Ab Werk bzw. mit Bordmitteln ist die Admin-Oberfläche des größten Teils von #Wordpress basierten Webseiten (Marktanteil 2024 mittlerweile bei über 73%) nur mit einem mehr oder weniger schlechten Kennwort abgesichert.
Administrative Konten sollten heutzutage aber durch Zwei-Faktor Authentifizierung geschützt sein. Hierzu gibt es im WordPress Plugin-Verzeichnis zahlreiche Plugins. Die meisten davon in einer Freemium Version und mit Werbung oder auf den Google Authenticator ausgelegt.
Aktuell gibt es ein Plugin namens „Two-Factor“, das komplett quelloffen ist und neben E-Mail-Tokens an die hinerlegte Mailadresse auch die weit verbreitete Microsoft Authenticator App unterstützt. Diese kann über einen QR-Code angelernt werden und wirft dann alle 60 Sekunden einen Token aus, der zum Anmelden benutzt werden muss.
Die Einrichtung und Aktivierung der #2FA Methode erfolgt im Admin-Bereich unter „Benutzer“ für jeden Admin einzeln. Natürlich ergibt es Sinn, 2FA für alle Admins zu aktivieren und für den Master Admin zusätzlich Wiederherstellungscodes zu erzeugen. Ob Sie dabei die Token an E-Mail Methode oder die Authenticator App bevorzugen, bleibt Ihnen überlassen. 2FA ist auf jeden Fall wärmstens empfohlen und einfach einzurichten.
Kommentare