Immer wieder berichten wir darüber, dass Cyberkriminelle die Passwort-Absicherung von WordPress-Webseiten sehr oft mit BruteForce-Angriffen auf die Admin-Oberflächen (/wp-login.php) zu knacken versuchen. In vielen Fällen gelingt ihnen das auch und die Webseiten werden ungewollt zu Malware- oder Phishing-Schleudern.
2 Faktor-Authentifizierung mit dem Yubikey!
Um BruteForce-Attacken wirkungsvoll und nachhaltig zu unterbinden, empfehlen wir den Einsatz einer 2-Faktor-Authentifizierung, z.B. mit einem Yubikey!
Der Yubikey simuliert eine USB-Tastatur. Wie Sie auf dem Bild erkennen können, hat er nur einen (goldenen) Kopf. Jedes Mal, wenn der Benutzer den Knopf drückt, wird ein neuer OneTime Token erzeugt, der serverseitig validiert wird und den Benutzer authentifiziert.
Ein spezieller Treiber ist nicht notwendig. Sie können den Yubikey an jedem PC anschließen, der USB-Tastaturen unterstützt.
Mit Yubikeys hebeln Sie auch Passwort-Diebe, wie Trojaner und Keylogger aus: Denn selbst wenn diese ausgespäht wurden, haben sie für den Angreifer keinen Nutzen! Sie verfallen nach der einmaligen Nutzung.
Jeder Nutzer, der sich an Ihrem WordPress mittels 2-Faktor-Authentifizierung anmelden soll, benötigt hierzu einen eigenen Yubikey! Diese können Sie z.B. über den Hersteller-Shop beziehen.
Und so aktivieren Sie den sicheren Login mittels Yubikey!
Um Ihr WordPress mit einer 2-Faktor-Authentifizierung mittels Yubikey abzusichern, benötigen Sie zunächst den Yubikey des Administrators, das WordPress Plugin “yubikey-plugin” und einen Yubikey API Key.
Diesen API Key erzeugen Sie wie folgt:
- Sie benötigen hierzu Ihren Yubikey!
- Besuchen Sie dann die Webseite von Yubico: https://upgrade.yubico.com/getapikey/
- Tragen Sie bei “Your e-mail address” Ihre E-Mail-Adresse ein
- Stecken Sie den Yubikey in einen freien USB-Slot
- Fokussieren Sie das Eingabefeld hinter “YubiKey one-time password“
- Drücken Sie den “goldenen Knopf” auf dem YubiKey
- Der API Key besteht aus zwei Elementen: Der Client ID und dem Secret Key!
Warnung: Bitte halten Sie diese Informationen geheim. Es wird empfohlen, dass Sie pro Anwendung / Webseite einen eigenen API-Key erzeugen!
Installieren des WordPress Plugins “yubikey-plugin”!
Um die 2-Faktor-Authentifizierung und WordPress zu aktivieren, loggen Sie sich nunmehr mit einem administrative User in Ihrem WordPress ein!
- Navigieren Sie zu Plugins > Installieren und geben Sie in die Suchmaske “yubikey” ein.
- Sie befinden sich im Menü “Plugin hinzufügen“
- Wählen Sie aus den Ergebnissen das Plugin mit dem Namen “yubikey-plugin” aus
- Klicken Sie auf “Installieren“
- Durch einen Klick auf “Aktiviere dieses Plugin” im darauffolgenden Dialogfenster schließen Sie die Installation ab.
- Nach der erfolgten Aktivierung finden Sie unter “Einstellungen” nun einen neuen Eintrag: “Yubikey”.
Einrichten des “yubikey-plugin”
Um das WordPress Plugin nun mit der Yubico Authentifizierungs Cloud zu verbinden, müssen Sie die zuvor erzeugten Informationen zur Yubico API (Client ID und Secret Key) in den Einstellungen des Plugins hinterlegen:
- Navigieren Sie hierzu zu Einstellungen > Yubikey und hinterlegen Sie hier die Daten zu Ihrem API-Key!
- Sie befinden sich im Menü “Yubikey Plugin Optionen“
- Tragen Sie in das Feld “Yubico API ID” die Client ID ein
- Hinterlegen Sie im Feld “Yubico API Schlüssel” den Secret Key ein
- Speichern Sie die Einstellungen durch einen Klick auf “Änderungen speichern“
Yubikey Authentifizierung für WordPress-Nutzer aktivieren!
Nun müssen in den Profilen der jeweiligen Nutzer die entsprechenden Yubikey hinterlegen. Dies muss jeder Nutzer selbst tun! Die Einstellungen hierzu finden Sie in den Profilen der WordPress-Nutzer:
- Navigieren Sie hierzu in Benutzer > Dein Profil.
- Um die 2-Fakto-Authenrtifizierung für Ihren User zu aktivieren, wählen Sie unter den “Yubikey Einstellungen” die Option “Verwende den Yubico Server“.
- Stecken Sie Ihren Yubikey in einen freien USB-Slot und fokussieren Sie das Feld hinter “Schlüssel ID 1“.
- Drücken Sie den “goldenen Knopf” auf dem YubiKey
- Schließen Sie Ihre Konfiguration durch einen Klick auf “Profil aktualisieren” (ganz unten auf der Seite) ab
Pro WordPress-Nutzer können bis zu drei YubiKeys zur Anmeldung in den Einstellungen des Nutzerprofils hinterlegt werden. Da bei einem Verlust des Yubikeys keine Anmeldung möglich ist, empfehlen wir dass zumindest für den Admin-User 2 Yubikeys konfiguriert werden.
Einrichtung abgeschlossen? Funktion testen
Ab sofort sollte eine Anmeldung an Ihrem Account nur noch mit eingestecktem Yubikey möglich sein. Um dies zu testen, müssen Sie sich nunmehr aus dem WordPress ausloggen. Unterhalb des Passwort-Feldes ist nun ein weiteres Feld (Yubikey OTP) verfügbar. Ohne eingesteckten Yubikey sollte nun keine Anmeldung möglich sein.
- Geben Sie wie gewohnt Ihren Benutzernamen und das dazu gehörende Kennwort ein.
- Stecken Sie Ihren Yubikey in einen freien USB-Slot und fokussieren Sie das Eingabefeld Yubikey OTP
- Drücken Sie daraufhin den “goldenen Knopf” auf dem YubiKey.
- Sie sollten nun automatisch eingeloggt werden.
Weitere fertige Einbindungen des Yubikey gibt es beispielsweise für Drupal, Joomla und Mediawiki, selbst ein Apache-Modul fehlt nicht.