Neues von Sergej Müller: WordPress mit der Two-Faktor-Authentication absichern

Marcel Am 15.06.2014 veröffentlicht Lesezeit etwa 1:32 Minuten

WordPress

Die doppelte Anmeldesicherheit war hier schon häufiger mal Thema im Blog, habe ich bei jedem Dienst, der es mir anbietet auch eingerichtet und aktiviert. Kurzform: Neben Benutzernamen und Passwort müsst ihr noch einen Einmalcode eingeben, welcher per App oder SMS an euch geschickt wird und der nur für ein paar Sekunden gültig ist. Der Vorteil: Kennt eine dritte Person durch irgendwelche Zufälle eure Login-Daten, so kann sich diese dennoch nicht einloggen, da eben der besagte Code fehlt. Für WordPress gibt es dazu schon seit langer Zeit ein entsprechendes Plugin, dieses habe ich nach einiger Zeit jedoch wieder runtergeworfen, da es zum einen nicht wirklich rund lief, zum anderen eben auch mobile WordPress-Apps aussperrte. Nun hat sich der werte Sergej Müller mal wieder rangemacht und ein Plugin entwickelt, welches ebenfalls die 2-Step-Verification in WordPress nutzbar macht.

2-step-verification-sergej-mueller-1

Der Unterschied: Der Code kommt nicht per App oder SMS zu euch, sondern per Mail. Der Vorteil dieses Ansatzes: Keine Drittanbieter, keine weiteren Apps, keine dubiosen SMS- oder Messenger-Nachrichten. Die Nutzung des Plugins ist dabei fast nicht einfacher zu gestalten: Plugin im Backend aktivieren, fertig. Es sind keine weiteren Einstellungen nötig und ist sofort scharf. Könnt ihr einmal testen, sofern ihr euch aus dem Backend abmeldet und versucht, euch wieder anzumelden. Der WordPress-Administrationsbereich wird nach einer erfolgreichen Anmeldung erst dann zugänglich, wenn auch der – per E-Mail an die für den Benutzer gespeicherte Adresse erhaltene – Sicherheitscode übereinstimmt. Wer die mobilen WordPress-Apps benutzt: Diese funktionieren weiterhin wie gewohnt.

2-step-verification-sergej-mueller-2

Funktioniert bei mir einwandfrei, auch wenn es sich erst einmal um Version 0.1 handelt. Da das Plugin aktuell jedoch nur auf GitHub verfügbar ist, müsst ihr dieses manuell herunterladen und im Backend von WordPress installieren. Lohnt sich aber definitiv, auch wenn im Falle von WordPress natürlich nur die Installation und Zugänglichkeit im Browser geschützt wird, während der Server an sich natürlich zur Umgehung genutzt werden kann. Das aber liegt in der Natur der Sache – aber wieso deswegen das kleine bisschen mehr an Schutz für das Admin-Backend nicht nutzen? Eine andere Alternative wäre die Absicherung der wp-login.php per htaccess – anderes Prinzip, dass natürlich auch zusätzlich genutzt werden kann.

2-Step-Verification auf GitHub aufrufen

Artikel teilen

Kaufempfehlung*

  • Huawei P9 lite Smartphone (13,2 cm (5,2 Zoll) Touch-Display, 16GB interner Speicher, 3GB RAM, Android 6) schwarz
  • Neu ab EUR 189,00, gebraucht schon ab EUR 159,99
  • Auf Amazon kaufen*