24. August, 2018  |  2 Factor, Security, Tech

So halten Sie Hacker von Ihrer WordPress-Seite fern

Zurück zur Übersicht
So halten Sie Hacker von Ihrer WordPress-Seite fern
login

Was ist Zwei-Faktor-Authentifizierung per SMS?

Wir senden eine SMS mit einem zufällig generierten 6-stelligen Passwort, wenn sich der Benutzer eine Zeit lang nicht angemeldet hat oder wenn er sich von einem unbekannten Gerät aus anmeldet.

Mit anderen Worten: Selbst wenn Hacker in den Besitz Ihres Benutzernamens/Passworts gelangen, ist es für sie nutzlos, wenn sie nicht auch physischen Zugang zu Ihrem Mobiltelefon haben. Sie würden sogar benachrichtigt, wenn jemand Ihre Daten in die Hände bekäme, da Sie nach einem Anmeldeversuch eine SMS mit einem Autorisierungscode erhalten würden, den Sie wohlgemerkt nicht angefordert haben.

Zwei-Faktor-Authentifizierung per SMS ist für alle Nutzer wirklich einfach zu bedienen – insbesondere im Vergleich zu Alternativen wie App-basierten Zugangsverfahren, bei denen der Benutzer eine Sicherheits-App konfigurieren und diese dann jedes Mal öffnen muss, wenn er sich irgendwo anmelden möchte. Im Gegensatz dazu funktioniert unser textbasiertes Zugangsverfahren auf allen Mobiltelefonen – sogar auf den ganz alten Modellen! Solange das Gerät eine SMS empfangen kann, haben Sie, was Sie brauchen.

Aber ist das weniger sicher als eine Authentifizierungs-App? Nein, überhaupt nicht! Obwohl die Lösung nicht an ein bestimmtes Gerät gebunden ist, wie dies bei den App-basierten Verfahren der Fall ist, wird die Lösung stattdessen mit Ihrer Telefonnummer verknüpft. Man kann sogar argumentieren, dass es zusätzliche Sicherheit bietet, dass die Lösung an die Sicherheit der Telefonanbieter gebunden ist und nicht an die App und die Sicherheit Ihres Telefons. Und man muss zugeben, dass die Telefongesellschaften ziemlich gut darin sind, Texte sicher an die richtigen Geräte zu senden.

Außerdem weiß man, wenn jemand versucht, einen zu hacken, da man eine Textnachricht erhält, sobald die Hacker den ersten Schritt überwunden haben. Bei einer App, die man erst öffnen muss, um einen zufällig generierten Code zu sehen, der nach kurzer Zeit abläuft, hat man diese Möglichkeit nicht.  Zusammenfassend lässt sich sagen, dass das Hinzufügen eines SMS-basierten Zwei-Faktor-Systems die Sicherheit Ihrer WordPress-Seite erheblich verbessert!

Wer hätte gedacht, dass dieses alte Nokia zur Sicherung Ihrer WordPress-Seiten verwendet werden kann?

nokia

Kurz zusammengefasst: GatewayAPI für WordPress

Falls Sie es noch nicht wussten, wir bieten ein völlig kostenloses GatewayAPI-WordPress-Plugin an. Wir bieten es seit mehr als zwei Jahren an und entwickeln und unterstützen das Plugin auch weiterhin.

Funktionen des WordPress-Plugins:

  1. SMS/Nachrichten senden
    • Benutzerdefinierte Metadaten zu Empfängern hinzufügen, um Seriendrucke zu erstellen
    • Empfängerlisten aus CSV/Excel importieren
    • Empfängergruppen
    • Massenversand
    • Einfache API für Programmierer
    • Kurzcodes für Formulare zum Anmelden/Abmelden/Bearbeiten von Profilen
    • Automatische Integration mit Contact Form 7
  2. Zwei-Faktor-Sicherheit
    • Einfach zu verwenden: Keine Apps, die von Benutzern installiert werden müssen!
    • Einfache Verwaltung: Einfach per Häkchen aktivieren und es funktioniert ohne Weiteres!
    • Rollen auswählen, um die erforderliche Zwei-Faktor-Authentifizierung zu aktivieren
    • Bei jeder Anmeldung neu bestätigen oder Geräte bis zu 30 Tage lang speichern
  3. SMS/Nachrichten empfangen
    • Eigene(s) Keyword(s) oder Telefonnummern für den Empfang von SMS verwenden
    • Eingehende Nachrichten anzeigen
    • Automatische Antwort auf eingehende SMS

So einfach, dass JEDER es herausfinden kann!

Wenn Sie oder Ihre Benutzer sich zum ersten Mal anmelden, werden sie aufgefordert, ihre Telefonnummer einzugeben. Sie erhalten dann einen Code, und sobald er eingegeben wird, ist die Kopplung abgeschlossen. Das bedeutet, dass sich der Benutzer in Zukunft von Zeit zu Zeit erneut per SMS authentifizieren muss. Dazu müssen nur die Zahlen aus der SMS-Nachricht eingegeben werden.

Niedrige Kosten + hohe Sicherheit

Sie fragen sich vielleicht, ob es Sie nicht jedes Mal Geld kostet, wenn jemand per Zwei-Faktor-Login bestätigt werden muss? Die Antwort lautet: ja. Unsere SMS-Tarife sind jedoch äußerst wettbewerbsfähig. Und je nach Anzahl der Benutzer und deren Anmeldehäufigkeit können sich die Kosten für SMS-Nachrichten natürlich summieren.

Deshalb können Sie das Plugin so konfigurieren, dass es sich Geräte bis zu 30 Tage lang merkt, und einschränken, für welche Rollen (z. B. Administratoren und Redakteure) die Zwei-Faktor-Anmeldung gilt, um die Anzahl der gesendeten SMS-Nachrichten zu reduzieren.

Wenn ein Benutzer sich dafür entscheidet, dass sein Gerät für einen bestimmten Zeitraum nicht vergessen werden soll, wird ein Cookie auf dem Gerät des Benutzers abgelegt. Wechselt der Benutzer auf ein anderes Gerät, muss der Benutzer erneut genehmigen, ansonsten wird der Zwei-Faktor-Schritt ignoriert, bis das Cookie abläuft. Obwohl dies etwas weniger sicher ist als die Erzwingung einer Zwei-Faktor-Authentifizierung bei jeder Anmeldung, ist es für einen Hacker immer noch extrem schwierig, dieses Cookie zu stehlen und zu verwenden. Die meisten Websites, auf denen Sie die Zwei-Faktor-Funktion verwenden können, darunter auch Google, bieten an, Geräte bis zu 30 Tage lang zu speichern, sodass dies sozusagen ein Branchenstandard ist.

Die Begrenzung der von der Zwei-Faktor-Funktion betroffenen Benutzerrollen kann ebenfalls zur Kostensenkung eingesetzt werden. Hier wird es eine Abwägung in Bezug auf die Sicherheit geben. Wir sind jedoch der Meinung, dass Administratoren und Redakteure mindestens die Zwei-Faktor-Funktion aktiviert haben sollten.

Benötige ich noch eine Firewall / ein Firewall-Plugin?

Definitiv Ja! Unser Plugin tut nichts, um alle anderen Aspekte von WordPress zu sichern – und es gibt eine Menge zu sichern. Obwohl das Hacken der Anmeldeaufforderung heute das häufigste Zugangsverfahren für Hacker ist, sich Zugang zu verschaffen, gibt es noch mehrere andere Möglichkeiten, eine WordPress-basierte Website zu hacken oder zu missbrauchen.

Wir haben unser Plugin erfolgreich mit den kostenlosen Versionen von iThemes Security und WordFence getestet. Unser Zugangsverfahren ist ziemlich sicher und funktioniert mit den meisten Firewall-Plugins. Wir können diese beiden Firewall-Lösungen sehr empfehlen, da sie Ihre Seiten im Allgemeinen wirklich gut schützen.

Wo finde ich das Plugin?

Suchen Sie einfach im Plugin-Bereich Ihres WordPress-Backends nach GatewayAPI oder sehen Sie sich hier unsere Plugin-Seite an. Der Quellcode ist auf GitHub zu finden.