Versionshinweis: Verschlüsselung zu Zwei-Faktor-Codes in iThemes Security Pro hinzugefügt
Veröffentlicht: 2022-10-21Mit der neuesten Version von iThemes Security Pro haben wir eine Verschlüsselung hinzugefügt, um die Zwei-Faktor-Authentifizierungscodes (2FA) zu schützen, die für die Multi-Faktor-Anmeldeauthentifizierung verwendet werden. Um sicherzustellen, dass Ihre Website diese neue Funktionalität verwendet, führen Sie ein Upgrade auf iThemes Security Pro Version 7.2.2 in Ihrem wp-admin-Plugin-Dashboard durch.
Wie bei jeder neuen Funktion sind wir sicher, dass es Fragen zu der neuen Funktion geben muss und warum wir sie hinzugefügt haben. In diesem Beitrag beschreiben wir detailliert, welche Änderungen wir vorgenommen haben, warum wir uns entschieden haben, der Zwei-Faktor-Authentifizierung zusätzliche Sicherheitsfunktionen hinzuzufügen, und einige Gedanken zum aktuellen Stand der WordPress-Login-Sicherheit als Ganzes.
Was bedeutet diese Änderung bei der Speicherung von Zwei-Faktor-Authentifizierungscodes?
iThemes Security unterstützt drei Arten von Zwei-Faktor-Authentifizierungsmethoden: Mobile Apps, E-Mail und Sicherungscodes. Sie funktionieren jeweils ein wenig anders.
Wenn Sie E-Mail 2FA verwenden, generiert iThemes Security einen achtstelligen Zufallscode und sendet ihn per E-Mail an Sie. Wir speichern einen sogenannten „Hash“ dieses zufälligen Codes in der WordPress-Datenbank. Mit einem Hash können wir überprüfen, ob Sie uns denselben achtstelligen Code gegeben haben, den wir in der Datenbank gespeichert haben.
Allerdings kann iThemes Security den Hash nicht wieder in den ursprünglichen achtstelligen Zufallscode „decodieren“. Aus diesem Grund generieren wir, wenn Sie iThemes Security bitten, die 2FA-E-Mail „erneut zu senden“, einen neuen Zufallscode, anstatt Ihnen denselben 2FA-Code erneut zu senden, den wir in der ersten E-Mail gesendet haben.
Auf diese Weise kann WordPress überprüfen, ob Ihr Passwort korrekt ist. Aber wenn Sie Ihr Passwort vergessen, müssen Sie ein neues erstellen, WordPress kann Ihnen Ihr aktuelles Passwort nicht zusenden.
Mobile Two-Factor ist anders. Alle 30 Sekunden erscheint ein neuer Code in Ihrer Mobile App. Bedeutet das, dass iThemes Security jeden neuen Code in der Datenbank speichert? Nein, stattdessen verwendet iThemes Security das Konzept eines „geteilten Geheimnisses“.
Wenn Sie Mobile Two-Factor in iThemes Security einrichten, zeigen wir Ihnen einen QR-Code, der einen geheimen Schlüssel enthält, der einzigartig für Ihr Konto ist. Durch Scannen des QR-Codes in Ihrer Zwei-Faktor-App wird der geheime Schlüssel auf Ihr Telefon kopiert.
Wenn Sie sich mit Ihrer Mobile App anmelden, generieren iThemes Security und Ihr Telefon jeweils einen sechsstelligen Code basierend auf dem „Shared Secret“-Schlüssel. Wenn die Codes übereinstimmen, sind Sie dabei!
Im Gegensatz zum E-Mail-basierten Zwei-Faktor-Verfahren, bei dem wir nur einen Hash speichern müssen, bedeutet dies, dass wir den geheimen Schlüssel der mobilen App so speichern müssen, dass wir Zugriff auf den Klartext haben.
Die überwiegende Mehrheit der Zwei-Faktor-Authentifizierungs-Plugins und -Dienste für WordPress speichert geheime Zwei-Faktor-Schlüssel in der WordPress-Datenbank, und iThemes Security ist nicht anders. Diese Codes müssen gespeichert werden, damit das Sicherheits-Plugin diese Codes abgleichen kann, wenn ein Benutzer seine 2FA-Codes von seiner Authentifizierungs-App auf seinem Telefon oder Gerät eingibt, um den Benutzer zu authentifizieren, der versucht, sich anzumelden.
Das Speichern dieser Codes in der Datenbank war bisher die sicherste Methode, da auf alle in der Datenbank gespeicherten Informationen nur ein Datenbankbenutzer und sein Passwort zugreifen können. Diese Anmeldeinformationen werden in Ihrer WordPress-Datei wp-config.php gespeichert, wodurch Ihre WordPress-Site auf Informationen in dieser Datenbank zugreifen kann.
Während es einige Dienste gibt, die einen dateisystembasierten Ansatz für 2FA-Codes verwenden, haben sich iThemes Security und die meisten anderen großen Zwei-Faktor-Authentifizierungsdienste für die sicherere Datenbankspeichermethode entschieden.
Für zusätzliche Sicherheit haben wir diese Codes, die in der WordPress-Datenbank einer Website gespeichert sind, verschlüsselt. Für den Fall, dass die Datenbank irgendwie durch eine andere Schwachstelle kompromittiert wird, fügt diese zusätzliche Verschlüsselung eine weitere Sicherheitsebene hinzu, um die WordPress-Site vor einer beliebigen Anzahl von Login-basierten Angriffen zu schützen, die mit anderen Schwachstellen kombiniert werden könnten.
Warum wir uns entschieden haben, diese Funktion hinzuzufügen
Wenn eine WordPress-Website ausreichend gesichert ist, ist die Wahrscheinlichkeit gering, dass die Zwei-Faktor-Authentifizierungscodes offengelegt werden. Für den Fall, dass es jedoch eine Schwachstelle auf Dienstebene des Hosting-Providers gibt, bei der der Datenbankzugriff kompromittiert wird, oder wenn es eine Zero-Day-Schwachstelle gibt, die aktiv in einem Plugin oder Thema ausgenutzt wird, könnten unverschlüsselte Zwei-Faktor-Authentifizierungscodes in Kombination mit einer anderen Schwachstelle verwendet werden .
Bei iThemes ist die Sicherheit der WordPress-Websites unserer Kunden von entscheidender Bedeutung für unser Geschäft. Daher ist unsere erste Reaktion und Priorität die Sicherheit dieser Websites, wenn uns sogar ein Grenzfall-Schwachstellenszenario bekannt wird.
Unser Ziel ist es, Ihre WordPress-Site zu jedem Zeitpunkt sicher zu machen, sodass jeder Aspekt Ihrer Site, von Ihren Dateien und Datenbanken bis hin zu Ihren Anmeldeverfahren, vor böswilligen Angreifern geschützt ist. Eine wirksame Abwehr von Angriffen erfordert, dass alle Aspekte von WordPress angemessen gesichert sind.
Was ist Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Art der Multi-Faktor-Authentifizierung (MFA), die die Zugriffssicherheit stärkt, indem zwei Überprüfungsmethoden erforderlich sind, um Ihre Identität auf einem System, in diesem Fall einer WordPress-Site, zu authentifizieren. Diese Faktoren können etwas beinhalten, das Sie wissen, wie z. B. Ihren Benutzernamen oder Ihre E-Mail-Adresse und Ihr Passwort, zusammen mit etwas, das Sie haben, wie z. B. Zugriff auf Ihr Gerät mit einer Authentifizierungsanwendung, um Sie zu authentifizieren oder festzustellen, dass Sie sind, wer Sie sind. Authentifizierungs-Apps wie Google Authenticator generieren ein zeitbasiertes Einmalpasswort, das sich minütlich ändert.
Passwörter reichen nicht aus
Die Zwei-Faktor-Authentifizierung wird immer wichtiger, da Phishing-Angriffe, Social-Engineering-Angriffe, Passwort-Brute-Force-Angriffe und Probleme bei der Wiederverwendung von Passwörtern dazu geführt haben, dass eine einzige Passwort-Authentifizierung einfach nicht mehr ausreicht.
Aufgrund solcher Probleme haben Innovatoren wie iThemes Security Passkeys für wirklich passwortlose Anmeldungen mit biometrischer Authentifizierung und Kryptografie mit privaten/öffentlichen Schlüsseln hinzugefügt, um anspruchsvollere Authentifizierungsprotokolle zum Schutz unternehmenskritischer Systeme zu erstellen. Passwörter werden gebrochen, daher war iThemes Security Pro das erste WordPress-Sicherheits-Plugin, das eine passwortlose Authentifizierung mit Passkeys ermöglichte.
Bei Passkeys ist die Speicherung von Zwei-Faktor-Authentifizierungscodes kein Problem, da die Kryptografie mit privaten/öffentlichen Schlüsseln sowohl Passwörter als auch 2FA obsolet macht.
Wenn Ihre WordPress-Website für Ihr Unternehmen oder Ihre Organisation wirklich geschäftskritisch ist, zeigt die Verwendung von iThemes Security Ihr Engagement für die Sicherung dieses Vermögenswerts. Stellen Sie sicher, dass Sie reibungslose passwortlose Anmeldungen und verschlüsselte Zwei-Faktor-Authentifizierungsfunktionen anbieten, um Ihren Stakeholdern das Engagement Ihres Unternehmens für sicherheitsbewusste Website-Implementierungen zu demonstrieren.
Wenn Sie iThemes Security Pro noch nicht verwenden, können Sie die Pro-Version des besten verfügbaren WordPress-Sicherheits-Plugins erhalten, indem Sie es über den unten stehenden Link kaufen.
Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress
WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.
Vielen Dank an Calvin Alkan für die verantwortungsbewusste Offenlegung des Problems an uns .