Doppelt gesichert: die Zwei-Faktor-Authentifizierung in WordPress

Mehr Sicherheit in der WordPress-Installation wünschen sich die meisten. Denn die Webseite dient als Aushängeschild und ist damit eine wichtige Möglichkeit, neue Kunden zu akquirieren. Ist diese aufgrund einer Sicherheitslücke nicht mehr erreichbar, bringt das Probleme mit sich. Das gilt vor allem für WordPress-Installationen, die dank WooCommerce auch als Onlineshop verwendet werden.

Eine Zwei-Faktor-Authentifizierung ist – wie der Name schon sagt – überall dort zu finden, wo der Benutzer nicht nur einen, sondern gleich zwei Faktoren verschiedener Art als Schutz verwendet. Ein klassisches Beispiel: die Geldabnahme beim Bankautomaten. Hier benötigt man nicht nur das Wissen der PIN, sondern auch noch die Bankkarte selbst. 

Nutzen wir die Zwei-Faktor-Authentifizierung bei WordPress, suchen wir ebenfalls nach einem zweiten Faktor zusätzlich zum Passwort. Der Vorteil ist klar: Sollte jemand die Zugangsdaten eurer WordPress-Installation erfahren, kann er sich damit alleine noch nicht anmelden. Erst benötigt er den zweiten Faktor!

Um die Zwei-Faktor-Authentifizierung einzurichten, verwenden wir das Plugin Google Authenticator. Ihr bringt die kostenfreie Erweiterung direkt in eure Installation, indem ihr euch unter WordPress einloggt und anschließend unter „Plugins“ nach der Erweiterung sucht. Installiert sie anschließend und denkt daran, sie nach der Installation auch zu aktivieren. 

Anschließend könnt ihr unter „Benutzer“ den Bereich "Dein Profil" auswählen und die Erweiterung für euren Account mit einem Haken bei "Aktivieren" einschalten.

Geht im nächsten Schritt dazu über, die dazugehörige App auf eurem Smartphone zu installieren – sie wird euch dabei helfen, den zweiten Faktor zu aktivieren. Android-User finden die App hier, iOS-Affine finden sie unter diesem Link.

Es kann allerdings auch Situationen geben, in denen eine Zwei-Faktor-Authentifizierung nicht sinnvoll ist: beispielsweise, wenn der Account von mehreren Personen genutzt wird. Da der zweite Faktor nur mit dem eingerichteten Smartphone erreichbar ist, wird ein Login somit schwer – helfen kann hier ein zweiter Account. Die Zwei-Faktor-Authentifizierung lässt sich nämlich für jedes Profil separat festlegen.

Sollte es dann doch mal vorkommen, dass sich jemand über euren Account einloggen muss, könnt ihr einfach den Code für den zweiten Faktor von eurem Smartphone senden. Aber Achtung: Die Zahlenfolge aktualisiert sich regelmäßig – seid daher flott und achtet darauf. Oder aber ihr aktiviert in euren Profileinstellungen den "Relaxed mode" – dieser lässt den Code nur noch jede vierte Minute statt jede Minute aktualisieren.

Die Zwei-Faktor-Authentifizierung ist eine hervorragende Möglichkeit, mehr Sicherheit in der Installation eurer Webseite zu erhalten. Schlecht konfiguriert kann sie aber auch zum Problem werden: Vergleichbar damit, dass ihr euren PIN vergesst oder eure Karte verlegt, führt beides dazu, dass ihr vorübergehend keinen Zugriff auf euer Konto habt. Prüft also, wie ihr vorgehen könnt, wenn euer zweiter Faktor – warum auch immer – nicht erreichbar ist... nur für den Fall der Fälle. ;)