In den letzten Beiträgen hatten wir gesehen, wie wichtig es ist sichere Passwörter zu haben und wie hoch die Gefahr ist, dass man gehackt werden kann. Diese Gefahr wird leider nicht weniger, wenn man es bei einem Login nur mit Username und Passwort belässt. Dies als einzige Zugangskontrolle für Anwendungen, Webseiten oder ähnlich wichtige Zugänge bietet oftmals zu wenig Sicherheit. Hier brauchen wir für wichtige Anwendungen noch zusätzliche Sicherheiten, um die eigenen Daten vor Gefahren aus dem Internet zu schützen. Gerade wenn man bedenkt, wie viele Anwendungen mit sensiblen Daten im Alltag benutzt werden, dann sollten man sich auch damit beschäftigen, wie wir unsere Daten vor unberechtigten Zugriff schützen.
Es gibt viele Mittel und Wege, um den Zugang zu Anwendungen zu sichern und zusätzlichen Schutz zu bieten. Am populärsten sind Authentifizierungen über:
- Fingerprint
- Face-ID
- SMS
- ein Capture oder Rätsel, welches gelöst werden muss (diese Methode bietet primär einen Schutz vor Skriptangriffen)
- Google Authentifikation
Ich möchte euch einen sehr leichten und sicheren Weg zeigen, um kostenlos und mit geringem Aufwand einen großen Gewinn an Sicherheit zu erzeugen. Anhand eines WordPress-Containers werde ich darstellen, wie leicht und schnell ein Sicherheitsplus eingerichtet ist. Dieser Container läuft bereits auf einen Testserver, welcher nach diesem Beitrag nicht länger benutzt wird.
Voraussetzungen:
Um den Google Authenticator nutzen zu können, muss die Zeit des Servers auf die aktuelle Zeitzone eingestellt sein. Die Codes für den Zwei-Faktor-Login laufen alle 15 Sekunden ab und werden neu erstellt.
- Installation Plugin
Die Installation erfolgt je nach Software oder Service etwas anders. Ich zeige hier einen sehr einfachen Weg über ein Plugin. Für WordPress gibt es eine Auswahl an unzähligen Plugins. Ein sehr bekanntes und gut bewertetes Plugin ist „Wordfence Security“, welches auch viele weitere Sicherheitsfunktionen bietet (allerdings teilweise gegen Aufpreis). Die Installation erfolgt wie bei jedem anderen Plugin auch über die Plugin-Suche aus dem öffentlichen Repo.
- Einrichtung von dem Plugin
Die neue Authentifizierungseinstellung habe ich in der Benutzerverwaltung vorgenommen unter dem neuen Punkt „2FA Status“:
Hier könnt ihr für den Benutzer initiale Codes erzeugen lassen. Diese Codes werden für die Einrichtung der App benötigt:
3. Installation App
Aus dem Play Store oder App Store sollte man sich nun eine App installieren namens Google Authenticator. Danach scannen wir mit dem Handy den QR-Code und geben dann den initialen Code ein. Nach einem Click auf Activate in der WordPress-Admin-Oberfläche ist nun die Zwei-Wege-Authentifizierung aktiviert.
4. Sicherung der Wiederherstellungscodes
Bitte speichert euch die Wiederherstellungscodes in einer verschlüsselten Passwort-Datenbank. Solche wichtigen Codes müssten auch georedundant (an zwei verschiedenen Orten auf zwei verschiedenen Laufwerken) gespeichert werden. Zum Thema Datensicherung werde ich einen separaten Beitrag schreiben
Fazit:
Ich finde es immer wieder richtig gut, wie leicht man so viel zusätzliche Sicherheit bekommen kann, welche vor Datenverlust, Diebstahl, Imageschaden oder ähnlichem bewahrt. Was auch super ist: die Software ist kostenlos und die Einrichtung lässt sich in unter 5 Minuten erledigen.
Leider muss ich hier aber auch davor warnen zu glauben, dass man jetzt 100%tige Sicherheit hat. Dieses Plugin ist zwar ein gutes Beispiel zur Erhöhung der Sicherheit, aber es ist am Ende des Tages auch eine Software, welche früher oder später Sicherheitslücken haben wird durch neuartige Angriffsmethoden. Gerade darum muss man die Plugins immer zusätzlich im Auge behalten bei den Updates.
Ich würde so ein Update auf jeden Fall lieber haben als keinen zusätzlichen Schutz. In diesem Fall war es ein Beispiel von einen WordPress-Container, welcher auch gut die produktive Webseite sein könnte. Sollte jemand Fremdes von einer produktiven Webseite die Login-Daten haben zu den CMS (Content Management System) hätte dieses im Zweifel einen gewaltigen Imageschaden oder andere große Schäden.
Bei Fragen schreibt uns gerne an info@think-clever.de