Nach der Installation des Protect Login Plugin hat mich dieses auf das Two-Factor Plugin hingewiesen, um mein WordPress besser vor nicht autorisierten Zugriffen zu schützen.
Ich habe ein wenig im Fediverse herumgefragt, was empfohlen wird. Das Plugin wurde mir mehrfach empfohlen. Also installiert und die Einstellungen aufgerufen.
Vorab für alle, die sich fragen, wozu die Zwei-Faktor-Authentifizierung gut ist. Sie stellt sicher, dass sich nur berechtigte Personen in ein System (wie WordPress) einloggen können. Passwörter allein können mit verschiedenen Methoden herausgefunden werden. Dann kommt der zweite Faktor ins Spiel. Nutzende müssen sich auch noch auf eine andere Art und Weise identifizieren, bevor er:sie in das System gelassen wird.
Dies wollen wir uns am Beispiel des Two-Factor-Plugins ansehen.
Einstellungen
Die Einstellungen des Plugins nimmt man im Menüpunkt „Benutzer“ vor und dort jeweils getrennt für jede:n einzelne:n Benutzer:in. Es können eine oder mehrere Methoden als zweiter Faktor ausgewählt werden. Eine Methode muss aber als primäre gewählt werden.
Nach Eingabe des Passworts auf der Login-Seite von WordPress wird ein Authentifizierungscode an die E-Mail-Adresse des:der Benutzer:in gesendet. Dieser muss ebenfalls eingegeben werden, bevor man sich in das System einloggen kann.
Authenticator-App
Dieser Menüpunkt setzt voraus, dass du eine Authenticator-App verwendest. Dazu wird ein QR-Code angezeigt, den du mit der App einscannst. Danach wirst du beim Login nach einem Zahlencode gefragt, den die App etwa jede Minute neu generiert.
Update vom 22.12.24: Benedikt.io hat das Plugin auch ausprobiert. Es funktioniert auch bei ihm. Er weist jedoch darauf hin, dass man bei den Einstellungen auf die Einrichtungsschritte aufpassen muss, insbesondere bei der Einrichtung der Authenticator-App. Mehr in seinem Artikel.
FIDO U2F Sicherheitsschlüssel
Wenn ich das richtig verstanden habe, braucht man dafür einen speziellen USB-Stick, der dann als Schlüssel funktioniert.
Wiederherstellungscodes
Das Plugin generiert 10 Codes (Zahlenfolgen), die zum Einloggen eingegeben werden können. Jeder Code kann nur einmal verwendet werden. Das ist auch sehr praktisch, wenn du deine Authenticator App auf einem Smartphone installiert hast und dieses kaputt geht (und du es als primären zweiten Faktor festgelegt hast). Dann kannst du dich immer noch in dein WordPress einloggen.
Sicher ist sicher
So gesichert sollte ein unbefugter Zugriff auf mein Blog unwahrscheinlicher werden. Dazu gehört natürlich auch ein gutes Passwort und die Pflege meiner WordPress-Installation. So sollten auch die Plugins auf dem neuesten Stand sein.
Nun hoffe ich das Beste.
Vielen Dank für diesen Post, durch den ich mich auch endlich dazu durchgerungen habe ein 2FA-Plugin (also eben dieses hier) zu installieren! Und natürlich danke für die Verlinkung zu meinem Post – ich glaube, dass das vermutlich/hoffentlich ein Nischenproblem ist. Aber diese Fehlerquelle im UI abzufangen wäre für das Plugin sicher eine gute Idee.
Freut mich, dass ich den Impuls liefern konnte 🙂
Die Verlinkung muss natürlich sein, bin ja Mitglied des Blog Club. Außerdem ist es eine gute Zusatzinformation für jede:n, der:die das Plugin nutzen möchte.