Andreas Unkelbach
Logo Andreas Unkelbach Blog

Andreas Unkelbach Blog

ISSN 2701-6242

Artikel über Controlling und Berichtswesen mit SAP, insbesondere im Bereich des Hochschulcontrolling, aber auch zu anderen oft it-nahen Themen.


Werbung
Blick in mein Büro und Ausstattung
Nicht nur in Zeiten von HomeOffice dürfte eine ordentliche IT auch im Privathaushalt eingezogen haben. Zur Anfangszeit der Blogs wurde die Büroecke oft als "where the magic happens" bezeichnet und in dieser Tradition mag ich hier auch meinen Gerätepark vorstellen.



Sonntag, 16. August 2020
17:31 Uhr

Wordpress Sicherheit : Zugang zu Wordpress unter anderen mit 2FA / OTP als zweiten Faktor absichern, Schnittstellen deaktivieren, Benutzer und Rollenkonzept und Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer

Dieses Wochenende habe ich mich eigentlich mehr mit SAP beschäftigt, aber da das Thema Sicherheit bei Zugängen zu Systemen nicht nur über die Benutzersteuerung und Rollenkonzept im SAP Umfeld ein wichtiges Thema ist mag ich auch hier im Blog einmal wieder einen der schon länger geplanten Artikel online stellen :-).

Im Artikel "Wordpress als CMS für die Internetseite unserer Kirchengemeinde auf kirche-miteinander.de" hatte ich ja schon erwähnt, dass es hilfreich ist sich, gerade bei bekannter Software auch Gedanken um die Sicherheit zu machen.

Gerade bei Wordpress sollte hier das Thema Updates eine besondere Bedeutung haben. Hier gehe ich (meistens) nach folgenden Muster vor, sofern ein größeres Update anliegt:
  1. Backup :-)
  2. Themes und Plugins aktualisieren
  3. Wordpress aktualisieren
  4. Schauen ob noch alles funktioniert
Aber neben dieser allgemein wohl empfehlenswerten Vorgehensweise für jede Software ist gerade bei öffentlichen Seiten auch die Frage der Zugangssicherheit für Redakteure aber auch Admins ein wichtiges Thema.

Hier nutze ich bei der von mir eingesetzten Wordpress Version zwei Plugins um den Zugang für Unbefugte etwas zu erschweren.

Plugins zur Zugangssicherheit von Wordpress


Wie bereits im vorherigen Artikel erwähnt reduziere ich die Möglichkeit sich am Passwort der User zu vesuchen (BruteForce) und habe die Anzahl der Anmeldungen entsprechend reduziert, so dass bei mehrmaliger Falschanmeldung die IP Anschrift gesperrt wird.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded Von WPChef
URL: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/
Gerade in Richtung Sicherheit sollte zumindest das Login etwas abgesichert werden. Dieses Plugin setzt hier DSGVO konform auf einen gewissen Schutz, was brute force Angriffe anbelangt.

Plugin Limit Login Attempts

Damit sind zumindest mehrere Versuche gesperrt und die IP werden nur als HASH gespeichert. Natürlich sollte dennoch kein Name wie Admin für den Administratorzugang gewählt werden.

Zwei-Faktor-Authentifizierung 2FA mit Wordpress

Da ich aber vemehrt mitbekommen habe, dass hier auch immer mal wieder automatische Anmeldeversuche getestet werden (meist für den nicht vorhandenen User Admin aber auch für tatsächlich vorhandene User habe ich nun doch das Thema 2FA ebenfalls per Plugin umgesetzt.

Das Thema habe ich auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" näher vorgestellt und entsprechend lag es nahe dieses auch in der eigenen Seite umzusetzen.

Plugin Two-Factor

Two-Factor Von Plugin Contributors
URL: https://de.wordpress.org/plugins/two-factor/

Nachdem das Plugin installiert ist können die einzelnen User:innen über ihr Profil einen zweiten oder mehrere Faktoren zur Absicherung ihres Account anlegen. Als Admin kann ich dieses auch in der Userliste und sehen wer diesen Faktor aktiviert hat.

Im Profil habe ich dann mehrere Möglichkeiten wie ich meinen Zugang konkret sichern möchte:

Two-Factor-Einstellungen im Profil

Hier kann der zweite Faktor ein Code per Mail (der dann nach der Angabe von Benutzername und Passwort zugesandt wird) oder auch ein zeitlich limitiertes Einmalpasswort (OTP / OneTimePasswort dass dann per App am Smartphone generiert wird) sein. Neben QR Code kann auch der darunter befindliche Schlüssel zur Authentifizierung in der App eingetragen werden. Für beide habe ich die Daten aber verborgen, so dass der QR Code auf eine andere Seite und die darunterbefindliche Nummer (hier allerdings blau anonymisiert) eingetragen werden kann.


Als weitere Möglichkeiten stehen hier Backupscode oder auch FIDO Universal 2nd Factor (U2F)  zur Verfügung.

Zum Thema FIDO2 (nicht zu verwechseln mit FidoNet) hat Heise unter "Passwort-Nachfolger FIDO2" eine FAQ veröffentllicht.


Die Backupscode sind sehr praktisch, sollte einmal der Authenticator nicht vorhanden sein (Smartphone kaputt) und hier eine neue Registrierung eines zweiten Faktors erforderlich sein. Daher empfiehlt es sich hier einen zweiten Faktor in der Spalte "Aktiviert" zu markieren, so dass im Falle eines Falles eine alternative Anmeldung möglich ist.

Als letzte Möglichkeit kann auch der Pluginordner per FTP umbenannt werden, wenn man gar keine andere Möglichkeit mehr sieht.

Nachdem ein entsprechender Faktor eingerichtet worden ist und der bevorzugte Faktor ausgewählt wurde (bei mir tatsächich 2FA) funktioniert nun die Anmeldung bei Wordpress in zwei Schritten.

Die erste Anmeldung erfolgt mit Benutzername und Passwort:

Wordpresss Anmeldung mit Benutzername oder E-Mail und Passwort

Wenn dieses erfolgreich ist kommt es nun aber zur Nachfrage des zweiten Faktors:

2FA - Authentifizierungscode f�r Wordpress

Da ich auch noch alternative Anmeldungsmöglichkeiten als zweiten Faktor aktiviert habe kann ich hier auch auf E-Mail oder Backup-Verifizierungs-Code umstellen.
 

Schnittstellen deaktivieren bei Wordpress

Innerhalb der functions.php meines Wordpress Themes habe ich noch folgende Anpassungen vorgenommen um externe Schnittstellen zu deaktivieren.

XMLRPC deaktivieren:

add_filter(
    'xmlrpc_enabled',
    '__return_false'
);

Gerade durch BruteForce Angriffe oder DDOS ist es in meinen Augen sinnvoll diese Schnittstelle auf die API von Wordpress zu deaktivieren.

Da ich auch keine externe Anwendung habe die auf diese veraltete API zugreift kann ich diese auch bedenkenlos deaktiverne.

Rest_Authentication / Programmierschnittstelle, JSON-API deaktivieren
 

add_filter( 'rest_authentication_errors', function( $result ) {
  if ( ! empty( $result ) ) {
    return $result;
  }
  if ( ! is_user_logged_in() ) {
    return new WP_Error( '401', 'not allowed.', array('status' => 401) );
  }
  return $result;
});

Durch den c't Artikel "Datenklau durch die ­Hintertür Wie unzureichend geschützte Wordpress-Installationen Daten preisgeben"  (c't 23/2020) bin ich noch auf diese Schnittstelle aufmerksam geworden die ebenfalls hier deaktiviert wurde.

Berechtigungskonzept und Rollenerweiterungen von Wordpress


Innerhalb der Benutzerverwaltung von Wordpress können einzelnen Benutzern unterschiedliche Rollen zugeordnet werden. Dieses kann in einer Kirchengemeinde sinnvoll sein, wenn einzelne Personen Termine einpflegen sollen, andere Ankündigungen und Artikel veröffentlichen sollen und wieder andere auch Seiten pflegen sollen. Darüberhinaus sollte sich auch jemand um die Technik und das Design kümmern.

Für unsere Kirchengemeinde nutzen wir folgende Rollen:
  • Administrator
    Dieses entspricht der Gesamtberechtigung und kümmert sich um Design, Templates, Plugins aber auch um Updates der Software
  • Redakteur
    Ein Redakteur kann jede Seite bearbeiten (und auch Autoren der Seite ändern), Bilder und Dateien hochladen sowie Kategorien pflegen
  • Autor
    Autoren können Artikel (Beiträge) aber nicht Seiten pflegen, Bilder und Dateien hochladen. Dabei können Autoren auch direkt Beiträge und auch Termine veröffentlichen.
  • Mitarbeiter
    Werden bei uns nicht genutzt, aber diese könnten Artikel schreiben ohne diese zu veröffentlichen. Die Veröffentlichung müsste dann von jemand anderen vorgenommen werden.
Problematisch ist nun allerdings, dass die Seitenstruktur nur durch den Administrator bearbeitet werden kann, entsprechend ist hier ebenfalls eine Anpasssung erforderlich.

Auf diese bin ich im Artikel "Menüeinträge unter Wordpress durch Redakteure pflegen lassen - Berechtigungen im CMS der Rolle Editor / Redakteur anpassen" eingegangen.

 

Fazit

Auch für die Internetredaktion unserer Kirchengemeinde war die Einrichtung eines zweiten Faktors keine große Hürde und tatsächlich scheint das Bewustsein für Sicherheit für Zugänge hier ebenfalls breit akkzeptiert zu sein.

Da das ganze optional ist, habe ich mich sehr gefreut, dass es in der Breite angenommen wurde.

Kerstin Sommer (kerstinsommer.at) hat in ihren Artikel "WordPress Sicherheit: So schützt du deine Website" noch einige weitere Empfehlungen rund um die Sicherheit mit Wordpress veröffentlicht. Da ich mit Wordpress seltener arbeite, verweise ich an dieser Stelle gerne dahin, auch da hier sicherlich noch weitere aktuelle Artikel online veröffentlicht werden.



Unter Android nutze ich als zweiten Faktor zur Anmeldung in zwei Schritten die Apps Google Authenticator oder FreeOTP. Aber auch einige Passwortmanager haben eine entsprechende Verwaltung eines zweiten Faktor (2FA/OTP) (siehe Artikel) integriert.

 

Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer


Zum Thema Datenschutz noch als kleiner Hinweis, dass sich auch der Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" erneut aktualisiert wurde.

Abseits davon dürfte auch gerade für Autor:innen interessant sein, dass  das Thema VG Wort und Steuern einige Updates heute erfahren hat.

Hier bin ich unter anderem intensiver auf das Thema
Aber auch ganz konkret (mit Zahlenbeispiel) auf die Themen: eingegangen. Hintergrund war, dass ich mir erst einmal selbst klar werden wollte, was es mit dieser Aufstellung für das Jahr 2019 auf sich hatte und mich dann sehr über eine positive Rückmeldung erhalten habe von jemandern der sich hier ebenfalls intensiver damit auseinander gesetzt hat und selbst im Netz dann auf meine Seite landete... daher weise ich an dieser Stelle auch gerne für andere darauf hin. Unter "Autorenleben" finden sich auch weitere Quellen die für Autor:innen nicht nur im Bezug auf Steuer und VG Wort interessant sein können.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Espresso Tutorial - die digitale SAP Bibliothek



Diesen Artikel zitieren:
Unkelbach, Andreas: »Wordpress Sicherheit : Zugang zu Wordpress unter anderen mit 2FA / OTP als zweiten Faktor absichern, Schnittstellen deaktivieren, Benutzer und Rollenkonzept und Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 16.8.2020, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1119 (Abgerufen am 4.12.2020)

Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Kommentare

Tobias Homepage am 18.8.2020 um 09:27 Uhr
Hallo Andreas,
wir nutzen bei einigen Wordpress-Sites auch eine Integration mit Office365 für die wiederum 2FA aktiviert ist. So hat man dann gleich Single-Sign-On, wenn man eh angemeldet ist.
Plugin: https://www.wpo365.com/

Grüße!


Andreas Unkelabch Homepage am 18.8.2020 um 10:00 Uhr
Guten Morgen Tobias,

vielen Dank für den Hinweis. Neben Single-Sign-On habt ihr damit auch noch den Vorteil, dass grundsätzlich auch die Benutzerverwaltung unabhängig von der Wordpres Installation funktioniert. Dieses hat so durchaus charmante Züge :-).

Gerade für die ehrenamtlich betreute Seite erscheint es mir als eine gute Idee hier eine doch sehr verbreitete Software zu nutzen und durch die diversen Plugins lassen sich, auch in Hinblick auf die Sicherheit, noch einige Anpassungen vornehmen die mir durchaus gefallen.

Es ist eben doch eine gute Idee hier den Ratschlag meiner Frau (Unkelbach.art / schattenbaum.net) zu befolgen und für eine Seite an der auch andere Personen Schreibrechte erhalten eine aktuelle Softwareumgebung zu nutzen :-).

Wobei mir das von ihr für diese Seite entwickelte System ebenfalls gut gefällt :-).

Viele Grüße und eine erfolgreiche Woche
Andreas


Auch kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert; die angegebene E-Mail wird nicht veröffentlicht: beim Versenden als "Normaler Kommentar" ist die Angabe eines Namen erforderlich, gerne kann hier auch ein Pseudonyme oder anonyme Angaben gemacht werden (siehe auch Kommentare und Beiträge in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)

Name (sofern kein Name angegeben wird erscheint Anonym):



Ich nutze zum Schutz vor Spam-Kommentaren (reine Werbeeinträge) eine Wortliste, so dass diese Kommentare nicht veröffentlicht werden. Sollte ihr Kommentar nicht direkt veröffentlicht werden, kann dieses an einen entsprechenden Filter liegen.

Im Zweifel besteht auch immer die Möglichkeit eine Mail zu schreiben oder die sozialen Medien zu nutzen. Meine Kontaktdaten finden Sie auf »Über mich« oder unter »Kontakt«. Ansonsten antworte ich tatsächlich sehr gerne auf Kommentare und freue mich auf einen spannenden Austausch.

Normaler Kommentar

Name:

E-Mail (wird nicht veröffentlicht und ist nicht erforderlich):

Homepage:

Kommentar:





* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Hinauf




Werbung



Logo Andreas-Unkelbach.de
Andreas Unkelbach Blog
ISSN 2701-6242

© 2004 - 2020 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter XING Linkedin

Amazon Librarything

Berichtswesen im SAP®-Controlling von Andreas Unkelbach
Privates

Kaffeekasse 📖 Wunschliste