wordpress 2-Faktor Authentifizierung einrichten vorschaubild
Zuletzt aktualisiert:   - Sonia Rieder -  0 Kommentare

Du möchtest deine Website vor unbefugten Zugriffen schützen? Dann kannst du dafür die WordPress 2-Faktor Authentifizierung (2FA) einrichten. Dadurch wird der normale Login durch ein zusätzliches Einmal-Passwort abgesichert und erhöht somit die Sicherheit deines Webauftritts. Wie das genau funktioniert, erkläre ich dir in meiner Anleitung

Wenn du deine WordPress-Website schützen möchtest, ist die Zwei-Faktor-Authentifizierung (2FA) eine sehr einfache und vor allem effektive Methode! In meinem Tutorial zeige ich dir Step-by-Step, wie du die 2-Faktor Authentifizierung in WordPress ganz einfach einrichtest und aktivierst.

Über die 2-Faktor Authentifizierung (2FA)

Mit der 2-Faktor Authentifizierung (2FA) kannst du die Sicherheit deines WordPress Benutzer-Kontos erhöhen. Denn dadurch wird der Login um einen weiteren, zweiten Faktor der Authentisierung ergänzt.
Konkret bedeutet das: Sobald du die 2FA in WordPress aktiviert hast, musst du nach der üblichen Anmeldung mit Benutzername und Passwort noch einen weiteren Bestätigungsschritt durchführen. Je nach gewählter 2FA Methode erhältst du dann beispielsweise einen Code per E-Mail oder musst deine Anmeldung per App bestätigen.

Dadurch wird das Risiko eines erfolgreichen Angriffs auf den Admin-Bereich erheblich verringert, selbst wenn dein Passwort ausgespäht werden sollte. Und die Aktivierung einer WordPress 2FA funktioniert sehr einfacher und schnell.

Vorteile

Durch das zweistufige Anmeldeverfahren wird es für potenzielle Angreifer sehr viel schwieriger, sich Zugriff auf deinen WordPress Login zu verschaffen.
Denn selbst wenn ein Hacker deine Kombination aus Benutzername und Passwort geknackt haben sollte, kann er sich damit nicht mehr im Backend anmelden. Hierzu wird nun noch der zweite Faktor der Authentisierung benötigt.

Somit ist es eine sehr gute und auch recht einfach umzusetzende Sicherheitsmaßnahme für deine Website.

Nachteile

Wirkliche Nachteile gibt es bei der 2-Faktor Authentifizierung nicht. OK, der Login-Vorgang dauert dadurch etwas länger. Aber diese paar Sekunden kann man schon mal in die Sicherheit seiner Website investieren.

Was hingegen problematisch werden kann, ist die Gefahr, dass du dich selbst aussperrst. Das kann z.B. passieren, wenn der Mail-Versand in WP nicht richtig funktioniert und dadurch die E-Mail mit dem Bestätigungscode nicht bei dir ankommt. Aber für solche Fälle kannst du vor der Einrichtung der 2FA Maßnahmen treffen: Prüfe die Zuverlässigkeit deiner Mail-Zustellung und erstelle sogenannte Backup-Codes. Mit diesen kannst du dich dann in Notfällen einloggen.

Anleitung: WordPress 2FA einrichten & aktivieren

In meiner Anleitung zeige ich dir, wie du die 2FA in WordPress einrichten kannst, um dein Benutzer-Konto doppelt abzusichern. Dazu nutze ich eines der kostenlosen WordPress 2FA Plugins, die eine schnelle und einfache Einrichtung ermöglichen.

WP 2FA – Two-factor authentication for WordPress

Melapress WP 2FA Plugin Screenshot

Das Plugin WP 2FA von Melapress ist mit 60.000 aktiven Installationen eines der beliebtesten Tools, wenn du die WordPress 2-Faktor Authentifizierung nutzen möchtest. Es bietet bereits in der kostenlosen Version sehr viele Optionen und vor allem ist die Bedienung dank des Wizards sehr einfach. So können auch Nutzer ohne technisches Hintergrundwissen problemlos eine 2FA in WordPress einrichten.

Hier ein Überblick über die wichtigsten Features

  • Einfache Einrichtung mit Setup-Assistent
  • Einmaliger Code über 2FA App
  • Einmaliger Code per E-Mail
  • Kompatibel mit gängigen 2FA-Apps (z.B. Authy, Google Authenticator, Microsoft Authenticator, Lastpass)
  • Erstellung von Backup-Codes
  • Anpassung der Bestätigungsmail
  • Anpassung der zusätzlichen Login-Maske
  • Aktivierung / Deaktivierung für bestimmte Benutzerrollen

Nach der Installation und Aktivierung des Plugins startest du am besten mit dem Einrichtungs-Assistenten.

WP 2FA Einrichtungsassistenz starten
Der Wizard leitet dich durch die WordPress 2FA Aktivierung.

#1 2FA Methode auswählen

2FA Methode auswählen
Du kannst zwischen zwei 2FA-Methoden wählen: TOTP und HOTP.

Im ersten Schritt bietet dir das Tool 2 Möglichkeiten der 2-Faktor-Authentifizierung an:

  • Einmaliger Code über eine 2FA App (TOTP)
    Bei dieser Methode muss zunächst eine 2FA App auf einem mobilen Endgerät installiert und eingerichtet werden. Am bekanntesten ist hier der Google Authenticator, den du im App-Store beziehen kannst.
  • Einmaliger Code per E-Mail (HOTP)
    Bei diese Art der 2-Faktor-Authentisierung erhält der Nutzer einen Bestätigungscode an seine hinterlegte E-Mail Adresse.

Für diese Anleitung wähle ich die 2. Methode, also den Code per E-Mail. Bei dieser Methode muss allerdings wirklich gewährleistet sein, dass der Mail-Versand in WordPress zuverlässig funktioniert. Hilfreich ist hierfür oft die Nutzung eines SMTP Plugins wie z.B. WP Mail SMTP.

#2 Alternative 2FA Methode festlegen

Alternative 2-Faktor-Authentifizierung als Backup wählen
Damit du dich nicht selbst aussperrst, solltest du eine alternative 2FA-Methode einrichten.

Als nächstes legst du eine Alternativ-Methode für die 2-Faktor Authentifizierung fest. So wird sichergestellt, dass du dich auch bei Problemen mit der Haupt-Methode noch einloggen kannst. Das kann passieren, wenn beispielsweise die Mail-Zustellung nicht funktioniert oder dein Handy nicht griffbereit ist.
In der kostenlosen Version kannst du hier eine Liste von Backup-Codes generieren, die du dann für solche Fälle nutzen kannst.

#3 2FA Vorgaben

2fa für Benutzer festlegen

Im nächsten Schritt bestimmst du, ob die WordPress 2-Faktor Authentifizierung für alle oder nur für bestimmte Benutzer angewandt werden soll. Auch wenn du generell in WordPress 2FA für alle erzwingst, kannst du im nächsten Screen einzelne Benutzer und auch Rollen davon ausschließen.

#4 Übergangsfrist

Übergangsfrist festlegen

Möchtest du die zusätzliche Absicherung des Logins sofort für alle Benutzer aktivieren? Oder soll es eine Übergangszeit für die Einrichtung geben? Hier kannst du das einstellen und hast damit die Grundlagen für die WordPress 2FA fertig eingerichtet.

Falls du später deine Einstellungen ändern möchtest, kannst du das jederzeit in den Plugin-Einstellungen unter > WP 2FA > 2FA Vorgaben erledigen.

Grundeinrichtung abgeschlossen
Die Grundkonfiguration ist nun beendet.

#5 2FA für dein Konto aktivieren

Was jetzt noch fehlt, ist die Aktivierung der 2-Faktor Authentisierung für dein eigenes Benutzerkonto. Dazu klickst du einfach auf „2FA Einstellungen jetzt einrichten“.

Im Popup wählst du eine der vorher festgelegten Methoden aus – in diesem Beispiel steht nur der Einmal-Code per E-Mail zur Verfügung.

WordPress 2FA Methode wählen

Im nächsten Step bestätigst du die hinterlegte Mail-Adresse, an die der Code gesendet werden soll.

Mail-Adresse bestätigen

Kurz darauf solltest du einen Bestätigungscode per E-Mail erhalten und gibst diesen dann ein.

anmeldecode eingeben

Nach einem Klick auf „Validate & Save“ bist du mit der WordPress 2FA Aktivierung für dein Konto fast fertig. Im letzten Step erhältst du noch die Möglichkeit, die wichtigen Backup-Codes zu generieren. Das solltest du auf jeden Fall tun und diese gut abspeichern.

#6 Backup Codes generieren

Liste mit Backup Codes generieren
Damit du es nicht vergisst, generierst du die Backup-Codes am besten sofort.
Backup Codes downloaden
Die Backup Codes solltest sicher verwahren.

Nach der erfolgreichen Einrichtung und Aktivierung der 2-Faktor Authentifizierung in WordPress erhältst du nun nach der üblichen Login-Maske noch eine weitere Authentisierungsabfrage. Erst wenn du hier den richtigen Bestätigungscode eingetragen hast, gelangst du in den Admin-Bereich deiner Website.

Zusätzliche Anmeldemaske
Anmeldemaske für den Sicherheitscode

#7 Weitere Einstellungen

Unter WP 2FA > Einstellungen findest du noch weitere nützliche Features. So kannst du hier z.B. den Inhalt der Bestätigungsmail anpassen und die Absender-Adresse ändern.

Mail Vorlage anpassen

Auch den Text der Anmeldemaske kannst du nach deinen Wünschen gestalten.

Alternativen & weitere WordPress 2FA Tools

Natürlich gibt es noch einige andere WordPress 2-Faktor-Plugins, die im Prinzip alle ähnlich funktionieren. Mir persönlich gefällt WP 2FA am besten, aber auch Two-Factor funktioniert problemlos.

Auch einige Security-Plugins bieten inzwischen ein 2FA-Feature an.
So kannst du beispielsweise bei WordFence und auch Solid Security (früher iThemes Security) schnell und einfach die 2-Faktor Authentifizierung einrichten. Dazu navigierst du einfach zu > Einstellungen > Funktionen.

Solid Security Screenshot
Screenshot Solid Security

Falls du schon ein Security Plugin nutzt, prüfst du am besten kurz, ob die Funktion darin enthalten ist. Dadurch kannst du dir ein weiteres Plugin für deine Website sparen.

Fazit:

Die WordPress 2-Faktor Authentifizierung ist eine sehr gute Möglichkeit, die Sicherheit deiner Website zu verbessern. Der Schutz ist sehr wirksam und die Einrichtung ist auch für Anfänger einfach umzusetzen. Welches Tool du dafür nutzt, ist vermutlich egal. Denn im Prinzip bieten alle ähnliche Features. Mit persönlich sagt WP 2FA am meisten zu und bisher hatte ich noch nie Probleme damit. Was die angebotenen Bestätigungsverfahren angeht, habe ich beide schon oft und ebenfalls problemlos genutzt. Sowohl der Bestätigungscode per Mail als auch der Code per App (Google Authenticator) sind immer zuverlässig angekommen.

Häufige Fragen

Was ist der Unterschied zwischen Authentisierung und Authentifizierung?

Was ist 2 Faktor Authentisierung?

Was bedeutet TOTP?

Was bedeutet HOTP?

Wie sicher ist die 2-Faktor Authentifizierung?

Ist das Plugin WP 2FA kostenlos?

Lesetipps:

Schreibe einen Kommentar