Ein starkes Passwort ist eine Grundlage, keine vollständige Verteidigung. Datenlecks, Phishing und Persistenzangriffe überwinden allesamt Passwörter. Dieser Leitfaden erklärt, warum – und welche zusätzlichen Schichten wirklich zählen.
Warum starke Passwörter trotzdem durchsickern
Lecks entstehen bei den Anbietern, bei denen Ihre Nutzer Passwörter wiederverwenden, nicht unbedingt auf Ihrer Website. Ein bei einem zehn Jahre alten Datenleck geleaktes Adobe-Passwort kann Ihre WordPress-Website heute kompromittieren, wenn der Nutzer es wiederverwendet hat.
Die Stärke des Passworts spielt keine Rolle, wenn das Passwort bereits woanders durchgesickert ist.
Phishing überwindet starke Passwörter
Ein Nutzer, der sein starkes Passwort auf einer gefälschten Anmeldeseite eingibt, übergibt es direkt dem Angreifer. Die Stärke ist irrelevant – es war die falsche Seite.
Phishing-Kampagnen zielen gezielt auf Administratoren. Das WordPress-Administratorkonto ist ein bekanntes, wertvolles Ziel.
Die Zwei-Faktor-Authentifizierung ist die Antwort
Ein zweiter Faktor durchbricht sowohl das Leck- als auch das Phishing-Problem. Der Angreifer hat das Passwort, aber nicht das Gerät, also schlägt die Anmeldung fehl. Defyn Security Manager bietet TOTP-basierte 2FA, kompatibel mit Google Authenticator, Authy, 1Password, Microsoft Authenticator und Bitwarden.
Das Plugin Defyn Security Manager unterstützt außerdem die rollenbasierte Durchsetzung und Backup-Codes, sodass die Einführung für echte Teams praktikabel ist.
Passwortrotation ist die falsche Lösung
Ein erzwungener Passwortwechsel alle neunzig Tage verbessert die Sicherheit nicht. Nutzer wählen schwächere Varianten ihres bestehenden Passworts, und die zusätzliche Hürde bietet keinen Schutz.
Rotieren Sie nur bei vermuteter Kompromittierung. Lassen Sie ansonsten starke Passwörter in Ruhe.
Passwortmanager sind die richtige Grundlage
Jeder Administrator sollte einen Passwortmanager verwenden. Eindeutige, zufällige Passwörter für jede Website beseitigen das Wiederverwendungsproblem. 1Password, Bitwarden und KeePass sind allesamt sinnvolle Optionen.
Dokumentieren Sie die Richtlinie, schulen Sie neue Mitarbeiter und prüfen Sie sie jährlich.
2FA, einen Passwortmanager und eine vernünftige Rotationsrichtlinie zu kombinieren, ist genau die Art von Härtung, die Defyn für die betreuten WordPress-Websites einrichtet.
Häufig gestellte Fragen
Reichen WordPress-Passwörter selbst mit einem Passwortmanager nicht aus?
Besser, aber immer noch nicht genug. Phishing überwindet auch Passwortmanager. Die 2FA ist die Absicherung.
Sollte ich 2FA für jeden Nutzer vorschreiben?
Für Administratoren und Redakteure ja. Für Abonnenten meist optional.
Was, wenn ein Nutzer sein 2FA-Gerät verliert?
Backup-Codes stellen den Zugriff wieder her. Das Plugin erzeugt sie bei der Einrichtung.
Verlangsamt 2FA den Arbeitsablauf?
Ein paar Sekunden pro Anmeldung. Der Sicherheitsgewinn ist es wert.


