Im Februar diesen Jahres habe ich eine Anleitung verfasst, wie man seinen Google Account in zwei Schritten sicher machen kann. Gleiches gibt es nun auch für WordPress Blogs.
In zwei Schritten zum sicheren WordPress Login
Dank des Google Authenticator WordPress Plugins, kann man seinen Blog nun ebenfalls mit der zweistufigen Bestätigung über Google absichern. In den folgenden Abschnitten findet Ihr die bebilderte Anleitung.
WordPress Login mit Google Authenticator Code
Gab es sonst im klassischen WordPress Login Fenster die zwei Felder des Benutzernamens und Passworts, hat sich somit noch ein drittes Feld hinzugesellt – das des Google Authenticator Codes. Hier ein Screenshot des WordPress Login Bereichs mit dem Google Authenticator Feld:
Nachdem das Plugin installiert wurde, muss es noch aktiviert werden. Hierzu im Dashboard auf Benutzer gehen, sein Profil auswählen und dann dort rechts neben anderem auf “Einstellungen zu Google Authenticator” gehen. Dort dann aktivieren, die Beschreibung eingeben (z.B. der Name des Blogs) und entweder den dort angegebenen Code in der App eingeben oder noch einfacher, den QR-Code scannen. Somit ist die App richtig eingestellt und es kann losgehen.
Dank dieser Absicherung kann sich nun keiner mehr – ohne das eigene Handy mit der Google Authenticator App – in dem WordPress Dashboard anmelden. Somit würde sogar das WordPress Limit Login Attempts Plugin überflüssig, welches ich momentan aber für den Anfang erst einmal parallel weiterlaufen lasse.
Google Authenticator App in Aktion
Nun muss man sich nur noch per Google Authenticator App den Code generieren lassen, anschließend im Loginbereich einpflegen und schon ist man in seinem abgesicherten WordPress Dashboard.
Momentan kenne ich für mich persönlich keine sicherere Variante für den WordPress Adminbereich und habe somit all meine Blogs mit dem Google Authenticator versehen. Wäre dies auch eine Variante für Euch oder wie sichert Ihr Eure Blogs ab?
(Alex)
Hallo Alex,
ich hatte mich letztens schon gewundert was dieses Feld da unter Login und Passwort zu suchen hat. Konnte mich aber trotzdem anmelden.
Da ich keinen Login für meinen Blog besitze, benötige ich so eine Lösung auch nicht. Würde ich WordPress oder etwas ähnliches einsetzen, dann würde ich wohl auch ein CMS/Blog System mit eine 2-Wege-Authentifizierung verwenden wollen.
Diese ganze Authenticator Sache ist ziemlich sicher – hat aber (meiner Meinung nach) einen gewaltigen Haken. Ohne das Gerät ist man aufgeschmissen. Mal abgesehen vom Verlust oder ähnlichem, wenn kein Netz vorhanden ist hat man ja schon Probleme.
Beispiel: Ich habe mein Google Konto ebenfalls so gesichert. Wenn ich mich von einem fremden Gerät einlogge, bekomme ich erst eine SMS mit einem Code. Coole Sache……. außer in der FH. Dort habe ich sehr schlechtes Netz und darf dann immer erst zum nächsten Fenster oder gar raus auf den Hof gehen.
Bin also nur Teilweise ein Fan davon.
Viele Grüße,
Timo
Das ist schon eine recht interessante Lösung. Aber für mich so noch etwas umständlich.
Deshalb habe ich meine wp-login.php-Datei etwas modifiziert. Das hat aber natürlich den Nachteil, dass ich bei Updates wieder “nacharbeiten” muss.
Hi Carsten, Timo und Stephan
– Carsten, ja das Feld ist neu. Bei mir auch als admin aktiviert, bei dir allerdings nicht. Hast du eine Google Authenticator ab, so dass ich es auch bei dir absichern kann, oder wie schaut’s aus?
Aufjedenfall ist die 2-Wege-Authentifizierung eine gute Sache. Egal auf auf dem Blog, beim Mailaccount oder Amazon und Co.
– Timo, schön dich mal wieder hier zu haben. Wie geht’s dir?
Deine Negativpunkte, was die Anmeldung angeht, kann ich nachvollziehen. Vor allem wenn du irgendwo bist, wie bei dir in der FH, wo man kein oder kaum Netz hat. Aber ich würde dennoch bei solchen Sachen den sicheren und nicht bequemeren Weg gehen! :)
– Stephan, darf man fragen wie du die wp-login Datei abgeändert hast, oder ist das ein gut behütetes Geheimnis? ;)
Euch allen einen angenehmen Dienstag!
@ Alex: Per Parameter-Übergabe (GET) an die Datei wp-login.php.
Letztendlich habe ich mir eine GET-Variable (wird über die URL mitgegeben, z. B.
http://www.xyz.de?myvar=meineZeichenkette) und einen zughörigen Wert ausgedacht. Ist diese spezielle Variable nicht gesetzt bzw. der zugehörige Wert falsch, wird der weitere Aufbau der Login-Seite mit exit() abgebrochen, d. h. die Seite ist dann leer.
Klingt nach einer interessanten Alternative, um seinen Blog noch besser abzusichern. Man kann den Admin-Bereich übrigens auch prima mittels .htaccess mit einem zusätzlichen Passwort absichern. Dann müsste ein Hacker schon beide Passwörter (sollten natürlich unterschiedliche sein^^) knacken. Wenn man diese dann noch in gewissen Abständen wechselt, ist das auch recht sicher. Aber deine Variante ist dann natürlich noch eine Spur sicherer… solange man sich mangels fehlendem Netz nicht selbst aussperrt :D
Hi Stephan und Sascha
– Stephan, danke dir für deine Anleitung.
– Sascha, was ich an der Variante genial finde – seitdem habe ich keine einzige Limit Login Attempt Warnung mehr. Damit kommen die Hacker wohl nicht klar! :D
Euch allen einen blogsicheren Dienstag!
Hört sich interessant an, werde ich gleich mal ausprobieren und hoffe, dass ich mich nicht wieder aus dem Blog aussperre ;-)
Werden die Accounts eigentlich in der App gespeichert, oder muss ich jetzt immer den Sicherheitsschlüssel eingeben? Also wenn ich mehrere Blogs absichere…
Hi Sven
Freut mich, dass dir die Idee gefällt.
Wenn du es installiert hast, gehe auf Benutzer, wähle dich aus und dann kommt rechts neben anderem “Einstellungen zu Google Authenticator”. Dort dann aktivieren im Profil, die Beschreibung eingeben (zB der Name des Blogs) und entweder den Code in der App eingeben oder noch einfacher, den QR-Code scannen. Dann hast du die App richtig eingestellt und es kann losgehen. Falls noch Fragen sein sollten, nur zu.
Muss den Artikel ebenfalls somit noch ein wenig aktualisieren und ausbauen. Danke für den Hinweis! :)
Angenehmen und sicheren Dienstag!
Was ich jetzt schon sagen kann, dass das Login Attamp-Plugin weiterhin aktiviert bleiben muss, weil die Server-Bot-Netze deinen Blog sonst so zuschießen mit Loginversuchen, dass der Server irgendwann in die Knie geht.
Hi Sven
Danke für den Hinweis.
Jedenfalls ist es schön ruuuhig geworden hier, seit dem Aktivieren des Plugins. Herrlich! :)
Angenehmen Dienstag!
Jo, auch von mir vielen Dank für den Tipp!
Ich habe das Plugin nun auch im Einsatz, nachdem einige Spackos seit kurzem den Login nicht mehr bloss mit „admin”, sondern mit meinem richtigen Benutzernamen versuchen.
Natürlich habe ich es dann auch gleich getestet, funktioniert prima. Der zweite Versuch ohne Code-Eingabe war auch erfolgreich – in dem Sinne, dass ich mich Dank Limit Login Attemps für die kommenden 7 Tage ausgesperrt habe. ^^
Hi Andreas,
nichts zu danken. Wobei ich dir auch erklären kann, wie es dazu kommen kann, dass man von außerhalb deinen richtigen Benutzernamen rausgefunden hat:
http://gesichtet.net/2012/12/gefahrenquelle-schliessen-wordpress-benutzername-fuer-jeden-einsehbar/
Gratulation, dass das Plugin nun bei dir funktioniert, auch wenn es leider so gut passt, dass du dich selbst ausgesperrt hast! :D
Angenehmen Wochenstart!
Bei meinem alten Theme (habe am WE schon wieder gewechselt ^^), war es über meinen Link sichtbar. Da konnte man sich die Versuche über ?author sogar sparen. Die .htaccess werde ich dennoch demnächst ändern.
Dir auch einen angenehmen Start in die neue Arbeitswoche. ;-)
Hi Andreas
Na du bist ja mal ein netter Kerl. Wieso über ?author gehen, wenn der gute Andreas den Leuten den Loginnamen auf dem Silbertablett serviert?! ;) Dir dann mal wieder ein gutes, neues Theme und viel Spaß am .htaccess rumbasteln.
Angenehmen Dienstag!
Wenn man sich so ausgesperrt hat, braucht man nur in die Datenbank gehen und dort im Plugin die erlaubten Zugriffe auf eine größere Zahl setzen. Die Datenbank ist übrigens auch die einzige Möglichkeit, um Usernamen zu ändern!
Hallo Heinrich
Herzlich Willkommen auf offenesblog.de!
Wenn man sich mit der Datenbank auskennt und sich dies zutraut, ist auch das sicherlich eine Möglichkeit, ja! ;)
Angenehmen Mittwoch!
Normalerweise gibt es bei den Providern doch einen Web-Zugang zur Datenbank, etwa phpMyAdmin …
Heinrich, so ist es. Und auch ich benutze phpMyAdmin, aber es gibt eben immer wieder Laien unter uns, die zwar einen Blog betreiben, nicht aber wissen, wie das “dahinter” abläuft. ;)