Nach der Installation des Protect Login Plugin hat mich dieses auf das Two-Factor Plugin hingewiesen, um mein WordPress besser vor nicht autorisierten Zugriffen zu schützen.
Ich habe ein wenig im Fediverse herumgefragt, was empfohlen wird. Das Plugin wurde mir mehrfach empfohlen. Also installiert und die Einstellungen aufgerufen.
Vorab für alle, die sich fragen, wozu die Zwei-Faktor-Authentifizierung gut ist. Sie stellt sicher, dass sich nur berechtigte Personen in ein System (wie WordPress) einloggen können. Passwörter allein können mit verschiedenen Methoden herausgefunden werden. Dann kommt der zweite Faktor ins Spiel. Nutzende müssen sich auch noch auf eine andere Art und Weise identifizieren, bevor er:sie in das System gelassen wird.
Dies wollen wir uns am Beispiel des Two-Factor-Plugins ansehen.
Einstellungen
Die Einstellungen des Plugins nimmt man im Menüpunkt „Benutzer“ vor und dort jeweils getrennt für jede:n einzelne:n Benutzer:in. Es können eine oder mehrere Methoden als zweiter Faktor ausgewählt werden. Eine Methode muss aber als primäre gewählt werden.
Nach Eingabe des Passworts auf der Login-Seite von WordPress wird ein Authentifizierungscode an die E-Mail-Adresse des:der Benutzer:in gesendet. Dieser muss ebenfalls eingegeben werden, bevor man sich in das System einloggen kann.
Authenticator-App
Dieser Menüpunkt setzt voraus, dass du eine Authenticator-App verwendest. Dazu wird ein QR-Code angezeigt, den du mit der App einscannst. Danach wirst du beim Login nach einem Zahlencode gefragt, den die App etwa jede Minute neu generiert.
FIDO U2F Sicherheitsschlüssel
Wenn ich das richtig verstanden habe, braucht man dafür einen speziellen USB-Stick, der dann als Schlüssel funktioniert.
Wiederherstellungscodes
Das Plugin generiert 10 Codes (Zahlenfolgen), die zum Einloggen eingegeben werden können. Jeder Code kann nur einmal verwendet werden. Das ist auch sehr praktisch, wenn du deine Authenticator App auf einem Smartphone installiert hast und dieses kaputt geht (und du es als primären zweiten Faktor festgelegt hast). Dann kannst du dich immer noch in dein WordPress einloggen.
Sicher ist sicher
So gesichert sollte ein unbefugter Zugriff auf mein Blog unwahrscheinlicher werden. Dazu gehört natürlich auch ein gutes Passwort und die Pflege meiner WordPress-Installation. So sollten auch die Plugins auf dem neuesten Stand sein.
Nun hoffe ich das Beste.