• Gelöst opensource2

    (@opensource2)


    Hallo zusammen,

    ich habe ein sehr großes Problem. Da mein altes Smartphone kaputt ging, habe ich keinerlei Zugriff mehr auf die 2FA per Google Authenticator. Aus mir unerklärlichen Gründen haben die notierten Recovery-Codes alle nicht funktioniert. Im Google-Konto ist der Authenticator nicht eingetragen und dort ist ein Reset also gleichfalls nicht möglich.

    Vor einiger Zeit hatte ich schon einmal nach einer Lösung gesucht und fand eine Seite, in der für solche Fälle eine „dreckige“ Methode vorgeschlagen wurde. Dort wurde davon gesprochen, eine bestimmte Datei auf dem Webspace zu löschen, die mit der Authentifizierung zusammenhängt. Trotz stundenlanger Suche habe ich diese Seite nicht mehr gefunden. Ich habe über FTP immer noch Vollzugriff auf meinen Webspace, weiß allerdings nicht, wie ich die 2FA eliminiert bekomme.

    Versuchsweise habe ich schon die htaccess gesichert und dann gelöscht. Die 2FA ist allerdings immer noch aktiv.

    Für mich ist das Problem jetzt drängend, weil mein Hoster mir eine Warnmeldung geschickt hat:
    „WordPress Yoast SEO <= 17.2.1 – Unauthenticated Full Path Disclosure vulnerability“

    Welche Datei(en) muss/kann ich über FTP löschen oder modifizieren, damit ich wieder Vollzugriff über das Dashboard erhalten kann?

    Das verwendete Plugin für die 2FA-Einrichtung ist Wordfence (Vers. 7.5.8) meine WP Vers. ist 5.58

    Liebe Grüße

    Michael

    • Dieses Thema wurde geändert vor 2 Jahren, 7 Monaten von opensource2. Grund: Ergänzungen (Plugin und WP Version)
    • Dieses Thema wurde geändert vor 2 Jahren, 7 Monaten von opensource2.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)
  • Zweifelhafte Anleitungen mit dreckigen Methoden? Wer macht denn so was? 😉

    (Nachher meinst du sogar meine Anleitung hier? https://pixolin.de/ich-habe-mich-mit-2fa-ausgesperrt/)

    Die Zwei-Faktor-Athentifikation ist bisher ein Feature, das nicht Bestandteil des Core ist und deshalb immer mit einem Plugin nachgerüstet werden muss. Deaktivierst du das Plugin, ist auch die Zwei-Faktor-Authentifikation abgeschaltet. Wie deaktivierst du ein Plugin, wenn du nicht mehr ins Backend kommst? Haben wir in der FAQ beschrieben: Entweder des Verzeichnis des Plugins in wp-content/plugins umbenennen oder den Eintrag in der Datenbank ändern.

    Übrigens können nicht funktionierende Recovery-Codes auf eine falsche Serverzeit hinweisen. Prüf mal, welche Zeit unter Einstellungen > Allgemein angezeigt wird und ob die Zeitzone (→ Berlin) stimmt.

    Hallo,
    WordFence kann man scheinbar nicht so einfach deinstallieren (das ist auch ein Grund, warum ich das Plugin nicht nutzen würde). Alle Optionen, das Plugin zu löschen, die ich gefunden habe, laufen offensichtlich nur über das Dashboard.
    Am besten wendest du dich in dem Fall direkt an den Support.
    Laut Angaben auf der Website von Wordfence soll es auch möglich sein, das Plugin per FTP zu deaktivieren. Vorher würde ich dir aber auf jeden Fall raten, eine Sicherung zu erstellen.
    Viele Grüße
    Hans-Gerd

    WordFence kann man scheinbar nicht so einfach deinstallieren

    Echt?

    Ich hab’s nochmal rasch getestet:

    • WF installiert,
    • 2FA eingerichtet,
    • abgemeldet,
    • Code verklüngelt,
    • Anmeldung, bei 2FA abgebrochen,
    • Verzeichnis in wp-content/plugins/no.wordfence umbenannt,
    • neu angemeldet – ohne 2FA
    • Verzeichnis wieder in wp-content/plugins/wordfence benannt
    • Plugin aktiviert
    • WF > Login-Security > 2FA deaktiviert
    • 2 FA neu aktviert … GOTO LINE 10

    Nix dreckig geworden.

    Thread-Starter opensource2

    (@opensource2)

    Hallo,

    ja Bego, deine Seite hab ich gemeint. Hatte mich wirklich dumm und dusselig danach gesucht. Heißen Dank für deine schnelle Antwort.
    Ich meine aber, es hätte noch eine andere Seite gegeben, die diese Methode empfohlen und als „dreckig“ bezeichnet hatte. Sorry, für diesen Jargon – nach zwei Stunden Suche war Google nicht mehr mein Freund und ich muss ja irgendwo auch mal fluchen dürfen, oder? 😉
    Im Übrigen bin ich ein Fan von solchen radikalen Lösungen. Datei stört, Datei wird gekillt 🙂

    Bin jetzt wieder erfolgreich ins Dashboard gelangt, nachdem ich das Wordfence-Plugin mit .old umbenannt habe. Danke noch Hans-Gerd für den Hinweis mit der schwierigen Deinstallation von Wordfence. Eigentlich war ich mit Wordfence recht zufrieden. Hatte mir stets zuverlässig Nachrichten geschickt, wenn sich mal wieder jemand an meinem Admin-Zugang (erfolglos) zu schaffen gemacht hat oder mir mitgeteilt, wie oft und von wo Angriffe erfolgt sind. Werde versuchen es zu löschen und neu installieren, neu zu konfigurieren. Was die 2FA angeht, so nehme ich wohl lieber ein anderes Plugin.

    Also, nochmals vielen Dank an Euch Beide.

    P.S
    Das mit der falschen Zeitsynchronisation hatte ich damals nicht gewusst. Weiß aber nicht rückwirkend, ob dies der Grund war.

    @pixolin
    ich hatte mir einige Beiträge dazu angesehen, bei denen davor gewarnt wurde. Installiert habe ich das nicht.
    Na denn, umso besser 😉

    @opensource2
    denkst du bitte beim nächsten Mal daran, das Thema dann auch als gelöst zu markieren, wenn das Thema für dich erledigt ist. Danke.
    Gelöst
    Die Option findest du rechts in der Sidebar. Das habe ich jetzt schon gemacht.

    Hatte mir stets zuverlässig Nachrichten geschickt, wenn sich mal wieder jemand an meinem Admin-Zugang (erfolglos) zu schaffen gemacht hat oder mir mitgeteilt, wie oft und von wo Angriffe erfolgt sind.

    Gestern Abend haben die Nachbarskinder auch wieder Klingelmännchen gespielt, laut „Alaaaarm“ gerufen, als ich die Haustür aufgemacht habe und sich kringelig gelacht. Mehr ist “ wenn sich mal wieder jemand an meinem Admin-Zugang zu schaffen gemacht hat“ auch nicht – schade um die Bandbreite, wenn dafür auch noch E-Mails verschickt werden. Dann lieber das Login auf eine andere Adresse legen (z.B. mit WPS Hide Login), damit die Kids gar nicht erst „Admin“ und „Password“ ausprobieren können.

    (Die Haustürklingel wird nicht abgeschaltet – dann haben die Kids nur halb so viel Spaß. Lieber verwirrt aus dem Haus schauen und laut hörbar „Hä? Hallo?! Na sowas …“ rufen. 🤪)

    Thread-Starter opensource2

    (@opensource2)

    Vielen Dank für die Tipps und Hinweise. Und das Markieren des Threads als „Gelöst“ hatte ich vor lauter überschwänglicher Freude glatt vergessen. 😉

    Noch eine letzte Frage: Welche Plugins empfehlt ihr für die 2FA und welche als Sicherheitslösung, stellvertretend für Wordfence?

    Ok, dass es jede Menge Idioten gibt, die ständig an der Haustür klingeln, ist klar und weiß man eigentlich auch ohne diese Benachrichtungen. Da haste recht Bego . Im Gegensatz zu Halloween sollte es dabei für solche Hacker natürlich nicht Süßes, sondern nur Saures geben 😀

    Grüßle Michael

    2FA: Two Factor
    Sicherheits-Lösung: keine!

    Ich halte nichts von „Ich hab alles angeklickt, also bin ich völlig sicher“-Lösungen, die einem die All-in-One-Sicherheitsplugins vorgaukeln. Vor allem nicht, wenn dann so fragwürdige Dinge wie „verstecke die WordPress-Versionsnummer“ als superschlauer Sicherheitstipp gehandelt werden.

    WordPress ist nicht unsicher. WordPress wird nur sehr häufig eingesetzt und die Chance, dass da jemand aus Bequemlichkeit gegen grundlegende Sicherheitsmaßnahmen verstößt ist entsprechend hoch.

    Was WordPress unsicher macht, sind schwache Passwörter (gilt auch für Datenbank, Webhosting, MySQL-Datenbank), unverschlüsselte Verbindungen zum Backend (und jeder liest die Zugangsdaten im Klartext mit), zu viele Plugins und zu seltene Updates und dubiose Software („genullte“ Themes und Plugins aus fragwürdigen Quellen). Dass Websites gehackt werden, kann passieren – ein aktuelles Backup auf einem anderen Server/Computer/Sicherungsmedium begrenzt den Schaden sehr schnell.

    Fang damit an, dich nicht mehr zu fragen, wie du WordPress sicherer machen kannst, sondern überleg, wie du eine Website angreifen würdest. Nach welchen Schwachstellen würdest du suchen? Passt das auch auf deine Website? Hier Konsequenzen zu ziehen ist besser, als wirr irgendwas anzuklicken. Und 2FA ist gut. Und Backups. OK, die hatten wir schon, den Punkt ziehen wir ab.

    Thread-Starter opensource2

    (@opensource2)

    Fang damit an, dich nicht mehr zu fragen, wie du WordPress sicherer machen kannst, sondern überleg, wie du eine Website angreifen würdest. Nach welchen Schwachstellen würdest du suchen? Passt das auch auf deine Website? Hier Konsequenzen zu ziehen ist besser, als wirr irgendwas anzuklicken. Und 2FA ist gut. Und Backups. OK, die hatten wir schon, den Punkt ziehen wir ab.

    Ehrlicherweise gesagt, fehlt mir dazu viel Wissen. Hab zum Beispiel überhaupt keine php-Kenntnisse oder ähnliches. Ich kann über ftp auf meinen Webspace zugreifen, dort Ordner und Dateien löschen, evtl. nach Anleitung diese über einen Editor modifizieren oder anlegen, aber zu mehr reicht’s bei mir leider nicht. Ok, die 2FA hat mich sehr überzeugt und dies war anscheinend auch eine richtige Entscheidung. Doch außer den Dingen wie regelmäßige Backups der Seite und der regelmäßigen Aktualisierung von WP und Plugins fällt mir nicht mehr viel ein, was ich mit meinen rudimentären Kenntnissen machen könnte. Zum Beispiel teilt mir das Dashboard aktuell mit, ich sollte meine PHP-Version von PHP (7.2.34) auf die neueste Version ändern. Da scheitert es schon, weil ich, nach den Infos die ich gelesen hatte, dies anscheinend nur mit dem Hoster bewerkstelligen kann.

    Ist dies so richtig? Hast du evtl. auch so eine Art Basisanleitung mit den wichtigsten Punkten parat, die bei so etwas Hilfestellung geben kann. Oder ist dies zu subjektiv von den Seiten abhängig, so dass dies allgemein einfach schlecht zu beantworten ist?

    Falls diese Fragen zu sehr vom eigentlichen Thread abweichen, bitte ich um Verschiebung.

    • Diese Antwort wurde geändert vor 2 Jahren, 7 Monaten von opensource2.
    • Diese Antwort wurde geändert vor 2 Jahren, 7 Monaten von opensource2.

    Die PHP-Version kannst du in der Regel über deinen Kundenaccount ändern. Wie das funktioniert, findest du mit Sicherheit über die Doku deines Hosters oder du wendest dich an den Support.

    Als Sicherheitsplugin nutzen wir bei einigen Projekten gerne das Plugin NinjaFirewall.

    BTW: Bitte bei weiteren Fragen ein neues Thema eröffnen.

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)
  • Das Thema „Kein Login möglich – 2FA – Google Authenticator“ ist für neue Antworten geschlossen.