Das Jahr 2024 ist fast rum – ich kann sagen: Erfreulicherweise ganz ohne Sicherheitslecks und -hacks auf meinen Servern, also auch meinen Kundenprojekten in der Managed Cloud. Wesentliche Bausteine dafür sind eine sichere Konfiguration, regelmäßige Updates, vertrauenswürdige Plugins und natürlich sichere Passwörter.
Das ist wichtig – für jede Website, egal, worum es geht. Websites stehen unter ständigem Beschuss, von dem man im Regelfall nichts mitbekommt. Ausgehend sind häufig infizierte Computer, die als Botnetze agieren und automatisiert nach Sicherheitslücken in Webseiten suchen, um diese für kriminelle Zwecke zu missbrauchen. Die Website muss also keinem Unternehmen mit Millionen-Umsatz gehören oder tausende Klicks am Tag haben, um aus krimineller Sicht »interessant« zu sein. Zu den typischen Absichten gehört die Verbreitung von Malware, Phishing, Datenklau oder der Versand von Spam-E-Mails — dafür taugen auch kleine Websites.
Das Passwort
Deshalb erklärt es sich von selbst, ein sicheres Passwort für den Administrationsbereich wählen zu müssen. Ein sicheres Passwort besteht aus mindestens 12 Zeichen und kombiniert Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen in einer zufälligen Reihenfolge, die keine erkennbaren Wörter oder persönliche Informationen enthält. Noch wichtiger als die Komplexität ist die Einzigartigkeit des Passworts, weshalb für jeden Dienst ein anderes Passwort verwendet werden sollte. Mit einem Passwortmanager wie »Bitwarden« oder »1Password« kann man dabei den Überblick behalten.
Der zweite Faktor
Aber das sicherste Passwort kann durch Phishing-Attacken, Keylogger oder Datenlecks bei Diensteanbietern kompromittiert werden, weshalb eine zusätzliche Absicherung sehr sinnvoll ist. Die Zwei-Faktor-Authentisierung (kurz: 2FA) fügt eine zweite Sicherheitsebene hinzu, indem sie neben dem Passwort (»etwas, das man weiß«) einen zweiten Faktor wie einen zeitbasierten Code (»etwas, das man hat«) erforderlich macht. Nur das Passwort reicht zum Login nicht mehr aus.
Der zeitbasierte Code ist eine Art Einmalpasswort, das nur kurz funktioniert. Erzeugt werden kann es zum Beispiel mit Apps wie »Google Authenticator« oder »Microsoft Authenticator«, aber zum Beispiel auch den zuvor erwähnten Passwortmanagern.
Alternativ kann ein zeitlich befristeter Code auch per E-Mail zugesandt werden. Das braucht keine weitere App, aber ist auch nur dann ein zweiter Faktor, wenn das E-Mailkonto und das Administrationskonto nicht wiederum das gleiche Passwort haben. :-)
Übrigens: So menschlich, wie das Vergessen von Passwörtern ist, gibt es dafür auch bei der Zwei-Faktor-Authentisierung Lösungen. Bevor das zeitbasierte Passwort oder der Versand von Codes per E-Mail eingerichtet wird, können auch Backup-Codes gespeichert werden.
WordPress
Ein wesentlicher Teil meiner Kundenprojekte läuft mit WordPress. Leider bringt WordPress von Haus aus keine Möglichkeit zur Zwei-Faktor-Authentisierung mit, aber zum Glück existieren auch für diesen Zweck reichlich Erweiterungen. Ich habe mich dabei nach diversen Tests für Two-Factor entschieden.
Die Installation ist ruckzuck erledigt, zur Konfiguration muss beim jeweiligen Benutzerkonto nur noch der zweite Faktor eingerichtet werden. Ich nutze in der Regel E-Mail oder eine Authenticator-App, den FIDO U2F Sicherheitsschlüssel würde ich dabei erst einmal außen vor lassen. Das war’s. Nachdem man zum bekannten Login in den Administrationsbereich von WordPress die richtige Kombination von E-Mail/Username und Passwort eingegeben hat, folgt nun eine weitere Maske, in der man eben jenen zweiten Faktor eingeben muss.
Weitere Administrationsoberflächen
WordPress läuft als Content-Management-System auf einem Webserver, in der Regel bei einem Webhoster. Dieser bietet ebenso ein Login, teilweise mehrere Logins in verschiedene Administrationsoberflächen zum Konfigurieren des Webservers. Es ist wichtig, dass diese Logins ebenso mit einem zweiten Faktor abgesichert werden, weil davon auch die Sicherheit vom installierten WordPress abhängt.
In meinem Managed Hosting gebe ich meinen Kundinnen und Kunden auch gerne den Zugriff auf Ihre Daten. Natürlich lässt sich diese Oberfläche auch mit einem zweiten Faktor absichern.
