In diesem Beitrag erklären wir Dir die 2-Faktor-Authentifizierung (2FA) für WordPress und wie Du sie ganz einfach einrichten kannst. Dafür beziehen wir uns ausschließlich auf das Vorgehen mit dem Wordfence (2FA) Plugin und der Microsoft Authenticator App. Wordfence (2FA) hat sich für uns bewährt und ist vollkommen kostenfrei. Der Microsoft Authenticator kann auch kostenlos genutzt und in der Cloud gesichert werden (falls das Handy mal verloren geht).
Nutzen und Funktionsweise der 2-Faktor-Authentifizierung (2FA)
Die 2FA ist heute eines der sichersten Verfahren, um sich vor Hackerangriffen zu schützen. Sie ist die sicherste Form der Remote-System-Authentifizierung und verhindert, dass sich Bots in Deinem Account anmelden. Wenn du die 2FA verwendest, musst Du die Anmeldung zum Backend von WordPress immer mit einer zweiten Methode bestätigen.
Dies erfolgt hier durch die die Microsoft Authenticator App. Erhältlich ist diese für Android- und IOS-Systeme. Die Anmeldung bei WordPress kann dann nur mit der zusätzlichen Bestätigung über dein Smartphone erfolgen.
Herausforderungen der 2-Faktor-Authentifizierung (2FA)
Eine Herausforderung der Zwei-Faktor-Authentifizierung (2FA) besteht darin, dass sich mit Deinem Account nur eine Person anmelden kann, weil die Anmeldung immer von einem Smartphone bestätigt werden muss. Falls eine weitere Anmeldung unter dem Account notwendig werden sollte, kann der in der App generierte Code weitergegeben werden. So kann der andere Benutzer diesen bei WordPress eingeben. Der Code sollte aber in jedem Fall sehr vertraulich behandelt werden.
Es ist daher empfehlenswert, dass es mindestens zwei Admins, mit 2-Faktor-Authentifizierung, gibt und idealerweise auch jeder andere Nutzer die 2-Faktor-Authentifizierung aktiviert. Zwei Administratoren gewährlisten, dass immer ein Admin Zugriff auf WordPress hat, auch wenn mal ein Admin sein Handy verliert oder zum Beispiel das Unternehmen verlässt.
Warum sollte man die 2FA bei WordPress nutzen?
WordPress ist das am meisten genutzte Content Management System (kurz: CMS) der Welt. Knapp 43 Prozent aller Websites weltweit nutzen inzwischen WordPress – Tendenz steigen (2019 waren es noch 35 Prozent) (1). Darüber hinaus heißt es, gerade bei größeren Unternehmen, dass WordPress nicht sicher ist. Aber ist da was dran? Zu diesem Thema hat Kinsta, unser Favorit unter den Hosting Providern, einen sehr ausführlichen Beitrag geschrieben (hier zu finden).
Grundsätzlich muss man sagen, dass Hacker nicht an die Core-Software von WordPress herankommen. In Wirklichkeit werden die meisten Webseiten durch eigentlich vermeidbare Probleme gehackt, wie z.B. das nicht-Aktualisieren von Funktionen oder das Verwenden unsicherer Passwörter. Im „Website Threat Research Report“ von Sucuri (2019) hat sich beispielsweise gezeigt, dass 39,3% der gehackten WordPress Seiten, zum Zeitpunkt des Vorfalls, eine veraltete Software (WordPress Version oder PHP) installiert gehabt.
Nach einer ähnlichen Umfrage von Wordfence haben 60% der Websitebetreiber, die gewusst haben wie der Hacker in die Seite kam, angegeben, dass es eine Sicherheitslücke bei einem Plugin oder Theme gab. Auch hier spielt vor allem die Aktualität eine entscheidende Rolle! Im Sucuri Report von 2016 hat sich gezeigt, dass lediglich 3 Plugins (Revslider, TimThumb und GravityForms) für 15% der gehackten Webseiten verantwortlich gewesen sind.
Alleine im Juni 2021 wurden mit Wordfence mehr als 18,5 Milliarden „Brute Force Attacken“ verhindert. Es ist also höchste Zeit, die 2FA für Deinen Login einzurichten!
Bei Brute-Force-Attacke handelt es sich um eine Angriffs-Methode, bei der mittels hoher Rechenleistung versucht wird, abgesicherte Zugänge, durch wiederholte und systematische Eingabe von Nutzer-Passwort-Varianten und -Kombinationen, zu hacken.
Im Guide von Kinsta gibt es noch deutlich mehr Informationen zu dem Thema. Hier soll nur klar werden, dass Du die Software sowie Plugins immer auf dem neusten Stand halten solltest. Ein Großteil der Hacks und der damit verbundenen Schäden hätte man mit einem sicheren Passwort und der 2-Faktor-Athentifizierung vermeiden können. Daher dieser Guide und unsere explizite Empfehlung: Verwende wann immer möglich 2FA!
Quelle: (1) https://w3techs.com/technologies/overview/content_management
Die Einrichtung der 2FA für WordPress erklären wir Dir im nächsten Abschnitt.
Einrichtung von Wordfence für die 2-Faktor-Authentifizierung (2FA)
Schritt 1 von 3 – Wordfence installieren
In unserem Beispiel verwenden wir Wordfence. Du kannst dich aber natürlich auch für ein anderen Anbieter bzw. ein anderes Plugin entscheiden (hier gibt es eine Gegenüberstellung von Wordfence und Sucuri).
Zunächst musst Du Wordfence installieren. Dafür suchst du im Backend bei WordPress einfach nach Plugins und dort nach „Wordfence“ (siehe Screenshot).
Wordfence Security oder Wordfence Login Security?
Wenn du nicht nur die Login Security (2FA), sondern auch die Firewall von Wordfence, nutzen möchtest, entscheidest du dich hier für die linke Option. Andernfalls kannst du auch einfach „Wordfence Login Security“ auswählen, installieren und aktivieren.
Tipp: Wordfence Security bietet zusätzlichen Schutz vor Brute Force Attacken und viele weitere Einstellungsmöglichkeiten. Hier musst Du aber in jedem Fall die aktuellen Datenschutzbestimmungen berücksichtigen, weil Du unter anderem auch das GEO-Blocking (Ausschluss von Nutzern aus bestimmten Regionen) verwenden kannst und Deine Nutzer über entsprechende Funktionen im Datenschutz informieren musst. Darüber hinaus werden die erhobenen Daten ggf. in den USA gespeichert (Vertrag zur Auftragsverarbeitung notwendig).
Die Microsoft Authenticator App für die 2-Faktor-Authentifizierung (2FA) installieren
Schritt 2 von 3 – Microsoft Authenticator App installieren
Im App Store von IOS / Android kannst Du die „Microsoft Authenticator App“ kostenlos für die 2-Faktor-Authentifizierung (2FA) downloaden und installieren.
Schritt 1
Schritt 2
Schritt 3
- Nach der Installation kannst du oben rechts den Plus-Button nutzen (bei Android-Geräten sind es drei Punkte).
- Anschließend wählst du die untere Option „Anderes (Google, Facebook, usw.)“.
- Im letzten Schritt musst du jetzt den QR-Code bei Wordfence einscannen. Wo du diesen findest, zeigen wir dir im nächsten Abschnitt.
Schritt 3 von 3 – QR-Code einscannen
Hierfür gehst Du einfach im Backend bei WordPress auf Benutzer, bewegst die Maus über deinen Zugang / Benutzer und klickst auf „2FA“ (siehe Screenshot).
Im letzten Fenster sollte ein QR-Code erscheinen. Diesen kannst du jetzt einfach mit deiner App einscannen und freischalten. Richte dafür die Kamera auf den QR-Code und gib anschließend den Code aus deiner App, in das rot markierte Feld „123456“ unten rechts ein.
Wichtig: Jetzt unbedingt noch die „Recovery Codes“ herunterladen. Diese kannst du verwenden, wenn du dein Handy mal verlieren solltest oder gerade nicht zur Hand hast. Die Codes solltest du gut aufheben. Man kann nie wissen, wann diese mal benötigt werden.
Fertig! Ab jetzt musst du bei jedem Login, zusätzlich zu deinem Passwort, den entsprechenden 6-stelligen Code aus deiner App eingeben. Deine WordPress Umgebung ist damit deutlich besser vor Hackern geschützt. Trotzdem solltest Du natürlich auch auf die Aktualität deiner Installation (WordPress & PHP) sowie Plugins achten!