WordPress Login mit Google Authenticator Plugin sicher machen

Im Februar diesen Jahres habe ich eine Anleitung verfasst, wie man seinen Google Account in zwei Schritten sicher machen kann. Gleiches gibt es nun auch für WordPress Blogs.

In zwei Schritten zum sicheren WordPress Login
Dank des Google Authenticator WordPress Plugins, kann man seinen Blog nun ebenfalls mit der zweistufigen Bestätigung über Google absichern. In den folgenden Abschnitten findet Ihr die bebilderte Anleitung.

WordPress Login mit Google Authenticator Code
Gab es sonst im klassischen WordPress Login Fenster die zwei Felder des Benutzernamens und Passworts, hat sich somit noch ein drittes Feld hinzugesellt – das des Google Authenticator Codes. Hier ein Screenshot des WordPress Login Bereichs mit dem Google Authenticator Feld:

Google Authenticator WordPress Code

Nachdem das Plugin installiert wurde, muss es noch aktiviert werden. Hierzu im Dashboard auf Benutzer gehen, sein Profil auswählen und dann dort rechts neben anderem auf “Einstellungen zu Google Authenticator” gehen. Dort dann aktivieren, die Beschreibung eingeben (z.B. der Name des Blogs) und entweder den dort angegebenen Code in der App eingeben oder noch einfacher, den QR-Code scannen. Somit ist die App richtig eingestellt und es kann losgehen.

Dank dieser Absicherung kann sich nun keiner mehr – ohne das eigene Handy mit der Google Authenticator App – in dem WordPress Dashboard anmelden. Somit würde sogar das WordPress Limit Login Attempts Plugin überflüssig, welches ich momentan aber für den Anfang erst einmal parallel weiterlaufen lasse.

Google Authenticator App in Aktion
Nun muss man sich nur noch per Google Authenticator App den Code generieren lassen, anschließend im Loginbereich einpflegen und schon ist man in seinem abgesicherten WordPress Dashboard.

Google Authenticator App

Momentan kenne ich für mich persönlich keine sicherere Variante für den WordPress Adminbereich und habe somit all meine Blogs mit dem Google Authenticator versehen. Wäre dies auch eine Variante für Euch oder wie sichert Ihr Eure Blogs ab?

(Alex)

20 Comments

  1. Carsten said:

    Hallo Alex,

    ich hatte mich letztens schon gewundert was dieses Feld da unter Login und Passwort zu suchen hat. Konnte mich aber trotzdem anmelden.

    Da ich keinen Login für meinen Blog besitze, benötige ich so eine Lösung auch nicht. Würde ich WordPress oder etwas ähnliches einsetzen, dann würde ich wohl auch ein CMS/Blog System mit eine 2-Wege-Authentifizierung verwenden wollen.

    10. Juni 2013
  2. Timotime said:

    Diese ganze Authenticator Sache ist ziemlich sicher – hat aber (meiner Meinung nach) einen gewaltigen Haken. Ohne das Gerät ist man aufgeschmissen. Mal abgesehen vom Verlust oder ähnlichem, wenn kein Netz vorhanden ist hat man ja schon Probleme.

    Beispiel: Ich habe mein Google Konto ebenfalls so gesichert. Wenn ich mich von einem fremden Gerät einlogge, bekomme ich erst eine SMS mit einem Code. Coole Sache……. außer in der FH. Dort habe ich sehr schlechtes Netz und darf dann immer erst zum nächsten Fenster oder gar raus auf den Hof gehen.

    Bin also nur Teilweise ein Fan davon.

    Viele Grüße,

    Timo

    10. Juni 2013
  3. Stephan said:

    Das ist schon eine recht interessante Lösung. Aber für mich so noch etwas umständlich.
    Deshalb habe ich meine wp-login.php-Datei etwas modifiziert. Das hat aber natürlich den Nachteil, dass ich bei Updates wieder “nacharbeiten” muss.

    11. Juni 2013
  4. Alex said:

    Hi Carsten, Timo und Stephan

    – Carsten, ja das Feld ist neu. Bei mir auch als admin aktiviert, bei dir allerdings nicht. Hast du eine Google Authenticator ab, so dass ich es auch bei dir absichern kann, oder wie schaut’s aus?
    Aufjedenfall ist die 2-Wege-Authentifizierung eine gute Sache. Egal auf auf dem Blog, beim Mailaccount oder Amazon und Co.

    – Timo, schön dich mal wieder hier zu haben. Wie geht’s dir?
    Deine Negativpunkte, was die Anmeldung angeht, kann ich nachvollziehen. Vor allem wenn du irgendwo bist, wie bei dir in der FH, wo man kein oder kaum Netz hat. Aber ich würde dennoch bei solchen Sachen den sicheren und nicht bequemeren Weg gehen! :)

    – Stephan, darf man fragen wie du die wp-login Datei abgeändert hast, oder ist das ein gut behütetes Geheimnis? ;)

    Euch allen einen angenehmen Dienstag!

    11. Juni 2013
  5. Stephan said:

    @ Alex: Per Parameter-Übergabe (GET) an die Datei wp-login.php.
    Letztendlich habe ich mir eine GET-Variable (wird über die URL mitgegeben, z. B.
    http://www.xyz.de?myvar=meineZeichenkette) und einen zughörigen Wert ausgedacht. Ist diese spezielle Variable nicht gesetzt bzw. der zugehörige Wert falsch, wird der weitere Aufbau der Login-Seite mit exit() abgebrochen, d. h. die Seite ist dann leer.

    11. Juni 2013
  6. Sascha said:

    Klingt nach einer interessanten Alternative, um seinen Blog noch besser abzusichern. Man kann den Admin-Bereich übrigens auch prima mittels .htaccess mit einem zusätzlichen Passwort absichern. Dann müsste ein Hacker schon beide Passwörter (sollten natürlich unterschiedliche sein^^) knacken. Wenn man diese dann noch in gewissen Abständen wechselt, ist das auch recht sicher. Aber deine Variante ist dann natürlich noch eine Spur sicherer… solange man sich mangels fehlendem Netz nicht selbst aussperrt :D

    15. Juni 2013
  7. Alex said:

    Hi Stephan und Sascha

    – Stephan, danke dir für deine Anleitung.

    – Sascha, was ich an der Variante genial finde – seitdem habe ich keine einzige Limit Login Attempt Warnung mehr. Damit kommen die Hacker wohl nicht klar! :D

    Euch allen einen blogsicheren Dienstag!

    18. Juni 2013
  8. Sven said:

    Hört sich interessant an, werde ich gleich mal ausprobieren und hoffe, dass ich mich nicht wieder aus dem Blog aussperre ;-)

    21. Juni 2013
  9. Sven said:

    Werden die Accounts eigentlich in der App gespeichert, oder muss ich jetzt immer den Sicherheitsschlüssel eingeben? Also wenn ich mehrere Blogs absichere…

    21. Juni 2013
  10. Alex said:

    Hi Sven

    Freut mich, dass dir die Idee gefällt.
    Wenn du es installiert hast, gehe auf Benutzer, wähle dich aus und dann kommt rechts neben anderem “Einstellungen zu Google Authenticator”. Dort dann aktivieren im Profil, die Beschreibung eingeben (zB der Name des Blogs) und entweder den Code in der App eingeben oder noch einfacher, den QR-Code scannen. Dann hast du die App richtig eingestellt und es kann losgehen. Falls noch Fragen sein sollten, nur zu.
    Muss den Artikel ebenfalls somit noch ein wenig aktualisieren und ausbauen. Danke für den Hinweis! :)

    Angenehmen und sicheren Dienstag!

    25. Juni 2013
  11. Sven said:

    Was ich jetzt schon sagen kann, dass das Login Attamp-Plugin weiterhin aktiviert bleiben muss, weil die Server-Bot-Netze deinen Blog sonst so zuschießen mit Loginversuchen, dass der Server irgendwann in die Knie geht.

    27. Juni 2013
  12. Alex said:

    Hi Sven

    Danke für den Hinweis.
    Jedenfalls ist es schön ruuuhig geworden hier, seit dem Aktivieren des Plugins. Herrlich! :)

    Angenehmen Dienstag!

    2. Juli 2013
  13. Andreas said:

    Jo, auch von mir vielen Dank für den Tipp!
    Ich habe das Plugin nun auch im Einsatz, nachdem einige Spackos seit kurzem den Login nicht mehr bloss mit „admin”, sondern mit meinem richtigen Benutzernamen versuchen.

    Natürlich habe ich es dann auch gleich getestet, funktioniert prima. Der zweite Versuch ohne Code-Eingabe war auch erfolgreich – in dem Sinne, dass ich mich Dank Limit Login Attemps für die kommenden 7 Tage ausgesperrt habe. ^^

    7. Juli 2013
  14. Andreas said:

    Bei meinem alten Theme (habe am WE schon wieder gewechselt ^^), war es über meinen Link sichtbar. Da konnte man sich die Versuche über ?author sogar sparen. Die .htaccess werde ich dennoch demnächst ändern.

    Dir auch einen angenehmen Start in die neue Arbeitswoche. ;-)

    8. Juli 2013
  15. Alex said:

    Hi Andreas

    Na du bist ja mal ein netter Kerl. Wieso über ?author gehen, wenn der gute Andreas den Leuten den Loginnamen auf dem Silbertablett serviert?! ;) Dir dann mal wieder ein gutes, neues Theme und viel Spaß am .htaccess rumbasteln.

    Angenehmen Dienstag!

    9. Juli 2013
  16. Heinrich said:

    Wenn man sich so ausgesperrt hat, braucht man nur in die Datenbank gehen und dort im Plugin die erlaubten Zugriffe auf eine größere Zahl setzen. Die Datenbank ist übrigens auch die einzige Möglichkeit, um Usernamen zu ändern!

    26. Juli 2013
  17. Alex said:

    Hallo Heinrich

    Herzlich Willkommen auf offenesblog.de!
    Wenn man sich mit der Datenbank auskennt und sich dies zutraut, ist auch das sicherlich eine Möglichkeit, ja! ;)

    Angenehmen Mittwoch!

    31. Juli 2013
  18. Heinrich said:

    Normalerweise gibt es bei den Providern doch einen Web-Zugang zur Datenbank, etwa phpMyAdmin …

    31. Juli 2013
  19. Alex said:

    Heinrich, so ist es. Und auch ich benutze phpMyAdmin, aber es gibt eben immer wieder Laien unter uns, die zwar einen Blog betreiben, nicht aber wissen, wie das “dahinter” abläuft. ;)

    6. August 2013

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert