Stefan's Weblog

8Apr/130

WordPress mit Zwei-Faktor-Authentifizierung

Wordpress mit Zwei-Faktor-Authentifizierung

Diese Woche wurde bekanntgegeben, dass für alle gehosteten Blogs auf wordpress.com die Möglichkeit der Zwei-Faktor-Authentifizierung bereitgestellt wurde. Diese Art der Anmeldung ist eine sichere Alternative, da zwei unterschiedliche "Passwörter" für den Login benötigt werden.
Einmal wird das Passwort benötigt, dass der User selbst vergibt und hoffentlich auch nur er selbst kennt.
Zum Zweiten wird eine sechsstellige PIN-Nummer benötigt, die durch eine App auf dem Smartphone erzeugt wird und mit dem Server abgeglichen wird. Die PIN-Nummer ändert sich in diesem Fall jede Minute und ist deshalb nur einen bestimmten Zeitraum gültig. Wird eine PIN nach Ihrem Ablaufzeitpunkt eingegeben, wird sie nicht akzeptiert und die Anmeldung schlägt fehl.

Die Möglichkeit der Zwei-Fakto-Authentifizierung kann aber nicht nur auf den bei wordpress.com gehosteten Blogs aktiviert werden, sondern durch die Installation eines Plugins auch auf dem eigenen, selbstgehosteten Blog genutzt werden.

Bevor die Entscheidung für diese Methode der Anmeldung getroffen wird, sollten ein paar organisatorische Punkte beachtet werden. Falls es nur einen Administrator bei eurem Blog gibt, stellt es kein Hindernis dar, auf diese Art der Anmeldung umzuschwenken. Sind aber mehrere Administratoren und Schreiberlinge aktiv, sollte zuerst geklärt werden, welche Rolle (Administratoren, Herausgeber, etc.) die Zwei-Faktor-Authentifizierung nutzen soll. Die Authentifizierungsmehtode kann nämlich für jeden Benutzer einzeln aktiviert werden und muss nicht global auf alle Benutzerkonten ausgeweitet werden. Damit besteht die Möglichkeit für Administratoren, die Zugriff auf die sensiblen Bereiche der Website haben, diesen Art des Logins zu aktivieren und für alle anderen den normalen Login zu verwenden.

Danach sind zwingend die technischen Punkt vor der Umstellung zu beachten. Diese sind

  • Zeitzone des Servers bzw. des WordPress Blogs muss richtig konfiguriert sein. Gibt es Abweichungen zur Smartphone App, kann der PIN wegen unterschiedlichen Zeiten für die Anmeldung abgewiesen werden.
  • Möglichkeit Plugins auf dem WordPress Blog über das Backend zu installieren.
  • Verfügbarkeit von Smartphones, auf denen die App Google Authenticator lauffähig ist.
  • Legt eine komplette Sicherung eures Blogs an, also von alle Daten und der Datenbank.
  • Legt einen Notfall-Administrator an, der sich auch anmelden kann, wenn sich euer Hauptadmin vom Blog aussperrt.

Bei mir gab es nach der Installation und der Aktivierung des Plugins Probleme bei der Anmeldung. Die ZWei-Faktor-Authentifizierung funktionierte auf meinem Blog ohne Probleme, jedoch wurde sie nach der korrekten Eingabe der Anmeldeinformationen von einem zweiten Plugin geblockt. Mit war es dadurch nicht mehr möglich, mich anzumelden.
Das Plugin, dass die Probleme verursachte war Limit Login Attempts. Nachdem ich diese Erweiterung deaktiviert hatte, funktionierte die Anmeldung mit der Zwei-Faktor-Authentifizierung ohne Probleme. Deshalb der Hinweis, schaltet dieses Plugin ab, bevor ihr weitermacht.

Limit Login Attempts deaktivieren

Limit Login Attempts deaktivieren

Sind diese Punkte geklärt, kann man mit der Installation und der Konfiguration der Zwei-Faktor-Authentifizierung des WordPress Blogs begonnen werden.

Installation der Smartphone App

Ich spiele die Installation der Smartphone App am Beispiel eines Android Gerätes durch. Die hier vorgestellten Apps gibt es aber auch für iOS-Geräte.

Installiert euch die beiden Apps Google Authenticator und Barcode Scanner auf eurem Smartphone oder Tablet

Google Authenticator
Google Authenticator
Entwickler: Google Inc.
Preis: Kostenlos
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot

Barcode Scanner
Barcode Scanner
Entwickler: ZXing Team
Preis: Kostenlos
  • Barcode Scanner Screenshot
  • Barcode Scanner Screenshot
  • Barcode Scanner Screenshot
  • Barcode Scanner Screenshot
  • Barcode Scanner Screenshot

Installation in WordPress

Wechselt nun in das Backend von WordPress und installiert und aktiviert dort die App Google Authenticator.

Google Authenticator

Google Authenticator

Konfiguration

Nach der erfolgreichen Installation und Aktiviereung des Plugins wechselt ihr in die Benutzerverwaltung und wählt den Account mit "Bearbeiten" aus, der die Zwei-Faktor-Authentifizierung nutzen soll. Dort aktiviert ihr dann diese Anmeldemethode für den Benutzer

Zwei-Faktor-Authentifizierung aktivieren

Zwei-Faktor-Authentifizierung aktivieren

Damit nun euer Smartphone die PIN-Nummer erzeugen kann, gebt ihr entweder den Schlüssel manuell ein, oder scannt den QR-Code.

Zwei-Faktor-Authentifizierung aktivieren

Zwei-Faktor-Authentifizierung aktivieren

Google Authenticator

Google Authenticator

Google Authenticator

Google Authenticator

Nachdem nun alles fertig konfiguriert ist, kann sich der Benutzer mit der Zwei-Faktor-Authentifizierung am WordPress Blog anmelden.

Wordpress mit Zwei-Faktor-Authentifizierung

WordPress mit Zwei-Faktor-Authentifizierung

Hilfestellung

Ich hatte bei der Installation des Plugins ein paar Problemchen, da mir die Erweiterung Limit Login Attemps die Anmeldung an meinem Blog untersagt. Aus deisem Grund habe ich mich ein bisschen tiefer mit ddem Plugin befassen müssen, was ich euch nicht vorenthalten möchte.
Über diesen Weg könnt ihr auch jederzeit das Plugin und die Zwei-Faktor-Authentifizierung wieder deaktiveren, sollte es über das Backend nicht funktionieren.

Für die Erweiterung Google Authenticator wird von WordPress automatisch ein Ordner im Verzeichnis wp-content\plugins erstellt. Im Ordner google-authenticator finden sich alle Dateien der App.

Installationsverzeichnis

Installationsverzeichnis

Diese Dateien tragen dafür sorge, dass auf der Anmeldeseite wp-admin, das Eingabefeld für die PIN angezeigt wird.
Löscht ihr den Ordner, dann sieht die Anmeldeseite wie bisher aus.

Wordpress Anmeldung

WordPress Anmeldung

In der Datenbank der WordPressinstallation werden in der Tabelle wp_usermeta ein paar Einträge hinzugefügt.

wp_usermeta

wp_usermeta

Dort findet sich auch der geheime Schlüssel, der in Zusammenspiel mit der Smartphone App die PINs erzeugt. Solltet ihr also aus irgendwelchen Gründen mal nicht über das WordPress Backend an diesen Key kommen, über die Datenbank ist dies auch möglich.

Zum deaktivieren der Erweiterung könnt ihr die vier Zeilen löschen, um die Zwei-Faktor-Authentifizierung zu deaktiveren.

Zwei-Faktor-Authentifizierung - Datenbank

Zwei-Faktor-Authentifizierung - Datenbank

Zwei-Faktor-Authentifizierung - Datenbank

Zwei-Faktor-Authentifizierung - Datenbank

Nach dem Löschen des Ordners und der Datenbankeinträge sollte die Anmeldung wieder wie gewohnt über die normale Anmeldeseite funktionieren.

Wordpress Anmeldung

WordPress Anmeldung

Links

Weiterführende Links

Falls ihr euch jetzt fragt, warum Google solch eine App für die Zwei-Faktor-Authentifizierung anbietet, den könnte diese Anleitung interessieren. Damit könnt ihr diese Art des Logins auch für eure GMail-Konto einrichten:

hat dir dieser Artikel gefallen?

Dann abonniere doch diesen Blog per RSS Feed!

Kommentare (0) Trackbacks (0)

Zu diesem Artikel wurden noch keine Kommentare geschrieben.


Leave a comment

Noch keine Trackbacks.

%d Bloggern gefällt das: