2-Faktor-Authentifizierung für WordPress

Zwei-Faktor-Authentifizierung (2FA) ist eine hervorragende Methode, um die Sicherheit im Internet deutlich zu erhöhen.
Dabei wird das herkömmliche Passwort ergänzt um einen zweiten Faktor, der auf dem Wissen oder einem biometrischen Merkmal des Nutzers basiert. Ein biometrisches Merkmal könnte der Fingerabdruck am Smartphone oder z.B. FaceID am iPhone sein. Zur Kategorie Wissen zählt z.B. eine mit einem TAN-Generator erzeugte TAN beim Online-Banking – eben eine Information (die TAN), die nur der Nutzer in diesem Moment wissen kann.

Als erstes sollten die besonders sensiblen Dienste wie z.B. die E-Mail-Adresse oder der PayPal-Account abgesichert werden.
Aber auch bei WordPress ist eine Legitimation mit einem zweiten Faktor sehr empfehlenswert.
Die Administrationsoberfläche WP-Admin ist sehr häufig Ziel von automatisierten Angriffen, um den WordPress-Account zu übernehmen und zum Beispiel für Spam zu missbrauchen.
Auf einer völlig neu eingerichteten WordPress-Seite habe ich z.B. kürzlich bereits am ersten Tag 196 Login-Versuche gezählt – die meisten mit dem Benutzer „Admin“, den man ohnehin aus diesem Grund vermeiden sollte.

WordPress bringt von Haus aus keine Möglichkeit mit, eine Zwei-Faktor-Authentifizierung einzurichten. Wie so oft füllen hier Plugins die Lücke.
Ich arbeite sehr gerne mit dem kostenlosen Plugin Two-Factor.

In Two-Factor unterstützte Methoden

Two-Factor unterstützt folgende zweite Faktoren:

• Zweiter Faktor, den man per E-Mail erhält
• Zeitbasierte Einmal-Passwörter (TOTP)
• FIDO Universal 2. Faktor (U2F)
• Backup-Codes

Ich setze als primäre Methode das zeitbasierte Einmal-Passwort ein. Hierfür benötigt man eine App auf dem Smartphone wie den Google-Authentificator oder den Microsoft-Authentificator (das Plugin nennt nur Google, ich nutze den Microsoft-Authentificator aber problemlos).
Unterstützt werden auch FIDO2-Sticks, wenn auch nur als zweiter Faktor.

Zur Einrichtung geht man in WP-Admin in die Benutzerverwaltung und stellt dort beim gewünschten Benutzer einen primären sowie wenn gewünscht weitere Methoden ein.
Ein Manko ist, dass ein WP-Admin-Benutzer, der keine Administrator-Rechte hat, die Einstellung nicht selbst vornehmen kann. Wenn dieser Benutzer also räumlich getrennt vom Administrator ist, muss der QR-Code diesem Benutzer auf einem sicheren Kanal (also nicht per E-Mail) zugeschickt werden. Ich verwende hierfür den Messenger Signal. Aber auch Whats-App verschlüsselt ja (angeblich) die Kommunikation, so sollte auch diese Lösung hinlänglich sicher sein.

Nutzt Ihr selbst 2FA für Eure WordPress-Seiten und habt Erfahrungsberichte?
Oder wollt Ihr 2FA einsetzen und habt noch Fragen?
Dann freue ich mich über Nachrichten im Kommentarbereit.

Bild von Clker-Free-Vector-Images auf Pixabay