So aktivieren Sie die Zwei-Faktor-Authentifizierung auf Ihrer WordPress-Site

Ein Login + ein Passwort. Die Verbindung zur WordPress-Administrationsoberfläche ist sehr einfach, solange Sie sich diese beiden Elemente merken.

Aus der Sicht der böswilligen Person oder des Roboters, der auf Ihre Website zugreifen möchte, ist es genauso einfach.

Wenn sie Ihren Benutzernamen und Ihr Passwort finden, werden sie ohne Ihre Erlaubnis zum Kapitän des Schiffes .

Das ist ein Katastrophenszenario und leider passiert es nicht nur anderen. Um sich zu schützen, kann es sinnvoll sein , bei WordPress die Zwei-Faktor-Authentifizierung zu aktivieren .

Wenn Sie mit dieser Schutzmethode noch nicht vertraut sind oder sie einrichten möchten, wird Ihnen dieser Artikel alles erklären.

Nachdem Sie es gelesen haben, wissen Sie, warum Sie die Zwei-Faktor-Authentifizierung verwenden sollten und wie Sie sie mit zwei verschiedenen Methoden (beide mithilfe eines Plugins) in Ihrer WordPress-Installation aktivieren .

Ihre besten WordPress-Projekte brauchen den besten Host!

WPMarmite empfiehlt Bluehost: tolle Leistung, toller Support. Alles, was Sie für einen guten Start brauchen.

Probieren Sie Bluehost aus

Was ist Zwei-Faktor-Authentifizierung?

Wie funktioniert die Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist eine Methode zur Absicherung eines Benutzerkontos . Auf WordPress können Sie den Zugriff auf die Verwaltungsoberfläche (Backoffice) schützen, indem Sie der Passwortauthentifizierung eine zusätzliche Schutzebene hinzufügen.

So funktioniert das:

1. Zunächst geben Sie auf der Administrations-Loginseite Ihren Benutzernamen und Ihr Passwort ein . Dies ist, was Sie normalerweise tun, wenn Sie auf Ihre WordPress-Site zugreifen möchten.
2. Als nächstes müssen Sie sich ein zweites Mal identifizieren, um über ein Gerät oder einen Dienst in Ihrem Besitz auf den Administrator zugreifen zu können . Dies kann beispielsweise ein Smartphone sein, auf dem Sie den Verbindungsversuch durch Eingabe eines Codes validieren.

Deshalb nennen wir es doppelte Authentifizierung: Um eine Verbindung zu WordPress herzustellen, müssen Sie sich zweimal identifizieren.

Der große Vorteil dieser Methode besteht darin, dass, wenn jemand Ihr Passwort hackt, es nicht ausreicht, auf Ihr Konto zuzugreifen.
Wenn die böswillige Person oder der Bot nicht über etwas anderes von Ihnen verfügt, mit dem Sie sich anmelden können (z. B. Ihr Mobilgerät), kann sie sich nicht anmelden.

Darüber hinaus handelt es sich um einen Service, den Sie wahrscheinlich bereits in Ihrem täglichen Leben genutzt haben. Viele bekannte Websites verwenden es, wie Google, Facebook und PayPal .

Das gilt auch für Ihre Bank. Um eine Zahlung zu validieren (insbesondere bei großen Beträgen), werden Sie häufig dazu aufgefordert, diese in Ihrer Bankanwendung zu validieren, bei der Sie sich anmelden müssen.

Für die Zwei-Faktor-Authentifizierung werden mehrere Namen verwendet. Wir können auch Zwei-Faktor-Identifizierung, doppelte Authentifizierung oder sogar 2FA sagen .

Welche Möglichkeiten gibt es für die zweite Form der Authentifizierung?

Bevor wir fortfahren, werfen wir einen kurzen Blick auf die Identifizierungsmethoden, die Ihnen im zweiten Identifizierungsschritt angeboten werden könnten.

Dieser zweite Faktor kann verschiedene Formen annehmen, wie zum Beispiel:

• Ein Sicherheitscode , der per SMS oder E-Mail gesendet wird
• Eine Authentifizierungs-App (z. B. Google Authenticator), die einen einmaligen Sicherheitscode generiert, der nur für einen bestimmten Zeitraum gültig ist
• Ein USB-Token , der in den USB-Anschluss Ihres Computers eingesteckt wird
• Eine Push-Benachrichtigung
• Ein Fingerabdruck- oder Netzhautscan

Warum sollten Sie die Zwei-Faktor-Authentifizierung in WordPress aktivieren?

Obwohl die doppelte Authentifizierung einen zusätzlichen Schritt zum Anmeldevorgang hinzufügt, hat sie dennoch einen großen Vorteil: Sie macht den Zugriff auf Ihre Admin-Oberfläche viel sicherer .

Mit dieser Methode:

• Sie begrenzen Brute-Force-Angriffe . Bei Brute-Force-Angriffen besuchen Bots Ihre WordPress-Anmeldeseite und versuchen, den Benutzernamen und das Passwort des Administratorkontos Ihrer Website herauszufinden, indem sie verschiedene Kombinationen testen, um die Kontrolle darüber zu übernehmen. Sollte ihnen das jemals gelingen, verhindert die doppelte Authentifizierung, dass sie auf Ihren WordPress-Administrator zugreifen können.
• Sie stärken die Sicherheit Ihres Admin-Kontos . Selbst wenn Sie ein schwaches Passwort wie 123456 oder Liebe verwenden – tun Sie das nicht – erhalten Sie mit dem zweiten Authentifizierungsfaktor ein zusätzliches Maß an Schutz.
• Sie reduzieren das Hackerrisiko und schützen einige vertrauliche Daten besser (persönliche Daten oder die Bankdaten Ihrer Kunden, wenn Sie in einem WooCommerce-Shop verkaufen).

Ist der Wert der Zwei-Faktor-Authentifizierung klarer? Kommen wir nun zur Sache. Lesen Sie weiter, um herauszufinden, wie Sie in wenigen Minuten die doppelte Authentifizierung in WordPress einrichten.

So aktivieren Sie die doppelte Authentifizierung in WordPress

Zunächst empfehle ich Ihnen, ein Backup Ihrer Website zu erstellen. Im Falle eines Problems können Sie es problemlos beheben und wiederherstellen. Hierzu können Sie beispielsweise das Plugin UpdraftPlus aktivieren oder das Backup-Modul eines Wartungstools wie WP Umbrella (Affiliate-Link) oder ManageWP nutzen.

Welche Möglichkeiten haben Sie?

Der einfachste und schnellste Weg, die Zwei-Faktor-Authentifizierung in WordPress zu aktivieren, ist die Verwendung eines Plugins. Hierfür gibt es zwei Möglichkeiten.

Zunächst können Sie ein Plugin für die doppelte Authentifizierung in WordPress auswählen. Das offizielle WordPress-Verzeichnis enthält Dutzende davon.

Zu den beliebtesten (mehr als 5.000 aktive Installationen) gehören:

• Zwei-Faktor ( mehr als 50.000 aktive Installationen)
• WP 2FA – Zwei-Faktor-Authentifizierung für WordPress ( über 40.000 aktive Installationen)
• Google Authenticator ( Über 30.000 aktive Installationen)
• Zwei-Faktor-Authentifizierung ( mehr als 20.000 aktive Installationen)
• miniOranges Google Authenticator ( mehr als 20.000 aktive Installationen)
• Duo-Zwei-Faktor-Authentifizierung ( mehr als 9.000 aktive Installationen)

Die andere Möglichkeit besteht darin, die doppelte Authentifizierungsfunktion zu nutzen, die ein allgemeines Sicherheits-Plugin wie SecuPress, iThemes Security oder Wordfence Security bietet.

Lassen Sie uns herausfinden, wie wir sie im Detail umsetzen können.

So aktivieren Sie die doppelte Authentifizierung in WordPress mit dem WP 2FA-Plugin

Wenn Sie ein Plugin für die doppelte Authentifizierung in WordPress verwenden möchten, ist das WP 2FA-Plugin aus mehreren Gründen eine zuverlässige und effektive Option:

• Es ist nach Two-Factor das beliebteste Plugin. Und im Gegensatz zu Two-Factor können Sie mit WP 2FA eine Zwei-Faktor-Authentifizierung für alle Benutzer einrichten (bei Two-Factor muss jeder Benutzer sie selbst konfigurieren).
• Es ist eines der am besten bewerteten.
• Es wird häufig aktualisiert .
• Es ist einfach zu bedienen und zu erlernen.
• Es werden mehrere Methoden der zweiten Authentifizierung angeboten : E-Mail, SMS, Authentifizierungsanwendung, Wiederherstellungscode usw.
• Es wird von einem Unternehmen entwickelt und gepflegt, das auf WordPress-Sicherheit spezialisiert ist: WP White Security bietet auch das hervorragende WP Activity Log-Plugin an.
• Ihre Benutzer können die Zwei-Faktor-Authentifizierung einrichten, ohne sich in der Administration anzumelden . Sie können dies über das Frontend tun, was für Kunden eines Online-Shops (WP 2FA lässt sich in WooCommerce integrieren), eines Mitgliederbereichs usw. sehr praktisch ist.

Lassen Sie uns ohne Übergang lernen, wie Sie es in wenigen schnellen Schritten einrichten.

Schritt 1: Installieren und aktivieren Sie das WP 2FA-Plugin

Installieren und aktivieren Sie zunächst das Plugin auf Ihrer WordPress-Administrationsoberfläche. Gehen Sie dazu zum Menü Plugins > Neu hinzufügen .

Schritt 2: Wählen Sie eine Authentifizierungsmethode für Ihre Benutzer aus

Sobald das Plugin aktiviert ist, wird automatisch ein Konfigurationsassistent auf Ihrem Bildschirm gestartet . Klicken Sie auf den blauen „Los geht's“-Button, um loszulegen:

Anschließend werden Sie aufgefordert, eine Authentifizierungsmethode für Ihre Benutzer auszuwählen. Für den zweiten Authentifizierungsfaktor haben Sie zwei Möglichkeiten:

• Verwenden einer Anwendung wie Google Authenticator oder Authy
• Senden eines Codes per E-Mail . In diesem Fall empfiehlt WP 2FA die Aktivierung des WP Mail SMTP-Plugins, um die Zustellbarkeit von E-Mails zu verbessern, die von WordPress gesendet werden.

Wenn Sie Ihren Benutzern diese beiden Optionen anbieten möchten, lassen Sie beide Kontrollkästchen aktiviert.

Andernfalls deaktivieren Sie das Kontrollkästchen Ihrer Wahl, wenn Sie keine der Authentifizierungsmethoden anbieten möchten. Klicken Sie auf „Setup fortsetzen“, um mit der Konfiguration fortzufahren:

Im nächsten Schritt können Sie sich auch dafür entscheiden, einen einmaligen Backup-Code zu senden , falls die bisherige Authentifizierungsmethode (per App oder per E-Mail) nicht funktioniert.

Um diese Option auszuwählen, lassen Sie das Kontrollkästchen „Backup-Codes“ aktiviert und klicken Sie dann auf „Einrichtung fortsetzen“:

Schritt 3: Definieren Sie, welche Benutzerrollen die doppelte Authentifizierung in WordPress verwenden

Im dritten Schritt werden Sie von WP 2FA aufgefordert, auszuwählen, wer die doppelte Authentifizierung auf Ihrer WordPress-Site verwenden soll. Es gibt drei Möglichkeiten:

• Alle Benutzer : In diesem Fall muss sich jeder zweimal authentifizieren, um sich anzumelden, unabhängig von seiner Benutzerrolle (Administrator, Autor, Herausgeber, Mitwirkender und Abonnent).
• Bestimmte Benutzer und/oder definierte Rollen („Nur für bestimmte Benutzer und Rollen“). Hier können Sie die Verwendung der Zwei-Faktor-Authentifizierung auf bestimmte Benutzer und Rollen beschränken.
• Zwingen Sie keinem Benutzer dazu auf. In diesem Fall steht es jedem Benutzer frei, es zu aktivieren oder nicht.

Fahren Sie mit dem nächsten Schritt fort, indem Sie auf „Einrichtung fortsetzen“ klicken:

Schritt 4: Konfigurieren Sie eine Kulanzfrist

Wenn Sie die Zwei-Faktor-Authentifizierung für alle oder einige Ihrer Benutzer erzwingen möchten, können Sie ihnen die Möglichkeit geben, die Zwei-Faktor-Authentifizierung innerhalb einer bestimmten Frist zu konfigurieren.

Mit WP 2FA können Sie entweder:

• Erzwingen Sie, dass Ihre Benutzer sofort die Zwei-Faktor-Authentifizierung konfigurieren („Benutzer müssen 2FA sofort konfigurieren“).
• Definieren Sie einen Kulanzzeitraum zum Konfigurieren von 2FA („Geben Sie Benutzern einen Kulanzzeitraum zum Konfigurieren von 2FA“), der in Tagen oder Stunden festgelegt werden kann.

Wenn Sie sich entscheiden, eine Konfigurationsverzögerung festzulegen, müssen Sie auswählen, was passieren soll, wenn der Benutzer während der Verzögerung keine Maßnahmen ergreift:

• Entweder können sie nicht auf das Dashboard oder ihre Benutzerseite zugreifen („Erlauben Sie ihnen nicht, auf das Dashboard/die Benutzerseite zuzugreifen“), bis sie die doppelte Anmeldung in WordPress eingerichtet haben
• Oder das Konto des Benutzers wird gesperrt („Benutzer blockieren“). Nur ein Administrator kann die Sperre aufheben.

Klicken Sie abschließend auf „Alles erledigt“:

Schritt 5: Wählen Sie die Methode der doppelten Anmeldung bei WordPress für Ihr Benutzerkonto

Der letzte Schritt besteht darin, die doppelte Authentifizierung für Ihr Benutzerkonto einzurichten. Klicken Sie dazu auf die Schaltfläche „2FA jetzt konfigurieren“:

Daraufhin öffnet sich auf Ihrem Bildschirm ein hervorgehobenes Fenster, in dem Sie aufgefordert werden, auszuwählen, welche Authentifizierungsmethode Sie verwenden möchten:

• Authentifizierung über eine App („Einmalcode per 2FA-App“). Dies ist die Methode, die ich hier wählen werde.
• Authentifizierung per E-Mail („Einmalcode per E-Mail“).

Schritt 6: Generieren Sie einen Authentifizierungscode in einer Zwei-Faktor-Authentifizierungs-App

Um sich über eine Anwendung zu authentifizieren, müssen Sie eine auswählen. WP 2FA ist mit den folgenden Anwendungen kompatibel:

• Google Authenticator
• Authy
• Microsoft Authenticator
• Duo
• LastPass
• FreeOTP
• Okta

Für diesen Test verlasse ich mich auf Google Authenticator, den wohl bekanntesten .

Laden Sie diese Anwendung auf Ihr Smartphone herunter. Öffnen Sie es und scannen Sie dann den QR-Code, den das WP 2FA-Plugin auf Ihrer Administrationsoberfläche bietet. Wenn es fertig ist, klicken Sie auf die Schaltfläche „Ich bin bereit“.

Geben Sie dann den von der Google Authenticator-Anwendung generierten Code ein und vergessen Sie nicht, ihn zu validieren, indem Sie auf die entsprechende Schaltfläche („Validieren und Speichern“) klicken:

Schritt 7: Stellen Sie eine Verbindung zu WordPress her

Um zu überprüfen, ob alles ordnungsgemäß funktioniert, melden Sie sich von Ihrer WordPress-Administrationsoberfläche ab.

Geben Sie auf der Admin-Anmeldeseite wie gewohnt Ihren Benutzernamen und Ihr Passwort ein. Wenn alles in Ordnung ist, werden Sie aufgefordert, einen Einmalcode einzugeben, der von der von Ihnen verwendeten Anwendung generiert wird .

Im Fall von Google Authenticator handelt es sich um einen 6-stelligen Code, der alle 30 Sekunden neu generiert wird.

Und das war's, Ihre Website ist jetzt viel sicherer. Glückwunsch!

Sie können auch den Text der E-Mail anpassen, die Ihnen einen Authentifizierungscode sendet (wenn Sie diese Methode in den Plugin-Einstellungen wählen), über das Menü WP 2FA > Einstellungen > E-Mails & Vorlagen. Schließlich ist es auch möglich, den Text zu ändern, der auf der Anmeldeseite angezeigt wird, wenn Sie Ihren Authentifizierungscode eingeben müssen.

Treten Sie den WPMarmite-Abonnenten bei

Holen Sie sich die neuesten WPMarmite-Beiträge (und auch exklusive Ressourcen).

ABONNIERE JETZT

So aktivieren Sie die Zwei-Faktor-Authentifizierung mit einem allgemeinen Sicherheits-Plugin

Wenn Sie den Prozess der Einrichtung der Zwei-Faktor-Authentifizierung in WordPress selbst durchlaufen haben, haben Sie die Schritte möglicherweise als relativ einfach empfunden.

Andererseits empfanden Sie die Implementierung möglicherweise als etwas zeitaufwändig . Das WP 2FA-Plugin verfügt über mehrere Konfigurationsoptionen, die die Sache etwas in die Länge ziehen können.

Wenn Sie etwas schneller vorgehen möchten – allerdings mit weniger Optionen in den Einstellungen – gibt es einen anderen Weg.

Hierbei handelt es sich um die Verwendung eines Allzweck-Sicherheits-Plugins. Die meisten von ihnen bieten eine Option zum Aktivieren der doppelten Authentifizierung auf Ihrer WordPress-Site.

WPMarmite hat drei der bekanntesten Sicherheits-Plugins ausführliche Tutorials gewidmet, in denen Sie erfahren, wie Sie die doppelte Authentifizierung konfigurieren. Dies sind die folgenden Plugins:

• Wordfence Security (in der kostenlosen Version enthalten). Wenn Sie nicht alle Funktionen von Wordfence nutzen möchten, beachten Sie, dass es auch ein leichteres Plugin mit weniger Optionen (Wordfence Login Security) bietet, zu denen auch eine doppelte Authentifizierung gehört.
• iThemes-Sicherheit (in der kostenlosen Version enthalten)
• SecuPress bietet auch eine Zwei-Faktor-Authentifizierung (2FA), allerdings nur in der Pro-Version. SecuPress bietet diesbezüglich eine interessante Methode: Passwordless . Um sich anzumelden, muss der Benutzer kein Passwort eingeben. Sie geben einfach ihre E-Mail-Adresse auf der WordPress-Anmeldeseite ein und erhalten dann eine E-Mail mit einem eindeutigen Link, mit dem sie sich nur einmal anmelden können.

Wenn Sie sich für die Verwendung eines Allzweck-Sicherheits-Plugins entscheiden, aktivieren Sie nicht gleichzeitig ein dediziertes Zwei-Faktor-Authentifizierungs-Plugin wie WP 2FA oder einen seiner Konkurrenten. Dies wäre kontraproduktiv und Sie setzen sich dem Risiko einer Inkompatibilität aus.

Abschluss

Die doppelte Authentifizierung bei WordPress ist eine effektive Möglichkeit, die Sicherheit Ihrer Website zu erhöhen . So können Sie Ihre Website beispielsweise besser vor Brute-Force-Angriffen schützen.

In diesen Zeilen haben Sie zwei Hauptmethoden entdeckt, um es in Ihrer WordPress-Installation zu aktivieren:

1. Mit einem speziellen Plugin wie WP 2FA .
2. Mit einem allgemeinen Sicherheits-Plugin wie Wordfence, iThemes Security oder SecuPress.

Verlassen Sie sich jedoch nicht allein auf die Zwei-Faktor-Authentifizierung, um Ihre Website zu schützen. Erwägen Sie beispielsweise die Verwendung sicherer Passwörter sowie eines Anti-Spam-Plugins wie Akismet.

Haben Sie die doppelte Anmeldung auf Ihrer Website implementiert? Wenn ja, welches Feedback können Sie uns mitteilen? Teilen Sie den WPMarmite-Lesern Ihre Meinung mit, indem Sie einen Kommentar veröffentlichen.