047 - Für die Sicherheit - 2 Faktor in WordPress

00:00:00: Online Banking ohne zweiten Faktor, heute kaum mehr vorstellbar. In dieser

00:00:05: Episode geht es darum, um ein zwei Faktor Pluckin für WordPress.

00:00:11: Moin aus Hamburg und herzlich willkommen im Nerdcafé Podcast. Den Podcast rund um

00:00:22: WordPress, Hosting, CMS und Web. Ich bin Johannes Meierhofer, ich bin dein

00:00:29: Host und ich bin Experte und Trainer für WordPress. Mit diesem Podcast helfe ich

00:00:35: dir dabei alle Themen, die dich interessieren, wenn du mit einem eigenen

00:00:39: Webseiten Projekt starten möchtest, besser zu verstehen. Und jetzt wünsche ich dir

00:00:44: ganz viel Spaß mit der Podcast Episode. Immer wieder habe ich ja hier im Podcast

00:00:49: schon über WordPress Sicherheit und Plugins und Backups und so weiter gesprochen.

00:00:54: Und heute möchte ich dir mal ausführlicher ein Pluckin vorstellen, mit dem du deine

00:00:59: Webseite mit einem zweiten Faktor zusätzlich absichern kannst.

00:01:04: Zweiter Faktor, das kennst du vielleicht vom Online Banking oder von anderen

00:01:08: Webseiten, wo eine hohe Sicherheitsanforderung besteht. Das heißt, du lockst dich in

00:01:14: dein System ein mit Benutzernamen und Passwort und muss dann noch einen

00:01:19: zusätzlichen zweiten Faktor eingeben. Diesen zweiten Faktor bekommst du entweder

00:01:24: über so eine Authenticator App wie Google Authenticator zum Beispiel oder

00:01:29: per E-Mail oder per SMS oder auf einem anderen Weg. Manchmal, wenn du diesen

00:01:35: zweiten Faktor des Geräts des zweiten Faktors verloren hast, bekommst du auch

00:01:39: erst mal einen Brief, wo du eine Kennung zugeschickt bekommst, also per

00:01:46: wirkliche echter Post und erst dann kannst du dich wieder einloggen. Zum

00:01:50: Beispiel bei der Barma so. Wenn ich meinen Barma, mein Passwort, vergesse und mich

00:01:56: einloggen will in meinen Benutzer-Account, muss ich erst abwarten, bis dieser Brief

00:02:00: dann da ist. Als Vorbereitung für die Episode, wenn du dich jetzt noch gar nie

00:02:05: mit Pluckins beschäftigt hast, kannst du gerne mal in die Episode 16

00:02:10: reinhören. Da gebe ich so ein paar Tipps, worauf man achten kann, ganz allgemein

00:02:15: beim Installieren von Pluckins und beim Updaten von Pluckins und auch in der

00:02:21: Episode 13. Da geht es um Sicherheit passenderweise bei der Zahl 13. Da habe

00:02:26: ich mir gedacht, auch da ist ganz gut, wenn du da noch mal reinhörst, weil die drei

00:02:31: Episoden, also die heutige und die 13 und die 16, sich da ganz gut ergänzen.

00:02:37: Und wenn du magst, kannst du auch noch mal in die Episode 45 reinhören.

00:02:42: Die habe ich gerade erst vorletzte Woche veröffentlicht. Da ging es um Benutzer und

00:02:47: Benutzerrollen. Und gerade die Benutzerrollen haben ja direkt mit diesem

00:02:51: zweiten Faktor zu tun. Also die drei Episoden kann ich dir von weg schon mal

00:02:56: ans sogenannte Herz legen. Bei den zwei Faktor Pluckins gibt es natürlich auch

00:03:01: eine ganze Menge und es gibt auch so Pluck-In-Sammlungen, wie zum Beispiel

00:03:07: Word-Fans, wo du einen zweiten Faktor auch mit dabei hast. Ich kann es persönlich

00:03:12: nicht so der wahnsinnig große Fan von diesen Pluck-In-Sammlungen, weil die

00:03:17: ganz oft eine ganze Menge an Dinge mitbringen, die du vielleicht gar nicht

00:03:21: brauchst. Und dann hast du Doppelungen und die sind auch vom Umfang her so

00:03:26: groß und machen die Seite oft auch langsamer, weil sie halt so viele Dinge

00:03:31: mitbringen und so viel auch Code bedeuten, dass das auch oft nicht immer gibt,

00:03:39: auch Ausnahmen, aber ganz oft geht das Ganze auch nach hinten los.

00:03:42: Aber würde ich dir das vorweg von dieser großen Pluck-In-Sammlung

00:03:47: abraten und empfehle dir heute einfach mal eins. Das heißt WP-2FA. Wenn du in deinem

00:03:54: WordPress-Dashboard bist, kannst du einfach mal in den Bereich Pluck-Ins

00:04:00: gehen und dann nach WP-2FA suchen und dann siehst du schon, die ersten Treffer

00:04:09: sind wahrscheinlich bei dir ähnlich wie bei mir jetzt. Ich sehe erst mal Word-Fans,

00:04:14: Security, WP-Staging, Jetpack, Really Simple Security, soll noch ein paar

00:04:20: andere, die alle wirklich sehr große Tools sind. Gerade Jetpack würde ich aus

00:04:26: Datenschutzgründen nicht empfehlen, die bringen eine ganze Menge an.

00:04:30: Dinge, mit die wir gar nicht brauchen und die auch datenschutzrelevant sind,

00:04:35: zumindest in Deutschland. Wenn du ein bisschen weiter runter scrollst,

00:04:39: kommst du zu einem, das heißt WP-2FA, Two-Factor Authentication for WordPress.

00:04:48: Hatt jetzt zum Stand, wo ich hier draufschaube, 60.000 Installationen

00:04:53: wurde gerade vor einer Woche zum letzten Mal aktualisiert und ich sehe, das ist

00:04:58: auch kompatibel mit meiner WordPress-Version. Die Entwicklerfirma hier ist

00:05:02: MelaPress. Ich poste aber auch den Link zu den Pluck-Ins direkt in den Show-Notes.

00:05:08: Ich habe mit den Entwicklern hier nichts zu tun. Ich kriege da keine Provision oder

00:05:14: irgendwas. Ich finde nur, das Pluck-Ins ist einfach gut und habe das auch bei mir und

00:05:18: ein paar Projekten im Einsatz und da bisher immer sehr, sehr gute Erfahrungen gemacht.

00:05:24: Das ist einfach eine erfahrungsbasierte Empfehlung. Wenn du es installiert hast,

00:05:31: kannst du es auch gleich konfigurieren und kannst dann auch sagen, über welchen

00:05:37: Weg soll denn dieser zweite Faktor erfolgen, welche Benutzerrollen sollen das

00:05:43: denn machen, welche einzelnen Benutzer soll man daraus davon vielleicht wiederum

00:05:51: oder man kann da sehr individuell vorgehen. Die Tipps, die ich dir jetzt noch gebe,

00:05:57: die sind eher generell, weil du vielleicht sagst, ich habe ein anderes Plug-in oder ich habe

00:06:03: so eine Plug-in-Sammlung, wo das eh dabei ist oder ich habe das über irgendeine andere Art und Weise

00:06:08: in meinem System schon drin. Deswegen gebe ich dir jetzt allgemeine Tipps, was ich dir empfehlen

00:06:13: würde und wo genau du das dann einstellst, ist ja von deinem jeweiligen Plug-in auch abhängig.

00:06:19: Moin aus dem Schnitt und ganz kurze Unterbrechung. Wenn dir dieser Episode gefällt, nutzt doch gerne

00:06:29: die Chance und lasst mir ein Abo da. Wenn du magst, empfehle den Podcast gerne weiter,

00:06:33: das würde mich sehr freuen. Und würde noch mehr Menschen die Möglichkeit geben,

00:06:38: WordPress zu verstehen. Jetzt aber weiter mit der Episode.

00:06:41: Also ich würde empfehlen, einen zweiten Faktor zu erzwingen. Das geht hier mit dem Plug-in,

00:06:49: was ich vorstelle, auf jeden Fall. Und es sollte bei den meisten anderen auch gut funktionieren.

00:06:54: Ich würde es erzwingen für Administrator-Rollen auf jeden Fall und am besten auch für die

00:07:00: anderen Benutzer-Accounts. Aber es ist wirklich sehr, sehr wichtig für die Administrator-Rollen.

00:07:06: Und ich möchte auch niemanden ausschließen. Das heißt, das ist für alle, die in meinem System

00:07:12: irgendwie eine Berechtigung oder ein Account haben, Pflicht dieses Plug-in einzurichten.

00:07:18: Ich persönlich bin einfach Fan von dem Google Authenticator, weil ich den schon lange habe.

00:07:23: Das funktioniert bei mir mit allen Accounts. Ich habe das auf fast jeder Webseite, wo es geht,

00:07:29: auch drin. Es ist aber auch egal, was für ein Authenticator. Es gibt den auch von Microsoft

00:07:35: und von anderen Firmen. Die machen alle ähnliche Dinge. Du musst beim ersten Mal so ein QR-Code

00:07:42: fotografieren. Dann bekommst du in deiner App, welcher auch immer du benutzt, eine sechsstellige

00:07:48: Zahl oder eine achtstellige Zahl, meistens sechsstellig angezeigt und musst dann diese Zahl

00:07:55: noch zusätzlich eingeben zu deinem Passwort. Dann wird einmal damit, wird einmal quasi dein Account

00:08:01: mit dem zweiten Faktor verknüpft. Und ab jetzt musst du jedes Mal bei jedem Blogin von WordPress

00:08:07: diesen zweiten Faktor auch eingeben. Das heißt, du brauchst das Gerät, das mit deinem, das quasi

00:08:15: deinen zweiten Faktor errechnet, musst du natürlich immer dabei haben. Deswegen empfehle

00:08:20: ich hier einfach ein Handy zu nehmen, weil das Handy hast du sowieso quasi immer dabei. Davon

00:08:26: gehe ich jetzt zumindest einfach mal aus. Hier mit dem WP2FA kannst du jetzt noch festlegen, ob

00:08:32: so eine Übergangsfrist gibt. Das heißt, wenn du es jetzt heute einrichtest, kannst du sagen, okay,

00:08:37: die nächsten drei Tage soll das noch parallel laufen. Danach muss man aber, das kommt jetzt

00:08:45: darauf an, wie groß dein Team ist. Nimm nur einen Riesenteam, hast mit einer riesen Webseite,

00:08:48: ist natürlich sinnvoll, da eine gewisse Übergangsfrist einzustellen. Wenn du ein, zwei

00:08:55: Leute hast oder ich bin ja in meiner Webseite auch alleine, dann mache ich das natürlich sofort

00:09:00: und erzwinge das sofort für mich als Administrate und für die anderen Rollen, die so im System

00:09:07: drin sind, würde ich es wie gesagt auch sehr empfehlen. Das Plug-in, was ich dir jetzt hier

00:09:12: vorgestellt habe, ist tatsächlich in der Grundkonfiguration mit allem, was ich jetzt erklärt

00:09:17: habe, auch sogar kostenlos. Ich finde aber für eine Funktion, die mir ja so viel hilft und die

00:09:25: auch in der Premium-Variante noch ein paar mehr Optionen anbietet, ist es auch völlig fein

00:09:31: und legitim dafür zu bezahlen, weil die Entwickler*innen ja auch, dass da viel Arbeit reinstecken und mir

00:09:40: auch viel Risiken abnehmen, nämlich dieses Risiko, dass meine Webseite vielleicht angegriffen wird.

00:09:48: 100% ausschließen kann man das nie. Es ist auch klar, trotzdem der Tipp, wenn du das Plug-in

00:09:54: wirklich regelmäßig nutzt oder auch andere Plug-ins, die du regelmäßig nutzt, gibt deinen

00:10:00: Shout-Out, gibt deinen Geld, weil du ja mehr Wett davon hast, auch den jeweiligen Entwickler*innen,

00:10:07: bitte. Das mal so als Zusammenfassung von dem WP2FA Plug-in. Ich wiederhole doch mal ganz

00:10:16: kurz, ich würde empfehlen für alle Benutzerrollen, die Administratorechte haben und am besten

00:10:22: auch für alle anderen, den zweiten Faktor einzurichten. Das erhöht einfach die Sicherheit

00:10:28: bzw. verringert die Wahrscheinlichkeit, dass ein Angriff passiert und allein das ist ja schon

00:10:37: eine gute Idee oder ein guter Grund, dieses Plug-in zumindest mal auszuprobieren. Das war's von

00:10:43: dieser Folge, damit sage ich Tschüss, das heißt Auf Wiedersehen. Ich freue mich, wenn wir uns hier

00:10:51: sehr bald wiedersehen bzw. hören. Wenn du darauf auch Lust hast, abonnier doch am besten diesen

00:10:57: Podcast und empfehle ihn auch deinen Freund*innen und Kollegen, denn so wird die Reichweite

00:11:02: einfach nochmal vergrößert. Bei LinkedIn findet außerdem jede Woche meistens am Donnerstag

00:11:08: das Nerdcafé Live statt. Hier tausche ich mich regelmäßig mit verschiedenen Expert*innen über

00:11:14: deren Fachgebiete aus. So kann ich meine fachliche Filterbabel erweitern und über den eigenen

00:11:20: Tellerrand schauen. Und auch du kannst davon profitieren, denn im Nerdcafé Live hast du die

00:11:25: Möglichkeit, deine Fragen zu stellen. Ich hoffe, du konntest heute einiges mitnehmen, wenn du magst,

00:11:31: schick mal doch deinen Feedback und Themenwünsche an die Espresso@nerdcafé.online. Espresso@nerdcafé.online. Tschüss!

00:11:39: Tschüss.

00:11:40: [Pause]