2FA für zweiten Benutzer einer WP-Site

thobie

thobie

Aktives Mitglied
Thread Starter
Dabei seit
23.04.2006
Beiträge
1.097
Reaktionspunkte
187
Moin, ich habe für mich als Administrator einer WP-Site die 2FA aktiviert, Plugin Wordfence. Ich gehe davon aus, dass dies die sicherste Methode zum Schutz des Backend ist, denn ohne die Authenticator App auf meinem iPhone kommt niemand als Administrator ins Backend.

Es gibt einen zweiten Benutzer der Site, der die Rolle Mitarbeiter hat. Dessen Status für 2FA steht derzeit auf Not allowed. Ich will die 2FA auch für ihn aktivieren. Der Benutzer ist allerdings nicht vor Ort und ist auch nicht sehr technikaffin.

Welche gute Möglichkeiten gibt es, den Benutzer umfassend zu informieren, wie er die 2FA bei sich auf dem Smartphone installiert und verwendet? Ich sage mal, es muss einfach funktionieren!
 
Anhand der Anleitung von wordfence selbst, kannst du dir ja übersetzen lassen, sollte es doch möglich werden:
https://www.wordfence.com/help/tools/two-factor-authentication/

Allerdings führt kein eg daran vorbei, dass dein Kollege sich damit befassen muss, wie und womit er die Codes erhalten möchte –
und was für ihn da eher einfach und praktisch erscheint.
Zur Not machst du ihm selbst ein kleines Video mit einem Test-User, in dem du zeigst, wie es läuft und wie die Schritte dahin sind.

Zu alle dem, was du da so zur Sicherheit der WP-Installation betreibst, stelle sicher,
dass du die „Salts & Nonce" in der wp-config.php aktiviert hast:

https://api.wordpress.org/secret-key/1.1/salt/

PHP: 
/**#@+
 * Sicherheitsschlüssel
 *
 * Ändere jeden untenstehenden Platzhaltertext in eine beliebige,
 * möglichst einmalig genutzte Zeichenkette.
 * Auf der Seite {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * kannst du dir alle Schlüssel generieren lassen.
 *
 * Du kannst die Schlüssel jederzeit wieder ändern, alle angemeldeten
 * Benutzer müssen sich danach erneut anmelden.
 *
 * @since 2.6.0
 */
define( 'AUTH_KEY',         'Füge hier deine Zeichenkette ein' );
define( 'SECURE_AUTH_KEY',  'Füge hier deine Zeichenkette ein' );
define( 'LOGGED_IN_KEY',    'Füge hier deine Zeichenkette ein' );
define( 'NONCE_KEY',        'Füge hier deine Zeichenkette ein' );
define( 'AUTH_SALT',        'Füge hier deine Zeichenkette ein' );
define( 'SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein' );
define( 'LOGGED_IN_SALT',   'Füge hier deine Zeichenkette ein' );
define( 'NONCE_SALT',       'Füge hier deine Zeichenkette ein' );

/**#@-*/

Und auch:
define(‚FORCE_SSL_ADMIN‘, true);
Zum Vergrößern anklicken....

Damit reduzierst du generell erstmal die Optionen für CSRF-Angriffe (Cross-Site-Request-Forgery):
https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery

:teeth:
 
Zurück
Oben Unten