Es war doch so eine tolle Idee. Und jetzt das:
Die SMS-basierte Zwei-Faktor-Authentifizierung ist nicht sicher – werfen Sie einen Blick auf diese alternativen 2FA-Methoden
Kaspersky schrieb dazu schon im Oktober 2018 einen längeren Beitrag. Ich wurde durch einen Newsletter von Wordfence daran erinnert.
Es ist ernüchternd, dass Sicherheit oder das Gefühl von Sicherheit heutzutage in dieser Umgebung eine pure Illusion ist. Wie haltet ihr es mit der Absicherung eurer Blogs?
Benutzt ihr über solche Mechanismen hinaus noch weitere? Beispielsweise in der .htaccess? Wer nutzt eigentlich Virensoftware für Wordpress und welche ist das?
Ich habe so ein Plugin, dass die Login-Versuche auf 3 begrenzt und dann 24 Stunden sperrt. Mir reicht das.
Per Smartphone mache ich gar nichts auf /mit den Blogs.
Meine Wordpress-Seite ist durch das Wordfence-Plugin (in der free-Version) geschützt, das scheint zu genügen. Und für Anmeldung im Backend benutze ich die 2FA mit dem Yubikey.
2FA finde ich schön praktisch. Aber mir es scheint, ist das unzureichend. Der Yubikey ist ja nicht gerade billig. Kann man eigentlich einen für mehrere Websites nutzen? Ggf. werde ich mir auch einen zulegen.
2FA mit SMS oder Google Authenticator mache ich nicht, ist mir zu unpraktisch (das Smartphone ist meistens nicht in Griffweite) und Google ist mir irgendwie zu unsicher. Den Yubikey kann man für viele Webseiten benutzen (für Wordpress gibt es ein Plugin) und auch für andere Anmeldungen, z.B. für die Win10-Anmeldung (was ich aber nicht mache).
Die Angriffe auf die Wordpress-Seite filtert Wordfence zuverlässig raus, z.B. gerade gestern 35 aus dem Iran. Und bei Loginversuchen mit z.B. falschem Namen wird die IP für eine einstellbare Zeit gesperrt.
Die Zahl der Angriffe selbst auf kleine Blogs wie diesen sind echt hoch. Bisher dachte ich, die 2FA sei total sicher. :-/Aber was ist heutzutage schon sicher? Man kann halt nicht mehr tun als vorsichtig sein und halbwegs auf die Empfehlungen zu hören.
@claudia Das Plugin hatte ich auch lange im Einsatz. Aber ob das nun sicherer ist als die 2FA – Lösung? Das wäre mal interessant zu wissen. Ich tauch mal. 🙂
Ich gehe nicht konkret auf Absicherung von Blogs ein, sondern lasse allgemeineres los (aber das kennt Herr Horst ja von mir, grins – OT scheue ich nicht):
- «Sicherheit oder das Gefühl von Sicherheit» schreibst du…
…ich höre das schon länger auch auf meine Gefühle und mache seit Jahrenden einiges, was man nicht machen sollte? Drei Beispiele:
- seit es die UAC gibt, habe ich die konsequent auf allen Rechnern immer abgeschaltet
- das «bösartige Tool» (Microsoft Windows-Tool zum Entfernen bösartiger Software > auf Englisch Malicious Software Removal Tool) habe ich in Win7 immer abgehakelt. In Win10 geht das nicht mehr so einfach, es gibt aber einen Registry-Hack
- Meltdown, Spectr, Zombieload – Herr Hugo überliest das geflissentlich
Hat das meinen Rechnern bisher geschadet? Soviel ich weiß, nicht. Aber meinem Seelenfrieden hat es genutzt, weil ich es geistig abgehakt und mich nicht weiter genervt habe.
Gerade bei dem nicht ausgeführten «bösartigen Tool» in Win10 hab ich seitdem sogar einen Vorteil bemerkt: die Patches am Patchday sind merklich schneller fertig, seit das «bösartge Tool» nicht mehr im Untergrund werkelt.
———————————–
Zu Blogs gibt es aber auch noch was (allgemeines): 3x probiert (nicht alleine, jeweils mit noch einer Person) – 3x ins Klo gegriffen
- beim ersten Mal hat es schon vor dem Anfangen gekracht
- beim zweiten Mal wurde ich zuerst gelobt und kurz danach «wegelobt»
- beim dritten Mal war ich ~ 6 Jahre lang mit einer Person zusammen, die dann gestorben ist, obwohl es sie gar nicht gab
Zwei dieser Personen wünsche ich das allerschlechteste, der «mittleren» nicht. Aber die könnte mich auf Knien bitten, nie wieder würde ich da einen Artikel für schreiben, nie wieder.
Höchstens Kommentare…
PS: einen vierten Blog-Versuch wird es nicht geben, ich bin zu erschüttert von den dreien zuvor. So.
Platz für OT ist in jeder Hütte. 🙂
Ich mach auch einiges für die Sicherheit (nur nur der Blogs). Aber ich bin mir im Klaren darüber, dass meine Kenntnisse nicht ausreichend sind, mich auch nur halbwegs sicher zu fühlen. Bevor es das Internet gab habe ich viel an den Systemeinstellungen von Windows herumgebastet. Ich war begeistert, wenn ich vermeintlich wieder ein Quäntchen mehr Performance herauskitzeln konnte. Heute mache ich das fast überhaupt nicht mehr. Vor allem, weil ich nie weiß, welche der möglichen Stellschrauben vielleicht sicherheitsrelevant sein könnten (Internet).
Ich kann nachvollziehen, weshalb du mit dem Bloggen abgeschlossen hast. Keine Ahnung, weshalb ich immer noch dabei bin. Es muss in meinem Innersten so ein Sendungsbewusstsein geben… 🙂 Mir tut es leid, dass deine Erfahrungen so schlecht gewesen sind. Das war nicht schön. Auch was ich gemacht habe, war nicht ok.
Ich freue mich umso mehr, immer mal wieder von dir zu hören. Und das meine ich ganz aufrichtig. Ich hoffe, du glaubst mir das. LG
Ich nutze um meinen Blog abzusichern die .htaccess. Ansonsten habe ich gerade die Tage auf meinem Smartphone eine Authenticator-App installiert.
Die App von Google oder was anderes? Ich habe die von Google seit einer Weile und komme gut klar, weil ich das Smartphone eigentlich fast immer in Reichweite habe.
Nutze die App von Microsoft
Ich hatte bei Thomas Weichselbaumer gefragt, welcher Login-Schutz sinnvoll sei. Er hat mir hier geantwortet. Also lasse ich das aktuelle Plugin weiter seinen Dienst verrichten und versuche, mit den Updates meines Themes und der Plugins sorgfältig zu sein. Nur blöd, dass die Zahl der Zero-Day – Varianten so zugenommen hat. 🙂 https://horstschulte.com/2019/zero-day-wenn-die-meldung-ueber-schwachstellen-in-wordpress-1-tag-zu-spaet-kommen/