Wir nehmen die Sicherheit hier bei Kinsta sehr ernst und bieten deshalb eine Zwei-Faktor-Authentifizierung für alle unsere WordPress-Hosting-Kunden an. Nichts könnte schlimmer sein, als wenn jemand den Zugang zu all deinen Webseiten erhalten würde! Diese Funktion steht in unserem MyKinsta-Dashboard zur Verfügung, und wir empfehlen jedem, sie zu nutzen. Heute werden wir uns mit der Frage befassen, warum die Zwei-Faktor-Authentifizierung in WordPress wichtig ist, wie unsere 2FA-Funktion funktioniert und eine großartige, kostenlose Möglichkeit, die Zwei-Faktor-Authentifizierung für deine WordPress-Seite selbst einzurichten.

Warum Zwei-Faktor-Authentifizierung wichtig ist

Wenn man sich die Top-CMS-Plattformen wie Joomla!, Drupal und Magento anschaut, ist WordPress mit über 62.5% Markanteil führend. Aufgrund seiner Popularität wird es auch mehr als die anderen Plattformen attackiert. Man kann nicht wirklich sagen, dass die eine Plattform sicherer ist als die andere. Vor allem wegen der Menge der Webseiten, die es gibt, werden mehr Angriffe durchgeführt.

Ein weiterer Grund sind unqualifizierte Webseiten-Betreiber. WordPress war schon immer großartig, weil fast jeder es benutzen kann, aber das bedeutet auch, dass es viele Anfänger gibt, die höchstwahrscheinlich Hintertüren weit offen lassen, indem sie keine Patches installieren oder Dinge nicht mit den richtigen Berechtigungen sperren, usw.

WordFence befragte 2016 eine große Anzahl von Betreibern von WordPress-Seiten und bat sie, die folgende Frage zu beantworten: „Wenn du weisst, wie deine Webseite gefährdet wurde, beschreibe bitte, wie die Angreifer Zugang erhalten haben. 61,5% antworteten, dass sie nicht wüssten, wie der Angreifer ihre Webseite angegriffen haben.

Sie führten auch eine weitere Umfrage durch, um herauszufinden, was Angreifer mit kompromittierten WordPress-Seiten machen. Wie man sehen kann, werden in der Regel 25 % offline genommen oder verunstaltet. Dies ist wahrscheinlich eines der schlimmsten Dinge, die passieren können, wenn man ein WordPress-Shop betreibt. Deshalb sollte man Sicherheitsmaßnahmen zuerst implementieren, nicht erst danach.

Was WordPress-Angreifer tun
Was WordPress-Angreifer tun

Es gibt viele Möglichkeiten, wie man eine WordPress-Seite sperren kann. Ein einfacher Tweak ist die Änderung deiner WordPress-Anmelde-URL. Dadurch wird die Anzahl der fehlgeschlagenen Anmeldeversuche auf deiner WordPress-Seite durch Bots und Skripte, die ständig das Web nach einem Weg in das Internet durchsuchen, sofort reduziert. Aber eines der wichtigsten Dinge ist, einfach ein komplexes Passwort zu wählen.

Klingt ziemlich einfach, oder? Nun, schaue dir die jährliche Liste 2018 von SplashData mit den beliebtesten Passwörtern, die im Laufe des Jahres gehackt wurden, an (in der Reihenfolge ihrer Beliebtheit).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Das ist richtig! Das beliebteste Passwort ist „123456“, gefolgt von einem erstaunlichen „password“. Das ist ein Grund, warum wir bei Kinsta bei neuen WordPress-Installationen tatsächlich ein komplexes Passwort für deine wp-admin-Anmeldung erzwingen (wie unten bei unserem Ein-Klick-Installationsprozess zu sehen ist).

Sichere Passwort-Generierung erzwingen
Sichere Passwort-Generierung erzwingen

Sicherheit beginnt bei den Grundlagen. Google hat einige gute Empfehlungen zur Wahl eines starken Passworts. Und eine ihrer Empfehlungen ist die Aktivierung der Zwei-Faktor-Authentifizierung.

Die Zwei-Faktor-Authentifizierung umfasst einen zweistufigen Prozess, bei dem man nicht nur das Passwort zur Anmeldung benötigt, sondern auch eine zweite Methode. Im Allgemeinen handelt es sich dabei um ein Text- (SMS), Telefonanruf- oder zeitbasiertes Einmalpasswort (TOTP). In den meisten Fällen ist dies zu 100% effektiv, um Brute-Force-Angriffe auf deiner WordPress-Seite zu verhindern. Warum? Weil es fast unmöglich ist, dass der Angreifer sowohl dein Passwort als auch dein Mobiltelefon hat.

Lese weiter unten, wie du die Zwei-Faktor-Authentifizierung von kannst.

Kinsta-Zwei-Faktor-Authentifizierung

Hier bei Kinsta nehmen wir die Sicherheit der Benutzer sehr ernst. Um unseren Kunden zu helfen, ihre MyKinsta-Accounts und WordPress Webseiten zu schützen, bieten wir einen Authenticator-basierten 2FA-Support an.

Im Vergleich zur traditionellen SMS-basierten 2FA-Methode, bei der die Login-Codes per SMS verschickt werden, verwendet unsere Authenticator-basierte Methode dynamisch generierte Codes in Google Authenticator, 1Password und anderen 2FA-Anwendungen. Das bedeutet, dass deine 2FA-Konfiguration gegen grundlegende Sicherheitsangriffe wie SIM-Swapping geschützt ist.

Wir empfehlen, 2FA für alle deine Internetdienste zu aktivieren, die es unterstützen. Um die Zwei-Faktor-Authentifizierung in MyKinsta zu aktivieren, schau dir unseren Knowledgebase-Artikel an.

Aktiviere die WordPress Zwei-Faktor-Authentifizierung

Jetzt, wo dein Kinsta-Dashboard gesichert ist, kannst du auch die Zwei-Faktor-Authentifizierung von WordPress auf deiner Webseite aktivieren. Wir empfehlen eines der beiden folgenden Plugins.

Zwei-Faktor-Authentifizierung

Das Two Factor Authentication WordPress-Plugin wurde von denselben Autoren wie das beliebte Backup-Plugin UpdraftPlus entwickelt. Es unterstützt die Standardprotokolle TOTP + HOTP (Google Authenticator, Authy und viele andere). Es gibt sowohl eine kostenlose als auch eine Premium-Version.

WordPress-Plugin für Zwei-Faktor-Authentifizierung
WordPress-Plugin für Zwei-Faktor-Authentifizierung

Es hat derzeit über 10.000 aktive Installationen mit einer Bewertung von 4,5 von 5 Sternen und weist die folgenden Merkmale auf:

  • Grafische QR-Codes für einfaches mobiles Scannen
  • Enthält Unterstützung für die Anmeldeformulare von WooCommerce und Affiliates-WP
  • WordPress Multisite-kompatibel (Plugin sollte im Netzwerk aktiviert sein)
  • Notfallcodes und Premium-Design-Layouts (Premium-Version)

Google-Authentifizierer

Wenn du nach einer völlig kostenlosen Lösung suchst, funktioniert das Google Authenticator WordPress-Plugin hervorragend. Hinweis: Das bedeutet jedoch, dass du dich in zwei verschiedenen Anwendungen bewegen wirst. Du kannst bestimmen, welche für deine Umgebung die effektivste Zeit ist. Wenn du bei einer Anwendung bleiben möchtest, könnte ein Upgrade auf den Starterplan der Anwendung der richtige Weg sein. In diesem Beispiel verwenden wir den kostenlosen Google Authenticator.

Das Google Authenticator-Plugin hat über 30.000 aktive Installationen mit einer Bewertung von 4,5 von 5 Sternen. Es ist völlig kostenlos und lässt sich für eine unbegrenzte Anzahl von Nutzern einrichten. Bei den meisten anderen Auth-Plugins auf dem Markt wirst du feststellen, dass sie Einschränkungen haben, es sei denn, du machst ein Upgrade auf einen kostenpflichtigen Plan. Du kannst das Google Authenticator-Plugin aus dem WordPress-Repository herunterladen oder indem du in deinem WordPress-Dashboard unter „Add New“ Plugins danach suchst.

Nach der Installation des Plug-Ins kann man auf sein Benutzerprofil klicken, es als aktiv markieren und einen neuen geheimen Schlüssel erstellen oder den QR-Code scannen.

Google Authenticator-Einstellungen
Google Authenticator-Einstellungen

Du kannst dann eine der kostenlosen Authenticator Apps auf deinem Telefon verwenden:

Nachdem du dies aktiviert hast, wird nun dein normales Passwort zum Einloggen sowie der Code aus der Google Authenticator-App auf deinem Telefon benötigt. Es gibt ein zusätzliches Feld, das nun auf deiner WordPress-Anmeldeseite erscheint. Außerdem ist dieses Plugin vollständig kompatibel mit dem Plugin, das wir früher empfohlen haben, um deine WordPress-Anmelde-URL zu ändern.

Anmeldung für Google Authenticator WordPress
Anmeldung für Google Authenticator WordPress

Und das war’s! Du hast jetzt eine Zwei-Faktor-Authentifizierung auf deinem Kinsta-Konto und auf deiner WordPress-Webseite.

Zusammenfassung

Wir freuen uns, den Kunden von Kinsta eine Zwei-Faktor-Authentifizierung anbieten zu können, da dies eines unserer am häufigsten nachgefragten Merkmale ist. Die Sicherung deiner WordPress-Webseiten wurde gerade ein wenig einfacher! Schaue dir unbedingt unseren fortgeschrittenen Leitfaden zur Sicherheit von WordPress an, um zu sehen, wie du deine Webseite wirklich absichern kannst.

Hast du Fragen dazu, wie die Zwei-Faktor-Authentifizierung von WordPress funktioniert? Fühl dich frei, uns unten einen Kommentar zu hinterlassen oder ein Support-Ticket von deinem MyKinsta-Dashboard aus zu öffnen.

QR Code ist eine eingetragene Marke von DENSO WAVE INCORPORATED in den Vereinigten Staaten und anderen Ländern.

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.