So erholen Sie sich von einem WordPress 2FA-Lockout
Veröffentlicht: 2023-02-08Die Verwendung von 2FA zur Sicherung Ihrer WordPress-Website ist bei weitem eine der besten Sicherheitsmaßnahmen, die Sie ergreifen können. Es fügt eine zusätzliche Sicherheitsebene hinzu und ist gleichzeitig sehr einfach einzurichten. Darüber hinaus hat es eine nachgewiesene Erfolgsbilanz beim Stoppen der überwiegenden Mehrheit von Login-basierten Angriffen, wie z. B. Brute-Force-Angriffen. Während viele WordPress-Administratoren 2FA bereits implementiert haben, schrecken einige noch vor dieser Technologie zurück. Ein Hauptgrund dafür ist das Missverständnis über Aussperrungen.
In diesem Artikel sehen wir uns vorbeugende Maßnahmen an, die Sie ergreifen können, um Aussperrungen zu vermeiden. Wir werden uns auch ansehen, was Sie tun können, wenn Sie aufgrund eines Verlusts des 2FA-Geräts oder eines Dienstausfalls ausgesperrt wurden.
Inhaltsverzeichnis
- 2FA auf WordPress
- So planen Sie voraus – wie Sie 2FA-Aussperrungen verhindern
- Schonfrist für die Einrichtung von 2FA
- Alternative 2FA-Verifizierungsmethoden
- So planen Sie danach – wie Sie sich anmelden, wenn Sie derzeit ausgesperrt sind
- Warum kommt es zu Aussperrungen?
- 2FA-E-Mail-Authentifizierung
- 2FA Authenticator-App-Authentifizierung
- WP2FA – Haben Sie den 2FA-Kuchen und essen Sie ihn auch
- Häufig gestellte Fragen
- Ich erhalte meine 2FA-E-Mail nicht – was kann ich tun?
- Wie behebe ich Probleme mit der E-Mail-Zustellbarkeit von WordPress?
2FA auf WordPress
2FA kann einfach auf jeder WordPress-Website mit einem WordPress-Plugin implementiert werden. In den meisten Fällen funktioniert das Plugin unabhängig von anderen Diensten und erfordert kein Abonnement eines Drittanbieters. Dies reduziert die Anzahl der „beweglichen Teile“ im Ökosystem. Einige 2FA-Methoden wie SMS, WhatsApp und Sprache erfordern ein separates Abonnement, um zu funktionieren, da diese von Drittanbieternetzwerken abhängen, um das OTP (One Time Password) bereitzustellen, das für die Funktion von 2FA erforderlich ist.
In diesem Artikel verwenden wir das WP 2FA-Plugin, um die 2FA-Wiederherstellungsoptionen bei der Verwendung von 2FA auf WordPress zu veranschaulichen. Es sollte beachtet werden, dass WP 2FA mit nicht weniger als sechs verschiedenen Authentifizierungskanälen zur Auswahl kommt, was es zu einem der umfassendsten WordPress 2FA-Plugins macht, die heute auf dem Markt erhältlich sind.
So planen Sie voraus – wie Sie 2FA-Aussperrungen verhindern
Vorausplanung ist oft der beste Weg, um die Schmerzen einer 2FA-Sperre zu vermeiden. Unabhängig davon, ob Sie 2FA bereits konfiguriert haben oder sich noch in der Forschungsphase befinden, gibt es Schritte, die Sie unternehmen können, um Sperrungen zu vermeiden. Dies wird nicht nur die Bedenken Ihrer Benutzer und Ihrer Benutzer gegenüber der Technologie zerstreuen, sondern auch Ausfallzeiten vermeiden und Produktivitätsverluste eliminieren.
Schonfrist für die Einrichtung von 2FA
Eines der Probleme, mit denen viele WordPress-Administratoren konfrontiert sind, ist, dass Benutzer die Zwei-Faktor-Authentifizierung nicht innerhalb der vorgesehenen Nachfrist einrichten. Je nach Konfiguration der Richtlinie kann das Benutzerkonto gesperrt sein, sodass ein Administrator die Sperrung aufheben muss.
Dies ist zwar möglicherweise die sicherere Option, aber wenn Sie ein Administrator sind, der mehr als Ihren fairen Anteil an zerstreuten Benutzern verwaltet, möchten Sie möglicherweise den Zugriff auf das Dashboard blockieren, bis stattdessen 2FA konfiguriert ist. Dadurch wird sichergestellt, dass Benutzer 2FA einrichten, ohne dass Sie von Ihrer Seite eingreifen müssen, um das Konto zu entsperren.
Alternative 2FA-Verifizierungsmethoden
WP2FA bietet eine Auswahl an alternativen 2FA-Authentifizierungsmethoden, um Ihnen dabei zu helfen, Aussperrungen vorzubeugen. Da es zu Sperrungen aus verschiedenen Gründen kommen kann, die außerhalb Ihrer Kontrolle liegen können – beispielsweise wenn ein Benutzer sein Telefon vergisst oder verliert – ist es immer eine kluge Entscheidung, vorbeugende Maßnahmen zu ergreifen.
Mit alternativen Verifizierungsmethoden können Sie eine alternative 2FA-Methode auswählen, falls die primäre Methode fehlschlägt. Hier kann ein Benutzer jede der verfügbaren Methoden als primäre Methode einrichten und dann eine sekundäre Methode vorkonfigurieren. Lassen Sie uns dies an einem Beispiel veranschaulichen. Ein Benutzer hat möglicherweise die TOTP Authenticator-App als primäre Methode und E-Mail als zweite Methode festgelegt. Sollten sie jemals ihr Telefon vergessen, es zur Reparatur bringen oder der Akku leer sein, können sie sich stattdessen einfach dafür entscheiden, ihr OTP per E-Mail zu erhalten.
WP 2FA bietet auch Backup-Codes, die Benutzer vorab herunterladen können, um sie zu verwenden, falls sie sich nicht mit ihrer primären Methode anmelden können.
So planen Sie danach – wie Sie sich anmelden, wenn Sie derzeit ausgesperrt sind
Wenn Sie derzeit gesperrt sind und keine Sicherungsmethode oder sekundäre Methode konfiguriert haben, können Sie trotzdem wieder auf Ihr WordPress-Konto zugreifen. Es wird jedoch etwas mehr Arbeit erfordern, sollte aber nicht länger als ein paar Minuten dauern.
Bevor Sie fortfahren, sollten Sie zunächst prüfen, ob es einen anderen Admin-Benutzer gibt, der noch Zugriff auf WordPress hat. Wenn dies der Fall ist, können Sie sie bitten, Ihre 2FA-Konfiguration über die Profilseite zurückzusetzen.
Wenn es niemanden gibt, der Ihre 2FA-Konfiguration zurücksetzen kann, müssen Sie das Plugin manuell deaktivieren, damit Sie auf WordPress zugreifen können, ohne Ihren 2FA-Code eingeben zu müssen. Sie benötigen einen FTP/SFTP- oder SSH-Zugang, um den Plugin-Ordnernamen umzubenennen. Dadurch wird das Plugin effektiv deaktiviert, sodass Sie sich ohne 2FA anmelden können.
Warum kommt es zu Aussperrungen?
2FA-Sperren können je nach gewählter Methode aus verschiedenen Gründen auftreten. Wenn Sie wissen, warum Sie keinen Code erhalten oder warum der Code nicht funktioniert, können Sie Probleme viel schneller beheben.
2FA-E-Mail-Authentifizierung
Die E-Mail-Authentifizierung ist eine der einfachsten Möglichkeiten, wie Benutzer ihren Authentifizierungscode für die Anmeldung abrufen können. Obwohl diese Methode perfekt funktioniert, müssen Sie bedenken, dass sie davon abhängt, dass Ihre WordPress-Website E-Mails rechtzeitig senden kann. Es hängt auch von Faktoren ab, die außerhalb Ihrer Kontrolle liegen, wie z. B. ob Ihr Hosting-Provider solche E-Mails weiterleitet.
WordPress verwendet die Funktion wp_mail, um E-Mails zu versenden. Die Funktion basiert auf der Mail-Funktion von PHP, die nicht die zuverlässigste Option ist, um die Zustellung von E-Mails sicherzustellen. Eine andere zu berücksichtigende Sache ist Ihr Hosting. Einige Hosting-Anbieter verbieten E-Mails direkt, um zu vermeiden, dass ihre Server als Spam verwendet werden.
2FA Authenticator-App-Authentifizierung
Apps wie Google Authenticator und Authy bieten oft eine unkomplizierte Möglichkeit, den einmaligen Code zu erhalten, der für die Anmeldung mit 2FA erforderlich ist. Diese Apps verwenden einen zeitbasierten Algorithmus, um synchron zu bleiben, wobei die erste Synchronisierung über einen QR-Code erfolgt.
Apps und Server können nicht mehr synchron laufen, daher könnte eine erneute Synchronisierung Ihrer App Ihre Probleme beheben. Wenn Sie das Telefon wechseln, können Sie mit Google Authenticator Ihre Codes von einem Telefon auf ein anderes übertragen. Andererseits können Sie mit Authy Cloud-Backups Ihrer Codes erstellen, sodass Sie sich zum Abrufen Ihrer Codes nur mit Ihren Anmeldeinformationen anmelden müssen – sei es auf einem neuen Telefon oder sogar auf Ihrem PC oder Laptop.
WP2FA – Haben Sie den 2FA-Kuchen und essen Sie ihn auch
Die Sicherheit von WordPress ist entscheidend, um die Langlebigkeit Ihrer Website zu gewährleisten. 2FA ist eine Low-Hanging-Fruit, die einen ordentlichen Knall für Ihr Geld bietet. Da sich viele namhafte Unternehmen und Experten hinter der Technologie versammeln, ist ihre Wirksamkeit unbestreitbar. Viele Administratoren befürchten jedoch, dass Benutzersperrungen mehr Ärger bereiten, als 2FA wert ist. Wie dieser Artikel gezeigt hat, ist dies bei WP2FA nicht der Fall.
Bei so vielen Möglichkeiten, Benutzersperrungen zu vermeiden, gibt es keinen Grund, warum WordPress-Administratoren ihren Benutzern keine 2FA anbieten sollten. Es wird immer empfohlen, im Voraus zu planen, aber wir sind alle klüger, wenn wir rückblickend schauen. Aus diesem Grund haben wir auch darauf hingewiesen, was Sie tun können, um den Zugriff nachträglich wiederherzustellen, und Ihnen alle Informationen gegeben, die Sie benötigen, um sicherzustellen, dass Ihre 2FA-Implementierung ein voller Erfolg wird.
Häufig gestellte Fragen
Ich erhalte meine 2FA-E-Mail nicht – was kann ich tun?
Es gibt viele mögliche Gründe, warum Sie Ihre 2FA-E-Mail möglicherweise nicht erhalten. In den meisten Fällen könnte es ein Problem sein, dass WordPress Probleme beim Senden von E-Mails hat oder ein Knoten in der Kette aus dem einen oder anderen Grund die E-Mail nicht richtig weiterleitet.
WP 2FA wird mit einem integrierten E-Mail-Tester geliefert, mit dem Sie überprüfen können, ob die E-Mail gesendet wird. Dies ist jedoch nicht die ganze Geschichte, und daher lohnt es sich, sich eine Minute Zeit zu nehmen, um zu verstehen, wie E-Mails gesendet und zugestellt werden.
Kurz gesagt, WP 2FA erstellt die E-Mail und leitet sie an WordPress weiter, das die E-Mail dann an den konfigurierten SMTP-Server sendet. WordPress tut dies, indem es eine Funktion namens wp_mail verwendet, die auf der Mail-Funktion von PHP aufbaut. Obwohl dies von Haus aus ziemlich gut funktioniert, kann es zu Problemen führen.
Wie behebe ich Probleme mit der E-Mail-Zustellbarkeit von WordPress?
Ein Plugin wie Check & Log Email ist ein gutes Tool. Es protokolliert alle gesendeten E-Mails und bietet Tools zum Debuggen. Mit WP 2FA können Sie auch die E-Mail-Zustellung testen, auf die Sie zugreifen können, indem Sie zu WP 2FA > Einstellungen > E-Mail-Einstellungen und -Vorlagen navigieren. Wenn hier alles gut geht, kann das Problem weiter unten liegen. Möglicherweise möchten Sie sich für ein SMTP-E-Mail-Plugin entscheiden, um die Zuverlässigkeit der E-Mail-Zustellung zu verbessern.