Zum Inhalt wechseln
Dr. Web Logo seit 1997.
  • Agentur eintragen ✅
  • Ausschreibungen
  • Beste Agenturen
  • Jobs
  • Magazin
  • Newsletter 📩
  • Login
  • Kontakt
  • Sponsored Post
  • Werben 🎉
Menü
  • Agentur eintragen ✅
  • Ausschreibungen
  • Beste Agenturen
  • Jobs
  • Magazin
  • Newsletter 📩
  • Login
  • Kontakt
  • Sponsored Post
  • Werben 🎉
  • Werben
  • Gastbeitrag
  • Sponsored Post
  • Kontakt
  • Anmeldung
  • Newsletter
Suche
  • Beste Agenturen
  • Agentur-Standorte
    • Berlin

    • Bonn

    • Dortmund

    • Dresden

    • Duisburg

    • Düsseldorf

    • Essen

    • Frankfurt am Main

    • Freiburg

    • Hamburg

    • Hannover

    • Köln

    • Leipzig

    • München

    • Nürnberg

    • Stuttgart

    • Wien

    • Zürich

  • Ausschreibungen
  • Smarte Agenturköpfe
  • Magazin
Agentur eintragen →
Dr. Web Logo seit 1997.
  • Agentur finden
  • Ausschreibungen
  • Smarte Agenturköpfe
  • Magazin
Agentur eintragen →
Dr. Web » Tipps, Tricks & Tutorials » Bombensicher: WordPress mit Zwei-Faktor Authentifizierung SecSign ID

Bombensicher: WordPress mit Zwei-Faktor Authentifizierung SecSign ID

Facebook Icon. facebook Twitter Icon. twitter Xing Icon. xing Linkedin Icon. linkedin Whatsapp Icon. whatsapp
  • 5 Kommentare
Lesedauer: 6 Minuten
  • von Dr. Web Redaktion
  • 11. Juni 2015

Inhaltsverzeichnis

Der WordPress-Administrationszugang ist das Herz und die Seele einer WordPress-Website und genau deswegen extrem schutzbedürftig. Wenn die Hürde von Benutzername (kann man innerhalb von 10 Sekunden herausfinden) und Passwort erst einmal genommen ist, kann die komplette Website zerstört oder mit Schadsoftware verseucht werden. Stellen Sie sich nur mal vor, dass harte Arbeit von Jahren innerhalb kürzester Zeit vernichtet wird. Nicht wünschenswert, oder?! Aus diesem Grund sollte man der Sicherheit seiner Website ein wenig Zeit widmen, damit man ruhigen Gewissens schlafen kann. Heute beschäftigen wir uns mit einer völlig neuen und extrem sicheren, dabei sehr komfortablen Zwei-Faktor-Authentifizierung für WordPress – der SecSign ID.

wordpresssecsignid-teaser_DE

WordPress mit SecSign ID Zwei-Faktor-Authentifizierung schützen

SecSign ID möchte dem Passwort-Chaos ein Ende bereiten und bietet eine vollkommen passwortfreie und trotzdem hochsichere Authentifizierung an. Die deutsche Firma SecSign sagt hierzu folgendes:

SecSign löst alle Passwortprobleme unter Zuhilfenahme einer Challenge-Response- Authentifizierung mit 2048-Bit RSA-Schlüsselpaaren. Passwörter werden somit überflüssig. Sensible Benutzerdaten werden weder übertragen noch gespeichert. Das bedeutet, dass Hacker keine Gefahr mehr für Ihr Benutzerkonto darstellen, da schlicht und ergreifend keine Passwörter gestohlen werden können.

Durch die Verwendung von hochgradiger 2048-Bit RSA-Verschlüsselung und dem völligen Verzicht auf Passwörter macht es SecSign völlig unmöglich, Passwörter zu stehlen oder gar zu erraten. Mit diesem neuen Verfahren greifen keinerlei kriminelle Taktiken, egal ob es Brute-Force Angriffe oder Keylogger in der Tastatur sind. Denn wo nichts ist, kann auch nichts gestohlen werden.

Voraussetzung ist der Besitz eines Smartphones, unterstützt werden Android und iOS Geräte. Nun müssen Sie nur einmalig eine gut zu merkende SecSign ID erstellen, die zum Beispiel aus Ihrem Namen oder dem Ihres Hundes bestehen kann. Diese ID wird dann zu Ihrem Benutzernamen. Zusätzlich vergeben Sie eine gut zu merkende vierstellige PIN. Aus diesen Daten werden dann Ihre Schlüsselpaare generiert, die für die Sicherheit sorgen. Hier noch kurz ein paar Fakten zur SecSign ID:

  • Keine Hardware oder Infrastruktur erforderlich
  • Schnelles und leicht zu bedienendes Login mithilfe einer vierstelligen PIN
  • Keine Übertragung oder Speicherung von vertraulichen Zugangsdaten an bzw. auf einem Server
  • Voraussetzung der beiden Faktoren „Besitz“ (das mobile Gerät) und „Wissen“ (PIN) mit der Challenge-Response-Methode
  • Keine Passwörter oder Tokens erforderlich
  • Kein Abtippen von SMS-Codes oder Scannen von QR-Codes nötig
  • Keine Verwendung von Passwörtern und somit auch keine Diebstahlgefahr
  • Speicherung des öffentlichen Schlüssels auf einem Remote-Server
  • Erstellung und Sicherung des privaten Schlüssels auf einem mobilen Gerät

Zusätzlich können Sie sich auch noch kostenfrei im SecSign Portal anmelden, um weitere Vorteile zu genießen.

Das SecSign Portal

Das SecSign Portal

Das SecSign-Portal ist ein hochgradig verschlüsselter Dropbox-Ersatz für sensible (Firmen-) Daten. Nicht nur die Anmeldung, sondern der komplette Cloud-Speicher ist 2048-Bit RSA verschlüsselt. Daher können Sie es als Backup für Ihre sensiblen Daten nutzen, die nicht verloren gehen dürfen. Das Portal beherrscht die verschlüsselte Teamarbeit, das Freigeben von Daten für spezifische Personen, den Versand von verschlüsselten Nachrichten, das Teilen von großen Dateien und den Versand von verschlüsselten E-Mails.

Bereits mit der kostenfreien Lösung erhält man handfeste Vorteile, die man nach kurzer Zeit nicht mehr missen möchte. Hier ein kurzer Überblick über die einzelnen Lizenzmöglichkeiten:

Ein Klick auf die Grafik öffnet den vollständigen Screenshot

Die Lizenztypen des SecSign Portals

So einfach richten Sie SecSign ID für WordPress ein

Als erstes benötigen Sie die Smartphone-App, die Sie entweder im Google Play Store oder im Apple App Store kostenfrei herunterladen können. Diese App gibt es für Android oder iOS, jedoch leider zur Zeit noch nicht für Microsoft-Geräte.

Die SecSign ID App für Android.
Die SecSign ID App für Android.

 Die Smartphone App installieren und konfigurieren

  • Schritt 1: App downloaden und installieren
  • Schritt 2: Wählen Sie einen einfach zu merkenden Benutzernamen, der als SecSign ID verwendet wird. Er muss nicht lang oder kompliziert sein und auch keine Zahlen oder Sonderzeichen enthalten.
  • Schritt 3: Wählen Sie eine vierstellige PIN, die in Kombination mit der SecSign ID verwendet wird, und Ihre SecSign ID fortan vor unberechtigter Nutzung schützt. Diese PIN wird niemals übertragen oder gespeichert. Sie wird nur dazu benutzt, um den privaten Schlüssel zu sichern

Das nötige WordPress Plugin installieren und konfigurieren

Das SecSign WordPress Plugin

  • Entwickler: SecSign
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 13.10.2014
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage:  SecSign Homepage

Downloaden Sie das Plugin von WordPress.org, installieren und aktivieren Sie es wie gewohnt.

Die Konfiguration des Plugins

  Nach der Installation und Aktivierung des Plugins finden Sie die Einstellungen unter dem Menüpunkt „SecSign ID Login„. Bevor Sie jedoch die Haupteinstellungen aufsuchen, öffnen Sie bitte Ihr Nutzerprofil (Benutzer => Dein Profil) und ergänzen Sie am unteren Ende der User-Profil-Seite Ihre SecSign ID. Den Haken bei Login by password still allowed sollten Sie herausnehmen, den ansonsten würde die neue Zwei-Faktor-Authentifizierung keinen Sinn ergeben. Sie könnten sich ja weiterhin per Benutzernamen/Passwort einloggen. Genau diese Anmeldungsart wollen wir ja durch eine sicherere Variante ersetzen.

Die Userprofilseite mit den SecSign ID Daten

Nachdem das erledigt ist, können Sie nun die Haupteinstellungen setzen. Diese finden sie als Menüpunkt in der linken Navigation von WordPress. Hier können Sie nun Einstellungen für jeden Benutzer der Webseite vornehmen und auch für jeden User einzeln bestimmen, ob noch ein normales Login möglich sein darf. Da jedoch die Sicherheit der WordPress-Installation signifikant erhöht werden soll, deaktivieren Sie bitte bei jedem Benutzer die Möglichkeit des normalen Login. Auf dem folgenden Screenshot lassen sich sehr gut die empfohlenen Einstellungen sehen:

Die SecSign ID Haupteinstellungen

SecSign ID – der Anmeldevorgang

Wenn Sie sich nach der Konfiguration des Plugins ausgeloggt haben, sehen Sie nun ein ergänztes Anmeldeformular auf der Anmeldeseite Ihrer WordPress Website.

Das SecSign ID Anmeldefenster

Das Original-Anmeldefenster von WordPress mit Benutzernamen und Passwort ist noch vorhanden, jedoch ohne Funktion. Die Anmeldung ist nur noch über die SecSign ID möglich und gestaltet sich denkbar einfach.

Der Loginvorgang mit der SecSign ID

Ganz wichtig: Bitte bei Punkt 4 nicht mehr auf OK im WordPress-Fenster klicken. Der Anmeldevorgang läuft vollautomatisch ab, nachdem Sie das richtige Symbol im Smartphone angeklickt haben. Sie müssen nur ein bis zwei Sekunden Geduld haben, dann öffnet sich die Administrations-Oberfläche von allein. Klicken Sie trotzdem hier noch auf Okay, bricht der Anmeldevorgang mit einer Fehlermeldung ab.

Der Anmeldevorgang mit SecSign ID
Nicht okay klicken, der Anmeldevorgang läuft vollautomatisch ab.

Hilfe, ich bekomme keinen Zugriff auf die Admin-Oberfläche

Manchmal laufen Dinge schief und sie können sich beim besten Willen nicht mehr einloggen. Auch, wenn jetzt absolute Sicherheit herrscht, da sich ja nun niemand mehr anmelden kann, so ist dieser Zustand nicht unbedingt gewollt 🙂

Es gibt einen ganz einfachen Trick, mit dem Sie wieder sofortigen Zugriff auf die Adminoberfläche bekommen. Hierzu ist nur der Zugriff auf den Server bzw. das Webhostingpaket über (S)FTP nötig. Da das so ist, sollte der (S)FTP Zugang mit einem wirklich guten Passwort abgesichert sein. Also mindestens 15 bis 20 Zeichen lang und so kompliziert wie nur möglich. Sie schreiben dieses Passwort am besten gleich auf und legen es in der verschlüsselten Dropbox oder ähnlichem ab.

Sofortiger Zugriff auf den Adminbereich mittels (S)FTP-Zugang

Loggen Sie sich in Ihren Server / Ihr Webhostingpaket mittels (S)FTP ein, navigieren Sie zu wp-content/plugins, wählen dort den Ordner SecSign aus und benennen ihn in z.B. SecSign1 um. Nun können Sie sich wieder ganz normal in Ihrem WordPress anmelden.

SecSign umbenennen, um sofortigen Zugriff zum Adminbereich zu bekommen.

Um SecSign ID im Anschluss wieder nutzen zu können, bedarf es eines kleinen Tricks. Löschen Sie per (S)FTP-Zugang den kompletten Ordner SecSign. Das deinstalliert das Plugin. Als nächstes müssen die vom Plugin angelegten Tabellen in der Datenbank gelöscht werden. Das kann entweder über die Verwaltungsoberfläche phpMyAdmin geschehen, oder aber mittels Plugin. Ich empfehle hier das Plugin WPDBSpringClean. Lassen Sie einen Scan laufen und löschen Sie im Anschluss die Tabelle „wp_secsign„. Sollten Sie ein anderes Tabellenpräfix als „wp_“ vergeben haben, dann heißt die Tabelle entsprechend anders.

Ist diese Tabelle gelöscht, kann das Plugin erneut installiert und konfiguriert werden.

Fazit

SecSign stellt mit der SecSign ID die mit Sicherheit interessanteste Zwei-Faktor-Authentifizierungsmethode überhaupt vor. Der völlige Verzicht auf Passwörter, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig und durch einen komfortablen, neuen Weg ersetzt, der zudem auch noch kostenfrei ist. Mir persönlich bleibt nun zu testen, inwieweit SecSign ID mit VaultPress kompatibel ist. Sollte es dort keinerlei Probleme geben, kommt SecSign ID bei meinen beiden Webseiten zum Einsatz. Denn ich bin wirklich begeistert!

Links zum Beitrag

  • SecSign ID Homepage
  • SecSign ID – Dokumentation
  • SecSign ID App für Android – Download von Google Play
  • SecSign ID App für iOS – Download von Apple App Store
  • SecSign Plugin für WordPress – Download von WordPress.org
  • WPDBSpringClean Plugin für WordPress – Download von WordPress.org
  • Geheimdienst-Schreck Boxcryptor: So verschlüsseln Sie Ihre Dropbox ohne Komfortverlust

(dpe)

Dr. Web Redaktion

Dr. Web Redaktion

An einem „Dr. Web Redaktion“ Artikel arbeiten i.d.R. mehrere Autoren, unter anderem Michael Dobler, und Markus Seyfferth.

Werde ein Sponsor. Kontaktiere uns →

Kostenloses SEO-Tool

Agenturpartner

Logo der Online Solutions Group. Motto: Your Link to Success.

Online Solutions Group

München

VABELHAVT

Innsbruck

SEO Galaxy Logo.

SEO Galaxy

Udler

Agentur novomyo Logo.

novomyo – Online Marketing Agentur

Hamburg

Dunkel Design | Webdesign Grafikdesign Logodesign

Köln

Alle Agenturpartner

Lust auf mehr?

Symbolbild in einem Laptop eingebettet. Zu sehen ist ein Mitarbeiter einer Digitalagentur.
Digitalisierung

Digitalagentur finden

Wir unterstützen Sie bei der Auswahl der passenden Digitalagentur, mit Agenturempfehlungen und wichtigen Hintergrundinformationen in unserer FAQ.

→
SEO Agentur

SEO Agentur finden

Hier finden Sie eine geeignete SEO Agentur. Sie möchten eine bessere Sichtbarkeit Ihrer Website in Google & Co., mehr Traffic, höhere Conversions, mehr Umsatz? Eine professionelle SEO Agentur unterstützt Sie maßgeblich bei der Erreichung dieser wichtigen Ziele.

→
Foto der Inhaberin einer Social Media Agentur, umrahmt von einem Laptop und zur Linken zwei Bewertungen der Agentur.
WordPress

WordPress Agentur finden

Wir unterstützen Sie bei der Auswahl Ihrer WordPress Agentur, mit Agenturempfehlungen und wichtigen Hintergrundinformationen in unserer FAQ.

→

5 Antworten zu „Bombensicher: WordPress mit Zwei-Faktor Authentifizierung SecSign ID“
— was ist Deine Meinung?

  1. Mario sagt:
    29. September 2015 um 7:57 Uhr

    Funktioniert super. Danke für diesen Tipp.

    Antworten
  2. Marijan sagt:
    13. Juni 2015 um 15:25 Uhr

    Klappt irgendwie nicht. Alles wie beschrieben Installiert usw.Komme bis zum Login Fenster von SecSign gebe meine SecSign ID ein und dann tut sich nix mehr.
    Könnte es evtl. daran liegen das ich meinen Admin-Bereich per htaccess zusätzlich geschützt habe?

    Antworten
  3. Achim Schmidt sagt:
    12. Juni 2015 um 12:32 Uhr

    Ew würde mich mal interessieren, wie Du einen 100stelligen zufallsgenerierten Namen und ein 100Stelliges zufallsgeneriertes Passwort innerhalb von 10 Sekungen knacken willst. Logisch, dass Du Admin gar nicht erst probieren mußt.

    Antworten
  4. Pascal sagt:
    11. Juni 2015 um 10:30 Uhr

    Die Android-Wordpress-App wird damit aber nicht mehr funktionieren, nehm ich an?

    Antworten
  5. Pascal sagt:
    11. Juni 2015 um 10:14 Uhr

    Klingt interessant. Werde ich mal austesten…

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Logo weiss.

Pionier für Digitale Transformation. Seit 1997. ✅  Wissen, Tipps, Ratgeber, Dienstleister: Wir bringen wir die digitale Transformation von Unternehmen praxisnah voran.

Agentur nach Schwerpunkt finden

  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • WordPress Agentur finden
  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • WordPress Agentur finden

Für Unternehmer: Finden Sie Ihre Agentur in…

  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich
  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich

Aus unserem Magazin

  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce
  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce

Rechtliches

  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑
  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑