WordPress “Two Factor Authentication” is a 3 in 1 Plugin

Kategorie: Internes

Tags: Internes / Ohne Plugin / Plugin / Sicherheit

Veröffentlicht am

Sicherheit und Bequemlichkeit passen oft nicht gut zusammen. Das Plugin Two Factor Authentication (von den Autoren von UpdraftPlus) ist da eine Ausnahme.

Dieser Beitrag konzentriert sich auf das Einloggen in die WordPress Installation. Nicht zu verwechseln mit dem Login beim Provider/Server/Datenbank.

“Two Factor Authentication” replaced “WPS Hide Login” and “Limit Login Attempts Reloaded”

Über das, an sich gute WPS Hide Login gab es in letzter Zeit Gerüchte (!) Ziel von Hackerangriffen zu sein. Außerdem braucht man das Plugin neben TFA nicht mehr.

Ebenso ausgedient hat auch Limit Login Attempts Reloaded.

Erster Erfahrungsbericht

Sehr beruhigend ist die folgende Tatsache. Ein zukünftiger Einbrecher mein Passwort und mein intelligentes Telefon gleichzeitig besitzen, um erfolgreich zu sein!

Falls eines von beiden verlorengeht braucht man einen Notfallplan.

Unbedingt benötigt wird eine Authentikations-App auf dem Handy. Die bekanntesten sind der Google Authenticator und der Microsoft Authenticator. Zweiteren hatte ich schon und funktioniert auch mit Nicht-Microsoft-Konten problemlos.

Etwas stressig verläuft die erste Paarung von PC und App. Dazu zeigen beide Seiten entweder einen Zahlencode oder einen QR-Code oder beides an. Diese haben aber nur eine Gültigkeit von einer Minute (TFA-App) bis 30 Sekunden (MS-Authentikator).

Screenshot WordPress Backend/TwoFactorAuthentication “1st Pairing”

Und man muss sich daran gewöhnen beim Einloggen immer das Handy parat zu haben.

WP Login ohne Plugin absichern

Die besten Möglichkeiten, die Login-Adresse (URI) ohne Plugin bombensicher zu machen, führen über die Datei .htaccess und/oder .htpasswd. Dafür ist aber einen FTP Zugang zum Server nötig. Außerdem gilt wie immer:

  • Vorher alles sichern!
  • Genau wissen, was man tut!
  • Notfallplan!

Noch mehr Tipps zum Thema Sicherheit findet ihr in meinem WordPress Sicherheit Check.

Liebe Grüße und Bleibts gsund!

    Die mobile Version verlassen