Viele finden es nervig, am Ende ist es aber ziemlich hilfreich: Online-Banking ohne zweiten Faktor ist heute eher schwer vorstellbar.
In dieser Episode zeige ich dir, wie du auch in deiner WordPress Seite einen zweiten Faktor einrichten kannst und ich erkläre dir, warum du zumindest darüber nachdenken solltest.
Weiterführende Episoden:
Episode 006 – Frontend und Backend
Episode 007 – WordPress Dashboard
Episode 013 – WordPress Sicherhei
Episode 016 – WordPress Plugins
Episode 023 – Kommentare mit WordPress
Episode 045 – User, Rollen und deren Rechte in WordPress
Ein Plugin für den 2FA Modus.
https://de.wordpress.org/plugins/wp-2fa/
Kontakt:
Fragen zu WordPress, Themenwünsche und Ideen?
espresso@nerdcafe.online
Vernetze dich mit Johannes und komm ins nerdcafe live bei LinkedIn
https://de.linkedin.com/in/johannesmairhofer
Zur nerdcafe Website
https://nerdcafe.online/
Hier findest du den nerdcafe Podcast bei Instagram
https://www.instagram.com/nerdcafepodcast/
Transkript zur Episode:
[00:00:00] Online Banking ohne zweiten Faktor, heute kaum mehr vorstellbar. In dieser
[00:00:05] Episode geht es darum, um ein zwei Faktor Pluckin für WordPress.
[00:00:11] Moin aus Hamburg und herzlich willkommen im Nerdcafé Podcast. Den Podcast rund um
[00:00:22] WordPress, Hosting, CMS und Web. Ich bin Johannes Meierhofer, ich bin dein
[00:00:29] Host und ich bin Experte und Trainer für WordPress. Mit diesem Podcast helfe ich
[00:00:35] dir dabei alle Themen, die dich interessieren, wenn du mit einem eigenen
[00:00:39] Webseiten Projekt starten möchtest, besser zu verstehen. Und jetzt wünsche ich dir
[00:00:44] ganz viel Spaß mit der Podcast Episode. Immer wieder habe ich ja hier im Podcast
[00:00:49] schon über WordPress Sicherheit und Plugins und Backups und so weiter gesprochen.
[00:00:54] Und heute möchte ich dir mal ausführlicher ein Pluckin vorstellen, mit dem du deine
[00:00:59] Webseite mit einem zweiten Faktor zusätzlich absichern kannst.
[00:01:04] Zweiter Faktor, das kennst du vielleicht vom Online Banking oder von anderen
[00:01:08] Webseiten, wo eine hohe Sicherheitsanforderung besteht. Das heißt, du lockst dich in
[00:01:14] dein System ein mit Benutzernamen und Passwort und muss dann noch einen
[00:01:19] zusätzlichen zweiten Faktor eingeben. Diesen zweiten Faktor bekommst du entweder
[00:01:24] über so eine Authenticator App wie Google Authenticator zum Beispiel oder
[00:01:29] per E-Mail oder per SMS oder auf einem anderen Weg. Manchmal, wenn du diesen
[00:01:35] zweiten Faktor des Geräts des zweiten Faktors verloren hast, bekommst du auch
[00:01:39] erst mal einen Brief, wo du eine Kennung zugeschickt bekommst, also per
[00:01:46] wirkliche echter Post und erst dann kannst du dich wieder einloggen. Zum
[00:01:50] Beispiel bei der Barma so. Wenn ich meinen Barma, mein Passwort, vergesse und mich
[00:01:56] einloggen will in meinen Benutzer-Account, muss ich erst abwarten, bis dieser Brief
[00:02:00] dann da ist. Als Vorbereitung für die Episode, wenn du dich jetzt noch gar nie
[00:02:05] mit Pluckins beschäftigt hast, kannst du gerne mal in die Episode 16
[00:02:10] reinhören. Da gebe ich so ein paar Tipps, worauf man achten kann, ganz allgemein
[00:02:15] beim Installieren von Pluckins und beim Updaten von Pluckins und auch in der
[00:02:21] Episode 13. Da geht es um Sicherheit passenderweise bei der Zahl 13. Da habe
[00:02:26] ich mir gedacht, auch da ist ganz gut, wenn du da noch mal reinhörst, weil die drei
[00:02:31] Episoden, also die heutige und die 13 und die 16, sich da ganz gut ergänzen.
[00:02:37] Und wenn du magst, kannst du auch noch mal in die Episode 45 reinhören.
[00:02:42] Die habe ich gerade erst vorletzte Woche veröffentlicht. Da ging es um Benutzer und
[00:02:47] Benutzerrollen. Und gerade die Benutzerrollen haben ja direkt mit diesem
[00:02:51] zweiten Faktor zu tun. Also die drei Episoden kann ich dir von weg schon mal
[00:02:56] ans sogenannte Herz legen. Bei den zwei Faktor Pluckins gibt es natürlich auch
[00:03:01] eine ganze Menge und es gibt auch so Pluck-In-Sammlungen, wie zum Beispiel
[00:03:07] Word-Fans, wo du einen zweiten Faktor auch mit dabei hast. Ich kann es persönlich
[00:03:12] nicht so der wahnsinnig große Fan von diesen Pluck-In-Sammlungen, weil die
[00:03:17] ganz oft eine ganze Menge an Dinge mitbringen, die du vielleicht gar nicht
[00:03:21] brauchst. Und dann hast du Doppelungen und die sind auch vom Umfang her so
[00:03:26] groß und machen die Seite oft auch langsamer, weil sie halt so viele Dinge
[00:03:31] mitbringen und so viel auch Code bedeuten, dass das auch oft nicht immer gibt,
[00:03:39] auch Ausnahmen, aber ganz oft geht das Ganze auch nach hinten los.
[00:03:42] Aber würde ich dir das vorweg von dieser großen Pluck-In-Sammlung
[00:03:47] abraten und empfehle dir heute einfach mal eins. Das heißt WP-2FA. Wenn du in deinem
[00:03:54] WordPress-Dashboard bist, kannst du einfach mal in den Bereich Pluck-Ins
[00:04:00] gehen und dann nach WP-2FA suchen und dann siehst du schon, die ersten Treffer
[00:04:09] sind wahrscheinlich bei dir ähnlich wie bei mir jetzt. Ich sehe erst mal Word-Fans,
[00:04:14] Security, WP-Staging, Jetpack, Really Simple Security, soll noch ein paar
[00:04:20] andere, die alle wirklich sehr große Tools sind. Gerade Jetpack würde ich aus
[00:04:26] Datenschutzgründen nicht empfehlen, die bringen eine ganze Menge an.
[00:04:30] Dinge, mit die wir gar nicht brauchen und die auch datenschutzrelevant sind,
[00:04:35] zumindest in Deutschland. Wenn du ein bisschen weiter runter scrollst,
[00:04:39] kommst du zu einem, das heißt WP-2FA, Two-Factor Authentication for WordPress.
[00:04:48] Hatt jetzt zum Stand, wo ich hier draufschaube, 60.000 Installationen
[00:04:53] wurde gerade vor einer Woche zum letzten Mal aktualisiert und ich sehe, das ist
[00:04:58] auch kompatibel mit meiner WordPress-Version. Die Entwicklerfirma hier ist
[00:05:02] MelaPress. Ich poste aber auch den Link zu den Pluck-Ins direkt in den Show-Notes.
[00:05:08] Ich habe mit den Entwicklern hier nichts zu tun. Ich kriege da keine Provision oder
[00:05:14] irgendwas. Ich finde nur, das Pluck-Ins ist einfach gut und habe das auch bei mir und
[00:05:18] ein paar Projekten im Einsatz und da bisher immer sehr, sehr gute Erfahrungen gemacht.
[00:05:24] Das ist einfach eine erfahrungsbasierte Empfehlung. Wenn du es installiert hast,
[00:05:31] kannst du es auch gleich konfigurieren und kannst dann auch sagen, über welchen
[00:05:37] Weg soll denn dieser zweite Faktor erfolgen, welche Benutzerrollen sollen das
[00:05:43] denn machen, welche einzelnen Benutzer soll man daraus davon vielleicht wiederum
[00:05:51] oder man kann da sehr individuell vorgehen. Die Tipps, die ich dir jetzt noch gebe,
[00:05:57] die sind eher generell, weil du vielleicht sagst, ich habe ein anderes Plug-in oder ich habe
[00:06:03] so eine Plug-in-Sammlung, wo das eh dabei ist oder ich habe das über irgendeine andere Art und Weise
[00:06:08] in meinem System schon drin. Deswegen gebe ich dir jetzt allgemeine Tipps, was ich dir empfehlen
[00:06:13] würde und wo genau du das dann einstellst, ist ja von deinem jeweiligen Plug-in auch abhängig.
[00:06:19] Moin aus dem Schnitt und ganz kurze Unterbrechung. Wenn dir dieser Episode gefällt, nutzt doch gerne
[00:06:29] die Chance und lasst mir ein Abo da. Wenn du magst, empfehle den Podcast gerne weiter,
[00:06:33] das würde mich sehr freuen. Und würde noch mehr Menschen die Möglichkeit geben,
[00:06:38] WordPress zu verstehen. Jetzt aber weiter mit der Episode.
[00:06:41] Also ich würde empfehlen, einen zweiten Faktor zu erzwingen. Das geht hier mit dem Plug-in,
[00:06:49] was ich vorstelle, auf jeden Fall. Und es sollte bei den meisten anderen auch gut funktionieren.
[00:06:54] Ich würde es erzwingen für Administrator-Rollen auf jeden Fall und am besten auch für die
[00:07:00] anderen Benutzer-Accounts. Aber es ist wirklich sehr, sehr wichtig für die Administrator-Rollen.
[00:07:06] Und ich möchte auch niemanden ausschließen. Das heißt, das ist für alle, die in meinem System
[00:07:12] irgendwie eine Berechtigung oder ein Account haben, Pflicht dieses Plug-in einzurichten.
[00:07:18] Ich persönlich bin einfach Fan von dem Google Authenticator, weil ich den schon lange habe.
[00:07:23] Das funktioniert bei mir mit allen Accounts. Ich habe das auf fast jeder Webseite, wo es geht,
[00:07:29] auch drin. Es ist aber auch egal, was für ein Authenticator. Es gibt den auch von Microsoft
[00:07:35] und von anderen Firmen. Die machen alle ähnliche Dinge. Du musst beim ersten Mal so ein QR-Code
[00:07:42] fotografieren. Dann bekommst du in deiner App, welcher auch immer du benutzt, eine sechsstellige
[00:07:48] Zahl oder eine achtstellige Zahl, meistens sechsstellig angezeigt und musst dann diese Zahl
[00:07:55] noch zusätzlich eingeben zu deinem Passwort. Dann wird einmal damit, wird einmal quasi dein Account
[00:08:01] mit dem zweiten Faktor verknüpft. Und ab jetzt musst du jedes Mal bei jedem Blogin von WordPress
[00:08:07] diesen zweiten Faktor auch eingeben. Das heißt, du brauchst das Gerät, das mit deinem, das quasi
[00:08:15] deinen zweiten Faktor errechnet, musst du natürlich immer dabei haben. Deswegen empfehle
[00:08:20] ich hier einfach ein Handy zu nehmen, weil das Handy hast du sowieso quasi immer dabei. Davon
[00:08:26] gehe ich jetzt zumindest einfach mal aus. Hier mit dem WP2FA kannst du jetzt noch festlegen, ob
[00:08:32] so eine Übergangsfrist gibt. Das heißt, wenn du es jetzt heute einrichtest, kannst du sagen, okay,
[00:08:37] die nächsten drei Tage soll das noch parallel laufen. Danach muss man aber, das kommt jetzt
[00:08:45] darauf an, wie groß dein Team ist. Nimm nur einen Riesenteam, hast mit einer riesen Webseite,
[00:08:48] ist natürlich sinnvoll, da eine gewisse Übergangsfrist einzustellen. Wenn du ein, zwei
[00:08:55] Leute hast oder ich bin ja in meiner Webseite auch alleine, dann mache ich das natürlich sofort
[00:09:00] und erzwinge das sofort für mich als Administrate und für die anderen Rollen, die so im System
[00:09:07] drin sind, würde ich es wie gesagt auch sehr empfehlen. Das Plug-in, was ich dir jetzt hier
[00:09:12] vorgestellt habe, ist tatsächlich in der Grundkonfiguration mit allem, was ich jetzt erklärt
[00:09:17] habe, auch sogar kostenlos. Ich finde aber für eine Funktion, die mir ja so viel hilft und die
[00:09:25] auch in der Premium-Variante noch ein paar mehr Optionen anbietet, ist es auch völlig fein
[00:09:31] und legitim dafür zu bezahlen, weil die Entwickler*innen ja auch, dass da viel Arbeit reinstecken und mir
[00:09:40] auch viel Risiken abnehmen, nämlich dieses Risiko, dass meine Webseite vielleicht angegriffen wird.
[00:09:48] 100% ausschließen kann man das nie. Es ist auch klar, trotzdem der Tipp, wenn du das Plug-in
[00:09:54] wirklich regelmäßig nutzt oder auch andere Plug-ins, die du regelmäßig nutzt, gibt deinen
[00:10:00] Shout-Out, gibt deinen Geld, weil du ja mehr Wett davon hast, auch den jeweiligen Entwickler*innen,
[00:10:07] bitte. Das mal so als Zusammenfassung von dem WP2FA Plug-in. Ich wiederhole doch mal ganz
[00:10:16] kurz, ich würde empfehlen für alle Benutzerrollen, die Administratorechte haben und am besten
[00:10:22] auch für alle anderen, den zweiten Faktor einzurichten. Das erhöht einfach die Sicherheit
[00:10:28] bzw. verringert die Wahrscheinlichkeit, dass ein Angriff passiert und allein das ist ja schon
[00:10:37] eine gute Idee oder ein guter Grund, dieses Plug-in zumindest mal auszuprobieren. Das war's von
[00:10:43] dieser Folge, damit sage ich Tschüss, das heißt Auf Wiedersehen. Ich freue mich, wenn wir uns hier
[00:10:51] sehr bald wiedersehen bzw. hören. Wenn du darauf auch Lust hast, abonnier doch am besten diesen
[00:10:57] Podcast und empfehle ihn auch deinen Freund*innen und Kollegen, denn so wird die Reichweite
[00:11:02] einfach nochmal vergrößert. Bei LinkedIn findet außerdem jede Woche meistens am Donnerstag
[00:11:08] das Nerdcafé Live statt. Hier tausche ich mich regelmäßig mit verschiedenen Expert*innen über
[00:11:14] deren Fachgebiete aus. So kann ich meine fachliche Filterbabel erweitern und über den eigenen
[00:11:20] Tellerrand schauen. Und auch du kannst davon profitieren, denn im Nerdcafé Live hast du die
[00:11:25] Möglichkeit, deine Fragen zu stellen. Ich hoffe, du konntest heute einiges mitnehmen, wenn du magst,
[00:11:31] schick mal doch deinen Feedback und Themenwünsche an die Espresso@nerdcafé.online. Espresso@nerdcafé.online. Tschüss!
[00:11:39] Tschüss.
[00:11:40] [Pause]
