutigen Zeit möglich ist), erkläre ich Ihnen, wie Sie Ihre WordPress-Website mit Multi-Faktor-Authentifizierung sicherer machen können.
Inhaltsverzeichnis
- Was ist Multi-Faktor-Authentifizierung (MFA)
- Warum sollte ich MFA zu meiner WordPress-Website hinzufügen?
- So implementieren Sie die Zwei-Schritt-Verifizierung
- Google-Authentifikator
- Installieren und aktivieren Sie ein Plugin für 2FA
- Richten Sie das Plugin ein
- Fügen Sie das konfigurierte Konto zur mobilen App hinzu
- Fazit
Was ist Multi-Faktor-Authentifizierung (MFA)
Sie haben die Multi-Factor Authentication (MFA) nicht nur in vielen Filmen gesehen, sondern verwenden sie auch bereits, um Online-Zahlungen mit Ihrer Kreditkarte oder unter anderem durch das Einloggen in Ihre E-Mail-Adresse zu bestätigen. Es ist eine Methode der Computerzugangskontrolle, bei der einer Person nur dann Zugang gewährt wird, wenn sie mehr als einen unterschiedlichen Identitätsnachweis vorlegt. Diese Nachweise bzw. Authentifizierungsfaktoren können vielfältig sein:
- Einige physische Gegenstände, die die Person besitzt, wie z. B. ein USB-Stick mit einer eindeutigen Kennung, eine Kreditkarte, ein Schlüssel usw.
- Ein Geheimnis, das die Person kennt, wie ein Passwort, eine PIN usw.
- Einige biometrische Merkmale der Person, wie z. B. Fingerabdruck, Iris, Stimme, Tippgeschwindigkeit, Tastenanschlagintervallmuster usw.
Der Fall der Kombination von nur zwei Faktoren wird auch als „Zwei-Schritt-Verifizierung“ oder „Zwei-Faktor-Authentifizierung“ oder „2FA“ bezeichnet. Und die Idee ist, dass die Multi-Faktor-Authentifizierung immer sicherer sein wird als nur ein Benutzername und ein Passwort.
Warum sollte ich MFA zu meiner WordPress-Website hinzufügen?
Eine der Methoden zum Knacken von Passwörtern ist immer noch ein Brute-Force-Angriff. Dieser Angriff besteht, wie der Name schon sagt, aus Brute-Tests möglicher Kombinationen von Benutzern und Passwörtern. Diese Arten von Angriffen werden von Botnets ausgeführt, die immer ausgefeiltere Algorithmen und Tools verwenden.
Viele Hosting-Unternehmen integrieren bereits Firewalls und andere Tools, um solche Angriffe zu verhindern. Trotzdem gibt es auch andere Empfehlungen, die dazu beitragen können, eine Sicherheitsverletzung zu mildern, z. B. Benutzer zu zwingen, sichere Passwörter hinzuzufügen oder sie zu zwingen, sie alle 3 Monate zu ändern.
Aber das Hinzufügen von Multi-Faktor-Authentifizierung zu Ihrer Website macht sie zu 100 % sicher gegen Brute-Force-Angriffe. Dieser zusätzliche Faktor und Schritt zur Identifizierung der Person ist für diese Art von Bot schachmatt.
So implementieren Sie die Zwei-Schritt-Verifizierung
Das Hinzufügen einer zweistufigen Verifizierung bedeutet, dass wir der üblichen Benutzer- und Passwortauthentifizierung einen zusätzlichen Verifizierungsschritt hinzufügen müssen. Am einfachsten ist es, wenn jeder Benutzer eine Authentifizierungsanwendung auf seinem Telefon installiert hat, die einen temporären Code anzeigt, der nur wenige Sekunden gültig ist und den er als Bestätigung (zusätzlich zum Passwort) hinzufügen muss ).
Die bekanntesten mobilen Apps sind unter anderem Google Authenticator, Authy, HENNGE OTP, FreeOTP oder SoundLogin (bei Sound-Authentifizierung). Alle sind als Android- und iOS-Apps verfügbar.
Sehen wir uns unten an, wie wir die zweistufige Verifizierung mit Google Authenticator implementieren können. Beachten Sie, dass der Vorgang bei jeder der oben genannten Apps sehr ähnlich wäre.
Google-Authentifikator
Google Authenticator ist eine einfache App, die auf Android und iOS verfügbar ist und einfach einen 6-stelligen Zahlencode anzeigt, der sich alle 30 Sekunden ändert. Dies sollten Sie verwenden, nachdem Sie sich bei Ihrem WordPress oder einem anderen Dienst angemeldet haben, bei dem Sie es verwenden, z. B. bei Ihrem E-Mail-Dienst, Hosting, Cloud, sozialen Netzwerken usw. Für jedes Konto sehen Sie a Code und die verbleibende Zeit bis zur Aktualisierung.
Alle Personen, die mit 2FA auf Ihr WordPress zugreifen möchten, müssen die Google Authenticator-App auf ihr Handy herunterladen, um ihre Identität mit diesem System zu überprüfen.
Installieren und aktivieren Sie ein Plugin für 2FA
Es sind mehrere Plugins verfügbar, mit denen Sie eine zweistufige Benutzerauthentifizierung durchführen können, z. B. Google Authenticator, Wordfence Login Security, Google Authenticator von miniOrange oder Zwei-Faktor-Authentifizierung. Sehen wir uns die Schritte an, die mit dem Google Authenticator-Plug-in zu befolgen sind.
Klicken Sie zunächst in Ihrem WordPress-Dashboard auf das Plugin „Neu hinzufügen“:
Suchen Sie das Plugin, das Sie installieren möchten, in unserem Fall „Google Authenticator“, und klicken Sie auf „Installieren“ und „Aktivieren“:
Richten Sie das Plugin ein
Nach der Aktivierung des Plugins haben Sie die neue Option Google Authenticator-Einstellungen.
Im Konfigurationsfenster von Google Authenticator haben Sie die Möglichkeit anzugeben, ob Sie möchten, dass die Benutzer selbst entscheiden, ob Sie die doppelte Authentifizierung verwenden möchten, und für welche Rollen Sie die doppelte Authentifizierung aktiviert haben möchten.
Als nächstes finden Sie im Profil jedes Benutzers, der eine der mit doppelter Authentifizierung gekennzeichneten Rollen hat, die Konfigurationsoptionen für Google Authenticator.
Sie können angeben, ob für den Benutzer 2FA aktiviert sein muss, ob der Benutzer zusätzliche Zeit zum Anmelden benötigt, den Namen des Kontos, der in der auf Ihrem Telefon installierten App angezeigt wird, einen Geheimcode, den QR-Code anzeigen und ob das Hinzufügen eines Passwort in der App.
Fügen Sie das konfigurierte Konto zur mobilen App hinzu
Wenn sich nun jemand, der angewiesen wurde, sich mit 2FA anzumelden, zum ersten Mal anmeldet, erscheint das folgende Fenster, in dem er aufgefordert wird, seinen QR-Code auf seinem Handy zu scannen und den generierten Code zu bestätigen, den er in der App sieht.
In der Google Authenticator-App auf seinem Handy muss der Benutzer auf die Schaltfläche „+“ unten rechts auf dem App-Bildschirm klicken, um ein neues Konto hinzuzufügen, einen Code scannen und nach dem Scannen des von Ihrer WordPress-Site angezeigten Codes auswählen , das Setup ist fertig.
Jetzt muss der Nutzer nur noch den Code eingeben, der in der App auf dem Einstiegsbildschirm erscheint, und die Konfiguration ist abgeschlossen.
Wenn der Benutzer das nächste Mal auf die Website zugreifen möchte, muss er dies in zwei Schritten tun: zuerst seinen Benutzernamen und sein Passwort eingeben und als nächstes seinen Google Authenticator-Code.
Und das ist es! Damit haben Sie die Sicherheit Ihrer Website doppelt gewährleistet.
Fazit
Um die Sicherheit Ihrer Website aufrechtzuerhalten, müssen Sie eine Reihe von Best Practices befolgen, um das Risiko, Opfer von Angriffen zu werden, zu minimieren. Obwohl es unmöglich ist, sich zu 100 % zu schützen, haben Sie bereits gesehen, dass die Installation einer doppelten Sicherheitsbarriere auf Ihrer Website einfach und kostenlos ist. Warten Sie also nicht, bis Sie ein Problem haben, wenn Sie wissen, dass Vorbeugen besser ist als Heilen!
Vorgestelltes Bild von FLY:D auf Unsplash.