Die 7 besten WordPress Zwei-Faktor-Authentifizierungs-Plugins: Sichere Anmeldung

Es ist leicht zu übersehen, wie wichtig es ist, starke und sichere Passwörter für Ihre Websites und Anwendungen zu verwenden. In einer Zeit großer Datenschutzverletzungen, in der die Überprüfung, ob Sie pwned wurden, zu einer Notwendigkeit geworden ist, kann niemand behaupten, dass er von potenziell weitreichenden Sicherheitsrisiken ausgenommen ist.

Kürzlich wurde eine der größten sozialen Plattformen, Quota, von böswilligen Hackern kompromittiert. Das Ergebnis? Mehr als 100 Millionen Benutzern wurden ihre persönlichen Daten offengelegt. Auf Namen, E-Mails, Passwörter (verschlüsselt) und andere vertrauliche Informationen wurde von einer Partei außerhalb von Quora zugegriffen.

Diese Art von Angriff mag so aussehen, als hätte er nichts mit Ihnen persönlich zu tun, aber wenn Sie sich jemals bei Quora angemeldet haben, sind Sie dem Risiko ausgesetzt, dass auch Ihre anderen Konten kompromittiert werden.

Andere große Verstöße der letzten Zeit sind Adobe, LinkedIn, und zuletzt haben Hacker einen Weg gefunden, eines der beliebtesten WordPress-DSGVO-Plugins auszunutzen.

Hier kommt 2FA (Zwei-Faktor-Authentifizierung) für WordPress ins Spiel. Im Gegensatz zu herkömmlichen passwortgeschützten Seiten führt 2FA eine zweite Ebene der Identitätsprüfung ein, die WordPress-Websites schützen kann.

In diesem Beitrag stellen wir die sieben besten WordPress-Zwei-Faktor-Authentifizierungs-Plugins zum Schutz Ihrer Website vor.

1. Zwei-Faktor
2. WP 2FA
3. Zwei-Faktor-Authentifizierung
4. miniOrange 2FA
5. Duo-Zwei-Faktor-Authentifizierung
6. Rublon
7. Sicherheitszeichen

Was ist WordPress Zwei-Faktor-Authentifizierung (2FA)?

Haben Sie schon einmal Ihr Passwort auf einer Seite wie Google oder Amazon vergessen? Als Sie versuchten, es zurückzusetzen, wurden Sie aufgefordert, Ihre Identität mit einem einprägsamen Satz oder durch Senden eines PIN-Codes an Ihr Mobiltelefon zu bestätigen. Dies ist die grundlegende Implementierung der Zwei-Faktor-Verifizierung.

Einfach in dem Sinne, dass Sie Ihre Identität nur zweimal verifizieren müssen, nachdem Sie den Zugriff auf Ihr Konto verloren haben.

Ein robusterer und sichererer Ansatz besteht darin, sicherzustellen, dass jeder Anmeldeversuch durch eine Zwei-Faktor-Verifizierung geschützt ist.

Zu den beliebtesten Methoden für die Zwei-Faktor-Authentifizierung gehören externe E-Mail-Adressen, die Verwendung einer Handy-App wie Google Authenticator oder Authy, um auf einen Sicherheitscode (TOTP oder HOTP) zuzugreifen, hardwarebasierte Token (z. B. YubiKey), die Protokolle wie FIDO verwenden, SMS oder Telefonanrufe und einprägsame Sätze zusätzlich zum Passwort.

Glücklicherweise gibt es eine große Anzahl von WordPress-Plugins, die Zwei-Faktor-Authentifizierungslösungen bieten. Einige Plugins nutzen Dienste wie Google Authentication oder Authy, während andere völlig andere Methoden implementieren, wie z. B. E-Mail-Verifizierung und benutzerdefinierte Push-Benachrichtigungen.

Sieben beste WordPress Zwei-Faktor-Authentifizierungs-Plugins

1. Zwei-Faktor

Two-Factor ist ein 100% kostenloses Zwei-Faktor-Authentifizierungs-Plugin, das von einer Reihe bekannter WordPress-Kernmitwirkender stammt.

Abgesehen davon, dass es kostenlos ist, ist sein herausragendes Merkmal, dass es eine Reihe verschiedener Authentifizierungsmethoden unterstützt, darunter:

• E-Mail-Codes
• TOTP – funktioniert mit jeder Authentifizierungs-App wie Google Authenticator
• FIDO Universal 2nd Factor (U2F) – ermöglicht es Benutzern, physische Sicherheitsschlüssel wie YubiKey zu verwenden
• Sicherungscodes

Die Hauptnachteile des Plugins sind wie folgt:

1. Es eignet sich zwar hervorragend zum Sichern Ihres eigenen Kontos, bietet jedoch nicht so viele Optionen zum Erzwingen der Zwei-Faktor-Authentifizierung für verschiedene Arten von Benutzern auf Ihrer Website.
2. Es bietet keine Integrationen für die textbasierte Authentifizierung.

Alles in allem, wenn Sie nur Ihr eigenes WordPress-Konto sichern möchten (plus vielleicht die Konten einiger Mitwirkender), ist diese 100% kostenlose Option ein großartiger Ausgangspunkt.

2. AP 2FA

WP 2FA ist ein beliebtes WordPress-Zwei-Faktor-Authentifizierungs-Plugin von WP White Security, dem gleichen Team hinter einer Reihe bekannter Sicherheitstools. Vor allem das Plugin WP Activity Log.

Mit WP 2FA können Sie die Zwei-Faktor-Authentifizierung über eine Vielzahl von Methoden in den kostenlosen und kostenpflichtigen Versionen einrichten.

Die kostenlose Version unterstützt alle gängigen Authenticator-Apps – zB Google Authenticator oder Authy. Die kostenpflichtige Version bietet eine erweiterte Authy-Integration, die Zwei-Faktor-Authentifizierung per SMS, Push-Benachrichtigung, WhatsApp und eingehende Anrufe unterstützt.

Es unterstützt auch einmalige Sicherungscodes, falls Benutzer den Zugriff auf ihre Methode verlieren.

Sie können auch anpassbare Zwei-Faktor-Richtlinien einrichten, was ein großer Bereich ist, in dem es sich gegenüber dem vorherigen Plugin auszeichnet. Beispielsweise könnten Sie bestimmte Benutzerrollen dazu zwingen, zwei Faktoren zu verwenden, während Sie es für andere optional machen.

Sie können auch auf andere nützliche Funktionen wie vertrauenswürdige Geräte, Benutzer-Onboarding mit Zwei-Faktor-Einrichtung und mehr zugreifen.

Es gibt eine funktionierende kostenlose Version bei WordPress.org und die kostenpflichtige Version beginnt bei nur 29 $.

3. Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein Freemium-Plugin von denselben Entwicklern wie das beliebte UpdraftPlus-Backup-Plugin.

Es unterstützt die Methoden TOTP und HOTP, mit denen Sie jede Authentifizierungs-App wie Google Authenticator oder Authy verwenden können.

Die Premium-Version fügt auch Notfall-Backup-Codes hinzu, falls der Benutzer den Zugriff auf das Gerät verliert.

Einer der Bereiche, in denen sich dieses Plugin gegenüber dem obigen Two-Factor-Plugin auszeichnet, ist die Einrichtung von Richtlinien und die Verwaltung verschiedener Benutzertypen. Hier sind einige Beispiele:

• Aktivieren/deaktivieren Sie zwei Faktoren für verschiedene Benutzerrollen. Erfordern Sie es beispielsweise für Administratoren, aber nicht für Abonnenten.
• Aktivieren/deaktivieren Sie zwei Faktoren für bestimmte Benutzerrollen.
• Verwalten Sie die Zwei-Faktor-Aktion anderer Benutzer über Ihr Admin-Konto.
• Vertrauenswürdige Geräte zulassen, damit Benutzer dasselbe Gerät für einen bestimmten Zeitraum (z. B. 30 Tage) nicht verifizieren müssen.

Es hat auch einige andere nette Funktionen, wie z. B. eine Option für Benutzer, zwei Faktoren vom Frontend aus zu verwalten.

Es ist jedoch in seinen Zwei-Faktor-Methoden etwas eingeschränkt – es gibt keine Möglichkeit, Hardwareschlüssel, E-Mail oder SMS/Telefonanrufe zu verwenden.

Es gibt eine funktionierende kostenlose Version auf WordPress.org und die kostenpflichtige Version beginnt bei nur ~ $ 24.

4. miniOrange 2FA

nahtlose Authentifizierungslösungen von miniOrange zum Schutz der Offenlegung sensibler Daten. Das WordPress-Plug-in des Unternehmens wurde entwickelt, um eine einfache Integration mit dem Google Authenticator-Dienst zu ermöglichen. Dennoch können Sie zusätzliche Authentifizierungsmethoden wie scannbare QR-Codes, Push-Benachrichtigungen, Softtoken und Sicherheitsfragen verwenden.

Nach der Aktivierung des Plugins können Sie zum miniOrange-Dashboard wechseln und mit der Konfiguration Ihrer bevorzugten Methode zur Authentifizierungsüberprüfung beginnen. Das intuitive Schnittstellendesign macht es einfach, schnell eine Lösung auszuwählen, die sich für Sie richtig anfühlt.

Es ist wichtig zu beachten, dass miniOrange erfordert, dass Sie ihre mobile Anwendung installieren, wenn Sie robustere Verifizierungstechniken wie Push-Benachrichtigungen und QR-Codes verwenden möchten.

Die kostenlose Version beschränkt 2FA auf einen einzelnen Benutzer pro Site. Wenn Sie 2FA für mehr als einen Benutzer aktivieren möchten, müssen Sie eine kostenpflichtige Option in Betracht ziehen. Der Vorteil der Verwendung der Premium-Version besteht darin, dass Sie zusätzliche Authentifizierungsmethoden aktivieren können. Insbesondere SMS- und E-Mail-Verifizierung.

Wenn Sie einen kleineren Blog betreiben und der einzige aktive Administrator sind, sollte die kostenlose Version mehr als ausreichen, um die Sicherheit Ihrer Website angemessen zu gewährleisten.

5. Duo-Zwei-Faktor-Authentifizierung

Duo ist ein robustes „2FA as a Service“-Plugin, um die Sicherheit Ihres WordPress-Kontos zu gewährleisten. Die Konfiguration des unkomplizierten Onboarding-Prozesses dauert nur wenige Minuten.

Nachdem Sie die Konfiguration des Plugins abgeschlossen haben, wird Ihrer WordPress-Site eine weitere Sicherheitsebene hinzugefügt.

Wie Sie oben sehen können, werden Benutzer, nachdem sie sich mit ihren Standard-WordPress-Anmeldeinformationen angemeldet haben, aufgefordert, ihre Identität mit einer der von Ihnen gewählten Duo-Authentifizierungsmethoden zu bestätigen.

Die vollständige Liste der von Duo bereitgestellten Authentifizierungsmethoden umfasst:

• Einfacher Anmeldezugriff mit der Duo-App, sodass Sie Ihre Identität schnell und einfach nachweisen können.
• Von der Anwendung generierter benutzerdefinierter Passcode. Funktioniert auch im Offline-Modus.
• Ein benutzerdefinierter Passcode, der per SMS an Ihre Telefonnummer gesendet wird. Wiederum großartig, wenn Sie keinen Internetzugang haben.
• Einfacher Rückruf sowohl zu Festnetz- als auch zu Mobilfunknummern.

Wenn Sie sich auf die Sicherheit Ihrer WordPress-Site verlassen möchten (zusätzlich zu einem Backup), dann ist Duo eine der benutzerfreundlichsten Optionen auf dem Markt.

6. Rublon

Es ist eine bekannte Tatsache, dass Hacker immer neue Methoden und Techniken ausprobieren, um in Websites einzudringen. Und wenn Sie vertrauliche Informationen verwalten, gibt es keine Entschuldigung dafür, die Extrameile zu gehen, um Schutz auf Branchenniveau zu gewährleisten.

Dies ist die Prämisse von Rublon, einer fortschrittlichen und ausgeklügelten Zwei-Faktor-Authentifizierungslösung. Sie können zahlreiche Überprüfungsmethoden konfigurieren, z. B. einen Link zur Bestätigung an Ihre E-Mail senden lassen. Rublon speichert Ihre Geräteinformationen und ermöglicht Ihnen, sich nur mit einem Passwort darauf anzumelden.

Darüber hinaus können Sie die Rublon-App verwenden, um Ihre Site-Sicherheit überall hin mitzunehmen. Melden Sie sich mit Ihrem Standard-Benutzernamen/Passwort an und bestätigen Sie Ihre Identität, indem Sie den QR-Code mit Ihrem Telefon scannen.

Das Beste daran ist, dass Sie dieses Plugin installieren und es vergessen können. Keine anstrengenden Lernkurven oder komplexen Funktionen, nur einfache 2FA-Sicherheit für WordPress-Sites.

7. SecSign

SecSign bietet eine universelle mobile 2FA-Authentifizierungserfahrung für WordPress-Sites. Das Plugin verwendet modernste Verschlüsselungsmethoden, um einen Brute-Force-Schutz zu gewährleisten.

Darüber hinaus werden von SecSign generierte private Schlüssel niemals mit einem externen Server verbunden. Stattdessen werden Schlüssel direkt von der mobilen App erstellt und Sie sind die einzige Person, die sie sieht.

Der Hauptunterschied zwischen diesem und anderen Plugins in dieser Zusammenfassung besteht darin, dass SecSign seine persönliche ID-Plattform verwendet: SecSign ID. Das bedeutet, dass Sie Ihre WordPress-Anmeldeinformationen überhaupt nicht verwenden werden. Stattdessen können Sie das SecSign-Portal verwenden, um eindeutige ID-Namen für jeden Ihrer Benutzer zu generieren.

Infolgedessen können Sie Überprüfungsmethoden wie Fingerabdrücke (für Apple-Benutzer) und weniger komplizierte Techniken wie die benutzerdefinierte Bildauswahl nutzen.

Welches Zwei-Faktor-Authentifizierungs-Plugin sollten Sie verwenden?

Die Auswahl des besten WordPress-Zwei-Faktor-Authentifizierungs-Plugins hängt wirklich von zwei Hauptdingen ab:

1. Die Zwei-Faktor-Authentifizierungsmethoden, die Sie verwenden möchten. ZB physische FIDO-Schlüssel vs. TOTP-Smartphone-Apps.
2. Wie viel Flexibilität Sie benötigen, um die Zwei-Faktor-Authentifizierung für verschiedene Arten von Benutzern durchzusetzen.

Natürlich könnte auch Ihr Budget ins Spiel kommen.

Wenn Sie nur Ihr eigenes WordPress-Konto schützen möchten, ist das Two-Factor-Plugin ein großartiger Ausgangspunkt, da es eine Reihe verschiedener Methoden unterstützt und einfach zu verwenden ist.

Auf der anderen Seite möchten Sie vielleicht WP 2FA oder Zwei-Faktor-Authentifizierung in Betracht ziehen, wenn Sie in eine oder mehrere der folgenden Situationen passen:

1. Sie möchten die Zwei-Faktor-Authentifizierung für andere Benutzer auf Ihrer Website erzwingen, einschließlich möglicherweise unterschiedlicher Regeln für verschiedene Arten von Benutzern. Beispielsweise benötigen Sie möglicherweise zwei Faktoren für Editor-Benutzerrollen, aber nicht für Abonnenten-Benutzerrollen.
2. Sie möchten SMS oder Telefonanrufe als Authentifizierungsmethode verwenden.

WP 2FA kann mit beiden Dingen umgehen, was es zu einer großartigen Allround-Option macht. Die Zwei-Faktor-Authentifizierung leistet gute Arbeit beim Einrichten von Richtlinien für verschiedene Arten von Benutzern, unterstützt jedoch keine SMS oder Telefonanrufe als Zwei-Faktor-Methode.

Einpacken

Datensicherheit ist unbezahlbar. Das Risiko von Angriffen kann Ihre Markenidentität beschädigen, das Vertrauen der Benutzer in Ihr Produkt oder Ihre Dienstleistungen verringern und Kopfschmerzen und Zeitverlust verursachen, wenn Ihre Website gehackt wird. Obwohl keine 100-prozentige Sicherheit garantiert werden kann, ist die Zwei-Faktor-Authentifizierung eine der besten Techniken, um unbefugten Website-Zugriff zu verhindern.

Die Plugins, die wir in diesem Beitrag untersucht haben, sind unglaublich schnell zu installieren und schmerzlos einfach zu konfigurieren. Auch wenn Ihnen die Idee, eine mobile Anwendung zu verwenden, nicht gefällt, ist es besser, Ihr Telefon zu verwenden, um den Zugriff auf Ihre Website zu überprüfen, oder einen eindeutigen Code an einem sicheren Ort zu speichern, als sich nur auf ein einziges Passwort zu verlassen.

Weitere Informationen zu Best Practices für die Sicherheit finden Sie unter 14 Möglichkeiten zum Sichern Ihrer WordPress-Site – Schritt für Schritt und 10 Plugins zum Erhöhen der WordPress-Sicherheit.