So fügen Sie eine Zwei-Faktor-Authentifizierung in WordPress hinzu (kostenlose Methode)
Veröffentlicht: 2023-08-19Ist Ihnen aufgefallen, dass beliebte Websites wie Facebook und Google Sie auffordern, eine Zwei-Faktor-Authentifizierung hinzuzufügen, um die Sicherheit zu verbessern?
Nun können Sie Ihrer WordPress-Website eine Zwei-Faktor-Authentifizierung hinzufügen. Dies gewährleistet maximale Sicherheit für Ihre WordPress-Site und alle ihre registrierten Benutzer.
In diesem Artikel zeigen wir Ihnen, wie Sie mithilfe eines Plugins und einer Authentifizierungs-App eine Zwei-Faktor-Authentifizierung für WordPress hinzufügen.
Warum die Zwei-Faktor-Authentifizierung in WordPress hinzufügen?
Einer der häufigsten Tricks, die Hacker anwenden, sind sogenannte Brute-Force-Angriffe. Bei einem dieser Angriffe verwenden sie automatisierte Skripte, die versuchen, den richtigen Benutzernamen und das richtige Passwort zu erraten, damit sie sich bei Ihrer WordPress-Website anmelden können.
Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Admin-Bereich Ihrer Website verschaffen. Sie können Malware installieren, Benutzerinformationen stehlen und alles auf Ihrer Website löschen.
Eine der einfachsten Möglichkeiten, Ihre WordPress-Website vor gestohlenen Passwörtern zu schützen, ist das Hinzufügen einer Zwei-Faktor-Authentifizierung (2FA). Bei dieser Einstellung müssen Sie sowohl Ihr Passwort als auch einen sekundären Code (aus einer App, E-Mail oder SMS) eingeben, um sich bei Ihrer Website anzumelden.
Selbst wenn jemand Ihr Passwort gestohlen hat, muss er dennoch einen Sicherheitscode auf Ihrem Telefon eingeben, um Zugriff zu erhalten.
Was ist eine Authentifizierungs-App?
Es gibt mehrere Möglichkeiten, die Anmeldung in zwei Schritten in WordPress einzurichten. Die sicherste und einfachste Methode ist jedoch die Verwendung einer Authentifizierungs-App.
Eine Authentifizierungs-App ist eine Smartphone-App, die ein temporäres Einmalpasswort für die Konten generiert, die Sie darin speichern.
Grundsätzlich verwenden die App und Ihr Server einen geheimen Schlüssel, um Informationen zu verschlüsseln und Einmalcodes zu generieren, die Sie als zweite Schutzebene verwenden können.
Es gibt viele kostenlose Apps:
- Die beliebteste App ist Google Authenticator, aber sie ist nicht die beste Wahl. Denn wenn Sie Ihr Telefon verlieren, gibt es keine Möglichkeit, Ihre Konten wiederherzustellen, es sei denn, Sie erstellen im Voraus eine Sicherungskopie.
- Wir empfehlen die Verwendung von Authy, da es sich um eine benutzerfreundliche und kostenlose App handelt, mit der Sie Ihre Konten auch in einem verschlüsselten Format in der Cloud speichern können. Wenn Sie Ihr Telefon verlieren, können Sie auf diese Weise einfach Ihr Master-Passwort eingeben, um alle Ihre Konten wiederherzustellen.
- Andere Passwort-Manager wie LastPass und 1Password verfügen alle über eine eigene Version eines Authentifikators. Sie sind besser als Google Authenticator, da Sie damit Schlüssel wiederherstellen können.
Für dieses Tutorial verwenden wir Authy. Sie können unserem Tutorial bei Bedarf auch mit einer anderen App folgen, da alle auf die gleiche Weise funktionieren.
Schauen wir uns nun an, wie man 2FA in WordPress hinzufügt. Klicken Sie einfach auf die Links unten, um zu der von Ihnen bevorzugten Methode zu springen:
Schauen wir uns nun an, wie Sie ganz einfach und kostenlos eine Zwei-Faktor-Verifizierung zu Ihrem WordPress-Anmeldebildschirm hinzufügen können.
Methode 1: Hinzufügen der Zwei-Faktor-Authentifizierung mit WP 2FA
Diese Methode ist einfach und wird allen Benutzern empfohlen. Es ist flexibel und ermöglicht die Durchsetzung einer Zwei-Faktor-Authentifizierung für alle Benutzer.
Zuerst müssen Sie das Plugin WP 2FA – Zwei-Faktor-Authentifizierung installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.
Nach der Aktivierung wird der WPA 2FA-Setup-Assistent automatisch gestartet. Andernfalls können Sie die Seite Benutzer » Ihr Profil besuchen und nach unten zum Abschnitt „WP 2FA-Einstellungen“ scrollen.
Durch Klicken auf die Schaltfläche „Zwei-Faktor-Authentifizierung (2FA) konfigurieren“ wird der Einrichtungsassistent gestartet.
Der WP 2FA-Setup-Assistent
Klicken Sie einfach auf „Los geht's!“. Klicken Sie auf die Schaltfläche, um mit der Konfiguration des Plugins zu beginnen.
Auf der nächsten Seite werden Sie aufgefordert, eine Authentifizierungsmethode auszuwählen.
Es gibt zwei Möglichkeiten:
- Einmaliger Code, der mit der 2FA-App Ihrer Wahl generiert wird (empfohlen)
- Einmaliger Code, der Ihnen per E-Mail zugesandt wird
Wir empfehlen Ihnen, die Authentifizierung über die 2FA-App (TOTP)-Methode zu wählen, da diese sicherer und zuverlässiger ist.
Sobald Sie Ihre Wahl getroffen haben, können Sie auf die Schaltfläche „Einrichtung fortsetzen“ klicken, um zur nächsten Seite des Einrichtungsassistenten zu gelangen.
Sie werden gefragt, welche alternativen 2FA-Methoden Ihre Benutzer verwenden sollen, wenn die primäre 2FA-Methode fehlschlägt, beispielsweise wenn sie ihr Telefon verlieren.
Im kostenlosen Plan ist nur die Backup-Code-Methode verfügbar. Wenn Sie mehr alternative 2FA-Methoden wünschen, müssen Sie ein Upgrade auf WP 2FA Premium durchführen.
Klicken Sie einfach auf die Schaltfläche „Einrichtung fortsetzen“, um zur nächsten Seite zu gelangen.
Auf dieser Seite können Sie die Zwei-Faktor-Anmeldung für einige oder alle Benutzer verpflichtend machen. Wir empfehlen dies, insbesondere wenn Sie eine WordPress-Website für mehrere Benutzer betreiben, beispielsweise eine Mitgliederseite.
Wenn Sie 2FA für alle Benutzer auf Ihrer Website erzwingen möchten, wählen Sie einfach die Option „Alle Benutzer“ und klicken Sie auf „Einrichtung fortsetzen“.
Jetzt müssen alle Ihre Benutzer 2FA verwenden.
Möglicherweise gibt es jedoch einige Benutzer auf Ihrer Website, die Sie nicht zur Verwendung von 2FA zwingen möchten. Auf der nächsten Seite können Sie die Benutzernamen oder Benutzerrollen dieser Teammitglieder eingeben.
Sobald Sie dies getan haben, gelangen Sie durch Klicken auf die Schaltfläche „Einrichtung fortsetzen“ zu einer Seite, auf der Sie entscheiden können, wann Ihre Benutzer mit der Nutzung von 2FA beginnen müssen.
Sie können von ihnen verlangen, dass sie sofort beginnen, oder Sie können ihnen eine Nachfrist von beispielsweise drei Tagen einräumen, damit sie Zeit haben, die Dinge einzurichten. Klicken Sie einfach auf die Option, die Sie auf Ihrer Website verwenden möchten.
Wenn Sie eine Kulanzfrist gewähren möchten, können Sie wählen, wie viele Stunden oder Tage diese betragen soll. Die Standardeinstellung von 3 Tagen funktioniert für die meisten Websites gut.
Es gibt auch Optionen, was nach Ablauf der Kulanzfrist zu tun ist, wenn einige Benutzer 2FA nicht eingerichtet haben. Sie können sie entweder hereinlassen, ihnen aber den Zugriff auf das Dashboard verbieten oder ihnen die Möglichkeit verweigern, sich überhaupt einzuloggen. Für die meisten Websites ist die erste Option die beste.
Sobald Sie Ihre Wahl getroffen haben, können Sie auf „Alles erledigt“ klicken, um den Einrichtungsassistenten zu verlassen. Herzlichen Glückwunsch, Sie haben die Zwei-Faktor-Authentifizierung auf Ihrer Website eingerichtet!
Sie sehen den Bildschirm „Setup-Abschluss“ mit einer Glückwunschnachricht. Außerdem sehen Sie eine Schaltfläche, mit der Sie 2FA für Ihr eigenes Benutzerkonto einrichten können. Sie sollten auf die Schaltfläche „2FA jetzt konfigurieren“ klicken.
Konfigurieren der Zwei-Faktor-Authentifizierung für Ihr eigenes Benutzerkonto
Ein neuer Einrichtungsassistent wird gestartet, der Sie bei der Einrichtung der Zwei-Faktor-Authentifizierung für Ihr eigenes Benutzerkonto unterstützt. Andere Benutzer Ihrer Website werden aufgefordert, dasselbe zu tun.
Als Erstes müssen Sie entscheiden, welche 2FA-Methode Sie verwenden möchten. Sie sollten die Option für einen Einmalcode über eine Authentifizierungs-App sehen. Je nachdem, welche Auswahl Sie während des Einrichtungsassistenten getroffen haben, werden Ihnen möglicherweise auch andere Optionen angezeigt.
Wählen Sie einfach die Option „Einmalcode über 2FA-App“ und klicken Sie dann auf die Schaltfläche „Nächster Schritt“.
Das Plugin zeigt Ihnen nun einen QR-Code und einen Textcode an.
Sie müssen den QR-Code mit einer Authentifizierungs-App scannen. Alternativ können Sie den Textcode auch manuell in die App eingeben.
Jetzt müssen Sie Ihr Mobilgerät in die Hand nehmen und Ihre bevorzugte Authentifizierungs-App öffnen. Die folgenden Screenshots verwenden Authy, andere Apps funktionieren jedoch auf ähnliche Weise.
Klicken Sie zunächst in Ihrer Authentifizierungs-App auf die Schaltfläche „+“ oder „Konto hinzufügen“.
Die App fragt dann nach der Erlaubnis, auf die Kamera Ihres Telefons zugreifen zu dürfen.
Sie müssen diese Berechtigung zulassen und dann auf die Schaltfläche „QR-Code scannen“ tippen, damit Sie den auf der Einstellungsseite des Plugins angezeigten QR-Code auf Ihrem Computer scannen können.
Sobald die App den QR-Code erkennt, beginnt sie automatisch mit der Speicherung des Kontos.
Anschließend können Sie das Standardlogo und den Spitznamen für das Konto bearbeiten. Wenn Sie fertig sind, sollten Sie auf die Schaltfläche „Speichern“ tippen.
Die Authentifizierungs-App speichert nun Ihr Website-Konto.
Als nächstes wird ein Einmalpasswort angezeigt. Sie müssen dies in den Plugin-Einstellungen auf Ihrem Computer eingeben.
Jetzt müssen Sie wieder zu Ihrem Computer wechseln.
Klicken Sie im Einrichtungsassistenten des Plugins auf die Schaltfläche „Ich bin bereit“, um fortzufahren.
Das Plugin fordert Sie nun auf, Ihr Einmalpasswort zu bestätigen.
Geben Sie einfach den Code Ihrer mobilen App in das Feld „Authentifizierungscode“ ein, bevor er abläuft.
Anschließend sollten Sie auf die Schaltfläche „Validieren und Speichern“ klicken, um die Einrichtung abzuschließen.
Als Nächstes haben Sie die Möglichkeit, eine Liste mit Backup-Codes zu erstellen und zu speichern. Diese Codes können verwendet werden, falls Sie keinen Zugriff auf Ihr Telefon haben.
Sie sollten auf die Schaltfläche „Liste der Backup-Codes generieren“ klicken.
Die Backup-Codes werden generiert und angezeigt.
Sie können diese Backup-Codes an einem sicheren Ort auf Ihrem Computer herunterladen, ausdrucken und an einem sicheren Ort aufbewahren oder sie sich selbst per E-Mail zusenden. Stellen Sie sicher, dass Sie sie an einem Ort aufbewahren, an den Sie gelangen können, wenn Sie Ihr Telefon nicht zur Hand haben.
Anschließend können Sie auf die Schaltfläche „Ich bin bereit, Assistent schließen“ klicken, um den Einrichtungsassistenten zu verlassen.
Verwenden der Zwei-Faktor-Authentifizierung beim Anmelden
Wenn sich Ihre Benutzer das nächste Mal anmelden, wird ihnen eine Benachrichtigung angezeigt, dass sie die Zwei-Faktor-Authentifizierung einrichten müssen, zusammen mit dem Stichtag am Ende der Kulanzfrist.
Sie können jetzt auf eine Schaltfläche klicken, um 2FA zu konfigurieren, oder sich bei der nächsten Anmeldung daran erinnern lassen.
Wenn sie auf die Schaltfläche „2FA jetzt konfigurieren“ klicken, werden sie durch die gleichen Schritte geführt wie bei der Einrichtung von 2FA für Ihr eigenes Benutzerkonto im vorherigen Abschnitt.
Wenn sie sich nach der Einrichtung der Zwei-Faktor-Authentifizierung anmelden, wird ihnen wie gewohnt der WordPress-Anmeldebildschirm angezeigt. Wenn sie jedoch ihren Benutzernamen und ihr Passwort eingeben, wird ein zweiter Bildschirm angezeigt, in dem sie nach dem Code ihrer Authentifizierungs-App gefragt werden.
Sie müssen den Code aus der App auf ihrem Telefon eingeben, bevor sie sich anmelden können. Alternativ können sie einen Ersatzcode eingeben, wenn sie ihr Telefon nicht dabei haben.
Dadurch wird Ihre Website sicherer. Wenn ein Hacker den Benutzernamen und das Passwort eines Ihrer Benutzer erfährt, kann er sich nicht anmelden, es sei denn, er hat auch Zugriff auf sein Telefon.
Tipp: Wenn Ihre WordPress-Website eine benutzerdefinierte Anmeldeformularseite verwendet, können Sie auch eine benutzerdefinierte Seite erstellen, auf der Benutzer ihre Zwei-Faktor-Authentifikator-Einstellungen verwalten können, ohne auf den WordPress-Administrationsbereich zuzugreifen.
Methode 2: Zwei-Faktor-Authentifizierung mit Zwei-Faktor-Authentifizierung hinzufügen
Diese Methode ist weniger flexibel, da Sie damit keine Zwei-Faktor-Anmeldung für alle Benutzer erzwingen können. Jeder Benutzer muss es selbst einrichten und kann es in seinem Profil deaktivieren. Es ist jedoch eine schnelle und einfache Methode, wenn Sie 2FA nur für Ihr eigenes Konto einrichten möchten.
Zuerst müssen Sie das Two-Factor-Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.
Nach der Aktivierung müssen Sie die Seite Benutzer » Profil besuchen und nach unten zum Abschnitt „Zwei-Faktor-Optionen“ scrollen.
Von hier aus müssen Sie eine Zwei-Faktor-Anmeldeoption auswählen. Mit dem Plugin können Sie E-Mail, eine Authentifizierungs-App und die FIDO U2F-Sicherheitsschlüsselmethoden verwenden.
Wir empfehlen die Verwendung der Authentifizierungs-App-Methode. Scannen Sie einfach den QR-Code auf dem Bildschirm mit einer Authentifizierungs-App wie Google Authenticator, Authy oder LastPass Authenticator.
Sobald Sie den QR-Code gescannt haben, zeigt Ihnen die App einen Bestätigungscode an, den Sie in die Plugin-Optionen eingeben und auf die Schaltfläche „Senden“ klicken müssen.
Das Plugin legt nun den geheimen Schlüssel fest. Sie können diesen Schlüssel jederzeit auf der Einstellungsseite zurücksetzen, um den QR-Code erneut zu scannen.
Vergessen Sie nicht, unten auf der Seite auf die Schaltfläche „Profil aktualisieren“ zu klicken, um Ihre Einstellungen zu speichern.
Jetzt werden Sie jedes Mal, wenn Sie sich bei Ihrer WordPress-Website anmelden, aufgefordert, den von der App auf Ihrem Telefon generierten Authentifizierungscode einzugeben.
FAQs zur Zwei-Faktor-Authentifizierung (2FA) in WordPress
Hier finden Sie einige Antworten auf einige der am häufigsten gestellten Fragen zur Verwendung der zweistufigen Anmeldung in WordPress.
1. Wie melde ich mich mit 2FA an, wenn ich keinen Zugriff auf mein Telefon habe?
Wenn Sie eine Authentifizierungs-App mit Cloud-Backup-Option wie Authy verwenden, können Sie die App auch auf Ihrem Laptop installieren.
Dadurch haben Sie auch dann Zugriff auf die Authentifizierungscodes, wenn Sie Ihr Telefon nicht dabei haben. Außerdem können Sie damit Ihre geheimen Schlüssel ganz einfach wiederherstellen, wenn Sie ein neues Telefon kaufen.
Viele Authentifizierungs-Apps ermöglichen Ihnen auch die Generierung von Backup-Codes. Diese Codes können als einmalige Passwörter verwendet werden, wenn Sie keinen Zugriff auf Ihr Telefon haben.
2. Wie melde ich mich ohne Codes meiner Authentifizierungs-App an?
Wenn Sie keinen Zugriff auf Ihr Telefon, Ihren Laptop oder Ihre Backup-Codes haben, können Sie sich nur anmelden, indem Sie das 2FA-Plugin deaktivieren.
In unserer Anleitung erfahren Sie, wie Sie alle WordPress-Plugins deaktivieren, wenn Sie keinen Zugriff auf den Admin-Bereich haben.
Sobald Sie alle Plugins deaktivieren, wird dadurch auch das Zwei-Faktor-Authentifizierungs-Plugin deaktiviert und Sie können sich bei Ihrer WordPress-Website anmelden. Sobald Sie angemeldet sind, können Sie die Plugins erneut aktivieren und die Einrichtung der Zwei-Faktor-Authentifizierung zurücksetzen.
3. Muss ich den WordPress-Administratorordner mit einem Passwort schützen?
Website-Sicherheit funktioniert am besten, wenn Sie über mehrere Sicherheitsebenen zum Schutz Ihrer Website verfügen, beginnend mit den Grundlagen wie der Verwendung von HTTPS und sicherem WordPress-Hosting.
Die Zwei-Faktor-Verifizierung macht Ihre WordPress-Anmeldung sicher, Sie können sie jedoch noch sicherer machen, indem Sie das WordPress-Administratorverzeichnis mit einem Passwort schützen. Das bedeutet, dass Benutzer nur dann auf Ihre Anmeldeseite zugreifen können, wenn sie zuvor einen Benutzernamen und ein Passwort eingegeben haben.
Wir hoffen, dass dieser Artikel Ihnen dabei geholfen hat, die 2-Faktor-Verifizierung für die WordPress-Anmeldung hinzuzufügen. Vielleicht möchten Sie auch unseren Leitfaden zum Erhalt eines kostenlosen SSL-Zertifikats für Ihre WordPress-Site oder unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins lesen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.