Mit der zwei Faktor Authentifizierung sorgst du für eine zusätzliche Sicherheitsebene bei deinem WordPress Login.
Richte sie mit dieser Anleitung ganz einfach und vor allem kostenlos ein, damit bei jedem Login neben deinem Passwort zusätzlich ein Einmalcode eingegeben werden muss.
Du wirst etwa eine halbe Stunde benötigen, um alles an deine Wünsche anzupassen und einzurichten, hast ab dann aber eine deutlich höhere Sicherheit und fühlst dich bestimmt auch etwas sicherer.
Und keine Sorge, der Anleitung kannst du sowohl als WordPress Einsteiger, als auch Fortgeschrittener oder Profi folgen.
Los geht's!
Was ist eine 2 Faktor Authentifizierung?
Die zwei Faktor Authentifizierung (2FA) ist eine Sicherheitsfunktion, die beim Login eines Nutzers ein einmalig gültiges Passwort verlangt. Dieses Einmalpasswort kann per E-Mail, SMS oder auch per App generiert werden.
So schafft es nicht mal jemand, der dein Passwort geknackt hat, sich einzuloggen.
Etwa 8 % aller WordPress Websites werden wegen eines zu schwachen oder geleakten Passworts gehackt (Quelle). Dem solltest du natürlich in erster Linie mit einem sicheren Passwort entgegenwirken, doch auch die 2 FA hilft natürlich dabei.
Diese zusätzliche Sicherheitsebene ist in WordPress ziemlich einfach einzurichten, auch wenn du dich noch als WordPress Einsteiger siehst. Trotzdem biete sie eine deutlich erhöhte Sicherheit für dein WordPress Login.
So richtest du die zwei Faktor Authentifizierung kostenlos ein
Hast du bereits ein Sicherheitsplugin wie Solid Security (früher „iThemes Security“) oder Wordfence auf deiner Website aktiv, kannst du die zwei Faktor Authentifizierung in diesen Plugins aktivieren.
Bitte anklicken für die Kurzanleitungen für die beiden Plugins:
Kurzanleitung für Solid Security (früher iThemes Security)
Navigiere unter „Security“ → „Settings“ → „Features“ → „Two-Factor“. Aktiviere dort die gewünschten Methoden zur zwei Faktor Authentifizierung. Anschließend kannst du die 2FA in der WordPress Benutzerverwaltung einrichten. Eine ausführliche Anleitung findest du hier.
Kurzanleitung für Wordfence
Navigiere zu der „Login Security“ Seite in Wordfence. Scanne dort den QR-Code mit deiner 2FA App, um die zwei Faktor Authentifizierung zu aktivieren. Im Reiter „Settings“ findest du weitere Einstellungen. Für weitere Infos geht es hier zur Anleitung von Wordfence.
Wenn du kein solches Plugin im Einsatz hast, fahre mit der folgenden Anleitung fort und installiere dir das kostenlose Plugin „WP 2FA“:
1. Installiere das Plugin „WP 2FA“
Das Plugin „WP 2FA“ von Melapress (früher WP White Security) bietet eine kostenlose Version, die für die zwei Faktor Authentifizierung völlig ausreicht.
Du kannst es wie üblich über das WordPress Backend installieren, indem du unter „Plugins“ → „Installieren“ navigierst und dort in die Suchmaske „WP 2FA“ eingibst.
Nun erscheint in den Suchergebnissen das Plugin „WP 2FA – Two-factor authentication for WordPress“ von „Melapress“.
Klicke auf „Installieren“ und nach der Installation direkt auf „Aktivieren“.
2. Folge dem Einrichtungsassistenten und lege die gewünschten Einstellungen fest
Nach dem Aktivieren des Plugins öffnet sich automatisch der Einrichtungsassistent. Gehe ihn einmal durch, um die generellen Einstellungen für die zwei Faktor Authentifizierung festzulegen:
Bestimme die 2 FA Methoden
Im ersten Schritt des Einrichtungsassistenten kannst du festlegen, auf welche Arten die zwei Faktor Authentifizierung erfolgen darf.
Zur Auswahl stehen zwei Methoden:
Einmaliger Code per 2FA App
Bei dieser Methode kann der benötigte Einmalcode per App generiert werden. Die Einrichtung der App erfolgt nach Abschluss des Einrichtungsassistenten. Unterstützt werden die folgenden Smartphone-Apps:
Einmaliger Code per E-Mail
Mit dieser Methode wird dem Nutzer ein Einmalcode an die in WordPress für den Benutzer hinterlegte E-Mail-Adresse geschickt. Da hierfür der E-Mail Versand reibungslos funktionieren muss, solltest du das kostenlose Plugin WP SMTP installieren und einrichten.
Wähle alternative 2FA Methoden (falls die ursprünglich gewählten Methoden fehlschlagen)
Für den Fall, dass dein Handy nicht funktioniert oder die E-Mail nicht ankommt, kannst du eine alternative Methode zur zwei Faktor Authentifizierung wählen. Dadurch kannst du dich trotzdem einloggen und Zugriff auf das WordPress Backend bekommen.
In der kostenlosen Version kannst du hier ausschließlich die „Backup-Codes“ wählen. Mit dieser Methode bekommst du eine Reihe von Zahlenfolgen, die jeweils einmalig zum Login genutzt werden können.
In der kostenpflichtigen Version kannst du weitere Methoden wählen.
Aktiviere 2 FA für bestimmte Nutzer oder Nutzerrollen
In diesem Schritt kannst du festlegen, ob du die 2 Faktor Authentifizierung nur für gewisse Nutzer oder Nutzerrollen aktivieren möchtest. Ich würde dir empfehlen, sie für Administratoren auf jeden Fall zu aktivieren.
Ob du sie zusätzlich auch für weitere Nutzerrollen oder nur gewisse Nutzer aktivieren möchtest, steht dir natürlich offen.
Schließe bestimmte Nutzer oder Nutzerrollen aus
Wenn du möchtest, dass gewisse Nutzer oder Nutzerrollen keine zwei Faktor Authentifizierung nutzen müssen, kannst du sie in diesem Schritt ausschließen.
Lege eine Übergangsfrist fest
Da jeder Nutzer die zwei Faktor Authentifizierung für sich selbst einrichten muss, kannst du eine Übergangsfrist festlegen. Dieser Zeitraum gibt vor, wie lange die Nutzer dafür Zeit haben.
Zudem kannst du festlegen, was mit Nutzern passieren soll, wenn sie ihren Account nicht innerhalb der Frist auf die 2FA umstellen und wo die Information zu der Umstellung erscheinen soll. Dafür stehen eine Benachrichtigung im Dashboard oder eine extra Seite zur Verfügung, die vor dem Zugriff auf das WordPress Dashboard angezeigt wird.
Einrichtung abschließen
Du hast den Einrichtungsassistenten jetzt abgeschlossen und kannst über den blauen Button zum WordPress Dashboard zurückkehren. Dadurch startet als Nächstes die Einstellung deiner eigenen zwei Faktor Authentifizierung.
3. Richte die zwei Faktor Authentifizierung für deinen Benutzer ein
Du kannst nun auswählen, welche der aktivierten Methoden du für die zwei Faktor Authentifizierung deines Benutzer-Accounts nutzen möchtest.
Wählst du den Einmalcode per E-Mail, bekommst du bei jedem Login einen Code an die für deinen Benutzer in WordPress hinterlegte E-Mail-Adresse zugesendet.
In meinem Beispiel habe ich den Einmalcode per 2FA App gewählt. Tust du das auch, bekommst du im nächsten Schritt einen QR-Code angezeigt, den du mit deiner 2FA App scannen musst:
Anschließend wirst du aufgefordert, einen ersten Einmalcode einzugeben, um die Verknüpfung deiner App mit deiner Website herzustellen:
Ist der Code korrekt, bist du mit der Einrichtung deiner zwei Faktor Authentifizierung fertig, kannst dir jetzt im letzten Schritt aber noch die Liste der Backup-Codes generieren.
Du erinnerst dich: Sie können zum Login genutzt werden, wenn du dein Handy nicht zur Hand hast, die E-Mail nicht ankommt oder etwas anderes schiefgeht.
Kopiere dir die anschließend angezeigten Codes an einen sicheren Ort (Notizen App oder Ähnliches), drucke sie aus oder / und lasse sie dir per E-Mail schicken:
Jetzt hast du die zwei Faktor Authentifizierung für deine Website und auch für deinen Nutzer-Account aktiviert und eingerichtet.
Wenn du möchtest, kannst du nun in den Einstellungen des Plugins die Texte der versendeten E-Mails und weitere Dinge anpassen. Wenn du nicht der einzige Nutzer bist, solltest du auf jeden Fall in die Texte hereinschauen, da einige nicht oder nur schlecht auf Deutsch übersetzt sind.
Denk daran, das WP SMTP Plugin einzurichten, damit E-Mails zuverlässig verschickt werden!
4. (optional) Ändere E-Mail Texte und Einstellungen
Du musst in den Einstellungen nichts ändern, hier ist alles für dich fertig eingestellt. Möchtest du die im Einrichtungsassistenten hinterlegten Einstellungen verändern, findest du sie unter „WP 2FA“ → „2FA Vorgaben“.
Wenn du aber die Texte der versendeten E-Mails anpassen möchtest, navigiere zunächst im WordPress Menü unter „WP 2FA“ → „Einstellungen“.
Dort findest du die Vorlagen für verschiedene E-Mails, die das Plugin versenden kann. Beispielsweise die Vorlage für die „E-Mail mit Einmal-Passwort“:
Der in den Vorlagen enthaltener Shortcode {login_code} muss in der E-Mail bleiben. Er ist ein Platzhalter für den Einmalcode, den der Nutzer zum Login benötigt.
Wenn du dich nicht mehr einloggen kannst – die Lösung
Sollte bei dem Versand der E-Mail oder dem Login mit der App etwas schiefgehen, kannst du als ersten Lösungsansatz auf die Backup-Codes zurückgreifen. Jeder Backup-Code kann einmal genutzt werden und wird anschließend ungültig.
Sollte auch das nicht funktionieren, kannst du das gesamte Plugin deaktivieren, wodurch auch die zwei Faktor Authentifizierung deaktiviert wird.
Falls du einen auf WordPress spezialisierten Hoster wie WP Space, Siteground oder Raidboxes nutzt, kannst du über das Dashboard des Hosters einzelne Plugins ohne Probleme deaktivieren.
Bei allen anderen Hostern kannst du dich per FTP auf dem Server deiner Website einloggen und anschließend in den Ordner „wp-content“ → „plugins“ navigieren.
Dort findest du den Ordner „wp-2fa“. Benenne ihn einfach um, indem du beispielsweise einen Punkt anhängst oder einen Unterstrich, dadurch wird das Plugin deaktiviert.
Vorteile & Nachteile der zwei Faktor Authentifizierung
Der große Vorteil liegt natürlich auf der Hand, denn die zwei Faktor Authentifizierung erhöht die Sicherheit deines Logins deutlich. Es reicht nicht mehr aus, dein Passwort zu knacken oder zu kennen, die zweite Sicherheitsebene der Authentifizierung muss ebenfalls überwunden werden.
Die Nachteile will ich dir aber auch nicht unterschlagen, denn sie sind auch der Grund, wieso ich auf den meisten Websites keine 2FA nutze:
- jeder Login dauert länger (vor allem, wenn du den Code per E-Mail schickst und der E-Mail-Server mal ein paar Sekunden oder Minuten benötigt)
- klappt die Authentifizierung nicht, kannst du dich nicht mehr einloggen und musst das erst das Plugin deaktivieren, bevor du wieder in das WordPress Backend kommst
Fazit zur zwei Faktor Authentifizierung
Dank nützlicher WordPress Plugins wie dem vorgestellten „WP 2FA“, ist eine zwei Faktor Authentifizierung für deine WordPress Website recht schnell eingerichtet.
Entscheide selber, ob die zwei Faktor Authentifizierung für dich Sinn macht.
Bedenke dabei, dass es deinen Login deutlich sicherer (und etwas nerviger) macht, aber auch dass gerade mal 8 % aller erfolgreichen Angriffe über die Login-Maske stattfinden.
Hallo Jonas, ich bin sehr begeistert von deinen Tipps und Ratschlägen. Du bist wirklich ein echter Freund von Solopreneuren. Das spürt man. Wenn ich bedenke, wie gut gewählt deine Themen für uns und wie ausführlich und fokussiert deine Inhalte dazu sind: Chapeau!
Moin Susanne,
wow, vielen Dank für die netten Worte, das freut mich wirklich sehr! 🙂
Grüße
Jonas
Hallo Jonas, danke dir, für die ausführliche Anleitung. Mich scheut da bisher der große Aufwand für jeden Login, der mich bereits beim Online-Banking nervt. Aber Sicherheit ist wichtig.
Ich wiege mich daher mit sicheren Passwörtern in Sicherheit: 12 Ziffern, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen in Zufallszusammenstellung und jedes Passwort nur 1x.
Für alle Fälle hab ich deinen Beitrag aber vorsorglich gebookmarkt.
Moin Evelyn,
da bin ich ganz bei dir, das ist super nervig. Mit einem sicheren Passwort sollte da auch nichts schief gehen 🙂
Grüße
Jonas
Hallo Jonas,
danke für diese ausführliche Anleitung.
Genau das was ich wollte.
Grüße
Jörg