Zwei-Faktor-Authentifizierung (2FA) mit WordPress
Mittels Zwei-Faktor-Authentifizierung (kurz 2FA) kann die WordPress Login-Sicherheit erhöht werden, indem das Passwort als erster Sicherheitsfaktor durch einen zweiten, personalisierten Sicherheitsfaktor ergänzt wird. Das Login läuft somit in zwei Schritten ab, zuerst wird das Passwort eingegeben und danach noch der zweite Faktor. Es gibt mehrere WordPress-Plugins für die Umsetzung dieser Sicherheitsmaßnahme. Drei häufig genutzte Plugins stelle ich in diesem Blog-Artikel vor: die Plugins Two-Factor, Two Factor Authentication by UpdraftPlus und Wordfence 2FA.
Sollte das Login-Passwort durch einen Angriff oder Leak kompromittiert sein, bietet 2FA eine zusätzliche Absicherung. Der zweite Faktor nach der Eingabe des Passworts kann zum Beispiel ein per E-Mail gesendeter oder per Mobile-App generierter Code sein, der zeitlich begrenzt und einmalig einsetzbar ist, also ein sogenanntes OTP (one time password), oder auch ein Hardware Security Key, der ähnlich wie ein USB-Stick verwendet wird. Die vorstellten Plugins unterstützen teils alle genannten Methoden, teils nur bestimmte.
Two-Factor
Mit mehr als 50.000 Installationen ist Two-Factor eine der am häufigsten verwendeten 2FA-Lösungen für WordPress. Das Entwicklerteam besteht aus Developers, die auch an WordPress Core mitarbeiten. Daher besteht die Möglichkeit, dass diese 2FA-Lösung über kurz oder lang in WordPress Core integriert werden wird. Aus diesem Grund ist Two-Factor derzeit mein präferiertes 2FA-Tool.
Two-Factor bietet folgende Möglichkeiten für die Implementierung der Zwei-Faktor-Authentifizierung zur Absicherung des WordPress-Logins:
- OTP, per Mobile-App generiert
- FIDO U2F Security Key
Die Einstellungen von Two-Factor erlauben die Auswahl mehrerer Authentifizierungs-Methoden bzw. die Erstellung von Backup-Verifizierungs-Codes, sodaß ein ärgerliches Selbst-Aussperren weitgehend verhindert werden kann. Denn falls über eine Mobile-App generierte OTPs als einzige 2FA-Methode ausgewählt wurden, kann es leider passieren, dass durch ein defektes oder verloren gegangenes Mobiltelefon in der Folge auch der Zugang zur WordPress-Website zunächst einmal versperrt bleibt.
Natürlich ist es in diesem Fall immer noch möglich, als Notfallmaßnahme das Zwei-Faktor-Plugin über FTP zu deinstallieren, worauf die Website wieder mit dem einfachen Faktor (dem ursprünglichen Passwort) zugänglich wird, aber erfahrungsgemäß haben nicht alle Nutzer:innen ihre FTP-Zugangsdaten griffbereit. Also lieber vorher über die Auswahl und Konfiguration des Zwei-Faktor-Tools nachdenken!
Two Factor Authentication
Der Entwickler des beliebten Backup-Plugins UpdraftPlus ist unter anderem auch federführend an der Entwicklung des Plugins Two Factor Authentication beteiligt, das ebenfalls zu den am häufigsten verwendeten Zwei-Faktor-Authentifizierungs-Plugins zählt.
Die vorliegende Lösung konzentriert sich auf OTPs. Diese Einmal-Passwörter können über verschiedene Mobile-Apps generiert werden. Zu den bekanntesten OTP-Apps für IPhone, IPAd oder Android gehören Authy, Google Authenticator und FreeOTP. Die genannten Apps werden vom WordPress-Plugin Two Factor Authentication by UpdraftPlus unterstützt. Die Einrichtung ist simpel: Der vom WordPress-Plugin generierte QR-Code wird mittels Mobile-App eingescannt, und daraufhin stellt die Mobile-App bei jedem Login-Vorgang einen temporär gültigen Einmal-Code als zweiten Faktor zur Verfügung.
Außerdem unterstützt das Plugin auch weitere Login-Formulare, z.B. jene des Shopping-Tools WooCommerce.
Wordfence 2FA
Das WordPress Security Plugin Wordfence bietet eine Zwei-Faktor-Authentifizierung als Zusatzservice neben weiteren Features zur Login-Absicherung an. Der Vorteil ist natürlich, dass kein zusätzliches 2FA-Plugin benötigt wird, sofern Wordfence bereits installiert ist.
Allerdings ermöglicht Wordfence genau wie die UpDraft-Lösung ebenfalls ausschließlich die Verwendung von OTPs, die über Mobile-Apps generiert wurden. Das Setup funktioniert auch sehr ähnlich. E-Mail-OTPs oder FIDO U2F Security Keys werden nicht unterstützt.
Ein positiver Faktor bei der Anwendung von Wordfence ist, dass derzeit keine bekannten Konflikte mit anderen 2FA-Plugins bekannt sind, was bedeutet, daß beispielsweise das Security Plugin Wordfence und das reine 2FA-Plugin Two-Factor gleichzeitig aktiviert sein können, ohne Konflikte auszulösen. Ich würde dennoch empfehlen, 2FA immer nur über ein Plugin zu aktivieren.
Fazit
Die Zwei-Faktor-Authentifizierung, kurz 2FA, eignet sich zur zusätzlichen Absicherung des WordPress-Logins und weiterer Login-Formulare wie z.B. jene von WooCommerce. Für die einfache Einrichtung von 2FA stehen mehrere Plugins zur Verfügung, die wie Two Factor Authentication und Wordfence 2FA teils mit Mobile-Apps funktionieren, teils wie im Fall des Plugins Two-Factor auch weitere Authentifizierungs-Methoden wie E-Mail-OTPs oder FIDO U2F Security Keys unterstützen.
ADAWEB ist als WordPress-Agentur auf die technische und kreative Umsetzung individueller Websites spezialisiert. Informiere dich unverbindlich über unsere Leistungen und Preise.
Wir freuen uns auf deine Anfrage.
Über die Autorin*
Elke ist WordPress-Entwicklerin mit Leib und Seele. Nach beruflichen Stationen im Consulting, Kultur- und Projekt-Management beschäftigt sie sich momentan am liebsten mit HTML, CSS, PHP, SEO, Crêpes und Kaffee. >> Alle Blog-Artikel
Konnte ich dir mit WordPress weiterhelfen? Spendier‘ mir einen Kaffee: Buy me a coffee