Andreas Unkelbach
Logo Andreas Unkelbach Blog

Andreas Unkelbach Blog

ISSN 2701-6242

Artikel über Controlling und Berichtswesen mit SAP, insbesondere im Bereich des Hochschulcontrolling, aber auch zu anderen oft it-nahen Themen.


Werbung


Amazon Prime Probemitgliedschaft *

* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.


Sonntag, 16. August 2020
17:31 Uhr

Zugang zu Wordpress unter anderen mit 2FA / OTP als zweiten Faktor absichern und Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer

Dieses Wochenende habe ich mich eigentlich mehr mit SAP beschäftigt, aber da das Thema Sicherheit bei Zugängen zu Systemen nicht nur über die Benutzersteuerung und Rollenkonzept im SAP Umfeld ein wichtiges Thema ist mag ich auch hier im Blog einmal wieder einen der schon länger geplanten Artikel online stellen :-).

Im Artikel "Wordpress als CMS für die Internetseite unserer Kirchengemeinde auf kirche-miteinander.de" hatte ich ja schon erwähnt, dass es hilfreich ist sich, gerade bei bekannter Software auch Gedanken um die Sicherheit zu machen.

Gerade bei Wordpress sollte hier das Thema Updates eine besondere Bedeutung haben. Hier gehe ich (meistens) nach folgenden Muster vor, sofern ein größeres Update anliegt:
  1. Backup :-)
  2. Themes und Plugins aktualisieren
  3. Wordpress aktualisieren
  4. Schauen ob noch alles funktioniert
Aber neben dieser allgemein wohl empfehlenswerten Vorgehensweise für jede Software ist gerade bei öffentlichen Seiten auch die Frage der Zugangssicherheit für Redakteure aber auch Admins ein wichtiges Thema.

Hier nutze ich bei der von mir eingesetzten Wordpress Version zwei Plugins um den Zugang für Unbefugte etwas zu erschweren.

Plugins zur Zugangssicherheit von Wordpress


Wie bereits im vorherigen Artikel erwähnt reduziere ich die Möglichkeit sich am Passwort der User zu vesuchen (BruteForce) und habe die Anzahl der Anmeldungen entsprechend reduziert, so dass bei mehrmaliger Falschanmeldung die IP Anschrift gesperrt wird.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded Von WPChef
URL: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/
Gerade in Richtung Sicherheit sollte zumindest das Login etwas abgesichert werden. Dieses Plugin setzt hier DSGVO konform auf einen gewissen Schutz, was brute force Angriffe anbelangt.

Plugin Limit Login Attempts

Damit sind zumindest mehrere Versuche gesperrt und die IP werden nur als HASH gespeichert. Natürlich sollte dennoch kein Name wie Admin für den Administratorzugang gewählt werden.

Zwei-Faktor-Authentifizierung 2FA mit Wordpress

Da ich aber vemehrt mitbekommen habe, dass hier auch immer mal wieder automatische Anmeldeversuche getestet werden (meist für den nicht vorhandenen User Admin aber auch für tatsächlich vorhandene User habe ich nun doch das Thema 2FA ebenfalls per Plugin umgesetzt.

Das Thema habe ich auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" näher vorgestellt und entsprechend lag es nahe dieses auch in der eigenen Seite umzusetzen.

Plugin Two-Factor

Two-Factor Von Plugin Contributors
URL: https://de.wordpress.org/plugins/two-factor/

Nachdem das Plugin installiert ist können die einzelnen User:innen über ihr Profil einen zweiten oder mehrere Faktoren zur Absicherung ihres Account anlegen. Als Admin kann ich dieses auch in der Userliste und sehen wer diesen Faktor aktiviert hat.

Im Profil habe ich dann mehrere Möglichkeiten wie ich meinen Zugang konkret sichern möchte:

Two-Factor-Einstellungen im Profil

Hier kann der zweite Faktor ein Code per Mail (der dann nach der Angabe von Benutzername und Passwort zugesandt wird) oder auch ein zeitlich limitiertes Einmalpasswort (OTP / OneTimePasswort dass dann per App am Smartphone generiert wird) sein. Neben QR Code kann auch der darunter befindliche Schlüssel zur Authentifizierung in der App eingetragen werden. Für beide habe ich die Daten aber verborgen, so dass der QR Code auf eine andere Seite und die darunterbefindliche Nummer (hier allerdings blau anonymisiert) eingetragen werden kann.


Als weitere Möglichkeiten stehen hier Backupscode oder auch FIDO Universal 2nd Factor (U2F)  zur Verfügung.

Zum Thema FIDO2 (nicht zu verwechseln mit FidoNet) hat Heise unter "Passwort-Nachfolger FIDO2" eine FAQ veröffentllicht.


Die Backupscode sind sehr praktisch, sollte einmal der Authenticator nicht vorhanden sein (Smartphone kaputt) und hier eine neue Registrierung eines zweiten Faktors erforderlich sein. Daher empfiehlt es sich hier einen zweiten Faktor in der Spalte "Aktiviert" zu markieren, so dass im Falle eines Falles eine alternative Anmeldung möglich ist.

Als letzte Möglichkeit kann auch der Pluginordner per FTP umbenannt werden, wenn man gar keine andere Möglichkeit mehr sieht.

Nachdem ein entsprechender Faktor eingerichtet worden ist und der bevorzugte Faktor ausgewählt wurde (bei mir tatsächich 2FA) funktioniert nun die Anmeldung bei Wordpress in zwei Schritten.

Die erste Anmeldung erfolgt mit Benutzername und Passwort:

Wordpresss Anmeldung mit Benutzername oder E-Mail und Passwort

Wenn dieses erfolgreich ist kommt es nun aber zur Nachfrage des zweiten Faktors:

2FA - Authentifizierungscode f�r Wordpress

Da ich auch noch alternative Anmeldungsmöglichkeiten als zweiten Faktor aktiviert habe kann ich hier auch auf E-Mail oder Backup-Verifizierungs-Code umstellen.

Fazit

Auch für die Internetredaktion unserer Kirchengemeinde war die Einrichtung eines zweiten Faktors keine große Hürde und tatsächlich scheint das Bewustsein für Sicherheit für Zugänge hier ebenfalls breit akkzeptiert zu sein.

Da das ganze optional ist, habe ich mich sehr gefreut, dass es in der Breite angenommen wurde.

Unter Android nutze ich als zweiten Faktor zur Anmeldung in zwei Schritten die Apps Google Authenticator oder FreeOTP. Aber auch einige Passwortmanager haben eine entsprechende Verwaltung eines zweiten Faktor (2FA/OTP) (siehe Artikel) integriert.

Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer


Zum Thema Datenschutz noch als kleiner Hinweis, dass sich auch der Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" erneut aktualisiert wurde und gerade für Autor:innen dürfte auch das Thema VG Wort und Steuern einige Updates gebracht haben.

Hier bin ich unter anderem intensiver auf das Thema
Aber auch ganz konkret (mit Zahlenbeispiel) auf die Themen: eingegangen. Hintergrund war, dass ich mir erst einmal selbst klar werden wollte, was es mit dieser Aufstellung für das Jahr 2019 auf sich hatte und mich dann sehr über eine positive Rückmeldung erhalten habe von jemandern der sich hier ebenfalls intensiver damit auseinander gesetzt hat und selbst im Netz dann auf meine Seite landete... daher weise ich an dieser Stelle auch gerne für andere darauf hin. Unter "Autorenleben" finden sich auch weitere Quellen die für Autor:innen nicht nur im Bezug auf Steuer und VG Wort interessant sein können.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Espresso Tutorial - die digitale SAP Bibliothek

Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Kommentare

Tobias Homepage am 18.8.2020 um 09:27 Uhr
Hallo Andreas,
wir nutzen bei einigen Wordpress-Sites auch eine Integration mit Office365 für die wiederum 2FA aktiviert ist. So hat man dann gleich Single-Sign-On, wenn man eh angemeldet ist.
Plugin: https://www.wpo365.com/

Grüße!


Andreas Unkelabch Homepage am 18.8.2020 um 10:00 Uhr
Guten Morgen Tobias,

vielen Dank für den Hinweis. Neben Single-Sign-On habt ihr damit auch noch den Vorteil, dass grundsätzlich auch die Benutzerverwaltung unabhängig von der Wordpres Installation funktioniert. Dieses hat so durchaus charmante Züge :-).

Gerade für die ehrenamtlich betreute Seite erscheint es mir als eine gute Idee hier eine doch sehr verbreitete Software zu nutzen und durch die diversen Plugins lassen sich, auch in Hinblick auf die Sicherheit, noch einige Anpassungen vornehmen die mir durchaus gefallen.

Es ist eben doch eine gute Idee hier den Ratschlag meiner Frau (Unkelbach.art / schattenbaum.net) zu befolgen und für eine Seite an der auch andere Personen Schreibrechte erhalten eine aktuelle Softwareumgebung zu nutzen :-).

Wobei mir das von ihr für diese Seite entwickelte System ebenfalls gut gefällt :-).

Viele Grüße und eine erfolgreiche Woche
Andreas


Auch kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert; die angegebene E-Mail wird nicht veröffentlicht: beim Versenden als "Normaler Kommentar" ist die Angabe eines Namen erforderlich, gerne kann hier auch ein Pseudonyme oder anonyme Angaben gemacht werden (siehe auch Kommentare und Beiträge in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)

Name (sofern kein Name angegeben wird erscheint Anonym):



Ich nutze zum Schutz vor Spam-Kommentaren (reine Werbeeinträge) eine Wortliste, so dass diese Kommentare nicht veröffentlicht werden. Sollte ihr Kommentar nicht direkt veröffentlicht werden, kann dieses an einen entsprechenden Filter liegen.

Im Zweifel besteht auch immer die Möglichkeit eine Mail zu schreiben oder die sozialen Medien zu nutzen. Meine Kontaktdaten finden Sie auf »Über mich«. Ansonsten antworte ich tatsächlich sehr gerne auf Kommentare und freue mich auf einen spannenden Austausch.

Normaler Kommentar

Name:

E-Mail (wird nicht veröffentlicht und ist nicht erforderlich):

Homepage:

Kommentar:





* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Hinauf




Werbung



Logo Andreas-Unkelbach.de
Andreas Unkelbach Blog
ISSN 2701-6242

© 2004 - 2020 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter XING Linkedin

Amazon Librarything

Schnelleinstieg ins SAP-Controlling (CO) von Martin Munzel und Andreas Unkelbach – 2., erweiterte Auflage
Privates

Kaffeekasse 📖 Wunschliste