So erholen Sie sich nach einer WordPress-2FA-Sperre

Dec 28, 2023

Home » Security Bloggers Network » So stellen Sie eine WordPress-2FA-Sperre wieder her

Die Verwendung von 2FA zur Sicherung Ihrer WordPress-Website ist bei weitem eine der besten Sicherheitsmaßnahmen, die Sie ergreifen können. Es bietet eine zusätzliche Sicherheitsebene und ist gleichzeitig sehr einfach einzurichten. Darüber hinaus kann es nachweislich die überwiegende Mehrheit der Login-basierten Angriffe, wie zum Beispiel Brute-Force-Angriffe, stoppen. Während viele WordPress-Administratoren bereits 2FA implementiert haben, scheuen einige immer noch vor dieser Technologie zurück. Ein wesentlicher Grund dafür ist das Missverständnis über Aussperrungen.

In diesem Artikel befassen wir uns mit präventiven Maßnahmen, die Sie ergreifen können, um Aussperrungen zu vermeiden. Wir schauen uns auch an, was Sie tun können, wenn Sie aufgrund eines Verlusts des 2FA-Geräts oder eines Dienstausfalls ausgesperrt wurden.

Inhaltsverzeichnis

2FA kann mithilfe eines WordPress-Plugins problemlos auf jeder WordPress-Website implementiert werden. In den meisten Fällen funktioniert das Plugin unabhängig von anderen Diensten und erfordert kein Abonnement eines Drittanbieters. Dadurch wird die Anzahl der „beweglichen Teile“ im Ökosystem reduziert. Für die Funktion einiger 2FA-Methoden wie SMS, WhatsApp und Sprache ist ein separates Abonnement erforderlich, da diese auf Netzwerke von Drittanbietern angewiesen sind, um das für die Funktion von 2FA erforderliche OTP (One Time Password) bereitzustellen.

In diesem Artikel verwenden wir das WP 2FA-Plugin, um die 2FA-Wiederherstellungsoptionen bei der Verwendung von 2FA auf WordPress zu veranschaulichen. Es ist zu beachten, dass WP 2FA nicht weniger als sechs verschiedene Authentifizierungskanäle zur Auswahl bietet, was es zu einem der umfassendsten WordPress 2FA-Plugins macht, die derzeit auf dem Markt erhältlich sind.

Eine vorausschauende Planung ist oft der beste Weg, um die Schmerzen einer 2FA-Aussperrung zu vermeiden. Unabhängig davon, ob Sie 2FA bereits konfiguriert haben oder sich noch in der Forschungsphase befinden, können Sie Maßnahmen ergreifen, um Aussperrungen zu vermeiden. Dadurch werden nicht nur Ihre Bedenken und die Ihrer Benutzer vor der Technologie gelindert, sondern auch Ausfallzeiten vermieden und Produktivitätsverluste vermieden.

Eines der Probleme, mit denen viele WordPress-Administratoren konfrontiert sind, besteht darin, dass Benutzer die Zwei-Faktor-Authentifizierung nicht innerhalb der vorgesehenen Kulanzfrist einrichten. Je nachdem, wie die Richtlinie konfiguriert ist, kann das Benutzerkonto gesperrt sein, sodass ein Administrator die Sperrung aufheben muss.

Dies mag zwar die sicherere Option sein, aber wenn Sie als Administrator mehr als Ihren gerechten Anteil an geistesabwesenden Benutzern verwalten, möchten Sie möglicherweise den Zugriff auf das Dashboard blockieren, bis stattdessen 2FA konfiguriert ist. Dadurch wird sichergestellt, dass Benutzer 2FA einrichten, ohne dass Sie eingreifen müssen, um das Konto zu entsperren.

WP2FA bietet eine Auswahl alternativer 2FA-Authentifizierungsmethoden, die Ihnen helfen, Sperren zu verhindern. Da es aus verschiedenen Gründen zu Sperrungen kommen kann, die außerhalb Ihrer Kontrolle liegen – beispielsweise wenn ein Benutzer sein Telefon vergisst oder verliert – ist es immer eine kluge Entscheidung, vorbeugende Maßnahmen zu ergreifen.

Mit alternativen Verifizierungsmethoden können Sie eine alternative 2FA-Methode wählen, falls die primäre Methode fehlschlägt. Hier kann ein Benutzer jede der verfügbaren Methoden als seine primären Methoden einrichten und dann eine sekundäre Methode vorkonfigurieren. Lassen Sie uns dies anhand eines Beispiels veranschaulichen. Für einen Benutzer ist möglicherweise die TOTP Authenticator-App als primäre Methode und die E-Mail-Adresse als zweite Methode festgelegt. Sollten sie ihr Telefon jemals vergessen, es zur Reparatur bringen oder der Akku leer sein, können sie sich stattdessen einfach dafür entscheiden, ihr OTP per E-Mail zu erhalten.

WP 2FA bietet auch Backup-Codes an, die Benutzer vorab herunterladen können, um sie zu verwenden, falls sie sich nicht mit ihrer primären Methode anmelden können.

Wenn Sie derzeit gesperrt sind und keine Sicherungsmethode oder sekundäre Methode konfiguriert haben, können Sie trotzdem wieder Zugriff auf Ihr WordPress-Konto erhalten. Allerdings erfordert es etwas mehr Arbeit, sollte aber nicht länger als ein paar Minuten dauern.

Bevor Sie fortfahren, sollten Sie zunächst prüfen, ob noch ein anderer Admin-Benutzer Zugriff auf WordPress hat. Wenn dies der Fall ist, können Sie sie über die Profilseite bitten, Ihre 2FA-Konfiguration zurückzusetzen.

Wenn es niemanden gibt, der Ihre 2FA-Konfiguration zurücksetzen kann, müssen Sie das Plugin manuell deaktivieren, damit Sie auf WordPress zugreifen können, ohne Ihren 2FA-Code eingeben zu müssen. Sie benötigen FTP/SFTP- oder SSH-Zugriff, um den Plugin-Ordnernamen umzubenennen. Dadurch wird das Plugin effektiv deaktiviert, sodass Sie sich ohne 2FA anmelden können.

Abhängig von der gewählten Methode kann es aus verschiedenen Gründen zu 2FA-Aussperrungen kommen. Wenn Sie wissen, warum Sie keinen Code erhalten oder warum der Code nicht funktioniert, können Sie Probleme viel schneller beheben.

Die E-Mail-Authentifizierung ist eine der einfachsten Möglichkeiten für Benutzer, ihren Authentifizierungscode für die Anmeldung zu erhalten. Diese Methode funktioniert zwar einwandfrei, Sie müssen jedoch bedenken, dass sie davon abhängt, dass Ihre WordPress-Website E-Mails rechtzeitig senden kann. Dies hängt auch von Faktoren ab, auf die Sie keinen Einfluss haben, beispielsweise darauf, dass Ihr Hosting-Anbieter solche E-Mails weiterleitet. WordPress verwendet die wp_mail-Funktion zum Versenden von E-Mails. Die Funktion basiert auf der PHP-Mail-Funktion, die nicht die zuverlässigste Option ist, um die Zustellung von E-Mails sicherzustellen. Eine weitere zu berücksichtigende Sache ist Ihr Hosting. Einige Hosting-Anbieter verbieten E-Mails komplett, um zu verhindern, dass ihre Server als Spam missbraucht werden.

Apps wie Google Authenticator und Authy bieten oft eine unkomplizierte Möglichkeit, den für die Anmeldung mit 2FA erforderlichen Einmalcode zu erhalten. Diese Apps verwenden einen zeitbasierten Algorithmus, um synchron zu bleiben, wobei die erste Synchronisierung über einen QR-Code erfolgt.

Apps und Server können nicht mehr synchron sein. Eine erneute Synchronisierung Ihrer App könnte Ihre Probleme daher beheben. Wenn Sie das Telefon wechseln, können Sie mit Google Authenticator Ihre Codes von einem Telefon auf ein anderes übertragen. Andererseits können Sie mit Authy Cloud-Backups Ihrer Codes erstellen. Sie müssen sich also zum Abrufen Ihrer Codes lediglich mit Ihren Zugangsdaten anmelden – sei es auf einem neuen Telefon oder sogar auf Ihrem PC oder Laptop.

Die Sicherheit von WordPress ist entscheidend für die Langlebigkeit Ihrer Website. 2FA ist eine niedrig hängende Frucht, die ein gutes Preis-Leistungs-Verhältnis bietet. Da viele namhafte Unternehmen und Experten hinter der Technologie stehen, ist ihre Wirksamkeit unbestreitbar. Dennoch befürchten viele Administratoren, dass die Sperrung von Benutzern mehr Ärger mit sich bringt, als 2FA wert ist. Wie dieser Artikel gezeigt hat, ist dies bei WP2FA nicht der Fall.

Da es so viele Möglichkeiten gibt, Benutzersperrungen zu vermeiden, gibt es keinen Grund, warum WordPress-Administratoren ihren Benutzern nicht 2FA anbieten sollten. Es empfiehlt sich immer, im Voraus zu planen, aber wir sind alle klüger, wenn wir rückblickend blicken. Aus diesem Grund haben wir auch darauf eingegangen, was Sie tun können, um den Zugriff nachträglich wiederherzustellen, und Ihnen alle Informationen gegeben, die Sie benötigen, um sicherzustellen, dass Ihre 2FA-Implementierung ein voller Erfolg wird.

Es gibt viele mögliche Gründe, warum Sie Ihre 2FA-E-Mail möglicherweise nicht erhalten. In den meisten Fällen kann es daran liegen, dass WordPress Probleme beim Senden von E-Mails hat oder ein Knoten in der Kette die E-Mail aus dem einen oder anderen Grund nicht richtig weiterleitet.

WP 2FA verfügt über einen integrierten E-Mail-Tester, mit dem Sie überprüfen können, ob die E-Mail gesendet wird. Dies ist jedoch nicht die ganze Geschichte und daher lohnt es sich, sich eine Minute Zeit zu nehmen, um zu verstehen, wie E-Mails gesendet und zugestellt werden.

Kurz gesagt: WP 2FA erstellt die E-Mail und leitet sie an WordPress weiter, das die E-Mail dann an den konfigurierten SMTP-Server sendet. WordPress verwendet dazu eine Funktion namens wp_mail, die auf der Mail-Funktion von PHP aufbaut. Auch wenn dies im Auslieferungszustand recht gut funktioniert, kann es dennoch zu Problemen kommen.

Ein Plugin wie Check & Log Email ist ein gutes Tool. Es protokolliert alle gesendeten E-Mails und stellt Tools zum Debuggen bereit. Mit WP 2FA können Sie auch die E-Mail-Zustellung testen, auf die Sie zugreifen können, indem Sie zu WP 2FA > Einstellungen > E-Mail-Einstellungen und -Vorlagen navigieren. Wenn hier alles gut geht, liegt das Problem möglicherweise weiter hinten. Möglicherweise möchten Sie sich für ein SMTP-E-Mail-Plugin entscheiden, um die Zuverlässigkeit der E-Mail-Zustellung zu verbessern.

Der Beitrag „Wie man eine WordPress-2FA-Sperre wiederherstellt“ erschien zuerst auf WP White Security.

*** Dies ist ein syndizierter Blog des Security Bloggers Network von WP White Security, verfasst von Joel Barbara. Lesen Sie den Originalbeitrag unter: https://www.wpwhitesecurity.com/recover-from-2fa-lockout/