WordPress mit Zwei-Faktor-Authentifizierung absichern

Nach langer Zeit endlich mal einen neuen Beitrag von mir… In den letzten Tagen habe ich mich einmal ein wenig damit beschäftigt, meine diversen Zugänge etwas besser abzusichern und natürlich musste dann auch bei WordPress etwas passieren. Durch Zufall bin ich über die Zwei-Faktor-Authentifizierung gestolpert. Das Verfahren war mir bereits durch die RSA SecurID bekannt, aber dass man es auch in WordPress einsetzen kann, war mir neu.
Die Idee dahinter ist, dass man zusätzlich zu seinem Benutzernamen und Login noch einen Code eingeben muss, der über einen anderen Kanal (z.B. eine Smartphone App, einen USB Key, …) generiert wird und nur für einen kurzen Zeitraum gültig ist (TOTP – Time Based One Time Password). Auf diese Weise verhindert man, dass jemand, der sowohl Benutzername, Passwort und Code kennt, sich später mit diesen Daten neu einloggen kann, da der Code bereits ungültig geworden ist.

FreeOTPDie Installation in WordPress ist sehr einfach. Installiert in eurem Blog einfach das „Google Authenticator“ Plugin. Wer jetzt schon wieder einen Schreck wegen Google bekommt: Keine Panik! Das System setzt die RFC6238 um und das Plugin baut keinerlei Verbindung zu Google auf, zumindest habe ich im Quellcode keinerlei Hinweis darauf gefunden. Bevor ihr jetzt in den Benutzereinstellungen der einzelnen Benutzer das Plugin aktviert, solltet ihr euch noch einen Codegenerator herunter laden. Erste Wahl – zumindest für Android Nutzer – wäre vermutlich der „Google Authenticator“, allerdings wurde der Quellcode seit einigen Version nicht mehr herausgegeben. Ich verwende deshalb „FreeOTP„. FreeOTP basiert auf der letzten Version des Google Authenticator Quellcodes und wird von Red Hat gepflegt. Man kann es auch im bekannten F-Droid Store bekommen, in dem nur Programme angeboten werden, die im Quellcode verfügbar sind und von den Buildservern des Projektes gebaut wurden.

Ok, das war es eigentlich auch schon, denn jetzt braucht man nur noch im Benutzerprofil unter „Google Authenticator Einstellungen“ das Login aktivieren, eine vernünftige Beschreibung eingeben und den QR-Code mit der App einscannen. Wenn ihr das gemacht habt, sollte FreeOTP direkt damit beginnen, Einmalpasswörter zu generieren und eurem ersten Login steht nichts mehr im Wege.

GoogleAuthenticator-Plugin

Tipp: Solltet ihr euch mal aus eurem Weblog ausgesperrt haben, dann löscht einfach im Plugin Verzeichnis das Google Authenticator Plugin und schon könnt ihr euch wieder ganz normal an eurem Weblog anmelden.

P.S.: Es gibt noch jede Menge andere Dienste, die den Zugang über Zwei-Faktor-Authentifizierung unterstützen. Bspw. kann man bei Github, App.net, aber auch bei Dropbox, Facebook und den Google Diensten diese Zugangsart aktivieren.

Microsoft installiert mit Update Firefox Plugin

Heute habe ich einen Haufen neuer Updates für mein Windows System bekommen – eigentlich soweit alles wie immer (bin nur etwas später wie andere dran). Unter den Updates war aber ein Update (KB951847) dabei, das diesmal ungefragt in meinem System herumgefingert hat und einfach meine Firefox Konfiguration angepasst hat. Was aber ist passiert? Nachdem ich die Updates installiert habe und meinen Firefox neu gestartet habe – ich bin zwar überzeugter Opera Anwender, aber als Zweitbrowser ist auch der Firefox zu gebrauchen 😉 – meldete dieser fröhlich, dass das neue Plugin installiert sei. Toll. Was für ein Plugin? Ich habe doch gar nichts installiert. Ein Blick in die Updateliste zeigte dann folgendes Bild:

plugin-firefox

Mit dem Plugin ermöglicht es Microsoft direkt Programme, ähnlich wie bspw. bei Adobe Air, direkt aus dem Netz heraus zu installieren.
Das gemeine daran ist eigentlich, dass man nichtmal die Möglichkeit hat, das Update zu deinstallieren. Glücklicherweise hat Dedoimedo bereits eine Möglichkeit gefunden, wie man dieses Plugin wieder loswerden kann und im Blog eine Schritt für Schritt Anleitung veröffentlicht.

Ich finde, dass es eine wirkliche Frechheit ist, dass Microsoft hier ohne eine Auswahlmöglichkeit und ungefragt einfach in meinem System herumfuhrwerkt und Software beeinflusst, die mit Microsoft überhaupt nichts zu tun hat. Microsoft verspielt hier eine ordentliche Portition Vertrauen bei den eigenen Kunden und man darf sich nicht wundern, wenn immer mehr Kunden versuchen, sich von Microsoft zu trennen – zumindest sollte man sich sowas nicht ohne weiteres gefallen lassen und es in zukünftige Entscheidungen mit einbeziehen.

Akismet Spamfilter in Deutschland rechtswidrig

Akismet ist eines der Standard-Plugins für WordPress. Es wird also automatisch bei jeder Installation mitgeliefert und kann zum herausfiltern von Spam-Kommentaren verwendet werden. Bisher habe ich das Plugin erfolgreich hier verwendet und es hat auch jede Menge Spam geblockt, allerdings gibt es bei der Verwendung ein Problem: Das Plugin telefoniert nach Hause. D.h. es werden die Kommentare sowieso Zusatzdaten an einen Server in den USA geschickt, der dann den neuen Kommentar überprüft. Das Problem ist, dass ohne eine Datenschutzerklärung, in der man genau das beschreibt, das so nicht erlaubt ist. Da ich persönlich versuche so wenig Daten wie möglich preis zu geben und Datensammelei nicht mag, werde ich das Plugin ab sofort deaktivieren und dafür Antispam Bee installieren. Mal schauen, ob das Plugin genauso erfolgreich gegen Spam ist.
Mehr zu dieser Problematik gibt es beim Datenwachschutz Blog.

Ein paar Änderungen

So, hier im Blog hat sich doch getan. Wem es noch nicht aufgefallen ist, es gibt jetzt ein neues Theme. Das liegt hauptsächlich daran, dass es bei dem alten Theme ein paar Kleinigkeiten gab, die mich gestört haben. Da wären zum einen Layoutfehler, die ich nicht selbst durch editieren der entsprechenden Dateien beheben wollte. Die Kommentare wurden bei den Beiträgen immer neben dem Titel angezeigt. Irgendwie nicht ideal, denn schliesslich liest man erst den Artikel und schreibt dann am Ende einen Kommentar, d.h. beim alten Theme musste man immer wieder nach oben scrollen – dumme Sache. Ausserdem hat sich die Farbe irgendwie komplett abgenutzt. Meine ursprüngliche Wahl fiel auf das Layout, um ein wenig die Farbgestaltung des Logos meiner Homepage mit zu übernehmen. Naja, war wohl keine so gute Idee ;-).
Das neue Layout ermöglicht mir eine wesentlich flexiblere Gestaltung des Blogs ohne dafür die Layoutdateien anzupassen. Ausserdem konnte ich die Breite endlich mal ein wenig hochsetzen. Eigentlich sollte mittlerweile jeder mit 1024px Breite klarkommen.

Eine weitere Neuerung ist, dass mein Blog jetzt auch auf mobilen Geräten gut lesbar ist, d.h. wenn ihr mal mit Opera mobile, dem Symbian Webbrowser, dem iPhone, o.ä. Browsern vorbeischaut, dann sollte alles vernünftig dargestellt werden. Zumindest auf meinem Mobiltelefon klappt das ganz gut. Das hierfür verantwortliche Plugin heisst MobilePress.

Auf der rechten Seite seht ihr ausserdem meinen Twitter Feed. Für die Darstellung habe ich das Twitter Tools Plugin eingebunden. Schaut doch mal bei auf meinem Twitter Account vorbei.

So, zum Schluss noch eine Kleinigkeit. Bei mir sind die Links zur nicht mehr funktionierenden CPC Toplist rausgeflogen. Scheinbar wurde der Dienst eingestellt.

Neues Design, neue Features

Da mir das Standarddesign schon lange nicht mehr gefallen hat, habe ich mich auf die Suche nach einem neuen Design gemacht. Mit Silicon 1.0 von Ravish habe ich auch etwas ganz nettes gefunden, auf dem ich jetzt aufbauen werde.
Vom Grundsatz her gefällt mir das Design, allerdings stört mich, dass z.B. die Kommentarfunktion oben rechts bei einem Beitrag verlinkt ist. Das passt einfach nicht zum Lesefluss eines Benutzers, denn man fängt oben an zu lesen und wenn man damit durch ist, dann will man einen Kommentar abgeben – warum also um alles in der Welt nach oben scrollen? Naja, sollte nicht so schwer zu realisieren sind… ist ja nur ein bisschen PHP und HTML ;-).

Zusätzlich zum neuen Design habe ich außerdem noch ein kleines Plugin installiert, mit dem man die entsprechenden Beiträge schnell und einfach verlinken kann. Das passiert dann über die Buttons am Ende eines Beitrags. Ich verwende dafür derzeitig das Plugin Sociable von Joost de Valk, allerdings gibt es auch noch das ganz nette ShareThis Plugin, das noch jede Menge zusätzliche Möglichkeiten bietet, mir aber noch nicht vertrauenswürdig genug ist. Da werde ich wohl mal über den Quellcode rüberschauen müssen.

Ansonsten habe ich die Widgets auf der rechten Seite mal neu sortiert. Die Kategorien stehen jetzt direkt unter den statischen Seiten und haben einen Artikelzähler bekommen, danach kommen die Links zu anderen Seiten und das Archiv ist nach ganz unten gewandert, da es mir mittlerweile zu groß geworden ist. Durch das neue Design sind außerdem im Footer die letzten Beiträge und die letzten Kommentare hinzugekommen. Ob das so bleibt, weiss ich noch nicht – mal schauen :-).