WordPress mit Zwei-Faktor-Authentifizierung absichern

Nach langer Zeit endlich mal einen neuen Beitrag von mir… In den letzten Tagen habe ich mich einmal ein wenig damit beschäftigt, meine diversen Zugänge etwas besser abzusichern und natürlich musste dann auch bei WordPress etwas passieren. Durch Zufall bin ich über die Zwei-Faktor-Authentifizierung gestolpert. Das Verfahren war mir bereits durch die RSA SecurID bekannt, aber dass man es auch in WordPress einsetzen kann, war mir neu.
Die Idee dahinter ist, dass man zusätzlich zu seinem Benutzernamen und Login noch einen Code eingeben muss, der über einen anderen Kanal (z.B. eine Smartphone App, einen USB Key, …) generiert wird und nur für einen kurzen Zeitraum gültig ist (TOTP – Time Based One Time Password). Auf diese Weise verhindert man, dass jemand, der sowohl Benutzername, Passwort und Code kennt, sich später mit diesen Daten neu einloggen kann, da der Code bereits ungültig geworden ist.

FreeOTPDie Installation in WordPress ist sehr einfach. Installiert in eurem Blog einfach das „Google Authenticator“ Plugin. Wer jetzt schon wieder einen Schreck wegen Google bekommt: Keine Panik! Das System setzt die RFC6238 um und das Plugin baut keinerlei Verbindung zu Google auf, zumindest habe ich im Quellcode keinerlei Hinweis darauf gefunden. Bevor ihr jetzt in den Benutzereinstellungen der einzelnen Benutzer das Plugin aktviert, solltet ihr euch noch einen Codegenerator herunter laden. Erste Wahl – zumindest für Android Nutzer – wäre vermutlich der „Google Authenticator“, allerdings wurde der Quellcode seit einigen Version nicht mehr herausgegeben. Ich verwende deshalb „FreeOTP„. FreeOTP basiert auf der letzten Version des Google Authenticator Quellcodes und wird von Red Hat gepflegt. Man kann es auch im bekannten F-Droid Store bekommen, in dem nur Programme angeboten werden, die im Quellcode verfügbar sind und von den Buildservern des Projektes gebaut wurden.

Ok, das war es eigentlich auch schon, denn jetzt braucht man nur noch im Benutzerprofil unter „Google Authenticator Einstellungen“ das Login aktivieren, eine vernünftige Beschreibung eingeben und den QR-Code mit der App einscannen. Wenn ihr das gemacht habt, sollte FreeOTP direkt damit beginnen, Einmalpasswörter zu generieren und eurem ersten Login steht nichts mehr im Wege.

GoogleAuthenticator-Plugin

Tipp: Solltet ihr euch mal aus eurem Weblog ausgesperrt haben, dann löscht einfach im Plugin Verzeichnis das Google Authenticator Plugin und schon könnt ihr euch wieder ganz normal an eurem Weblog anmelden.

P.S.: Es gibt noch jede Menge andere Dienste, die den Zugang über Zwei-Faktor-Authentifizierung unterstützen. Bspw. kann man bei Github, App.net, aber auch bei Dropbox, Facebook und den Google Diensten diese Zugangsart aktivieren.

Akismet Spamfilter in Deutschland rechtswidrig

Akismet ist eines der Standard-Plugins für WordPress. Es wird also automatisch bei jeder Installation mitgeliefert und kann zum herausfiltern von Spam-Kommentaren verwendet werden. Bisher habe ich das Plugin erfolgreich hier verwendet und es hat auch jede Menge Spam geblockt, allerdings gibt es bei der Verwendung ein Problem: Das Plugin telefoniert nach Hause. D.h. es werden die Kommentare sowieso Zusatzdaten an einen Server in den USA geschickt, der dann den neuen Kommentar überprüft. Das Problem ist, dass ohne eine Datenschutzerklärung, in der man genau das beschreibt, das so nicht erlaubt ist. Da ich persönlich versuche so wenig Daten wie möglich preis zu geben und Datensammelei nicht mag, werde ich das Plugin ab sofort deaktivieren und dafür Antispam Bee installieren. Mal schauen, ob das Plugin genauso erfolgreich gegen Spam ist.
Mehr zu dieser Problematik gibt es beim Datenwachschutz Blog.

Neues Design, neue Features

Da mir das Standarddesign schon lange nicht mehr gefallen hat, habe ich mich auf die Suche nach einem neuen Design gemacht. Mit Silicon 1.0 von Ravish habe ich auch etwas ganz nettes gefunden, auf dem ich jetzt aufbauen werde.
Vom Grundsatz her gefällt mir das Design, allerdings stört mich, dass z.B. die Kommentarfunktion oben rechts bei einem Beitrag verlinkt ist. Das passt einfach nicht zum Lesefluss eines Benutzers, denn man fängt oben an zu lesen und wenn man damit durch ist, dann will man einen Kommentar abgeben – warum also um alles in der Welt nach oben scrollen? Naja, sollte nicht so schwer zu realisieren sind… ist ja nur ein bisschen PHP und HTML ;-).

Zusätzlich zum neuen Design habe ich außerdem noch ein kleines Plugin installiert, mit dem man die entsprechenden Beiträge schnell und einfach verlinken kann. Das passiert dann über die Buttons am Ende eines Beitrags. Ich verwende dafür derzeitig das Plugin Sociable von Joost de Valk, allerdings gibt es auch noch das ganz nette ShareThis Plugin, das noch jede Menge zusätzliche Möglichkeiten bietet, mir aber noch nicht vertrauenswürdig genug ist. Da werde ich wohl mal über den Quellcode rüberschauen müssen.

Ansonsten habe ich die Widgets auf der rechten Seite mal neu sortiert. Die Kategorien stehen jetzt direkt unter den statischen Seiten und haben einen Artikelzähler bekommen, danach kommen die Links zu anderen Seiten und das Archiv ist nach ganz unten gewandert, da es mir mittlerweile zu groß geworden ist. Durch das neue Design sind außerdem im Footer die letzten Beiträge und die letzten Kommentare hinzugekommen. Ob das so bleibt, weiss ich noch nicht – mal schauen :-).

Neues Weblog gestartet

Hi zusammen,

wie ihr sehen koennt, habe ich mal wieder ein neues Weblog System hier auf meiner Homepage installiert. Warum? Ganz einfach… Ich habe vorher das CoMoblog System verwendet, allerdings hat sich an diesem Weblog-System in den vergangen Monaten ueberhaupt nichts mehr getan, keine Updates, keine Aktivitaet, nichts. Da in diesem System aber auch Sicherheitsluecken aufgetaucht sind ist es ein wenig riskant auf diesen alten Versionen sitzen zu bleiben und so habe ich mich dazu entschlossen, mein altes System durch eine Version von WordPress zu ersetzen. WordPress ist ein sehr bekanntes Weblogsystem, das bereits von vielen Seiten eingesetzt wird und auch sehr viele Funktionen bietet. Mal schauen, was das Ding so taugt – ich halte euch auf dem laufenden :-).