Einer meiner Kunden hatte einige Wochen nach dem Launch seiner Website unerklärliche Posts unter seinen Beiträgen. Pure Werbung für dubiose Inhalte. Nun ja: Die Posts waren rasch gelöscht und die neuen Passwörter für die beiden Administratoren sofort gesetzt. Seither ist Ruhe. Allerdings haben wir umgehend die Sicherheit erhöht – ganz einfach mit einem Plugin, welches seither den Zwei-Faktor-Zugang sichert.
Wir verwenden auf der seinerzeit veränderten Website nun das Plugin Google Authenticator, um den Zugang der Administratoren abzusichern. Es gibt noch weitere im WordPress-Katalog. Unser verwendetes Plugin lässt sich zum Beispiel allen BenutzerInnen mit Zugang zum Backend zuschalten, während «normale» WebsitebesucherInnen nach wie vor ohne Zweifaktor-Identifizierung auf Inhalte zugreifen können. Dieses Vorgehen empfehlen wir. Es schützt den heiklen Backendbereich vor Unfug und stellt andere NutzerInnen (ohne Administrationsrechte) nicht vor Zuigangsprobleme, für die Sie allenfalls sogar um Support angefragt werden.
Das Plugin liefert nun einen QR-Code aus. Diesen lesen Sie mit dem Google Authenticator (oder ähnlichen Apps) auf Ihrem Mobiltelefon ein. Diese App holen Sie gratis in Apples AppStore und für auf Android in GooglePlay. Nach der ersten Identifizierung wird das WordPress-Login nur noch per sechsstelligem Zahlen-Code vom Handy-Display funktionieren. Das erhöht die Sicherheit stark.
Ich gebe zu. Das System ist zwar sicherer und wird immer häufiger eingesetzt; trotzdem würde ich noch nicht von einem Standard sprechen. Und viele RedaktorInnen tun sich etwas schwer mit dieser Sicherungsmöglichkeit. Sie wird aber mehr und mehr zum Courant normal, so dass die Widerstände auch abnehmen dürften. Wer die Sicherheit mit den bestehenden Windows-Bordmitteln und ohne Zwei-Faktor-Anmeldung vorzieht, sollte darauf achten, dass Admins keine allzu durchsichtigen Passwörter verwenden.
Nichts geht mehr? Keine Panik!
Falls der/die AdministratorIn das Mobiltelefon verliert, ist noch nicht aller Tage Abend – obwohl er/sie sich nun nicht mehr einloggen kann:
- Ein zweiter Administrator kann das Benutzerprofil des betroffenen Admins bearbeiten und den Zugang wieder gewähren.
- Falls kein zweiter Administrator zugegen ist: einfach den Plugin-Ordner auf dem Webserver umbenennen. Das Authenticator Plugin findet sich im Verzeichnis
../wp-content/plugins/google-authenticator/
Benennen Sie den Ordnernamen um. Zum Beispiel in
_google-authenticator
und schon ist die 2FA-Anmeldung überall ausgeschaltet. Alle User haben temporär normalen Zugriff. Der/die betroffene Administratorin kann hernach die nötigen Einstellungen am eigenen Profil vornehmen, das Plugin auf dem Server wieder in den alten Namen umbenamsen und es im Backend aktivieren.
Werbung