Absicherung von WordPress durch Einmalpasswörter (One-Time-Passwords)

WordpressIm Internet ist man vielfachen Gefahren ausgesetzt, dies sollte sich inzwischen herumgesprochen haben.
Wenn man sich über ein WordPress-Blog eine Reputation im Internet aufbauen möchte, dann ist es ziemlich peinlich, wenn über dieses Blog Schadcode, wie Viren, Würmer und Trojaner verteilt werden. In diesem Beitrag geht es darum, wie man eine empfindliche Stelle im Blog zuverlässig mit Passwörter absichern kann, die nur einmal gültig sind.

Ein Einmalpasswort (engl. One-Time-Passwords) wird generiert und ist genau für eine Anmeldung gültig. Dies hat viele Vorteile, denn man kann das Passwort auch in unsicheren Netzwerken, wie unverschlüsselten WLans, Internetcafés oder Rechnern die Tastatureingaben aufzeichnen, verwenden. Das Passwort wird nach einmaligem Gebrauch ungültig.

AchtungWenn man eine eigene WordPress-Installation betreibt, mit individuell ausgewählten Plugins, dann sollte man gewisse Grundlagen beherrschen:

  1. Regelmäßige Backups und Updates durchführen.
  2. Informationen über Schädlinge und deren Gefahrenpotential prüfen.
  3. Anmeldungen und Veränderungen im Blog prüfen.

Wem dies zu aufwendig ist oder zu viel Mühe bereitet, sollte eine WordPress-Installation von http://wordpress.com benutzen, wo sich Administratoren um diese wichtigen Aufgaben kümmern…

Das Ganze funktioniert so, dass man beim Anmelden eine Nummer und einen Zeichencode angezeigt bekommt. Beides gibt man z.B. auf seinem Mobiltelefon ein und ein weiteres nur dem Benutzer bekanntes Passwort ein. Das Mobiltelefon generiert dann das Einmalpasswort zum Anmelden.
Dadurch, dass das geheime Passwort nur auf dem Mobiltelefon eingegeben wird und niemals über das Internet übertragen wird, kann es nicht abgefangen und missbraucht werden.

Für die Installation im WordPressblog braucht man folgendes Plugin: One-Time Password

Nach der Installation des Plugins hat man im Admininterface unter Einstellungen einen neuen Menüpunkt One-Time Passwort. Dort kann man im Bereich One-Time Passwortliste erstellen die Einmalpasswörter generieren. Dazu muss zuerst ein geheimes Passwort gewählt und bestätigt werden. Die Zähler/Folgenummer gibt an, wie viele Einmalpasswörter generiert werden sollen. Der Defaultwert ist 50 und bedeutet, dass man sich 50x anmelden kann, bevor man wieder Einmalpasswörter generieren muss. Der Seed sollte möglichst kurz gewählt werden (max 4 Zeichen) damit man auf dem Mobiltelefon nicht so viel eintippen muss. Als Algorithmus wählt man md5, da andere ältere Mobiltelefone überfordern könnten.

WordpressDas war es. Das Blog ist abgesichert und man kann sich nur noch mit Einmalpasswörter anmelden. Jetzt muss noch das Mobiltelefon vorbereitet werden.

Auf javafähigen Mobiltelefonen kann man j2me-otp einsetzen. Dazu muss man sich die Dateien: jotp.jadjotp.jar herunterladen und auf dem Mobiltelefon installieren.

Eine weitere Möglichkeit ist der Einsatz von OTPGen [1].

Für das iPhone gibt es eine App: OTP Generator.

Comments

  1. Pingback: t3n.de/socialnews
  2. @Fabian – danke für den Hinweis. Ich habe es korrigiert…

    ReplyReply

    Well-loved. Like or Dislike: Thumb up 5 Thumb down 0

  3. Hidden due to low comment rating. Click here to see.

    Poorly-rated. Like or Dislike: Thumb up 0 Thumb down 5

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe without commenting