Stora webbplatser som Facebook och Google tar säkerhet på allvar och de ber dig att använda tvåfaktorsautentisering (2FA) för att skydda ditt konto. Det beror på att 2FA lägger till ett extra lager av säkerhet som enligt vår erfarenhet gör det mycket svårare för hackare att ta sig in.
Nu kan du göra din WordPress-webbplats lika säker. Att lägga till tvåfaktorsautentisering för dina WordPress-användare är ett smart drag, oavsett om du driver en liten blogg eller en välbesökt webbutik.
Den här artikeln guidar dig genom att ställa in 2FA på din WordPress-webbplats med hjälp av ett plugin och en autentiseringsapp. Det är enklare än du tror och gör stor skillnad när det gäller att hålla din webbplats säker.
Varför lägga till tvåfaktors-autentisering i WordPress?
Ett av de vanligaste knepen som hackare använder sig av anropas brute force-attacker. Under en av dessa attacker använder de automatiserade skript som försöker gissa rätt användarnamn och password så att de kan logga in på din WordPress website.
En brute force-attack utan problem kan ge hackare tillgång till din websites admin area. De kan installera skadlig kod, stjäla information om användare och radera allt på din site.
Ett av de enklaste sätten att skydda din WordPress-webbplats mot stulna lösenord är att add to tvåfaktors-autentisering (2FA). Med denna inställning måste du både enter ditt password och en sekundär kod (från en app, email eller text message) för att logga in på din website.
Även om någon skulle stjäla ditt password måste de ändå enter en säkerhetskod från din telefon för att få tillgång.
Vad är en app för autentisering?
Det finns flera sätt att ställa in 2-stegs login i WordPress. Den säkraste och enklaste metoden är dock att använda en app för autentisering.
En app för autentisering är en smartphone-app som genererar ett tillfälligt engångspassord för de konton som du sparar i den.
I grund och botten använder appen och din server en secret key för att kryptera information och generera engångskoder som du kan använda som det andra skyddslagret.
Det finns många gratis tillgängliga appar:
- Den mest populära appen är Google Authenticator, men det är inte det bästa valet. Det beror på att om du tappar bort din telefon finns det inget sätt att återskapa dina konton om du inte skapar en backup-kopia i förväg.
- Vi rekommenderar att du använder Authy eftersom det är en användarvänlig och gratis app som också tillåter dig att spara dina konton i molnet i ett krypterat format. På så sätt, om du tappar bort din telefon, kan du helt enkelt enter ditt huvudlösenord för att återställ alla dina konton.
- Andra lösenordshanterare gillar LastPass och 1Password kommer alla med sin egen version av en autentisering. De är bättre än Google Authenticator eftersom de tillåter dig att återställa nycklar.
För den här tutorialen kommer vi att använda Authy. Du kan följa vår tutorial med en annan app om du vill eftersom de alla fungerar på samma sätt.
Med detta sagt, låt oss ta en titt på hur du addar 2FA i WordPress. Klicka bara på länkarna under för att hoppa till den metod du föredrar:
Låt oss nu ta en titt på hur du enkelt och gratis kan add to tvåfaktorsverifiering till din WordPress login vy.
Metod 1: Lägga till tvåfaktors-autentisering med WP 2FA
Den här metoden är enkel och rekommenderas för alla användare. Den är flexibel och allow you att genomdriva tvåfaktors-autentisering för alla användare.
Först måste du installera och aktivera pluginet WP 2FA – Tvåfaktors-autentisering. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett WordPress plugin.
Efter aktivering kommer installationsguiden för WPA 2FA att startas automatiskt. Annars kan du besöka användarna ” Your Profile page och rulla ner till ”WP 2FA Settings” section.
Om du klickar på knappen ”Configure Two-factor authentication (2FA)” startar Setup Wizard.
WP 2FA Setup Wizard
Klicka bara på knappen ”Kom igång!” för att börja konfigurera pluginet.
På nästa page blir du ombedd att välja en metod för autentisering.
Det finns två alternativ:
- Engångskod genererad med din 2FA-app (rekommenderas)
- Engångskod som skickas till you via email
Vi rekommenderar att du väljer autentisering via 2FA-appen (TOTP) eftersom den är säkrare och mer tillförlitlig.
När du har gjort ditt val kan du klicka på knappen ”Continue Setup” för att gå till nästa page i Setup Wizard.
Du kommer att få frågan om vilka alternativa 2FA-metoder du gillar att dina användare ska använda om den primära 2FA-metoden Misslyckas, till exempel om de tappar bort sin telefon.
I den gratis planen kommer endast metoden för reservkod att vara available. Om du gillar fler alternativa 2FA-metoder måste du uppgradera till WP 2FA Premium.
Klicka bara på knappen ”Continue Setup” för att gå vidare till nästa page.
På den här sidan kan du göra tvåfaktors login obligatoriskt för vissa eller alla användare. Vi rekommenderar detta, särskilt om du run en WordPress website med flera användare, gillar en membership site.
Om du gillar att genomdriva 2FA för alla användare på din website, välj bara alternativet ”All users” och click ”Continue Setup”.
Nu kommer alla dina användare att vara obligatoriska att använda 2FA.
Men kanske finns det några användare på din website som du inte vill tvinga att använda 2FA. The next page allows you to type the användarnamn or user roles of those team members.
När du har gjort det kommer du genom att klicka på knappen ”Continue Setup” till en page där du kan bestämma hur snart dina användare ska börja använda 2FA.
You can require them to start right away, or you can give them a grace period of, say, 3 days, so they have time to set things up. Klicka bara på det alternativ du vill använda på din website.
Om du vill ge en respittid kan du välja hur många timmar eller dagar det ska vara. Standardinställningen på 3 dagar fungerar bra för de flesta websites.
Det finns också alternativ för vad man ska göra efter att respitperioden slutar om vissa användare inte har ställt in 2FA. Du kan antingen släppa in dem men ej låta dem komma åt dashpanelen eller blockera dem från att kunna logga in överhuvudtaget. För de flesta websites kommer det första alternativet att vara bäst.
När du har gjort ditt val kan du klicka på ”All Done” för att avsluta Setup Wizard. Grattis, du har ställt in tvåfaktors-autentisering på din site!
Du kommer att se vyn Setup Finish med ett gratulations message. Du kommer också att se en knapp som tillåter dig att ställa in 2FA för din egen användare account. You should click the ”Configure 2FA Now” button.
Konfigurera tvåfaktors-autentisering för ditt eget användarkonto
En new Setup Wizard kommer att starta för att hjälpa dig att konfigurera tvåfaktors-autentisering för ditt eget användarkonto. Andra användare på din website kommer att uppmanas att göra detsamma.
Det första du måste bestämma är vilken 2FA-metod du vill använda. Du bör se alternativet för en engångskod via en app för autentisering. Du kan också se andra alternativ beroende på de val du gjorde under Setup Wizard.
Välj bara alternativet ”Engångskod via 2FA app” och klicka sedan på knappen ”Next Step”.
Tillägget kommer nu att visa dig en QR-kod och en textkod.
Du måste skanna QR-koden med hjälp av en app för autentisering. Alternativt kan du skriva in textkoden i appen manuellt.
Nu måste du plocka upp din mobila enhet och öppna den app för autentisering som du föredrar. Screenshotsna under använder Authy, men andra appar fungerar på liknande sätt.
Klicka först på knappen ”+” eller ”Add account” i din app för autentisering.
Appen kommer sedan att be om behörighet att komma åt kameran på din telefon.
Du måste allow denna behörighet och sedan tap ’Scan QR Code’ knappen så att du kan skanna QR-koden som visas på pluginets inställningar page på din dator.
När appen känner igen QR-koden börjar den automatiskt att save kontot.
Efter det kan du editera standard loggan och smeknamnet för kontot. När du är klar ska du tapa på knappen ”Save”.
Appen autentisering kommer nu att save your website account.
Därefter kommer det att börja visa ett engångspassword. You will need to enter this in the plugin settings on your computer.
Nu måste du växla tillbaka till din dator.
I tilläggets Setup Wizard klickar du på knappen ”I’m Ready” för att fortsätta.
Tillägget kommer nu att be dig att kontrollera ditt engångspassword.
Skriv bara in koden från din app i fältet ”Authentication Code” innan den löper ut.
Efter det ska du klicka på knappen ”Validate & Save” för att slutföra installationen.
Därefter får du alternativet att generera och save en lista med reservkoder. Dessa koder kan användas om du inte har tillgång till din telefon.
Du ska klicka på knappen ”Generate List of Backup Codes”.
Reservkoderna kommer att genereras och visas.
You can download these reservcodes to a secure location on your computer, print them, and put them somewhere safe, or send them to yourself via email. Se till att förvara dem på en plats där du kan komma åt dem om du inte har din telefon.
Efter det kan du clicka på knappen ”I’m Ready, Close the Wizard” för att avsluta Setup Wizard.
Använda tvåfaktors-autentisering vid logging in
Nästa gång dina användare loggar in kommer de att se en notification om att de behöver ställa in tvåfaktors-autentisering, tillsammans med ett sista datum i slutet av respitperioden.
De kan clicka på en knapp för att konfigurera 2FA nu eller välja att få en påminnelse vid nästa login.
När de klickar på knappen ”Konfigurera 2FA nu” kommer de att gå igenom samma steg som när du konfigurerade 2FA för ditt eget användarkonto i föregående section.
När de loggar in efter att ha ställt in tvåfaktors-autentisering kommer de att se WordPress inloggningsvy som vanligt. Men när de enter sitt användarnamn och password visas en andra vy som ber om koden från deras app för autentisering.
De måste enter koden från appen på sin telefon innan de kan bli inloggade. Alternativt kan de enter en reservkod om de inte har sin telefon med sig.
Detta gör din website säkrare. Om en hackare får reda på användarnamn och password för en av dina användare kommer de ej att kunna logga in om de inte också har tillgång till deras telefon.
Tips: Om din WordPress-webbplats använder en anpassad login page kan du också skapa en custom page där användare kan hantera sina inställningar för tvåfaktors-autentisering utan att gå in i WordPress admin area.
Metod 2: Lägga till tvåfaktors-autentisering Använda tvåfaktor
Den här metoden är mindre flexibel eftersom den saknar behörighet att tvinga fram tvåfaktors login för alla användare. Varje användare måste ställa in det på egen hand och kan inaktivera det från sin profil. Det är dock en snabb och enkel metod om du bara vill ställa in 2FA för ditt eget account.
Först måste du installera och aktivera Two-Factor plugin. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett plugin för WordPress.
När du är aktiverad måste du besöka sidan Användare ” Profil och rulla ner till sektionen ” Two-Factor Options”.
Härifrån måste du välja ett alternativ för tvåfaktors login. Pluginet tillåter dig att använda email, en app för autentisering och FIDO U2F Security Keys-metoderna.
Vi rekommenderar att du använder metoden med en app för autentisering. Skanna bara QR-koden på vyn med en app för autentisering som gillar Google Authenticator, Authy eller LastPass Authenticator.
När du har skannat QR-koden kommer appen att visa dig en verifieringskod som du måste ange i plugin-alternativen och klicka på knappen ”Submit”.
Tillägget kommer nu att ställa in den secret key. Du kan återställa den här nyckeln när som helst från sidan Settings för att skanna QR-koden igen.
Glöm inte att klicka på knappen ”Update Profile” längst ner på sidan för att save your settings.
Varje gång du loggar in på din WordPress website kommer du att bli ombedd att enter koden för autentisering som genereras av appen på din telefon.
Vanliga frågor om tvåfaktors-autentisering (2FA) i WordPress
Här är några svar på några av de vanligaste frågorna om att använda tvåstegs login i WordPress.
1. Hur loggar jag in med 2FA om jag inte har tillgång till min telefon?
Om du använder en autentiseringsapp med ett alternativ för moln backup gillar Authy, då kan du installera appen på din bärbara dator också.
Detta ger dig tillgång till koderna för autentisering även när du inte har din telefon med dig. It also allows you to easily restore your secret keys when you buy a new phone.
Många appar för autentisering tillåter dig också att generera reservkoder. Dessa koder kan användas som engångslösenord när du inte har tillgång till din telefon.
2. Hur loggar jag in utan några koder från min autentisera app?
Om du inte har tillgång till din telefon, laptop eller reservkoder kan du bara logga in genom att inaktivera 2FA-pluginet.
Du kan se vår guide om hur du deaktiverar alla tillägg till WordPress när du inte kan komma åt admin area.
När du har deactivate alla tillägg inaktiverar du också plugin för tvåfaktors-autentisering, och du kommer att kunna logga in på din WordPress website. När du är inloggad kan du reactivate tilläggen och återställa inställningen för tvåfaktors-autentisering.
3. Måste jag skydda WordPress admin folder med password?
Webbplatssäkerhet fungerar bäst när du har flera lager av säkerhet för att skydda din website, och börjar med grunderna som att använda HTTPS och säkra webbhotell för WordPress.
Tvåfaktorsverifiering gör din WordPress login säker, men du kan göra det ännu säkrare genom att skydda WordPress admin directory med ett password. Detta innebär att användare inte kan komma åt din login page om de inte först enter ett användarnamn och password.
Expertguider för att skydda login i WordPress
Nu när du vet hur du add to 2-faktor verifiering till WordPress, kanske du gillar att se några andra artiklar relaterade till att göra WordPress login säkrare.
- Hur och varför du bör limit login-försök i WordPress
- Så här addar du en Custom Login URL i WordPress (Step-by-Step)
- Så här addar du CAPTCHA till inloggnings- och registreringsformulär i WordPress
- Så här addar du säkerhetsfrågor till vyn för login i WordPress
- Så här inaktiverar du inloggningstips i felmeddelanden om inloggning i WordPress
- Så här skyddar du din WordPress Admin (wp-admin) Directory med password
- Så här limitar du IP-åtkomst till din wp-login.php-fil i WordPress
- Så här addar du lösenordsfri login i WordPress med Magic Links
- Så här skyddar du din site i WordPress från Brute Force-attacker
Vi hoppas att den här artikeln hjälpte dig att add to 2-faktorverifiering för login på WordPress. Du kanske också vill se vår guide om hur du får ett gratis SSL-certifikat för din WordPress-webbplats eller vårt expertval av de bästa säkerhetstilläggen för WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Dayo Olobayo says
I completely agree with the importance of two-factor authentication, but I also think we should consider the user experience implications. Some 2FA methods can be cumbersome and lead to friction so it’s essential to strike a balance between security and usability.
Mrteesurez says
Helpful article in securing website with 2FA, I don’t know how important 2FA is before and with this guide, I will be adding it to my site. But my question is, if I enforce 2FA to all my users, how often will they be asked to use it when logging in, is it just the first time or what ?
WPBeginner Support says
They would be asked for 2fa each time they try to log in to your site.
Administratör
Jiří Vaněk says
I wanted to follow up on the question. With many services, I am used to having the option of ”remembering the device” for 2FA. This means that 2FA is entered only once, and then there is an option to remember my device, so I don’t have to enter 2FA repeatedly on the same machine. Is it possible to set this up, or is 2FA always enforced? My concern is also about user convenience on a website that will have a registration form.
WPBeginner Support says
The plugin does not have that capability at the moment, you would want to reach out to the plugin’s author for requesting that capability.
Felix says
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Dayo Olobayo says
That’s a great point! Cloud syncing in Google Authenticator is a lifesaver. No more worrying about losing access to accounts if your phone gets lost. Plus, using it with your Google account makes things even easier.
Moinuddin Waheed says
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support says
There are different ways that sites are targeted but in the long run it is random.
Administratör
Jiří Vaněk says
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support says
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Administratör
Jiří Vaněk says
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch says
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support says
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Administratör
Skye says
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai says
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support says
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Administratör
MuZa says
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support says
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administratör
Lisa Smith says
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support says
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administratör
Harman says
You can simply do it via wordpress.com.
Anna Walton says
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support says
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Administratör
Patrick Bartkus says
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.