Zwei-Faktor-Authentifizierung

Wichtiger Hinweis, wenn mehrere Benutzer auf einer Website angemeldet sind:

Die nachfolgend beschriebene Einrichtung der Zwei-Faktor-Authentifizierung sollte für jeden Benutzer von ihm selbst auf dem Smartphone oder iPhone eingerichtet werden. Eine Ausnahme wäre ein kryptischer Benutzername, der keine Ableitung auf die Webadresse (Domain) oder den Websitebetreiber (Impressum) zulässt und ein komplexes Passwort.


Die aktuellen Meldungen über den Diebstahl und die Veröffentlichung von Passwörter schrecken ggf. auch WordPress-Administratoren auf. Andererseits kann man feststellen, dass in bestimmten Intervallen hartnäckige Einbruchversuche in das Dashboard zunehmen. Die Hacker versuchen (mit gefälschten IP-Adressen) in kurzen Zeitabständen zunächst den Benutzernamen zu erraten. Dazu wird oft aus der Domain ein Name gebildet. Ebenfalls testen die Hacker, ob nicht ein unvorsichtiger Administrator vielleicht noch den früheren Standardnamen “admin” in Verwendung hat.

Hier sind als Muster drei verschiedene IP-Adressen aus unterschiedlichen Ländern (gefälscht) zu sehen, von welchen kurz nacheinander die Login-Versuche kamen:

 

Bei diesem Angriff wurde der gleiche Benutzername, abgeleitet aus der Domain, verwendet:

 

Die o. g. realen Beispiele hat das ausgezeichnete Plugin “WP Cerber” abgefangen, so dass kein Schaden entstanden ist. Sollte es ein Hacker trotzdem schaffen, den Benutzernamen zu erraten, wird nur noch das Passwort für den Zugriff auf die Website-Verwaltung benötigt.

Hier setzt die Zwei-Faktor-Authentifizierung an, welche eine weitere Hürde aufbaut.

 

WordPress-Plugin installieren:

Von den Entwicklern des guten Backup-Plugins “UpdraftPlus” stammt auch das Plugin “Two Factor Authentication“, welches wir für unsere Zwecke verwenden.

Nach Installation und Aktivierung klicken wir auf Einstellungen -> Two Factor Authentication:

 

Bei Bedarf können wir die Benutzerrollen einschränken (für alleinige Nutzung ist keine Änderung notwendig):

 

Anschließend klicken wir auf den gezeigten Menüeintrag…

 

…und aktivieren die Funktion:

 

Nun werden uns ein Einmal-Passwort, ein QR-Code und der private Schlüssel (für die Einrichtung mit Passwort) angezeigt (Diese Seite sollte für den Notfall zur Sicherheit kopiert und ausgedruckt werden):

 

Android-App installieren:

Für Androis-Geräte stehen etliche Apps zur Verfügung.
Getestet wurden folgende Apps:

Alle drei Apps arbeiten mit dem o. g. WordPress-Plugin einwandfrei zusammen. Es ist auch möglich, zwei verschiedene Apps mit dem gleichen WordPress-Plugin zu benutzen.

Für dieses Tutorial verwenden wir den Google Authenticator.

Nach der Installation öffnen wir die App und sehen dieses Bild. Auf den Button “Starten” tippen:

 

Wir tippen auf “Barcode scannen” und scannen den Barcode des Plugins vom PC-/Laptop-Bildschirm:

 

Danach tippen wir nach erfolgreichem Scannen auf den blauen Button,…

 

…wodurch ein Zahlencode und die Bezeichnung der Website (veränderbar) angezeigt werden:

 

Zum Testen melden wir uns von WordPress ab und mit den vorhandenen Zugangsdaten neu an. Nun erfolgt die Abfrage nach dem Einmal-Passwort, was uns die App anzeigt. Wenn das korrekte Passwort eingegeben wird, sind wir wie üblich im Dashboard der Website:

 

Bitte beachten beim Wechsel des Endgerätes (Smartphone):

Beim Wechsel auf ein anderes (neues) Smartphone lauert eine böse Falle: Wenn das Plugin “Two Factor Authentication” nicht zuvor deaktiviert wurde, ist kein Zugang zur Website möglich. In diesem Fall muss das Plugin per FTP zunächst umbenannt werden. Danach in das Dashboard einloggen und das Plugin wieder auf den alten Namen per FTP umbenennen. Nach einem Reload der Pluginseite ist das zuvor umbenannte Plugin wieder zu sehen und wird aktiviert. Anschließend kann mit der App des neuen Smartphones die Verbindung neu eingerichtet werden.

Als alternative Methode kann auch der folgende Eintrag in der Datei “wp-config.php” temporär mit einem FTP-Client oder beispielsweise KAS (beim Provider “all-inkl.com”) eingefügt werden:

define('TWO_FACTOR_DISABLE', true);

 

Die Zeile wird einfach am Ende des define-Textblocks hinzugefügt:

define('LOGGED_IN_SALT', 'Uo{x|1RH`sP7m1m3s]jP
define('NONCE_SALT', 'zW%w9ypFU.U,4;H_,6zl
define('TWO_FACTOR_DISABLE', true);

Ggf. ist die Dateiberechtigung vorübergehend von “444” auf “644” zu ändern, damit der gewählte Editor Schreibrechte hat. Danach in das Dashboard einloggen und den QR-Code mit dem neuen Endgerät scannen. Nun kann der eingefügte Code wieder entfernt werden.