WordPress 2FA-Authentifizierung: Die Fakten zu diesem wesentlichen Element der Website-Sicherheit

Veröffentlicht: 2023-06-12

Während 2FA sowohl im Frontend als auch im Backend eine einfache Lösung ist, passiert unter der Haube einiges. Dies ist eine fantastische ergänzende Möglichkeit, einer Website eine weitere Sicherheitsebene hinzuzufügen, und gibt Benutzern die Möglichkeit, auch Ihre Website und ihre Informationen zu schützen.

In diesem Tutorial sprechen wir über 2FA – insbesondere die WordPress 2FA-Authentifizierung. Im Laufe der Zeit befassen wir uns damit, was das ist, welche Passwörter Sie wählen, wie Sie 2FA auf Ihrer Website implementieren und vieles mehr.

Was 2FA ist (und was es Ihnen helfen kann)

Kurz gesagt ist die Zwei-Faktor-Authentifizierung eine Sicherheitsmaßnahme, die über Ihre typischen Anmeldeinformationen hinaus eine zusätzliche Schutzebene bietet. Bei 2FA muss ein Benutzer eine zweite Information angeben, oft einen Zahlencode – ein zeitbasiertes Einmalpasswort (TOTP):

Eine Front-End-Eingabeaufforderung, die nach einem SMS-2FA-Code fragt

Bei den zusätzlichen Informationen, die Sie normalerweise sehen, handelt es sich um einen Zahlencode, der nach kurzer Zeit abläuft:

Technisch gesehen erfordert 2FA zwei Formen der Benutzerauthentifizierung. Der erste „Faktor“ sind Informationen, die der Benutzer kennt, beispielsweise ein Passwort. Der zweite Faktor ist etwas, das der Benutzer besitzt, beispielsweise ein Token oder Code, der an ein Gerät gesendet wird. Selbst wenn das Passwort eines Benutzers bekannt ist, benötigen Sie diesen zweiten Faktor, um die Sitzung zu überprüfen und zu authentifizieren.

Moderne Methoden umfassen jedoch Informationen wie einen Fingerabdruck. Unabhängig davon besteht das Schlüsselkonzept darin, dass Sie Informationen bereitstellen, zu denen niemand sonst Zugriff hat. Wenn diese Informationen mit Ihren Angaben übereinstimmen, erhalten Sie den Zugriff, den Sie benötigen.

2FA und WordPress

2FA wird noch relevanter, wenn es um WordPress-Benutzeranmeldungen geht; Das Content Management System (CMS) ist die führende Website-Plattform auf dem Markt. Dies liegt zum Teil an der hervorragenden Kernsicherheit. Allerdings kann eine so beliebte Plattform zu einem Sicherheitsziel werden.

Beispielsweise hat Sucuri im Jahr 2021 fast 50.000 gehackte Websites repariert. Der Großteil war auf Schwachstellen in veralteten Plugins und Themes zurückzuführen. Darüber hinaus können Brute-Force-Angriffe Netzwerke von Websites dezimieren. Wordfence berichtet über einen aktuellen Botnet-Angriff, der Millionen von WordPress-Websites getroffen hat.

Beide Beispiele zeigen, wie Benutzerfehler Ihre WordPress-Sicherheit beeinträchtigen können, insbesondere wenn Sie nicht über Plugin- und Theme-Updates auf dem Laufenden bleiben. Die Verwendung von 2FA ist jedoch eine wirksame Möglichkeit, Ihre WordPress-Site vor Angriffen zu schützen, Ihren Benutzern eine gewisse Verantwortung zu übertragen und vieles mehr.

Eine zweite Form der Authentifizierung hält nicht nur Kriminelle von Ihren Konten fern, sondern ermöglicht Ihnen auch die sicherere Arbeit aus der Ferne. Ihre gesamte Benutzerbasis ist auch für ihre eigene Sicherheit verantwortlich, was Ihre gesamte Website sicherer macht.

Insgesamt ist 2FA eine entscheidende Möglichkeit, den unbefugten Zugriff auf vertrauliche Informationen zu verhindern, das Vertrauen der Benutzer aufzubauen und Datensicherheitsrichtlinien teilweise einzuhalten. Dies ist eine wichtige Arbeits- und Sicherheitsmaßnahme, insbesondere für beliebte Plattformen wie WordPress. Es bedeutet auch, dass die Wahl Ihres Passworts weniger hinderlich ist. Dies ist jedoch ein komplexes Thema, das mehr Tiefe erfordert.

Wie eine schlechte Passwortwahl zu Stress führen kann

Jedes Jahr veröffentlichen viele Nachrichtenagenturen und Websites eine Liste mit schlechten Passwörtern, und die Liste sieht immer wieder ähnlich aus. Tom's Guide zeigt beispielsweise einige der gebräuchlichsten, aber schwachen Passwörter für Endbenutzer:

qwerty
123456
Passwort

Allerdings geraten auch Administratoren und Back-End-Benutzer in Schwierigkeiten, schwache und gefährliche Passwörter zu verwenden. Beispielsweise stehen „admin“ , „root “ und „guest“ alle an vorderster Stelle der Liste. Tatsächlich ist das Administratorkennwort besorgniserregender, wenn man bedenkt, dass die Standardbenutzerrolle „ Administrator “ von WordPress auch den Benutzernamen „admin“ hat.

Unabhängig davon können diese Passwörter mithilfe von Brute-Force-Techniken und automatisierten Tools fast innerhalb von Sekunden geknackt werden. In Kombination mit einer Lösung wie Melapress Login Security können Sie jedoch sicherstellen, dass ein Benutzer ein sicheres Passwort erstellt und Ihre Website mithilfe von 2FA zusätzlich schützt.

Da der Benutzer seine Daten über eine Drittanbieter-App oder -Technologie authentifizieren muss, ist dies eine wichtige Möglichkeit, das Risiko eines unbefugten Zugriffs zu verringern. Darüber hinaus können Sie Ihre Richtlinien für sichere Passwörter stärken und verstärken und so auch Datenschutzverletzungen und andere Cyber-Angriffe verhindern.

Während 2FA eine fantastische Möglichkeit ist, die Verantwortlichkeit der Benutzer sicherzustellen und eine Schwachstelle in der Sicherheit Ihrer Website zu schließen, ist es nicht die einzige. Als Nächstes schauen wir uns an, wie Ihre anderen Bestimmungen neben 2FA funktionieren, um einen noch besseren Service zu bieten.

Wie sich 2FA in Ihre aktuelle Sicherheitsvorkehrung einfügt

2FA ist keine einheitliche Sicherheitstaktik. Vielmehr fügt es sich als Ergänzung in Ihr Gesamtsicherheitsangebot ein. Daher müssen Sie und Ihre Benutzer weiterhin typische Sicherheitsimplementierungen einhalten:

Verwenden Sie starke Passwörter. Sie sollten etwas Langes wählen, da dies die Zeit zum Knacken verlängert. Obwohl 2FA nicht auf die Notwendigkeit sicherer Passwörter angewiesen ist, wird dennoch empfohlen, so viel wie möglich zu tun, um Ihre Anmeldedaten zu sichern. Melapress Login Security ist ideal für diese Aufgabe.
Führen Sie häufige Software-Updates durch. Für WordPress umfasst dies Plugins, Themes und Kerndateien. Später werden wir WordPress 2FA-Authentifizierungs-Plugins besprechen, und es ist äußerst wichtig, diese auf dem neuesten Stand zu halten.

Um noch näher auf Passwörter einzugehen: Durch die Kombination sicherer Passwörter mit 2FA kann sichergestellt werden, dass nur Sie auf ein Konto zugreifen können. Beispielsweise könnte eine unsichere WLAN-Verbindung an einem lokalen Arbeitsplatz Ihr Passwort gefährden. Sie müssen jedoch weiterhin die zweite Form der Authentifizierung bereitstellen, um Zugriff auf das Konto zu erhalten.

Ein stärkeres Passwort, das kaum geknackt werden kann, belastet die Ressourcen Ihres Servers ebenfalls nicht. Dies liegt daran, dass Sie nicht mehrere Anmeldeversuche (und potenzielle 2FA-Anfragen) von einer potenziell großen Anzahl von IP-Adressen haben.

Sie können noch weiter gehen und 2FA mit speziellem Brute-Force-Schutz kombinieren. Dieses Konzept würde den Rahmen dieses Beitrags sprengen, aber es gibt zahlreiche WordPress-Sicherheits-Plugins (wie Wordfence oder Jetpack Security), die eine robuste Lösung bieten können.

Wählen Sie das richtige 2FA-Format für Sie

Einer der Vorteile der Zwei-Faktor-Authentifizierung ist die Flexibilität bei der Implementierung. Sie haben vier verschiedene Möglichkeiten, 2FA einzusetzen:

Eine textbasierte SMS-Methode.
E-Mail-Authentifikation.
Spezielle Apps wie Authy, Sentinel, Duo und viele mehr.
Mitteilungen.

Jede davon erzielt auf unterschiedliche Weise das gleiche Ergebnis, aber sie sind nicht alle gleich. Lassen Sie uns die einzelnen Aspekte einzeln aufschlüsseln und ihre Vor- und Nachteile nennen.

SMS

Die standardmäßige 2FA-Methode für viele Online-Dienste besteht darin, einen Authentifizierungscode per SMS an ein mobiles Gerät zu senden. Sie müssen Ihre Telefonnummer in ein bestimmtes Feld eingeben, wodurch ein zeitlich begrenzter Code gesendet wird.

Eine SMS mit einem Zwei-Faktor-Code zur Authentifizierung einer Anmeldung

Zu den Vorteilen zählen, dass keine weitere Drittanbieter-App zur Authentifizierung Ihres Logins erforderlich ist und dass die Einrichtung und Nutzung enorm einfach ist. Allerdings hat SMS schwerwiegende Nachteile. Zunächst müssen Sie weitere Ihrer persönlichen Daten (Ihre Telefonnummer) über das Internet weitergeben, um eine Verifizierung durchzuführen.

Bei der Auswahl von SMS-basierter 2FA sind einige Dinge zu beachten. Erstens handelt es sich um die Netzentgelte, die der Netzbetreiber für die Zustellung von SMS erhebt. Zweitens sind SMS-Nachrichten nicht verschlüsselt und anfällig für den Austausch der SIM-Karte. Dennoch kann es Benutzern, die möglicherweise nicht so technisch versiert sind, einen besseren Schutz bieten.

E-Mail Benachrichtigungen

E-Mail-Benachrichtigungen ähneln SMS-Authentifizierungsmethoden. Hier geben Sie auf der Anmeldeseite eine E-Mail-Adresse ein, die dann einen Code oder Token zur Authentifizierung Ihrer Sitzung erhält.

Empfangen einer E-Mail-Benachrichtigung zur Authentifizierung einer Anmeldesitzung.

Die E-Mail-2FA-Authentifizierung ist einfach und unkompliziert – Sie benötigen lediglich Zugriff auf Ihren Posteingang, um Ihre Anmeldung zu bestätigen.

Wenn die E-Mail nicht verschlüsselt ist, kann sie anfällig für einen „Machine-in-the-Middle“-Angriff oder ähnliches werden. Sie können jedoch Maßnahmen ergreifen, um Ihre WordPress-E-Mails zu schützen und die Risiken zu vermeiden, die normalerweise mit unverschlüsselten E-Mails verbunden sind.

Mitteilungen

Push-Benachrichtigungen sollen die Lücke zwischen E-Mail- und SMS-Authentifizierung schließen. Dabei erhalten Sie eine Benachrichtigung auf Ihrem Smartphone, die Sie genehmigen müssen, bevor Sie sich bei einem Konto anmelden. Apple ist ein Unternehmen, das diese Methode verwendet, um vertrauenswürdige Geräte in seinem gesamten Ökosystem einzurichten.

Eine Push-Benachrichtigung auf einem Apple-Gerät.

Auch diese Methode ist bequem und genauso einfach zu verwenden wie E-Mail und SMS. Ein weiterer Vorteil besteht darin, dass es häufig überhaupt nicht auf Passwörter, Codes oder Token angewiesen ist. Dies ist ein fantastisches User Experience (UX)-Element, das Konten sicherer machen kann, ohne dass der Benutzer darüber nachdenken oder arbeiten muss.

Der Ansatz hat jedoch immer noch Nachteile. Da eine Push-Benachrichtigung so einfach zu genehmigen ist, könnte ein vielbeschäftigter Benutzer dies tun, ohne es zu wollen. Es gibt Studien, die darauf hindeuten, dass die Aufmerksamkeitsspanne eines Benutzers sinkt, je mehr Benachrichtigungen er erhält, was sich als Problem erweisen könnte.

Zu diesem Zweck ist es wichtig, Benutzer über die ordnungsgemäße Kontosicherheit aufzuklären. Unerwartete Push-Benachrichtigungen sollten niemals genehmigt werden und häufige Anfragen sollten zur weiteren Untersuchung gemeldet werden.

Verwenden einer App

Der typische Weg, Ihre 2FA-Implementierung zu beschleunigen, ist die Verwendung einer App. Es gibt viele davon: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator und nahezu unzählige andere.

Die Sentinel-App wird auf einem iPhone-Bildschirm angezeigt.

Diese Apps generieren alle 30 Sekunden einen einmaligen Code für jede Website, den Sie auf der betreffenden Website eingeben, um die Anmeldung zu überprüfen und zu authentifizieren. Es gilt als einer der sichereren Ansätze. Allerdings benötigen Sie, ähnlich wie bei Push-Benachrichtigungen, weiterhin kompatible Geräte und einen Internetzugang, um die App nutzen zu können.

Welches 2FA-Format Sie wählen sollten

2FA zu haben ist eine bessere Option als keine 2FA. Während bestimmte Methoden, wie zum Beispiel 2FA-Apps, sicherer sind als andere, müssen wir uns auch darüber im Klaren sein, dass unsere Benutzerbasis sehr vielfältig sein kann.

Außerdem möchten Sie die Eintrittsbarriere senken und sicherstellen, dass Benutzer mit 2FA vertraut sind. Je mehr Optionen Sie Ihren Nutzern bieten können, desto besser, denn so stellen Sie sicher, dass Ihre 2FA-Implementierung ein voller Erfolg wird.

Einführung in WP 2FA: Der beste Weg, die WordPress 2FA-Authentifizierung zu implementieren

Es sind zahlreiche WordPress-Plugins für die Zwei-Faktor-Authentifizierung verfügbar. MiniOrange und die Zwei-Faktor-Authentifizierung bieten beispielsweise eine breite Palette an Funktionen und werden von vielen zufriedenen Benutzern unterstützt.

Das WP 2FA-Plugin bietet jedoch die Funktionalität, den Support und die Kosten, die es zu Ihrer Lösung Nummer eins machen. Dies ist eine führende Möglichkeit, Ihrer WordPress-Website eine Zwei-Faktor-Authentifizierung hinzuzufügen.

Das WP 2FA-Logo.

Wir empfehlen Ihnen, sich die technischen Daten der kostenlosen Version anzusehen, aber mit der Premium-Edition erhalten Sie alle Funktionen, die Sie benötigen:

Sie können aus mehreren verschiedenen 2FA-Methoden wählen, um Ihren Anforderungen und denen Ihrer Benutzer gerecht zu werden.
Sie können Ihre 2FA-Richtlinien anpassen. Dazu gehören Elemente wie die Einführung einer 2FA-Pflicht, die Bereitstellung einer Kulanzfrist und vieles mehr.
Es ist nicht erforderlich, dass Benutzer auf das WordPress-Dashboard zugreifen. Sie können die Anmeldeauthentifizierung über das Frontend Ihrer Website anbieten.
Es gibt auch zahlreiche Serviceintegrationen von Drittanbietern, beispielsweise mit Twillo und Authy. Dadurch können Sie den Benutzern weitere Authentifizierungsmethoden zur Verfügung stellen.

Wenn es um den Preis geht, bietet WP 2FA ein immenses Preis-Leistungs-Verhältnis. Beispielsweise kostet die WP 2FA Starter-Lizenz 29 US-Dollar pro Jahr. Dadurch können Sie die Vollversion von WP 2FA auf beliebig vielen Websites installieren und fünf Benutzern eine Anmeldeauthentifizierung anbieten. Es gibt flexible Pläne zur Erhöhung des Benutzerlimits und des Funktionsumfangs.

Noch besser: Die Verwendung von WP 2FA ist ein Kinderspiel. Als nächstes zeigen wir Ihnen wie.

So verwenden Sie WP 2FA, um die Site-Sicherheit Ihrer Benutzer zu stärken

WP 2FA verfügt über alle Features und Funktionen, die Sie zur Implementierung der WordPress 2FA-Authentifizierung auf Ihrer Website benötigen. Darüber hinaus ist es einfach zu konfigurieren und zu verwenden. Der Installationsprozess ähnelt dem jedes anderen kostenlosen WordPress-Plugins. Sie finden es über die Suchleiste im Bildschirm „Plugins“ > „Neu hinzufügen“ :

Suchen des WP 2FA-Plugins im WordPress-Dashboard.

Klicken Sie hier auf die Schaltflächen „Jetzt installieren “ und „Aktivieren“ und warten Sie dann, bis WordPress den Installationsvorgang abgeschlossen hat. An diesem Punkt können Sie 2FA auf Ihrer WordPress-Website einrichten.

1. Konfigurieren Sie WP 2FA mit dem Setup-Assistenten

WP 2FA kann die ganze schwere Arbeit im Zusammenhang mit der WordPress 2FA-Authentifizierung für Sie erledigen. Der Setup-Assistent durchläuft vier Schritte bis zum Abschluss, basierend auf unterschiedlichen Richtlinien und Implementierungsmethoden.

Der Setup-Assistent beginnt mit einer Begrüßungsseite. Klicken Sie zum Fortfahren auf die Schaltfläche „Los geht's“ :

In den ersten beiden Schritten wird untersucht, welche 2FA-Methoden Sie implementieren möchten. Mithilfe der Kontrollkästchen fügen Sie Ihrer Website App-basierte 2FA und E-Mail-2FA hinzu. Die Premium-Version des Plugins beinhaltet zusätzliche Methoden, die Sie ebenfalls auswählen können.

Auswählen von 2FA-Methoden im Setup-Assistenten.

Sobald Sie auf „Weiter“ klicken, können Sie Ihren Benutzern auch Backup-Codes zur Verfügung stellen, falls sie 2FA mit einer anderen App oder einem anderen Gerät einrichten müssen. Mit der Premium-Version von WP 2FA können Sie mehr alternative Authentifizierungsoptionen anbieten.

Auf dem dritten Bildschirm des Setup-Assistenten können Sie auswählen, für wen Sie 2FA erzwingen möchten. Hier gibt es drei Optionsfelder, mit denen Sie alle Benutzer, keine Benutzer und bestimmte Benutzer und Rollen auswählen können:

Wählen Sie im Setup-Assistenten aus, für wen 2FA-Richtlinien angewendet werden sollen.

Beachten Sie, dass Ihnen zusätzliche Optionen angezeigt werden, wenn Sie entweder „Alle Benutzer“ oder „Nur für bestimmte Benutzer und Rollen“ auswählen. Auf diese Weise können Sie Benutzer angeben, die ausgeschlossen werden sollen, oder Rollen angeben, die als Teil Ihrer Richtlinie einbezogen werden sollen.

Hinzufügen von Benutzerrollen zu einer 2FA-Richtlinie im Setup-Assistenten.

Sobald Sie „Alles erledigt“ ausgewählt haben, werden Sie aufgefordert, WP 2FA für Ihr eigenes Benutzerkonto zu konfigurieren. Der Vorgang ist fast abgeschlossen.

2. Richten Sie WP 2FA für Ihr Benutzerkonto ein

Nachdem Sie die WordPress 2FA-Authentifizierung eingerichtet haben, können Sie 2FA für Ihr eigenes Benutzerkonto einrichten.

Zu den verfügbaren Optionen gehören die im Setup-Assistenten zur Verfügung gestellten Methoden. Einige Methoden, wie SMS- und Push-Benachrichtigungen, erfordern eine zusätzliche Konfiguration, da diese für die Funktion Drittanbieter-Dienstanbieter erfordern. In diesem Beispiel verwenden wir die 2FA TOTP-App-Methode.

Wenn Sie noch keine 2FA-App haben, sollte das Herunterladen einer solchen Ihr erster Schritt sein. Die Auswahl ist groß und WP 2FA bietet universelle Kompatibilität. Die wichtigste Funktion, die Sie benötigen, ist das Scannen des QR-Codes im WordPress-Dashboard mit Ihrer App:

Der WP 2FA QR-Code im WordPress-Backend.

Sobald Sie den Assistenten durchlaufen haben, können Sie die WordPress 2FA-Authentifizierung für Ihre Website verwenden.

In Summe

Die Zwei-Faktor-Authentifizierung ist eine der besten und benutzerfreundlichsten Möglichkeiten, ein Online-Konto zu sichern. Es basiert auf der Verifizierung mithilfe eines Tokens oder Codes, den Sie von einem Gerät erhalten, das Sie besitzen. Ohne diesen Code sind Ihre Konten daher sicher – selbst wenn Ihr Passwort kompromittiert wird.

Mit dem WP 2FA-Plugin können Sie die WordPress 2FA-Authentifizierung innerhalb von Minuten implementieren, ohne dass technische Kenntnisse erforderlich sind. Der Setup-Assistent führt Sie durch den gesamten Vorgang

Während die kostenlose Version von WP 2FA über alle Funktionen verfügt, bietet die Premium-Version von 2FA mehr. Die Lizenzen beginnen bei 29 US-Dollar pro Jahr und ermöglichen Ihnen jeweils die Einrichtung von fünf Benutzern für Ihre Site.