Einführung
Sicherheit ist einer der wichtigsten Aspekte beim Betrieb einer WordPress-Site. Viele von uns sind versucht zu glauben, dass sich Hacker nicht um unsere Websites kümmern. In Wirklichkeit sind jedoch nicht autorisierte Anmeldeversuche ein häufiger Bestandteil des Betriebs eines Servers im öffentlichen Internet.
In diesem Tutorial erfahren Sie, wie Sie dem Anmeldevorgang in WordPress eine zusätzliche Sicherheitsebene hinzufügen: * Zwei-Faktor-Authentifizierung *. Dies ist eine der bedeutendsten Entwicklungen im Bereich der Cybersicherheit.
Die Zwei-Faktor-Authentifizierung oder „2FA“ umfasst zwei Schritte beim Anmelden an einer Site oder einem System:
-
Ihr Benutzername und Ihr Passwort
-
Ein zufällig generierter, zeitabhängiger Code (dh der Code läuft nach einer festgelegten Dauer ab), der als * Einmalpasswort (OTP) * bezeichnet wird
Es gibt verschiedene Möglichkeiten, auf das OTP zuzugreifen:
-
SMS
-
Anruf
-
Email
-
Offline über eine mobile Anwendung
Während risikoreiche Systeme wie Banken und Handelskonten die SMS-Zustellung für sensible Transaktionen verwenden, verwenden wir den offline-Modus zum Generieren des OTP. Die Verwendung einer mobilen Anwendung ist kostenlos und stellt ein optimales Gleichgewicht zwischen hoher Verfügbarkeit, Implementierungskosten und Benutzerfreundlichkeit her.
Tore
Nachdem die Zwei-Faktor-Authentifizierung installiert und aktiviert wurde, verfügt WordPress über ein sichereres Anmeldeverfahren.
Zusätzlich zur Eingabe Ihres Benutzernamens und Kennworts für die Anmeldung müssen Sie ein Kennwort eingeben, das von einer mobilen Anwendung generiert wurde. Dies bedeutet, dass sich ein Hacker auch dann nicht ohne Ihr Telefon bei WordPress anmelden kann, wenn Ihre WordPress-Anmeldeinformationen gefährdet sind.
Am Ende des Tutorials werden wir uns auch mit einer ausfallsicheren Wiederherstellungstechnik befassen, falls Sie Ihr Telefon verlieren. Lass uns anfangen!
Voraussetzungen
Wir benötigen eine funktionierende Installation von WordPress auf einem DigitalOcean Droplet. Sie können dieses Tutorial zwar an vorhandene WordPress-Installationen anpassen, es wurde jedoch speziell getestet mit:
-
Ein Ubuntu 14.04 Droplet
-
Ein sudo Benutzer
-
Eine Neuinstallation von WordPress with Nginx, für die der Reader ebenfalls https benötigt : //www.digitalocean.com/community/tutorials/how-to-install-linux-nginx-mysql-php-lemp-stack-on-ubuntu-14-04 [install LEMP]
DigitalOceans eigene WordPress 1-click image ist eine weitere Option als Ausgangspunkt.
-
Sie benötigen außerdem Zugriff auf ein Mobilgerät mit iOS oder Android, auf dem Sie die mobile FreeOTP-Anwendung installieren können
Schritt 1 - Installieren Sie das Google Authenticator-Plugin
In diesem Schritt installieren wir das Google Authenticator-Plugin für Ihre WordPress-Site.
image: https: //assets.digitalocean.com/articles/wordpress_2fa/1.png [Installieren und aktivieren Sie das Google Authenticator Plugin für WordPress]
Das Plugin lässt sich am einfachsten über das WordPress-Dashboard installieren. Melden Sie sich jetzt in Ihrem WordPress-Dashboard an.
Befolgen Sie die unten aufgeführten Schritte für eine reibungslose Installation:
-
Gehen Sie im Dashboard zu * Plugins> Add New *
-
Geben Sie in das Feld * Search * "+ google authenticator" ein
-
Dadurch werden einige Plugins geladen, die dem Abfragenamen entsprechen
-
Installiere das Plugin * Google Authenticator * von * Henrik Schack *
-
Wählen Sie nach Abschluss der Installation den Link * Plugin aktivieren *
_ * Hinweis: * Wenn Sie zum ersten Mal ein Plugin für diese WordPress-Instanz installieren, müssen Sie möglicherweise Ihre SSH-Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort Ihres * Linux sudo-Benutzers * ein (oder laden Sie zur Erhöhung der Sicherheit einen öffentlichen Schlüssel hoch), und wählen Sie die Option * SSH2 * aus. _
(Optional) Installieren Sie das Plugin manuell
Alternativ können Sie das Plugin auch manuell herunterladen und aktivieren. Wir beschreiben diese Schritte unten.
Melden Sie sich bei Ihrem DigitalOcean Droplet an und navigieren Sie zu Ihrem Verzeichnis "+ plugins +":
cd wp-content/plugins/_
* Hinweis: * In diesem Tutorial folgen wir dem Setup von dies Tutorial welches WordPress im ++ Verzeichnis installiert. Wenn Sie ein anderes Setup verwenden, stellen Sie bitte sicher, dass Sie das richtige Verzeichnis angeben, in dem WordPress installiert ist.
_
Als nächstes laden wir das Plugin aus dem WordPress-Repository herunter:
wget https://downloads.wordpress.org/plugin/_ * Hinweis: * Zum Zeitpunkt des Schreibens ist die neueste Version des Google Authenticator-Plugins Version 0.47. Bitte stellen Sie sicher, dass Sie die neueste Version installieren. _
Schritt 2 - Laden Sie die FreeOTP-Anwendung herunter
In diesem Schritt laden wir die kostenlose OTP-App herunter und installieren sie auf Ihrem Mobilgerät.
FreeOTP ist eine Open-Source-Anwendung, die die Zwei-Faktor-Authentifizierung für Systeme mit Einmalkennwortprotokollen unterstützt. Mit anderen Worten, es ist eine Alternative zu Google Authenticator. Wir werden diese App verwenden, um unsere Einmalpasswörter für die Anmeldung bei unserer WordPress-Site zu generieren.
Bild: https://assets.digitalocean.com/articles/wordpress_2fa/2.png [FreeOTP-App im Google Play Store]
FreeOTP wird von RedHat gesponsert und bietet Apps für Android und iOS. Hier finden Sie Links, um die App und ihr offizielles Projekt zu erhalten.
Schritt 3 - Aktivieren Sie das Authenticator Plugin für Ihr Profil
In diesem Schritt aktivieren wir das WordPress-Plugin für das Admin-WordPress-Profil und konfigurieren es für die Verwendung mit unserer FreeOTP-App.
Gehen Sie im WordPress-Dashboard zu Ihrer Seite * Profil *, die Sie unter * Benutzer> Ihr Profil * finden. Suchen Sie den Unterabschnitt * Google Authenticator-Einstellungen *.
image: https://assets.digitalocean.com/articles/wordpress_2fa/3.png [Konfiguration des Google Authenticator-Plugins]
Werfen wir einen Blick auf die verschiedenen Konfigurationsoptionen des Plugins:
-
* Aktiv: * Aktivieren Sie dieses Kontrollkästchen, um das Plugin zu aktivieren
-
* Entspannt: * Dies erhöht das Zeitlimit für die Eingabe des OTP von 10 Sekunden auf 4 Minuten. Aktivieren Sie diese Option, wenn Sie Probleme beim Kopieren des OTP in der zugewiesenen Zeit haben
-
* Beschreibung: * Geben Sie einen Namen ein (vorzugsweise den Namen Ihres Blogs). Dieser Wert wird in der FreeOTP-App auf Ihrem Mobilgerät angezeigt
-
* Show / Hide QR Code: * Klicken Sie auf diese Schaltfläche, um den QR-Code anzuzeigen
Bild: https://assets.digitalocean.com/articles/wordpress_2fa/4.png [QR-Code in der FreeOTP-App scannen]
Anschließen der FreeOTP-Anwendung
Starten Sie die FreeOTP-App auf Ihrem Telefon oder Tablet.
Klicken Sie in der App auf das kleine QR-Code-Symbol. Halten Sie Ihr Telefon gedrückt, um den QR-Code von WordPress zu scannen, der nun auf Ihrem Computerbildschirm angezeigt werden soll.
Sie sollten sofort einen Eintrag in FreeOTP sehen, der als * WordPress * bezeichnet ist, und den Text, den Sie in der * Beschreibung * darunter eingegeben haben. Dies bedeutet, dass wir unsere WordPress-Site erfolgreich mit der FreeOTP-App verknüpft haben.
-
Speichern Sie die Änderungen: * Schließlich müssen wir die Änderungen speichern, die wir bisher vorgenommen haben. Scrollen Sie in WordPress zum Ende der Seite und klicken Sie auf die Schaltfläche * Update Profile *.
Schritt 4 - Login testen
In diesem Schritt überprüfen wir, ob die Zwei-Faktor-Authentifizierung aktiviert ist.
Melden Sie sich von Ihrer WordPress-Site ab und versuchen Sie erneut, sich anzumelden. Sie sollten mit demselben Anmeldebildschirm und einem Eingabefeld für den * Google Authenticator-Code * begrüßt werden.
Bild: https://assets.digitalocean.com/articles/wordpress_2fa/5.png [2fa-fähiges WordPress-Anmeldeformular]
Starten Sie die FreeOTP-App auf Ihrem Mobilgerät. Klicken Sie auf die WordPress-Schaltfläche, um ein neues Einmalkennwort zu erstellen.
Geben Sie diesen Wert in das Eingabefeld ein. Sie sollten in der Lage sein, sich bei WordPress anzumelden.
Aktivieren Sie die Zwei-Faktor-Authentifizierung für andere Benutzer
Sie können (und sollten) die Zwei-Faktor-Authentifizierung für die anderen Benutzer aktivieren, die Zugriff auf Ihre WordPress-Installation haben. Stellen Sie sicher, dass sie mit FreeOTP, das auf ihren eigenen Mobilgeräten installiert ist, gut zurechtkommen, wenn Sie es einrichten!
Konto-Wiederherstellung
Wenn Sie Ihr Telefon verlieren, werden Sie von Ihrer WordPress-Site ausgeschlossen. Dies ist ein großer Nachteil bei der Implementierung der Zwei-Faktor-Authentifizierung. Zum Glück haben wir eine * sehr einfache Lösung * für eine solche Situation.
Sie müssen lediglich das Plugin * Google Authenticator * deaktivieren.
Starten Sie die Shell Ihres DigitalOcean Droplets und navigieren Sie zum Verzeichnis "+ plugins +".
cd wp-content/plugins/Benennen Sie den Ordner "+ google-authenticator" in einen anderen Ordner um.
mv 'google-authenticator'Dadurch wird das Plugin deaktiviert, da WordPress das Arbeitsverzeichnis des Plugins nicht finden kann.
Melden Sie sich anschließend wie gewohnt bei Ihrem WordPress-Konto an. Dieses Mal wird nicht nach dem zusätzlichen Token gefragt, sondern nur nach Ihrem normalen Passwort.
Sobald Sie Zugriff auf das WordPress-Administrator-Dashboard haben und Ihr altes Gerät wiederhergestellt oder ein neues Gerät mit installiertem FreeOTP erhalten haben, müssen Sie die Plugin-Verstärkung aktivieren. Verwenden Sie in der Shell Ihres Droplets den folgenden Befehl:
+ mv 'google-authenticator' +
Wenn Sie Ihr altes Gerät verwenden, sollte dies alles sein, was Sie benötigen. Sie können * Schritt 4 * erneut ausführen, um den Anmeldevorgang zu testen. Oder Sie müssen möglicherweise zu * WP Dashboard> Plugins> Installed Plugins * gehen und das Google Authenticator-Plugin erneut aktivieren.
Gehen Sie zu Ihrem Benutzerprofil unter * Benutzer> Ihr Profil * und suchen Sie den Unterabschnitt * Google Authenticator-Einstellungen *.
Wenn Sie dieses Mal ein neues Gerät verwenden, klicken Sie auf "Neues Geheimnis erstellen". Ein neuer QR-Code wird generiert und der alte ungültig gemacht. Scannen Sie den neuen QR-Code auf Ihrem neuen Gerät. Dies ist dasselbe, was wir getan haben, als wir die Zwei-Faktor-Authentifizierung aktiviert und die FreeOTP-Anwendung wie in * Schritt 3 * dargestellt verbunden haben.
Alternativ können Sie die Zwei-Faktor-Authentifizierung deaktivieren, bis Sie Ihr Gerät gefunden haben. Nachdem Sie die entsprechende Option ausgewählt haben, stellen Sie sicher, dass Sie die Änderungen speichern, indem Sie auf die Schaltfläche * Update Profile * (Profil aktualisieren) klicken.
Fazit
Die Integration der Zwei-Faktor-Authentifizierung ist ein hervorragender Schritt zur Verbesserung der Sicherheit Ihrer WordPress-Site. Selbst wenn ein Angreifer Ihre Kontodaten erhält, kann er sich ohne den OTP-Code nicht mehr bei Ihrem Konto anmelden. Die Disaster Recovery-Technik ist hilfreich, wenn Sie Ihr Telefon nicht finden können.
Welche weiteren Sicherheitsmaßnahmen sollten WordPress-Administratoren ergreifen? Teilen Sie Ihre Gedanken in den Kommentaren unten!