Lesefortschritt:

Zwei-Faktor-Anmeldung 2FA: WordPress-Backend vor fremdem Zugriff sichern

1. März 2021 | Plugins, Sicherheit, WordPress

Dieser Beitrag beinhaltet 472 Wörter. – Geschätzte Lesezeit: ca. 3 Minuten.

Einer meiner Kunden hatte einige Wochen nach dem Launch seiner Website unerklärliche Posts unter seinen Beiträgen. Pure Werbung für dubiose Inhalte. Nun ja: Die Posts waren rasch gelöscht und die neuen Passwörter für die beiden Administratoren sofort gesetzt. Seither ist Ruhe. Allerdings haben wir umgehend die Sicherheit erhöht – ganz einfach mit einem Plugin, welches seither den Zwei-Faktor-Zugang sichert.

Wir verwenden auf der seinerzeit veränderten Website nun das Plugin Google Authenticator, um den Zugang der Administratoren abzusichern. Es gibt noch weitere im WordPress-Katalog. Unser verwendetes Plugin lässt sich zum Beispiel allen BenutzerInnen mit Zugang zum Backend zuschalten, während «normale» WebsitebesucherInnen nach wie vor ohne Zweifaktor-Identifizierung auf Inhalte zugreifen können. Dieses Vorgehen empfehlen wir. Es schützt den heiklen Backendbereich vor Unfug und stellt andere NutzerInnen (ohne Administrationsrechte) nicht vor Zuigangsprobleme, für die Sie allenfalls sogar um Support angefragt werden.

Das Plugin liefert nun einen QR-Code aus. Diesen lesen Sie mit dem Google Authenticator (oder ähnlichen Apps) auf Ihrem Mobiltelefon ein. Diese App holen Sie gratis in Apples AppStore und für auf Android in GooglePlay. Nach der ersten Identifizierung wird das WordPress-Login nur noch per sechsstelligem Zahlen-Code vom Handy-Display funktionieren. Das erhöht die Sicherheit stark.

Ich gebe zu. Das System ist zwar sicherer und wird immer häufiger eingesetzt; trotzdem würde ich noch nicht von einem Standard sprechen. Und viele RedaktorInnen tun sich etwas schwer mit dieser Sicherungsmöglichkeit. Sie wird aber mehr und mehr zum Courant normal, so dass die Widerstände auch abnehmen dürften. Wer die Sicherheit mit den bestehenden Windows-Bordmitteln und ohne Zwei-Faktor-Anmeldung vorzieht, sollte darauf achten, dass Admins keine allzu durchsichtigen Passwörter verwenden.

Nichts geht mehr? Keine Panik!

Falls der/die AdministratorIn das Mobiltelefon verliert, ist noch nicht aller Tage Abend – obwohl er/sie sich nun nicht mehr einloggen kann:

  • Ein zweiter Administrator kann das Benutzerprofil des betroffenen Admins bearbeiten und den Zugang wieder gewähren.
  • Falls kein zweiter Administrator zugegen ist: einfach den Plugin-Ordner auf dem Webserver umbenennen. Das Authenticator Plugin findet sich im Verzeichnis 
    ../wp-content/plugins/google-authenticator/

    Benennen Sie den Ordnernamen um. Zum Beispiel in

    _google-authenticator

    und schon ist die 2FA-Anmeldung überall ausgeschaltet. Alle User haben temporär normalen Zugriff. Der/die betroffene Administratorin kann hernach die nötigen Einstellungen am eigenen Profil vornehmen, das Plugin auf dem Server wieder in den alten Namen umbenamsen und es im Backend aktivieren.

Werbung

Ähnliche Beiträge

  • Ein Plädoyer für das NAS Heute widmen wir uns ausnahmsweise einem Hardware-Thema: Dem NAS. Für viele – auch private – NutzerInnen wäre nämlich ein NAS (Network Attached Storage) eine interessante Lösung. Zu Zeiten von Highspeed-Internet…
  • Sicher(n) ist sicher: So erstellen Sie… Das Kernstück Ihrer Wordpress-Installation ist die Datenbank, in welcher alle Informationen und Einstellungen Ihrer Website abgelegt sind: Ihre Beiträge, Seiten, Information zu Bildern usw. Ohne diese Datenbank ist Ihre Wordpress-Website…
  • Wenn Wordpress nach dem Domainwechsel den Zugriff… Das kommt in den besten Familien vor: Sie wechseln die Domain Ihrer Wordpress-Website und prompt können Sie nicht mehr ins Backend einsteigen. Die Website werkelt zwar unter neuer Adresse; aber…
  • Wordpress-Installation zum Multisite-Netzwerk… Ihre Wordpress-Installation lässt sich relativ einfach auf eine Multisite-Umgebung umstellen. So können Sie aus einer einzigen Installation heraus eine ganze Reihe von Websites administrieren und publizieren. Das hat vor allem…

Kategorien

CSS-Stylesheet Divi-Theme Fonts & Icons functions.php header.php htaccess HTML Mediathek NAS Plugins Scripts SEO Sicherheit SocialMedia WordPress wp-config.php

Divi-Module

Akkordeon-Modul Audio-Modul Bild-Modul Blog-Modul Button-Modul Code-Modul Countdown-Modul Filterbares Portfolio Galerie-Modul Handlungsaufruf-Modul Kontaktformular-Modul Login-Modul Menu-Modul Portfolio-Modul Registerkarten-Modul Seitenleisten-Modul Slider-Modul Suche-Modul Testimonial-Modul Text-Modul Umschalter-Modul Video-Modul

Dr.-Code-Specials

Anker-Special Aufräum-Special Bilder-Special Blog-Modul-Special Dateidownload-Special Font-Special Icon-Special Nostalgie-Special Sicherheits-Special SocialMedia-Special

Neueste Beiträge

Beliebige Divi-Module, -Zeilen oder -Sektionen per Button-Klick anzeigen oder verstecken
publiziert am 24. April 2024

Slideshow mit wechselnden Bildern – aber statischer Texteinblendung
publiziert am 21. April 2024

WordPress-User ohne Mailadresse einrichten
publiziert am 17. April 2024

Informationstext-Module (Blurbs) des Divi-Themes als Teaser verwenden
publiziert am 14. April 2024

Bullet-Points mit Divi-Icons ersetzen
publiziert am 10. April 2024

sowie 333 weitere publizierte Tipps & Tricks

Geplante Beiträge

Ade Bullet-Points im Footer: Aufzählungspunkte aus der Fusszeile des Divi-Themes entfernen
erscheint am 28. April 2024

Bestätigunsmeldung in Divi-Kontaktformularen stylen
erscheint am 1. Mai 2024

Divi-Button auf ganzer Seiten- oder Spaltenbreite anzeigen
erscheint am 5. Mai 2024

sowie 193 weitere geplante Themen

Child-Theme erstellen

Wir empfehlen Ihnen den Einsatz eines Child-Themes – damit sind Sie sicher, dass Ihre Anpassungen bei einem Theme-Update nicht überschrieben werden.

mehr Infos

Tipps & Tricks per Mail

Mit dem Newsletter von Dr. Code erhalten Sie sporadich die neuesten Hacks und Tricks zu CSS, Divi, Wordpress & Co. direkt in Ihr Mailpostfach.

anmelden

Themenidee?

Können wir Ihnen zu einem ganz bestimmten Thema weiterhelfen? Unsere Leserinnen und Leser haben oft die besten Ideen.

Themenvorschlag

Treffen Sie Vor­sichts­mass­nah­men bei der Nutzung der Inhalte dieser Website. Auch wenn die Tipps und Tricks erprobt sind, kann mal was schiefgehen.

Wir empfehlen, möglichst in einer Test­um­ge­bung zu arbeiten und/oder Si­che­rungs­ko­pien anzulegen, bevor Sie ans Werk gehen.

Werbung

 

Kostenlose WordPress- und Divi-Tricks im Abo

Wir schicken Ihnen sporadisch (weniger als 10x jährlich) neue Tricks für Wordpress und das Divi-Theme, aber auch hilfreiche CSS- und HTML-Codes frei Haus.

Füllen Sie zur Anmeldung das folgende Formular aus. Angaben mit * sind Pflichtangaben.



Vielen Dank.

Pin It on Pinterest

Share This