Große Websites wie Facebook und Google nehmen die Sicherheit ernst und fordern Sie auf, Ihr Konto mit einer Zwei-Faktor-Authentifizierung (2FA) zu schützen. Das liegt daran, dass 2FA eine zusätzliche Sicherheitsebene schafft, die es unserer Erfahrung nach für Hacker viel schwieriger macht, sich Zugang zu verschaffen.
Jetzt können Sie Ihre WordPress Website genauso sicher machen. Die Zwei-Faktor-Authentifizierung für Ihre WordPress-Benutzer ist ein kluger Schachzug, egal ob Sie einen kleinen Blog oder ein großes Online-Geschäft betreiben.
Dieser Artikel führt Sie durch die Einrichtung von 2FA auf Ihrer WordPress Website mithilfe eines Plugins und einer Authentifizierungs-App. Es ist einfacher als Sie denken und macht einen großen Unterschied bei der Sicherheit Ihrer Website.
Warum eine Zwei-Faktor-Authentifizierung in WordPress?
Einer der häufigsten Tricks, den Hacker anwenden, ist der sogenannte Brute-Force-Angriff. Bei einem dieser Angriffe verwenden sie automatisierte Skripte, die versuchen, den richtigen Benutzernamen und das richtige Passwort zu erraten, damit sie sich bei Ihrer WordPress-Website anmelden können.
Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Verwaltungsbereich Ihrer Website verschaffen. Sie können Malware installieren, Benutzerdaten stehlen und alles auf Ihrer Website löschen.
Eine der einfachsten Möglichkeiten, Ihre WordPress-Website vor gestohlenen Passwörtern zu schützen, ist das Hinzufügen der Zwei-Faktor-Authentifizierung (2FA). Bei dieser Einstellung müssen Sie sowohl Ihr Passwort als auch einen zweiten Code (aus einer App, E-Mail oder SMS) eingeben, um sich bei Ihrer Website anzumelden.
Selbst wenn jemand Ihr Passwort gestohlen hat, muss er einen Sicherheitscode von Ihrem Telefon eingeben, um Zugang zu erhalten.
Was ist eine Authenticator App?
Es gibt mehrere Möglichkeiten, die 2-Schritt-Anmeldung in WordPress einzurichten. Die sicherste und einfachste Methode ist jedoch die Verwendung einer Authentifizierungs-App.
Eine Authentifizierungs-App ist eine Smartphone-App, die ein temporäres Einmalpasswort für die Konten generiert, die Sie darin speichern.
Grundsätzlich verwenden die App und Ihr Server einen geheimen Schlüssel, um Informationen zu verschlüsseln und einmalige Codes zu erzeugen, die Sie als zweite Schutzschicht verwenden können.
Es gibt viele kostenlose Apps:
- Die beliebteste App ist Google Authenticator, aber sie ist nicht die beste Wahl. Denn wenn Sie Ihr Telefon verlieren, gibt es keine Möglichkeit, Ihre Konten wiederherzustellen, es sei denn, Sie erstellen vorab eine Sicherungskopie.
- Wir empfehlen die Verwendung von Authy, da es sich dabei um eine benutzerfreundliche und kostenlose App handelt, mit der Sie Ihre Konten in einem verschlüsselten Format in der Cloud speichern können. Wenn Sie also Ihr Telefon verlieren, können Sie einfach Ihr Hauptpasswort eingeben, um alle Konten wiederherzustellen.
- Andere Passwort-Manager wie LastPass und 1Password verfügen alle über ihre eigene Version eines Authentifikators. Sie sind besser als Google Authenticator, da sie es Ihnen ermöglichen, Schlüssel wiederherzustellen.
Für diese Anleitung verwenden wir Authy. Sie können die Anleitung auch mit einer anderen App durchführen, da sie alle auf die gleiche Weise funktionieren.
Schauen wir uns nun an, wie Sie 2FA in WordPress hinzufügen können. Klicken Sie einfach auf die Links unten, um zu der von Ihnen bevorzugten Methode zu gelangen:
Schauen wir uns nun an, wie Sie Ihrem WordPress-Anmeldebildschirm ganz einfach und kostenlos eine Zwei-Faktor-Verifizierung hinzufügen können.
Methode 1: Hinzufügen der Zwei-Faktoren-Authentifizierung mit WP 2FA
Diese Methode ist einfach und wird für alle Benutzer empfohlen. Sie ist flexibel und ermöglicht es Ihnen, die Zwei-Faktor-Authentifizierung für alle Benutzer durchzusetzen.
Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung wird der WPA 2FA-Einrichtungsassistent automatisch gestartet. Andernfalls können Sie die Seite Benutzer “ Ihr Profil besuchen und nach unten zum Abschnitt „WP 2FA-Einstellungen“ scrollen.
Wenn Sie auf die Schaltfläche „Zwei-Faktor-Authentifizierung (2FA) konfigurieren“ klicken, wird der Einrichtungsassistent gestartet.
Der WP 2FA-Einrichtungsassistent
Klicken Sie einfach auf die Schaltfläche „Let’s Get Started!“, um mit der Konfiguration des Plugins zu beginnen.
Auf der nächsten Seite werden Sie aufgefordert, eine Authentifizierungsmethode auszuwählen.
Es gibt zwei Möglichkeiten:
- Einmaliger Code, der mit der 2FA-App Ihrer Wahl generiert wird (empfohlen)
- Einmaliger Code, der Ihnen per E-Mail zugesandt wird
Wir empfehlen Ihnen, die Authentifizierung über die 2FA-App (TOTP) zu wählen, da sie sicherer und zuverlässiger ist.
Sobald Sie Ihre Wahl getroffen haben, können Sie auf die Schaltfläche „Einrichtung fortsetzen“ klicken, um zur nächsten Seite des Einrichtungsassistenten zu gelangen.
Sie werden gefragt, welche alternativen 2FA-Methoden Ihre Benutzer verwenden sollen, wenn die primäre 2FA-Methode ausfällt, z. B. wenn sie ihr Telefon verlieren.
Beim kostenlosen Plan ist nur die Backup-Code-Methode verfügbar. Wenn Sie mehr alternative 2FA-Methoden wünschen, müssen Sie ein Upgrade auf WP 2FA Premium durchführen.
Klicken Sie einfach auf die Schaltfläche „Einrichtung fortsetzen“, um zur nächsten Seite zu gelangen.
Auf dieser Seite können Sie die Zwei-Faktor-Anmeldung für einige oder alle Benutzer obligatorisch machen. Wir empfehlen dies, insbesondere wenn Sie eine WordPress-Website mit mehreren Nutzern betreiben, z. B. eine Mitgliederseite.
Wenn Sie 2FA für alle Benutzer auf Ihrer Website erzwingen möchten, wählen Sie einfach die Option „Alle Benutzer“ und klicken Sie auf „Einrichtung fortsetzen“.
Jetzt müssen alle Ihre Benutzer 2FA verwenden.
Vielleicht gibt es jedoch einige Benutzer auf Ihrer Website, die Sie nicht zur Verwendung von 2FA zwingen möchten. Auf der nächsten Seite können Sie die Benutzernamen oder Benutzerrollen dieser Teammitglieder eingeben.
Wenn Sie dies getan haben, klicken Sie auf die Schaltfläche „Einrichtung fortsetzen“, um zu einer Seite zu gelangen, auf der Sie entscheiden können, wie schnell Ihre Benutzer mit der 2FA beginnen müssen.
Sie können verlangen, dass sie sofort beginnen, oder Sie können ihnen eine Frist von z. B. 3 Tagen einräumen, damit sie Zeit haben, alles einzurichten. Klicken Sie einfach auf die Option, die Sie auf Ihrer Website verwenden möchten.
Wenn Sie eine Nachfrist einräumen möchten, können Sie wählen, wie viele Stunden oder Tage dies sein soll. Die Standardeinstellung von 3 Tagen ist für die meisten Websites gut geeignet.
Es gibt auch Optionen dafür, was zu tun ist, wenn die Schonfrist abgelaufen ist und einige Nutzer keine 2FA eingerichtet haben. Sie können sie entweder zulassen, ihnen aber den Zugriff auf das Dashboard verweigern oder sie überhaupt nicht mehr anmelden lassen. Für die meisten Websites ist die erste Option die beste.
Wenn Sie Ihre Wahl getroffen haben, können Sie auf „Alles fertig“ klicken, um den Einrichtungsassistenten zu beenden. Herzlichen Glückwunsch, Sie haben die Zwei-Faktor-Authentifizierung auf Ihrer Website eingerichtet!
Sie sehen den Bildschirm „Setup Finish“ mit einer Glückwunschnachricht. Es wird auch eine Schaltfläche angezeigt, mit der Sie 2FA für Ihr eigenes Benutzerkonto einrichten können. Klicken Sie auf die Schaltfläche „2FA jetzt konfigurieren“.
Konfigurieren der Zwei-Faktoren-Authentifizierung für Ihr eigenes Benutzerkonto
Es wird ein neuer Einrichtungsassistent gestartet, der Sie bei der Einrichtung der Zwei-Faktor-Authentifizierung für Ihr eigenes Benutzerkonto unterstützt. Andere Benutzer auf Ihrer Website werden aufgefordert, dasselbe zu tun.
Als Erstes müssen Sie sich entscheiden, welche 2FA-Methode Sie verwenden möchten. Sie sollten die Option für einen einmaligen Code über eine Authentifizierungs-App sehen. Je nachdem, was Sie während des Einrichtungsassistenten ausgewählt haben, können auch andere Optionen angezeigt werden.
Wählen Sie einfach die Option „Einmaliger Code über 2FA-App“ und klicken Sie dann auf die Schaltfläche „Nächster Schritt“.
Das Plugin zeigt Ihnen nun einen QR-Code und einen Textcode an.
Sie müssen den QR-Code mit einer Authentifizierungs-App scannen. Alternativ können Sie den Textcode auch manuell in die App eingeben.
Nun müssen Sie Ihr Mobilgerät in die Hand nehmen und Ihre bevorzugte Authentifizierungs-App öffnen. In den folgenden Screenshots wird Authy verwendet, aber andere Apps funktionieren auf ähnliche Weise.
Klicken Sie zunächst auf die Schaltfläche „+“ oder „Konto hinzufügen“ in Ihrer Authenticator-App.
Die App bittet dann um die Erlaubnis, auf die Kamera Ihres Telefons zuzugreifen.
Sie müssen diese Berechtigung zulassen und dann auf die Schaltfläche „QR-Code scannen“ tippen, damit Sie den auf der Einstellungsseite des Plugins angezeigten QR-Code auf Ihrem Computer scannen können.
Sobald die App den QR-Code erkennt, beginnt sie automatisch, das Konto zu speichern.
Danach können Sie das Standardlogo und den Spitznamen für das Konto bearbeiten. Wenn Sie fertig sind, sollten Sie auf die Schaltfläche „Speichern“ tippen.
Die Authenticator-App speichert nun Ihr Website-Konto.
Als nächstes wird ein einmaliges Passwort angezeigt. Dieses müssen Sie in den Plugin-Einstellungen auf Ihrem Computer eingeben.
Jetzt müssen Sie wieder zu Ihrem Computer wechseln.
Klicken Sie im Einrichtungsassistenten des Plugins auf die Schaltfläche „Ich bin bereit“, um fortzufahren.
Das Plugin fordert Sie nun auf, Ihr Einmal-Passwort zu bestätigen.
Geben Sie einfach den Code aus Ihrer mobilen App in das Feld „Authentifizierungscode“ ein, bevor er abläuft.
Danach sollten Sie auf die Schaltfläche „Validieren & Speichern“ klicken, um die Einrichtung abzuschließen.
Als Nächstes erhalten Sie die Möglichkeit, eine Liste von Sicherungscodes zu erstellen und zu speichern. Diese Codes können verwendet werden, falls Sie keinen Zugang zu Ihrem Telefon haben.
Klicken Sie auf die Schaltfläche „Liste der Sicherungscodes generieren“.
Die Backup-Codes werden generiert und angezeigt.
Sie können diese Sicherungscodes an einen sicheren Ort auf Ihrem Computer herunterladen, ausdrucken und an einem sicheren Ort aufbewahren oder per E-Mail an sich selbst senden. Stellen Sie sicher, dass Sie sie irgendwo aufbewahren, wo Sie sie erreichen können, wenn Sie Ihr Telefon nicht dabei haben.
Danach können Sie auf die Schaltfläche „Ich bin fertig, schließe den Assistenten“ klicken, um den Einrichtungsassistenten zu beenden.
Zwei-Faktor-Authentifizierung bei der Anmeldung verwenden
Wenn sich Ihre Benutzer das nächste Mal anmelden, wird ihnen eine Benachrichtigung angezeigt, dass sie die Zwei-Faktor-Authentifizierung einrichten müssen, zusammen mit dem Stichtag am Ende der Nachfrist.
Sie können auf eine Schaltfläche klicken, um 2FA jetzt zu konfigurieren oder sich bei der nächsten Anmeldung daran erinnern zu lassen.
Wenn sie auf die Schaltfläche „2FA jetzt konfigurieren“ klicken, werden sie durch die gleichen Schritte geführt wie bei der Einrichtung von 2FA für Ihr eigenes Benutzerkonto im vorherigen Abschnitt.
Wenn sie sich nach der Einrichtung der Zwei-Faktor-Authentifizierung anmelden, sehen sie den WordPress-Anmeldebildschirm wie gewohnt. Wenn sie jedoch ihren Benutzernamen und ihr Passwort eingeben, wird ein zweiter Bildschirm angezeigt, der nach dem Code ihrer Authentifizierungs-App fragt.
Sie müssen den Code aus der App auf ihrem Telefon eingeben, bevor sie eingeloggt werden können. Alternativ können sie auch einen Backup-Code eingeben, wenn sie ihr Telefon nicht dabei haben.
Dies erhöht die Sicherheit Ihrer Website. Wenn ein Hacker den Benutzernamen und das Passwort eines Ihrer Nutzer in Erfahrung bringt, kann er sich nicht anmelden, es sei denn, er hat auch Zugang zu dessen Telefon.
Tipp: Wenn Ihre WordPress-Website ein benutzerdefiniertes Anmeldeformular verwendet, können Sie auch eine benutzerdefinierte Seite erstellen, auf der Benutzer ihre Zwei-Faktor-Authentifizierungseinstellungen verwalten können, ohne auf den WordPress-Administrationsbereich zuzugreifen.
Methode 2: Hinzufügen der Zwei-Faktoren-Authentifizierung mit Zwei-Faktoren
Diese Methode ist weniger flexibel, da Sie die Zwei-Faktor-Anmeldung nicht für alle Benutzer durchsetzen können. Jeder Nutzer muss sie selbst einrichten und kann sie in seinem Profil deaktivieren. Es ist jedoch eine schnelle und einfache Methode, wenn Sie 2FA nur für Ihr eigenes Konto einrichten möchten.
Zunächst müssen Sie das Two-Factor-Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung müssen Sie die Seite Benutzer “ Profil aufrufen und zum Abschnitt „Zwei-Faktor-Optionen“ hinunterblättern.
Von hier aus müssen Sie eine Zwei-Faktor-Anmeldeoption auswählen. Das Plugin ermöglicht Ihnen die Verwendung von E-Mail, einer Authentifizierungs-App und der FIDO U2F Security Keys-Methode.
Wir empfehlen die Methode mit der Authenticator-App. Scannen Sie einfach den QR-Code auf dem Bildschirm mit einer Authentifizierungs-App wie Google Authenticator, Authy oder LastPass Authenticator.
Sobald Sie den QR-Code gescannt haben, zeigt Ihnen die App einen Verifizierungscode an, den Sie in die Plugin-Optionen eingeben und auf die Schaltfläche „Senden“ klicken müssen.
Das Plugin legt nun den geheimen Schlüssel fest. Sie können diesen Schlüssel jederzeit auf der Einstellungsseite zurücksetzen, um den QR-Code erneut zu scannen.
Vergessen Sie nicht, auf die Schaltfläche „Profil aktualisieren“ unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.
Jetzt werden Sie jedes Mal, wenn Sie sich bei Ihrer WordPress-Website anmelden, aufgefordert, den von der App generierten Authentifizierungscode auf Ihrem Telefon einzugeben.
FAQs zur Zwei-Faktor-Authentifizierung (2FA) in WordPress
Hier finden Sie Antworten auf einige der am häufigsten gestellten Fragen zur Verwendung der zweistufigen Anmeldung in WordPress.
1. Wie melde ich mich mit 2FA an, wenn ich keinen Zugriff auf mein Telefon habe?
Wenn Sie eine Authentifizierungs-App mit einer Cloud-Backup-Option wie Authy verwenden, können Sie die App auch auf Ihrem Laptop installieren.
So haben Sie auch dann Zugriff auf die Authentifizierungscodes, wenn Sie Ihr Telefon nicht dabei haben. Außerdem können Sie so Ihre geheimen Schlüssel leicht wiederherstellen, wenn Sie ein neues Telefon kaufen.
Viele Authentifizierungs-Apps ermöglichen es Ihnen auch, Backup-Codes zu erstellen. Diese Codes können als einmalige Passcodes verwendet werden, wenn Sie keinen Zugriff auf Ihr Telefon haben.
2. Wie kann ich mich ohne Codes über meine Authenticator-App anmelden?
Wenn Sie keinen Zugriff auf Ihr Telefon, Ihren Laptop oder Ihre Backup-Codes haben, können Sie sich nur anmelden, indem Sie das 2FA-Plugin deaktivieren.
In unserer Anleitung erfahren Sie, wie Sie alle WordPress-Plugins deaktivieren können, wenn Sie keinen Zugriff auf den Admin-Bereich haben.
Sobald Sie alle Plugins deaktiviert haben, wird auch das Plugin für die Zwei-Faktor-Authentifizierung deaktiviert, und Sie können sich bei Ihrer WordPress-Website anmelden. Sobald Sie angemeldet sind, können Sie die Plugins wieder aktivieren und die Einrichtung der Zwei-Faktor-Authentifizierung zurücksetzen.
3. Muss ich den WordPress-Admin-Ordner mit einem Passwort schützen?
Die Sicherheit einer Website funktioniert am besten, wenn Sie mehrere Sicherheitsebenen zum Schutz Ihrer Website einsetzen, angefangen bei den Grundlagen wie der Verwendung von HTTPS und sicherem WordPress-Hosting.
Die Zwei-Faktor-Verifizierung macht Ihr WordPress-Login sicher, aber Sie können es noch sicherer machen, indem Sie das WordPress-Administrationsverzeichnis mit einem Passwort schützen. Das bedeutet, dass Benutzer nicht in der Lage sind, auf Ihre Anmeldeseite zuzugreifen, wenn sie nicht zuerst einen Benutzernamen und ein Passwort eingeben.
Expertenanleitungen zum Schutz des WordPress-Logins
Da Sie nun wissen, wie Sie die 2-Faktor-Verifizierung zu WordPress hinzufügen können, möchten Sie vielleicht noch einige andere Artikel lesen, die sich mit der Erhöhung der Sicherheit des WordPress-Logins befassen.
- Wie und warum Sie Login-Versuche in WordPress begrenzen sollten
- Hinzufügen einer benutzerdefinierten Anmelde-URL in WordPress (Schritt für Schritt)
- Wie man CAPTCHA in WordPress Login und Registrierungsformular hinzufügen
- Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm
- Deaktivieren von Login-Hinweisen in WordPress Login-Fehlermeldungen
- Wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen
- Wie man den Zugriff auf die Datei wp-login.php in WordPress nach IP-Adresse beschränkt
- Hinzufügen eines passwortlosen Logins in WordPress mit Magic Links
- Wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die 2-Faktor-Verifizierung für den WordPress-Login hinzuzufügen. Vielleicht interessiert Sie auch unsere Anleitung, wie Sie ein kostenloses SSL-Zertifikat für Ihre WordPress-Website erhalten, oder unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
Admin
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Admin
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Admin
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Admin
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Admin
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Admin
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Admin
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.