Doppelt gesichert: die Zwei-Faktor-Authentifizierung in WordPress

Viele lieben WordPress – und die meisten von uns lieben Sicherheit. Wenn beides zusammenkommen soll, dann sprechen wir von der Zwei-Faktor-Authentifizierung. In diesem Artikel wollen wir euch erklären, was diese ist und wie ihr sie in WordPress einrichten könnt.

Mehr Sicherheit in der WordPress-Installation wünschen sich die meisten. Denn die Webseite dient als Aushängeschild und ist damit eine wichtige Möglichkeit, neue Kunden zu akquirieren. Ist diese aufgrund einer Sicherheitslücke nicht mehr erreichbar, bringt das Probleme mit sich. Das gilt vor allem für WordPress-Installationen, die dank WooCommerce auch als Onlineshop verwendet werden.

  1. Sicher hoch zwei
  2. Schritt für Schritt die Zwei-Faktor-Authentifizierung einrichten
  3. Herausforderungen: Mehrere Nutzer oder Notfälle
  4. Ein Hinweis zum Schluss

Sicher hoch zwei

Eine Zwei-Faktor-Authentifizierung ist – wie der Name schon sagt – überall dort zu finden, wo der Benutzer nicht nur einen, sondern gleich zwei Faktoren verschiedener Art als Schutz verwendet. Ein klassisches Beispiel: die Geldabnahme beim Bankautomaten. Hier benötigt man nicht nur das Wissen der PIN, sondern auch noch die Bankkarte selbst.

Nutzen wir die Zwei-Faktor-Authentifizierung bei WordPress, suchen wir ebenfalls nach einem zweiten Faktor zusätzlich zum Passwort. Der Vorteil ist klar: Sollte jemand die Zugangsdaten eurer WordPress-Installation erfahren, kann er sich damit alleine noch nicht anmelden. Erst benötigt er den zweiten Faktor!

Schritt für Schritt die Zwei-Faktor-Authentifizierung einrichten

Um die Zwei-Faktor-Authentifizierung einzurichten, verwenden wir das Plugin Google Authenticator. Ihr bringt die kostenfreie Erweiterung direkt in eure Installation, indem ihr euch unter WordPress einloggt und anschließend unter „Plugins“ nach der Erweiterung sucht. Installiert sie anschließend und denkt daran, sie nach der Installation auch zu aktivieren.

Anschließend könnt ihr unter „Benutzer“ den Bereich "Dein Profil" auswählen und die Erweiterung für euren Account mit einem Haken bei "Aktivieren" einschalten.

Screenshot zu den Einstellungen des Google Authenticator

In dem eigenen Profil lassen sich Einstellungen zur Zwei-Faktor-Authentifizierung anpassen.

Geht im nächsten Schritt dazu über, die dazugehörige App auf eurem Smartphone zu installieren – sie wird euch dabei helfen, den zweiten Faktor zu aktivieren. Android-User finden die App hier, iOS-Affine finden sie unter diesem Link.

In eurem Profil findet ihr, sobald aktiviert, den Button "QR-Code-anzeigen/ verstecken". Klickt einfach drauf und scannt den Code mit der App. Hierfür nutzt ihr die Option „Barcode scannen“.

Der QR-Code führt euch zu einer Ziffernfolge, die ihr dann beim Login neben eurem Passwort und Benutzernamen eingeben könnt.

Authenticator QR-Code

Herausforderungen: Mehrere Nutzer oder Notfälle

Es kann allerdings auch Situationen geben, in denen eine Zwei-Faktor-Authentifizierung nicht sinnvoll ist: beispielsweise, wenn der Account von mehreren Personen genutzt wird. Da der zweite Faktor nur mit dem eingerichteten Smartphone erreichbar ist, wird ein Login somit schwer – helfen kann hier ein zweiter Account. Die Zwei-Faktor-Authentifizierung lässt sich nämlich für jedes Profil separat festlegen.

Sollte es dann doch mal vorkommen, dass sich jemand über euren Account einloggen muss, könnt ihr einfach den Code für den zweiten Faktor von eurem Smartphone senden. Aber Achtung: Die Zahlenfolge aktualisiert sich regelmäßig – seid daher flott und achtet darauf. Oder aber ihr aktiviert in euren Profileinstellungen den "Relaxed mode" – dieser lässt den Code nur noch jede vierte Minute statt jede Minute aktualisieren.

Per Klick ist der Relaxed Mode im Google Authenticator aktivierbar

Per Klick lässt sich der Relaxed mode aktivieren.

Ein Hinweis zum Schluss

Die Zwei-Faktor-Authentifizierung ist eine hervorragende Möglichkeit, mehr Sicherheit in der Installation eurer Webseite zu erhalten. Schlecht konfiguriert kann sie aber auch zum Problem werden: Vergleichbar damit, dass ihr euren PIN vergesst oder eure Karte verlegt, führt beides dazu, dass ihr vorübergehend keinen Zugriff auf euer Konto habt. Prüft also, wie ihr vorgehen könnt, wenn euer zweiter Faktor – warum auch immer – nicht erreichbar ist... nur für den Fall der Fälle. ;)

Kommentar hinzufügen