IT-Sicherheit in der Schweiz ist aktuell ein grosses Thema in den Medien. Dazu passt der jährliche Welt-Passwort-Tag, der eben im Mai stattfand. Es ist ein Aktionstag, der alle darauf aufmerksam machen soll, wie wichtig es ist, sichere Passwörter zu nutzen, wenn man sich im Netz bewegt.
Doch war da nicht was mit Passwörtern? Sind die nicht schon überholt? Der deutschsprachige Google Blog «The Keyword Deutschland» schreibt in einem Beitrag mit dem Titel «Welt-Passwort-Tag: Der Anfang vom Ende des Passworts»:
Wir haben mit dem Rollout der Passkeys begonnen. Passkeys sind die einfachste und sicherste Art, sich bei Apps und Websites anzumelden, und ein wichtiger Schritt in Richtung einer „passwortlosen Zukunft”.
Weiter unten schreibt Google: «Sie werden als zusätzliche Option dienen, mit der man sich neben Passwörtern, 2-Step Verification (2SV) usw. anmelden kann.»
2SV ist ein Begriff, den wir landläufig (vor allem in den Medien) als «2FA», also «Two Factor Authorisation» oder Zwei-Faktor-Authentisierung kennen (zur Übersicht: https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung).
Der Tagesanzeiger erklärte im April, wie das alles funktioniert: «Tipps zur erfolgreichen Zwei-Faktor-Authentifizierung»
2FA ist jedoch nicht frei von Risiken. Die IT-Sicherheitsspezialistin allgeier Secion in Hamburg schreibt unter dem Titel «Wie Hacker die Multi-Faktor-Authentifizierung aushebeln – und wie Unternehmen und Organisationen aufrüsten können»:
Eines ist sicher: Die Multi-Faktor-Authentifizierung als alleinige Stütze zur Absicherung von Zugängen vertrauliche Daten reicht nicht aus. Es existieren aktuell zu viele “Einfallstore”, die durch Cyberkriminelle ausgenutzt werden.
Wir werden am Ende dieses Berichts auf das Thema Passkeys und WordPress-Login zu sprechen kommen. Nur so viel: im Augenblick, so scheint es, ist das nur mit Hardware möglich oder über einen Passwortmanager, aber auch hier ist der Weg nicht einfach, trotz den Ausführungen von heise.de. Das Thema hat die WordPress-Community noch nicht wirklich erreicht.
Dafür kommt langsam die Zwei-Faktor-Authentisierung ins Rollen. Die steigenden Zahlen der aktiven Installationen von 2FA-Plugins zeigen das klar.
Zwei-Faktor-Authentisierung für Website-Login – Wir stellen ein paar WordPress-Lösungen vor
Wir beginnen mit einem 2FA-Plugin, das 40’000+ aktive Installationen aufweist. Es wird regelmässig aktualisiert, was für uns ein wichtiges Kriterium für ein gut betreutes Open-Source-Plugin ist.
WP 2FA – Two-factor authentication for WordPress
Plugin-Seite auf wordpress.org: https://de-ch.wordpress.org/plugins/wp-2fa/.
Nach der Installation und Aktivierung des Plugins erscheint links in der Admin-Leiste ein neuer Eintrag unterhalb von Einstellungen: WP 2FA. Im Bild unten der obere Teil der Settings-Seite:
Es steht auch ein Einrichtungsassistenz zur Verfügung, aber die Möglichkeiten sind wirklich leicht verständlich erklärt:
Wir wollen bewusst eine 2FA-App benützen, deshalb klicken wir nur das erste Kontrollkästchen bei Primary 2FA methods. Dazu wählen wir noch Backup codes. Falls was schief gehen sollte, haben wir Codes, um einzuloggen.
Das Bild oben zeigt, was unsere Absicht ist: wir wollen die Sicherheit des Admin-Konto verstärken, weil über dessen Zugriff können z.B. Themes und Plugins mit Schadsoftware installiert oder direkt an Dateien Änderungen vorgenommen werden, sofern das nicht mit Sicherheitsmassnahmen bereits blockiert ist.
Und die letzte Einstellung, die wir vornehmen: Admins sollen ab sofort nur noch mittels 2FA Zugang haben.
Einrichtung der Authenticator-App: Google Authenticator
Es spielt keine Rolle, ob du die Android-App Google Authenticator, diejenige von Microsoft oder für iOS-Geräte Apples Authenticator App benützt. Alle erfüllen die gleiche Funktion.
WICHTIG! Vor dem Speichern der Einstellungen eine der oben erwähnten Apps auf einem verfügbaren Android-Gerät oder iOS-Gerät installieren und testen, ob die App funktioniert.
Denn sobald die Einstellungen oben gespeichert sind und wir uns im Admin-Bereich bewegen wollen, erscheint der Popup unten:
Leider erlaubt die Google Authenticator-App aus Sicherheitsgründen nicht, dass man ein Bildschirmfoto machen kann, deshalb hier die Schritte in Worten:
Die App starten, unten rechts das Plus für Hinzufügen klicken. Anschliessend die Option Scan a QR Code (QR-Code einscannen) auswählen. Im offenen Kamerafenster den QR-Code im Popup (Beispiel siehe oben) einscannen.
Ein neuer Popup erscheint im WordPress-Adminfenster. Dort den Code aus dem Authenticator eingeben:
Als letzten Schritt noch die Backup Codes erstellen lassen. Die können entweder in die Zwischenablage kopiert oder auch ausgedruckt werden:
Aus dem Admin ausloggen und die übliche Login-Adresse websitename.ch/wp-admin/ aufrufen, die Login-Infos eingeben und Anmelden klicken:
Jetzt kurz in den Authenticator schauen und die richtige sechsstellige Zahl (falls es mehrere Verknüpfungen im Authenticator gibt) eingeben. Im Google Authenticator ist eine Zahl jeweils 30 Sekunden gültig.
Sollte etwas schief gehen, stehen jetzt die Backup Codes zur Verfügung. Ansonsten ist man nach Drücken des Log In-Buttons wie ganz normal im WordPress-Adminbereich eingeloggt.
Noch eine Anmerkung: in der kostenlosen Version gibt es keinen gezielten WooCommerce-Shop-Login über deren Frontend-Login-Seiten. Das wäre nur ein Problem, falls Kunden 2FA-Login machen sollten. Wir kennen keinen Shop, der so etwas von den Kundinnen fordert. Als Admin kann man selbstverständlich immer in den Admin-Bereich einloggen, egal ob WooCommerce läuft oder nicht.
Alternativ-Plugin 1: Zusatzplugin zu WordFence – Wordfence Login Security
Plugin-Seite auf wordpress.org: https://de-ch.wordpress.org/plugins/wordfence-login-security/. Aktive Installationen: 50’000+.
Das Plugin ist ein Zusatzplugin zu Wordfence Security – Firewall, Malware Scan, and Login Security, einem der populärsten WordPress-Plugins überhaupt mit über 4 Millionen aktiven Installationen.
WordFence Security oder einfach WordFence wird jedoch nicht benötigt, um das Plugin oben benützen zu können. Die Einstellungen sind vergleichbar zu WP 2FA oben.
Wer WooCommerce-Nutzern 2FA bieten möchte, kann das mit diesem Plugin tun. Gemäss Beschreibung kann man direkt über das Frontend ins Kundenkonto einloggen.
Alternativ-Plugin 2: miniOrange’s Google Authenticator – WordPress Two Factor Authentication – 2FA , Two Factor, OTP SMS and Email | Passwordless login
Plugin-Seite auf wordpress.org: https://de-ch.wordpress.org/plugins/miniorange-2-factor-authentication/. Aktive Installationen: 20’000+.
Das ist ein mächtiges Plugin, da es auch passwortlosen Login ermöglicht. Leider ist das Konfigurieren aller möglichen Einstellungen recht komplex. Auch ist das Basic-2FA auf drei Nutzer in der kostenlosen Version des Plugins limitiert. Wer auf all die anderen Features zugreifen will und mehr Nutzer in die Logins einbeziehen will, muss auf einen kostenpflichtigen Plan umsteigen.
Noch ein weiteres 2FA-Plugin: Two Factor Authentication
Plugin-Seite auf wordpress.org: https://de-ch.wordpress.org/plugins/two-factor-authentication/. Aktive Installationen: 20’000+.
Die Autoren von UpdraftPlus, ein populäres Backup-Plugin für WordPress, bieten dieses Plugin an. Wir haben es nicht getestet, aber es scheint wie die Plugins oben zu funktionieren. Es gibt auch eine Premium-Version.
Zum Schluss: WordPress-Login mit Passkeys
Im Augenblick (soweit wir das überblicken können) gibt es nur ein Plugin im offiziellen WordPress-Plugin-Directory, das mit FIDO2, dem Standard, der die Passwörter komplett abschaffen will, arbeitet. Es heisst: WP-WebAuthn. Aktuell gibt es 800+ aktive Installationen. Die letzte Pluginaktualisierung liegt ein Jahr zurück.
Wir haben versucht es zum Laufen zu bringen, und konstatieren, dass das Scheitern sicher nicht am Plugin lag. Schlussendlich lag es daran, dass Windows 11 – wo der Browser installiert war, der in die Website einloggen sollte – darauf bestand, dass ein Sicherheitskey in der Form eines USB-Sticks in einen USB-Port eingesetzt werden sollte. Windows Hello, eine Login-Möglichkeit von Microsoft, scheiterte daran, dass die passende Hardware auf dem Laptop fehlte und wir nicht die Passwort-Option einrichten wollten.
Was funktionieren sollte, wir jedoch noch nicht getestet haben, wäre zuerst ein WebAuthn Authenticator im WordPress-Admin beim betreffenden Nutzer über Android einrichten. Man müsste also zuerst im Android-Webbrowser auf die Site einloggen, das Plugin aktivieren und den betreffenden Nutzer anpassen, bzw. den WebAuthn Authenticator verifizieren lassen. Andere Plattformen, z.B. iOS, sollten ähnlich funktionieren.
Unser Fazit nach einer ersten Evaluation dieses Plugins: Passkeys sind möglich für Website-Login, aber es benötigt die richtige Prozedur auf der jeweils gewählten Plattform, auch mittels Verwendung eines Security-Keys als USB-Stick.
Passkeys bleiben noch etwas Zukunftsmusik. Ein erster Schritt und wichtiger Schritt, das Admin-Konto einer WordPress-Site besser zu schützen, wäre sich für 2FA zu entscheiden. Dieser Bericht zeigt, wie einfach das geht.
Hat dir der Beitrag gefallen?
Verwandte Beiträge
Das Beitragsbild (wie für alle Beiträge 2023) wurde von KI erstellt.
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «painting about image format in the style of vincent van gogh
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «an impressionsist oil painting in the style of henri matisse about privacy».