Du möchtest deine Website vor unbefugten Zugriffen schützen? Dann kannst du dafür die WordPress 2-Faktor Authentifizierung (2FA) einrichten. Dadurch wird der normale Login durch ein zusätzliches Einmal-Passwort abgesichert und erhöht somit die Sicherheit deines Webauftritts. Wie das genau funktioniert, erkläre ich dir in meiner Anleitung
Wenn du deine WordPress-Website schützen möchtest, ist die Zwei-Faktor-Authentifizierung (2FA) eine sehr einfache und vor allem effektive Methode! In meinem Tutorial zeige ich dir Step-by-Step, wie du die 2-Faktor Authentifizierung in WordPress ganz einfach einrichtest und aktivierst.
Über die 2-Faktor Authentifizierung (2FA)
Mit der 2-Faktor Authentifizierung (2FA) kannst du die Sicherheit deines WordPress Benutzer-Kontos erhöhen. Denn dadurch wird der Login um einen weiteren, zweiten Faktor der Authentisierung ergänzt.
Konkret bedeutet das: Sobald du die 2FA in WordPress aktiviert hast, musst du nach der üblichen Anmeldung mit Benutzername und Passwort noch einen weiteren Bestätigungsschritt durchführen. Je nach gewählter 2FA Methode erhältst du dann beispielsweise einen Code per E-Mail oder musst deine Anmeldung per App bestätigen.
Dadurch wird das Risiko eines erfolgreichen Angriffs auf den Admin-Bereich erheblich verringert, selbst wenn dein Passwort ausgespäht werden sollte. Und die Aktivierung einer WordPress 2FA funktioniert sehr einfacher und schnell.
Vorteile
Durch das zweistufige Anmeldeverfahren wird es für potenzielle Angreifer sehr viel schwieriger, sich Zugriff auf deinen WordPress Login zu verschaffen.
Denn selbst wenn ein Hacker deine Kombination aus Benutzername und Passwort geknackt haben sollte, kann er sich damit nicht mehr im Backend anmelden. Hierzu wird nun noch der zweite Faktor der Authentisierung benötigt.
Somit ist es eine sehr gute und auch recht einfach umzusetzende Sicherheitsmaßnahme für deine Website.
Nachteile
Wirkliche Nachteile gibt es bei der 2-Faktor Authentifizierung nicht. OK, der Login-Vorgang dauert dadurch etwas länger. Aber diese paar Sekunden kann man schon mal in die Sicherheit seiner Website investieren.
Was hingegen problematisch werden kann, ist die Gefahr, dass du dich selbst aussperrst. Das kann z.B. passieren, wenn der Mail-Versand in WP nicht richtig funktioniert und dadurch die E-Mail mit dem Bestätigungscode nicht bei dir ankommt. Aber für solche Fälle kannst du vor der Einrichtung der 2FA Maßnahmen treffen: Prüfe die Zuverlässigkeit deiner Mail-Zustellung und erstelle sogenannte Backup-Codes. Mit diesen kannst du dich dann in Notfällen einloggen.
Anleitung: WordPress 2FA einrichten & aktivieren
In meiner Anleitung zeige ich dir, wie du die 2FA in WordPress einrichten kannst, um dein Benutzer-Konto doppelt abzusichern. Dazu nutze ich eines der kostenlosen WordPress 2FA Plugins, die eine schnelle und einfache Einrichtung ermöglichen.
WP 2FA – Two-factor authentication for WordPress
Das Plugin WP 2FA von Melapress ist mit 60.000 aktiven Installationen eines der beliebtesten Tools, wenn du die WordPress 2-Faktor Authentifizierung nutzen möchtest. Es bietet bereits in der kostenlosen Version sehr viele Optionen und vor allem ist die Bedienung dank des Wizards sehr einfach. So können auch Nutzer ohne technisches Hintergrundwissen problemlos eine 2FA in WordPress einrichten.
Hier ein Überblick über die wichtigsten Features
- Einfache Einrichtung mit Setup-Assistent
- Einmaliger Code über 2FA App
- Einmaliger Code per E-Mail
- Kompatibel mit gängigen 2FA-Apps (z.B. Authy, Google Authenticator, Microsoft Authenticator, Lastpass)
- Erstellung von Backup-Codes
- Anpassung der Bestätigungsmail
- Anpassung der zusätzlichen Login-Maske
- Aktivierung / Deaktivierung für bestimmte Benutzerrollen
Nach der Installation und Aktivierung des Plugins startest du am besten mit dem Einrichtungs-Assistenten.
#1 2FA Methode auswählen
Im ersten Schritt bietet dir das Tool 2 Möglichkeiten der 2-Faktor-Authentifizierung an:
- Einmaliger Code über eine 2FA App (TOTP)
Bei dieser Methode muss zunächst eine 2FA App auf einem mobilen Endgerät installiert und eingerichtet werden. Am bekanntesten ist hier der Google Authenticator, den du im App-Store beziehen kannst. - Einmaliger Code per E-Mail (HOTP)
Bei diese Art der 2-Faktor-Authentisierung erhält der Nutzer einen Bestätigungscode an seine hinterlegte E-Mail Adresse.
Für diese Anleitung wähle ich die 2. Methode, also den Code per E-Mail. Bei dieser Methode muss allerdings wirklich gewährleistet sein, dass der Mail-Versand in WordPress zuverlässig funktioniert. Hilfreich ist hierfür oft die Nutzung eines SMTP Plugins wie z.B. WP Mail SMTP.
#2 Alternative 2FA Methode festlegen
Als nächstes legst du eine Alternativ-Methode für die 2-Faktor Authentifizierung fest. So wird sichergestellt, dass du dich auch bei Problemen mit der Haupt-Methode noch einloggen kannst. Das kann passieren, wenn beispielsweise die Mail-Zustellung nicht funktioniert oder dein Handy nicht griffbereit ist.
In der kostenlosen Version kannst du hier eine Liste von Backup-Codes generieren, die du dann für solche Fälle nutzen kannst.
#3 2FA Vorgaben
Im nächsten Schritt bestimmst du, ob die WordPress 2-Faktor Authentifizierung für alle oder nur für bestimmte Benutzer angewandt werden soll. Auch wenn du generell in WordPress 2FA für alle erzwingst, kannst du im nächsten Screen einzelne Benutzer und auch Rollen davon ausschließen.
#4 Übergangsfrist
Möchtest du die zusätzliche Absicherung des Logins sofort für alle Benutzer aktivieren? Oder soll es eine Übergangszeit für die Einrichtung geben? Hier kannst du das einstellen und hast damit die Grundlagen für die WordPress 2FA fertig eingerichtet.
Falls du später deine Einstellungen ändern möchtest, kannst du das jederzeit in den Plugin-Einstellungen unter > WP 2FA > 2FA Vorgaben erledigen.
#5 2FA für dein Konto aktivieren
Was jetzt noch fehlt, ist die Aktivierung der 2-Faktor Authentisierung für dein eigenes Benutzerkonto. Dazu klickst du einfach auf „2FA Einstellungen jetzt einrichten“.
Im Popup wählst du eine der vorher festgelegten Methoden aus – in diesem Beispiel steht nur der Einmal-Code per E-Mail zur Verfügung.
Im nächsten Step bestätigst du die hinterlegte Mail-Adresse, an die der Code gesendet werden soll.
Kurz darauf solltest du einen Bestätigungscode per E-Mail erhalten und gibst diesen dann ein.
Nach einem Klick auf „Validate & Save“ bist du mit der WordPress 2FA Aktivierung für dein Konto fast fertig. Im letzten Step erhältst du noch die Möglichkeit, die wichtigen Backup-Codes zu generieren. Das solltest du auf jeden Fall tun und diese gut abspeichern.
#6 Backup Codes generieren
Nach der erfolgreichen Einrichtung und Aktivierung der 2-Faktor Authentifizierung in WordPress erhältst du nun nach der üblichen Login-Maske noch eine weitere Authentisierungsabfrage. Erst wenn du hier den richtigen Bestätigungscode eingetragen hast, gelangst du in den Admin-Bereich deiner Website.
#7 Weitere Einstellungen
Unter WP 2FA > Einstellungen findest du noch weitere nützliche Features. So kannst du hier z.B. den Inhalt der Bestätigungsmail anpassen und die Absender-Adresse ändern.
Auch den Text der Anmeldemaske kannst du nach deinen Wünschen gestalten.
Alternativen & weitere WordPress 2FA Tools
Natürlich gibt es noch einige andere WordPress 2-Faktor-Plugins, die im Prinzip alle ähnlich funktionieren. Mir persönlich gefällt WP 2FA am besten, aber auch Two-Factor funktioniert problemlos.
Auch einige Security-Plugins bieten inzwischen ein 2FA-Feature an.
So kannst du beispielsweise bei WordFence und auch Solid Security (früher iThemes Security) schnell und einfach die 2-Faktor Authentifizierung einrichten. Dazu navigierst du einfach zu > Einstellungen > Funktionen.
Falls du schon ein Security Plugin nutzt, prüfst du am besten kurz, ob die Funktion darin enthalten ist. Dadurch kannst du dir ein weiteres Plugin für deine Website sparen.
Fazit:
Die WordPress 2-Faktor Authentifizierung ist eine sehr gute Möglichkeit, die Sicherheit deiner Website zu verbessern. Der Schutz ist sehr wirksam und die Einrichtung ist auch für Anfänger einfach umzusetzen. Welches Tool du dafür nutzt, ist vermutlich egal. Denn im Prinzip bieten alle ähnliche Features. Mit persönlich sagt WP 2FA am meisten zu und bisher hatte ich noch nie Probleme damit. Was die angebotenen Bestätigungsverfahren angeht, habe ich beide schon oft und ebenfalls problemlos genutzt. Sowohl der Bestätigungscode per Mail als auch der Code per App (Google Authenticator) sind immer zuverlässig angekommen.
Häufige Fragen
Was ist der Unterschied zwischen Authentisierung und Authentifizierung?
Unter der Authentisierung versteht man das Nachweisen seiner Identität. Wenn du dich beispielsweise im WordPress Admin-Bereich anmeldest, weist du über deinen Benutzernamen und Passwort deine Identität nach. Bei der Authentifizierung wiederum überprüft das System, ob deine Login-Angaben korrekt sind. Erst wenn dies zutrifft, erhältst du Zugriff auf das Backend (Autorisierung).
Was ist 2 Faktor Authentisierung?
Bei der Zwei-Faktor Authentisierung wird die Benutzeranmeldung um einen zweiten Faktor abgesichert. So wird neben der Anmeldung mit Benutzernamen und Passwort noch eine zusätzliche Authentisierung verwendet. Hierfür werden häufig folgende Möglichkeiten eingesetzt:
- Code per Email
- Code per SMS
- App-Authentisierung
- Fingerabdruck
Was bedeutet TOTP?
TOTP ist die Abkürzung für Time-Based One-Time Password. Bei diesem Verfahren wird ein einmalig Passwort erzeugt, das nur für einen bestimmten Zeitraum gültig ist. Genutzt wird diese Methode beispielsweise von Google Authenticator und Authy.
Was bedeutet HOTP?
Bei HOTP (HMAC-Based One-Time Password) wird ebenfalls ein Einmal-Passwort auf Hash-Basis (HMAC) generiert. Der häufig per E-Mail versendete Code bleibt so lange gültig, bis er genutzt wird.
Wie sicher ist die 2-Faktor Authentifizierung?
Die 2-Faktor-Authentifizierung ist sehr sicher, kann aber keinen hundertprozentigen Schutz bieten. Denn Hacker könnten beispielsweise über installierte Malware die Einmal-Codes abfangen.
Ist das Plugin WP 2FA kostenlos?
Bei dem Plugin WP 2FA handelt es sich um ein sogenanntes Freemium-Plugin. D.h. du kannst das Tool kostenlos nutzen und erhältst damit auch alle grundlegenden Funktionen für die Einrichtung der 2-Faktor Authentifizierung. Erweiterte Features sind dann in der kostenpflichtigen Version enthalten.
Die mit einem * markierten Links sind Affiliate Links. Wenn Du darüber ein Produkt kaufst, erhalte ich dadurch eine kleine Provision. Für dich entstehen dabei natürlich keine zusätzlichen Kosten, aber du unterstützt damit meinen Blog!
Lesetipps: