Erst kürzlich ist das beliebte Blog-Programm Wordpress wieder ziel eines groß angelegten Angriffs eines Botnets geworden. Ziel des aktuellen Angriffs ist es, das Administrator-Passwort des Blogs zu knacken und anschließend Schadsoftware auf dem WordPress-System zu installieren. Für mehr Sicherheit sollte man auf seinem Blog unbedingt ein sicheres Passwort verwenden (das bedeutet mindestens 8 Zeichen Länge, eine Kombination aus Ziffern, Groß- und Kleinbuchstaben und keine Zeichenketten die in Wörterbüchern zu finden wären). Zusätzlich sollte man aber auch den Benutzernamen des Administrator-Accounts ändern (Standard-Username: admin) und den Ordern /wp-admin/ zusätzlich durch eine .htaccess Date schützen. Es gibt aber noch eine weitere Möglichkeit für mehr Sicherheit beim Login zu sorgen: Die 2-Schritt-Authentifizierung (auch “2-Faktor Auth.”) von Google, die über ein kleines Plugin auch ganz einfach für den eigenen WordPress-Blog aktiviert werden kann. In diesem Post möchte ich die Installation und Konfiguration des Plugins in einfachen Schritten beschreiben.

Wie Funktioniert die 2-Faktor Authentifizierung?

Bei der Anmeldung im WordPress-Backend wird normalerweise ein Benutzername und ein Passwort abgefragt. Bei der 2 Schritt-Authentifizierung wird zusätzlich noch ein 6-Stelliger Code für die Anmeldung benötigt, der mit einer Smartphone-App generiert wird, und nur für kurze Zeit (60 Sekunden) gültig ist.

Wie kann die 2-Schritt Authentifizierung aktiviert werden?

Die einfachste Methode die 2-Schritt Authentifizierung für WordPress zu aktivieren, ist die Installation des Plugins “Google Authenticator”. Die Installation ist einfach und hier in 5 detailliert beschriebenen Schritten erklärt:

1. Plugins und WordPress aktualisieren

Zunächst sollte WordPress auf den neuesten Stand gebracht werden! Als erstes also alle Plugins aktualisieren, und anschließend auf die neueste WordPress Version updaten!

2. Download und Installation des Google-Authenticator – WordPress-Plugins

Über das WordPress Plugin Menü einfach auf “Installieren” klicken. In der Plugin Suche “Google Authenticator” eingeben. Im Suchergebnis sollte das “Google Authenticator” Plugin von Henrik Schack aufscheinen. Durch einen Klick auf “Jetzt installieren” die Installation des Plugins starten. Nach der Erfolgreichen Installation sollte folgende Mitteilung erscheinen “Das Plugin Google Authenticator wurde erfolgreich installiert.”

3. Installation der Google-Authenticator App auf dem Smartphone

Die App für die Code Generierung (Google Authenticator) gibt es für Android, iPhone, iPad, iPod und auch für BlackBerry Smartphones. Die Installation ist ganz einfach: Im Apple “App Store” oder im “Google Play Store” nach “Google Authenticator” suchen. Im Beispiel hier – die App Seite auf dem iPhone.

4. Aktivierung der 2 Schritt Anmeldung für den WordPress Benutzer

Das Authenticator Plugin hat keine eigene Seite mit Einstellungen, es hingegen die erweitert ganz einfach die Einstellungsseite für jeden einzelnen Benutzer. Um zu den Einstellungen für den eigenen Benutzer zu gelangen einfach auf “Benutzer” -> “Dein Profil” klicken. Im WordPress Benutzerprofil sollte sich neben den Einstellungen für Benutzername, Passwort und E-Mail Adresse jetzt auch eine neuer Bereich “Einstellungen zu Google Authenticator” befinden.

Als nächste muss der Benutzer zur iPhone oder Android App hinzugefügt werden. Keine Angst – das ist ganz einfach! In den Einstellungen den Authenticator für den Benutzer aktivieren, eine Beschreibung eintragen (z.B. “meinblog:meinbenutzername” – wird anschließend in der App angezeigt) und dann auf “Qr-Code anzeigen” klicken.

In der App wird die neue Seite ganz einfach über das “+” Symbol hinzugefügt, indem man den angezeigten QR-Code mit der Google Authenticator-App fotografiert (“Barcode scannen“). Anschließend sollte Google Authenticator für den WordPress Login einen 6stelligen Zifferncode erstellen, der sich selbst im Minutentakt aktualisiert.

5. WordPress Login jetzt mit zusätzlichem Code

Bei der nächsten Anmeldung auf dem Blog sollte neben dem “Benutzername” und dem “Passwort” -Feld auch noch ein Feld für den “Google Authenticator Code” erscheinen. Eine Anmeldung ist jetzt nur noch möglich, wenn man zusätzlich den Code eingibt, der von der Smartphone App generiert wird.

Bei WordPress anmelden ohne 2-Schritt App/Smartphone

(Update)

Gestern ist es passiert: Ich musste mich bei meinem WordPress-Blog anmelden konnte aber keinen Code mit der App generieren. Nicht etwa, weil ich  mein iPhone nicht zur Hand hatte, sondern weil Google ein Update der Authenticator-App zu Verfügung gestellt hat, welches die bestehenden Konten entfernte (siehe auch den heise.de Artikel “Google zieht Authenticator-App nach Problemen zurück”: http://goo.gl/HEHthc). Somit hatte ich keine Möglichkeit mehr mich anzumelden! Google hat das Update seiner App anschließend wieder zurückgezogen, allerdings war es für mich schon zu spät… :-(

2-Schritt-Auth deaktivieren:

Die Lösung ist sehr einfach:

• per FTP mit dem Server verbinden
• Das Plugin Verzeichnis umbenennen (/wp-content/plugins/google-authenticator)
• Die WordPress-Anmeldeseite nochmal aufrufen