Wordfence 2FA code werkt niet meer

oadm schreef op woensdag 1 februari 2023 @ 10:30:
Wat ik al gevonden of geprobeerd heb
...Niets.

Tja, dan houdt het een beetje op.

Als je voor de kleinste dingen aan het handje gehouden moet worden dan kun je beter een partij inschakelen die wél weet hoe ze een WordPress website moeten onderhouden, en niet proberen het zelf te doen zonder enige nodig basiskennis.

Eerste resultaat als ik zoek op 'disable 2FA wordfence': https://wordpress.org/sup...no-access-to-admin-panel/

Lijkt me toch niet wenselijk, zeker voor een admin-account, dat 2FA omzeild zou kunnen worden. Heb je je 2FA-code nergens gebackupt op een ander device waarmee je het zou kunnen proberen? Ben je misschien op een ander apparaat nog ingelogd en zou je daarvandaan "je code" kunnen herstellen? Is je installatie self-hosted of is dat jou helemaal uit handen genomen door een partij die je daar support op kan leveren?

Staat de datum/tijd op je telefoon, computer en server wel goed?

[Voor 7% gewijzigd door DataGhost op 01-02-2023 10:34]

oadm schreef op woensdag 1 februari 2023 @ 10:39:
[...]


Ik zie niet hoe ik van een 2FA code een backup kan maken. Ik heb wel vanaf mijn inlog pagina een unlock email aangevraagd maar daar kom ik ook niet verder mee. Via die zelfde email krijg ik een link die ik moet kunnen gebruiken om de Wordfence beveiliging tijdelijk uit te schakelen. Ik ben als eigenaar van mijn site de enige die die deze email kan ontvangen volgens mij maar ook dat werkt niet.

Ik heb dus wel het een en ander geprobeerd maar niets lijkt te werken. Het vreemde is dat ik Wordfence al een paar jaar gebruik en het inloggen met 2FA gaat altijd perfect en nu ineens lukt het niet meer.

Je 2FA-codes worden gegenereerd aan de hand van een seed, ik zou maar eens snel gaan uitzoeken hoe je die kan backuppen en eventueel je strategie aanpassen als dat met de app die je gebruikt niet makkelijk mogelijk blijkt (andere app gebruiken, seeds zelf opslaan voordat ze je app in gaan, ...). Als jij namelijk je telefoon kwijtraakt ben je ook je toegang kwijt tot alle accounts waar je 2FA gebruikt. Aangezien je dit aanzet juist om aanvallers met jouw username/password te dwarsbomen is het niet wenselijk als je bij een klantenservice aan komt zetten met alleen maar je username/password en een zielig verhaal dat je je 2FA-codes kwijt bent. Dus afhankelijk van hoe goedgelovig ze zijn of hoeveel andere gegevens ze van je kunnen controleren kan het best zo zijn dat je met het kwijtraken/kapotgaan van je telefoon permanent toegang tot een aantal accounts verliest.

Wordfence heb ik verder geen ervaring mee, ik weet wel dat Wordpress en alle plugins erbij een security-nachtmerrie zijn en vanwege de lage kwaliteit van een hele hoop shit het best voor kan komen dat de ene plugin de andere kapot maakt. Maar daar heb je niet zoveel aan.

Alleen je hebt ook nog geen antwoord gegeven op de vragen die ik stelde dus dat helpt niet echt mee met het oplossen van het probleem. Net zo min als "het een en ander geprobeerd" zonder concreet te benoemen wat erg behulpzaam is, want dan weten wij niet wat je precies al geprobeerd hebt en krijg je misschien alleen maar suggesties die... je al geprobeerd hebt. Dus als je daarmee begint zal er vast iemand met meer kennis van zaken zijn die je gericht kan helpen hiermee. En dus nogmaals: check of de datum/tijd overal goed staat ingesteld.

Ook geen ervaring met Wordpress maar wellicht kun je de plugin tijdelijk uitschakelen via je database?

Het is al gezegd, maar begin met het controleren van je datum/tijd op je server en 2FA device (je telefoon). Grote kans dat dat het probleem is als het spontaan gestopt is met werken.

oadm schreef op woensdag 1 februari 2023 @ 10:30:

Wat ik al gevonden of geprobeerd heb
...Niets.

Voor een volgende keer: Dat verwachten we wél: zie onze Quickstart.

[Voor 64% gewijzigd door RobIII op 01-02-2023 11:49]