WordPress Aktivieren der Zwei-Faktor-Authentifizierung (2FA)
Mein letzter Beitrag handelte von der Absicherung des WordPress-Backends durch eine .htaccess-Datei (WordPress Adminbereich mit .htaccess absichern), wodurch man eine Art von Basissicherheit für die eigene Webseite schafft. Mit der Aktivierung der Zwei-Faktor-Authentifizierung erreicht man aber nochmals ein ganz anderes Level an Sicherheit. Die Umsetzung und Installation ist hingegen recht einfach gehalten und kann auch von technisch weniger versierten Admins vorgenommen werden.
Geeignet für: Anfänger, Fortgeschrittene
Basis: WordPress-Website (aktuelle Version), Android-Smartphone
Pro:
- Absicherung des Administrationsbereichs von WordPress
- Einfache Installation in wenigen Minuten
- Funktioniert mit jeder aktuellen WordPress-Installation
- Anmeldung auch möglich falls Smartphone nicht zur Hand
Contra:
- Es ist ein extra (Fremdhersteller-)Plugin notwendig (in unserem Fall: Two-Factor)
In diesem Fallbeispiel habe ich mich für das Plugin „Two-Factor“ entschieden, da es lt. WordPress auf ca. 70000 Websites installiert ist und durchweg sehr gute Bewertungen erhalten hat. Es ist zwar nicht mit der neuesten Version von WordPress getestet aber es funktioniert trotzdem stabil und zuverlässig. Sollte es irgendwann einmal Probleme bereiten kann ich es einfach gegen ein anderes Plugin austauschen.
Installation des Plugins in WordPress
Schritt 1 – Installation des Plugins
Hierzu gehe ich in der WordPress-Administration auf den Punkt „Plugins“ und wähle „Installieren“ (Punkt 1) aus. Anschließend gebe ich im Suchfeld den Begriff „Two-Factor“ (Punkt 2) ein und klicke auf „Jetzt installieren“ (Punkt 3).
Jetzt muss das Plugin mit einem Klick auf „Aktivieren“ noch aktiviert werden und ist einsatzbereit.
Gehe ich in der WordPress-Administration jetzt auf den Punkt „Benutzer“, sehe ich den neu hinzugefügten Punkt „Two-Factor“, der im Moment noch als „Deaktiviert“ angezeigt wird.
Im nächsten Schritt installieren wir die App auf dem Smartphone.
Installation der App für die Zwei-Faktor-Authentifizierung auf dem Smartphone (Android)
Das Gegenstück zum Plugin in WordPress bildet die App „Aegis Authenticator – 2FA App„, die im Google Play Store erhältlich ist. Ich habe mich für diese App entschieden, da sie zum jetzigen Zeitpunkt bereits 3300 meist positive Rezensionen erhalten hat.
Zurück ins WordPress-Backend
Hier wähle ich wieder den Punkt „Benutzer“ und klicke den Benutzernamen an, für den ich die 2FA – Zwei-Faktor-Authentifizierung – aktivieren möchte.
Im nächsten Bildschirm scrolle ich ein Stück nach unten, bis ich zum Punkt „Two-Factor-Einstellungen“ komme und den Barcode sehe, diesen scanne ich jetzt mit der Aegis-App ein.
Auf dem Smartphone: anhand der folgenden Bilder mit Beschriftung werden die einzelnen Schritte erklärt.
In WordPress trage ich in das Feld „Authentifizierungs-Code“ den auf meinem Smartphone angezeigten Code ein und klicke auf „Absenden“ (siehe Bild Punkt 2).
Empfohlener nächster Schritt: in Wordpess erzeuge ich jetzt die sogenannten Backup-Verifizierungs-Codes im Bereich „Two-Factor-Einstellungen“ für die einmalige Nutzung. (siehe Bild Punkt 3). Diese Codes benötige ich, wenn ich mal mein Smartphone nicht zur Hand habe, dieses defekt ist oder der Akku leer ist.
Hierzu klicke ich auf den Button „Verifizierungs-Codes generieren. Das System legt jetzt 10 Codes an, die man entweder per Hand aufschreibt oder sie in ein Texterverarbeitungsprogramm einfügt und dann ausdruckt. Abschließend setze ich noch einen Haken in das „Aktiviert“-Feld.
Abschließend aktiviere ich die folgenden Punkte und setze den primären Schlüssel bei „Zeitbasiertes Einmal-Passwort (TOTP):
Um diese Einstellungen zu speichern scrolle ich nach unten und klicke auf „Profil aktualisieren“.
Bei der nächsten Anmeldung in WordPress erscheint nach Anmeldung mit Benutzernamen und Kennwort das neue Feld für die Zwei-Faktor-Authentifizierung mit der Abfrage des Codes:
