Security Blog
Security Blog

Zwei-Faktor-Authentifizierung für WordPress

So sichern Sie Benutzerkonten und verhindern die Übernahme von Konten mit der Zwei-Faktor-Authentifizierung


English version: Two-Factor Authentication for WordPress


Die Zwei-Faktor-Authentifizierung ( 2FA) bietet zusätzliche Sicherheit und erfordert einen zweiten Identifikationsfaktor über Benutzername und Passwort hinaus. Zwei-Faktor-Authentifizierung wird seit langem eingesetzt, um den Zugriff auf persönliche und finanzielle Daten zu kontrollieren, die bei Banken oder Versicherungen verarbeitet werden. Auch Websitebetreiber nutzen 2FA zunehmend, um die Konten ihrer Nutzer vor Cyberkriminellen zu schützen, die schwache oder gestohlene WordPress-Passwörter und kompromittierte Anmeldeinformationen ausnutzen.

Wenn 2FA auf einer Website aktiviert ist, muss der Benutzer bei der Anmeldung einen zusätzlichen PIN-Code zur Bestätigung eingeben. Dieser Code wird automatisch generiert und dem Benutzer per E-Mail zugesandt. Als zusätzliche Sicherheitsmaßnahme können Sie pro Benutzer eine separate E-Mail-Adresse speziell für die Übermittlung von 2FA-Codes angeben.

Um fortzufahren, muss der Benutzer den Bestätigungs-PIN-Code in das Formular eingeben. Falls der Benutzer den Code nicht erhalten hat, kann er entweder versuchen, einen neuen zu erhalten oder den Anmeldevorgang abbrechen.

Two-Factor Authentication form

Two-Factor Authentication form is used to verify the user

So aktivieren Sie die Zwei-Faktor-Authentifizierung

Sie können 2FA ganz einfach für jede Rolle auf der Admin-Seite „ Benutzerrichtlinien “ aktivieren. Mit WP Cerber Security können Sie für jede Rolle unterschiedliche 2FA-Einstellungen konfigurieren. Im erweiterten Modus können Sie Bedingungen für die Durchsetzung der Zwei-Faktor-Authentifizierung für eine bestimmte Rolle festlegen. Der erweiterte Modus ist in der Professional-Version des Plugins verfügbar.

Hinweis: Bevor Sie 2FA für Administratorkonten aktivieren können, müssen Sie eine erfolgreiche Anmeldung mit aktivierter 2FA für eine beliebige andere Rolle auf der Website durchführen.

Two-Factor Authentication policies for WordPress

Two-Factor Authentication policies for WordPress

2FA-Einstellungen pro Benutzer

Sie können einige 2FA-Einstellungen benutzerbezogen auf der Benutzerbearbeitungsseite (Benutzerprofilseite) anpassen. Zusätzlich zu den rollenspezifischen 2FA-Einstellungen können Sie die Zwei-Faktor-Authentifizierung für einen bestimmten Benutzer deaktivieren oder aktivieren. Sie haben die Wahl zwischen „Immer aktiviert“, „Deaktiviert“ und „Bestimmt durch Benutzerrollenrichtlinien“. Diese Funktion ist in der professionellen Version von WP Cerber verfügbar.

Als zusätzliche Sicherheitsmaßnahme können Sie eine separate E-Mail-Adresse speziell für die Übermittlung von Bestätigungscodes angeben.

Two-Factor Authentication for WordPress: per-user settings

Two-Factor Authentication for WordPress: per-user settings in the professional version

Whitelisting von IP-Adressen

Alle WordPress-Benutzer, die sich von IP-Adressen in der White IP Access List anmelden, sind von der erzwungenen Zwei-Faktor-Authentifizierung ausgeschlossen.

Überwachung von Zwei-Faktor-Authentifizierungsereignissen

Wenn für einen Benutzer die Zwei-Faktor-Authentifizierung erzwungen wird, protokolliert WP Cerber dieses Ereignis im Aktivitätsprotokoll als „Zwei-Faktor-Authentifizierung erzwungen“. In diesem Moment wird ein neuer Bestätigungs-PIN-Code generiert und an den Benutzer gesendet. Wenn ein Benutzer den korrekten Bestätigungs-PIN-Code eingibt, wird das Anmeldeereignis als „2FA-Code verifiziert“ gekennzeichnet.

Um Benutzeranmeldungen mit Zwei-Faktor-Authentifizierung zu überwachen, gehen Sie zum Aktivitätsprotokoll, wählen Sie das Ereignis „Zwei-Faktor-Authentifizierung erzwungen“ aus der Dropdown-Liste und klicken Sie auf die Schaltfläche „Filtern“ .

Two Factor Authentication: activity logging

Two Factor Authentication: activity logging

So verwalten Sie 2FA-Einstellungen auf mehreren Websites

Wussten Sie, dass Sie die 2FA-Einstellungen auf beliebig vielen Websites remote überwachen und verwalten können? Aktivieren Sie die Cerber.Hub- Fernverwaltungstechnologie, um alle WP Cerber-Einstellungen zu verwalten und die Benutzeraktivität von einem einzigen WordPress-Dashboard aus zu überwachen.

Beachten Sie, dass einige 2FA-Funktionen nur in der professionellen Version verfügbar sind.

Merkmale Frei Professional
Standard-2FA-Modus Ja Ja
Erweiterter 2FA-Modus NEIN Ja
2FA-Richtlinien pro Benutzer NEIN Ja
Separate E-Mail-Adresse für 2FA-Codes NEIN Ja
2FA auf mehreren Websites verwalten NEIN Ja

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.