2 Faktor Authentifizierung in WordPress – kostenlos mehr Sicherheit

Mit der zwei Faktor Authentifizierung sorgst du für eine zusätzliche Sicherheitsebene bei deinem WordPress Login.

Richte sie mit dieser Anleitung ganz einfach und vor allem kostenlos ein, damit bei jedem Login neben deinem Passwort zusätzlich ein Einmalcode eingegeben werden muss.

Du wirst etwa eine halbe Stunde benötigen, um alles an deine Wünsche anzupassen und einzurichten, hast ab dann aber eine deutlich höhere Sicherheit und fühlst dich bestimmt auch etwas sicherer.

Und keine Sorge, der Anleitung kannst du sowohl als WordPress Einsteiger, als auch Fortgeschrittener oder Profi folgen.

Los geht's!

Was ist eine 2 Faktor Authentifizierung?

Die zwei Faktor Authentifizierung (2FA) ist eine Sicherheitsfunktion, die beim Login eines Nutzers ein einmalig gültiges Passwort verlangt. Dieses Einmalpasswort kann per E-Mail, SMS oder auch per App generiert werden.

So schafft es nicht mal jemand, der dein Passwort geknackt hat, sich einzuloggen.

Etwa 8 % aller WordPress Websites werden wegen eines zu schwachen oder geleakten Passworts gehackt (Quelle). Dem solltest du natürlich in erster Linie mit einem sicheren Passwort entgegenwirken, doch auch die 2 FA hilft natürlich dabei.

Diese zusätzliche Sicherheitsebene ist in WordPress ziemlich einfach einzurichten, auch wenn du dich noch als WordPress Einsteiger siehst. Trotzdem biete sie eine deutlich erhöhte Sicherheit für dein WordPress Login.

So richtest du die zwei Faktor Authentifizierung kostenlos ein

Hast du bereits ein Sicherheitsplugin wie Solid Security (früher „iThemes Security“) oder Wordfence auf deiner Website aktiv, kannst du die zwei Faktor Authentifizierung in diesen Plugins aktivieren.

Bitte anklicken für die Kurzanleitungen für die beiden Plugins:

Kurzanleitung für Solid Security (früher iThemes Security)

Navigiere unter „Security“ → „Settings“ → „Features“ → „Two-Factor“. Aktiviere dort die gewünschten Methoden zur zwei Faktor Authentifizierung. Anschließend kannst du die 2FA in der WordPress Benutzerverwaltung einrichten. Eine ausführliche Anleitung findest du hier.

Kurzanleitung für Wordfence

Navigiere zu der „Login Security“ Seite in Wordfence. Scanne dort den QR-Code mit deiner 2FA App, um die zwei Faktor Authentifizierung zu aktivieren. Im Reiter „Settings“ findest du weitere Einstellungen. Für weitere Infos geht es hier zur Anleitung von Wordfence.

Wenn du kein solches Plugin im Einsatz hast, fahre mit der folgenden Anleitung fort und installiere dir das kostenlose Plugin „WP 2FA“:

1. Installiere das Plugin „WP 2FA“

WP 2FA über das WordPress Backend installieren
Installiere das „WP 2FA“ Plugin von „Melapress“ direkt über das WordPress Backend.

Das Plugin „WP 2FA“ von Melapress (früher WP White Security) bietet eine kostenlose Version, die für die zwei Faktor Authentifizierung völlig ausreicht.

Du kannst es wie üblich über das WordPress Backend installieren, indem du unter „Plugins“ → „Installieren“ navigierst und dort in die Suchmaske „WP 2FA“ eingibst.

Nun erscheint in den Suchergebnissen das Plugin „WP 2FA – Two-factor authentication for WordPress“ von „Melapress“.

Klicke auf „Installieren“ und nach der Installation direkt auf „Aktivieren“.

2. Folge dem Einrichtungsassistenten und lege die gewünschten Einstellungen fest

WP 2FA Plugin Einrichtungsassistent
Der Einrichtungsassistent führt dich durch die wichtigsten Einstellungen.

Nach dem Aktivieren des Plugins öffnet sich automatisch der Einrichtungsassistent. Gehe ihn einmal durch, um die generellen Einstellungen für die zwei Faktor Authentifizierung festzulegen:

Bestimme die 2 FA Methoden

WP 2FA Einstellung der Methoden
Lege fest, auf welche Arten die zwei Faktor Authentifizierung durchgeführt werden kann.

Im ersten Schritt des Einrichtungsassistenten kannst du festlegen, auf welche Arten die zwei Faktor Authentifizierung erfolgen darf.

Zur Auswahl stehen zwei Methoden:

Einmaliger Code per 2FA App
Bei dieser Methode kann der benötigte Einmalcode per App generiert werden. Die Einrichtung der App erfolgt nach Abschluss des Einrichtungsassistenten. Unterstützt werden die folgenden Smartphone-Apps:

Einmaliger Code per E-Mail
Mit dieser Methode wird dem Nutzer ein Einmalcode an die in WordPress für den Benutzer hinterlegte E-Mail-Adresse geschickt. Da hierfür der E-Mail Versand reibungslos funktionieren muss, solltest du das kostenlose Plugin WP SMTP installieren und einrichten.

Wähle alternative 2FA Methoden (falls die ursprünglich gewählten Methoden fehlschlagen)

WP 2FA alternative Methoden Einstellungen

Für den Fall, dass dein Handy nicht funktioniert oder die E-Mail nicht ankommt, kannst du eine alternative Methode zur zwei Faktor Authentifizierung wählen. Dadurch kannst du dich trotzdem einloggen und Zugriff auf das WordPress Backend bekommen.

In der kostenlosen Version kannst du hier ausschließlich die „Backup-Codes“ wählen. Mit dieser Methode bekommst du eine Reihe von Zahlenfolgen, die jeweils einmalig zum Login genutzt werden können.

In der kostenpflichtigen Version kannst du weitere Methoden wählen.

Aktiviere 2 FA für bestimmte Nutzer oder Nutzerrollen

WP 2FA Einrichtung für Benutzer
Aktiviere die 2 FA nur für bestimmte Nutzer oder Nutzerrollen.

In diesem Schritt kannst du festlegen, ob du die 2 Faktor Authentifizierung nur für gewisse Nutzer oder Nutzerrollen aktivieren möchtest. Ich würde dir empfehlen, sie für Administratoren auf jeden Fall zu aktivieren.

Ob du sie zusätzlich auch für weitere Nutzerrollen oder nur gewisse Nutzer aktivieren möchtest, steht dir natürlich offen.

Schließe bestimmte Nutzer oder Nutzerrollen aus

WP 2FA Benutzer oder Rollen ausschließen
Du kannst einzelne Nutzer oder Rollen von der zwei Faktor Authentifizierung ausschließen.

Wenn du möchtest, dass gewisse Nutzer oder Nutzerrollen keine zwei Faktor Authentifizierung nutzen müssen, kannst du sie in diesem Schritt ausschließen.

Lege eine Übergangsfrist fest

WP 2FA Übergangsfrist
Bestimme den Zeitraum, den die Nutzer zur Einrichtung der 2 FA haben.

Da jeder Nutzer die zwei Faktor Authentifizierung für sich selbst einrichten muss, kannst du eine Übergangsfrist festlegen. Dieser Zeitraum gibt vor, wie lange die Nutzer dafür Zeit haben.

Zudem kannst du festlegen, was mit Nutzern passieren soll, wenn sie ihren Account nicht innerhalb der Frist auf die 2FA umstellen und wo die Information zu der Umstellung erscheinen soll. Dafür stehen eine Benachrichtigung im Dashboard oder eine extra Seite zur Verfügung, die vor dem Zugriff auf das WordPress Dashboard angezeigt wird.

Einrichtung abschließen

WP 2FA Einrichtungsassistent beenden & Einstellungen starten
Schließe die Einrichtung ab und starte mit den Einstellungen für deine 2 FA.

Du hast den Einrichtungsassistenten jetzt abgeschlossen und kannst über den blauen Button zum WordPress Dashboard zurückkehren. Dadurch startet als Nächstes die Einstellung deiner eigenen zwei Faktor Authentifizierung.

3. Richte die zwei Faktor Authentifizierung für deinen Benutzer ein

Wähle jetzt, welche 2FA Methode du gerne nutzen möchtest

Du kannst nun auswählen, welche der aktivierten Methoden du für die zwei Faktor Authentifizierung deines Benutzer-Accounts nutzen möchtest.

Wählst du den Einmalcode per E-Mail, bekommst du bei jedem Login einen Code an die für deinen Benutzer in WordPress hinterlegte E-Mail-Adresse zugesendet.

In meinem Beispiel habe ich den Einmalcode per 2FA App gewählt. Tust du das auch, bekommst du im nächsten Schritt einen QR-Code angezeigt, den du mit deiner 2FA App scannen musst:

WordPress zwei Faktor Authentifizierung per App
Scanne den QR-Code mit der 2FA App auf deinem Smartphone (z.B. Authy, Google Authenticator, Microsoft Authenticator).

Anschließend wirst du aufgefordert, einen ersten Einmalcode einzugeben, um die Verknüpfung deiner App mit deiner Website herzustellen:

Zwei Faktor Authentifizierung App mit WordPress verbinden
Gib hier den Code deiner 2FA App ein.

Ist der Code korrekt, bist du mit der Einrichtung deiner zwei Faktor Authentifizierung fertig, kannst dir jetzt im letzten Schritt aber noch die Liste der Backup-Codes generieren.

Du erinnerst dich: Sie können zum Login genutzt werden, wenn du dein Handy nicht zur Hand hast, die E-Mail nicht ankommt oder etwas anderes schiefgeht.

Backup-Codes für zwei Faktor Authentifizierung generieren in WordPress
Lasse dir die Liste mit den Backup-Codes generieren.

Kopiere dir die anschließend angezeigten Codes an einen sicheren Ort (Notizen App oder Ähnliches), drucke sie aus oder / und lasse sie dir per E-Mail schicken:

Notfall-Codes für zwei Faktor Authentifizierung in WordPress
Die generierten Backup-Codes solltest du dir an einem sicheren Ort speichern, ausdrucken oder per E-Mail senden lassen.

Jetzt hast du die zwei Faktor Authentifizierung für deine Website und auch für deinen Nutzer-Account aktiviert und eingerichtet.

Wenn du möchtest, kannst du nun in den Einstellungen des Plugins die Texte der versendeten E-Mails und weitere Dinge anpassen. Wenn du nicht der einzige Nutzer bist, solltest du auf jeden Fall in die Texte hereinschauen, da einige nicht oder nur schlecht auf Deutsch übersetzt sind.

Denk daran, das WP SMTP Plugin einzurichten, damit E-Mails zuverlässig verschickt werden!

4. (optional) Ändere E-Mail Texte und Einstellungen

Du musst in den Einstellungen nichts ändern, hier ist alles für dich fertig eingestellt. Möchtest du die im Einrichtungsassistenten hinterlegten Einstellungen verändern, findest du sie unter „WP 2FA“ → „2FA Vorgaben“.

Wenn du aber die Texte der versendeten E-Mails anpassen möchtest, navigiere zunächst im WordPress Menü unter „WP 2FA“ → „Einstellungen“.

Dort findest du die Vorlagen für verschiedene E-Mails, die das Plugin versenden kann. Beispielsweise die Vorlage für die „E-Mail mit Einmal-Passwort“:

WP 2FA E-Mail Vorlagen anpassen
Passe Betreff und Nachrichtentext der E-Mail Vorlagen nach deinen Wünschen an.

Der in den Vorlagen enthaltener Shortcode {login_code} muss in der E-Mail bleiben. Er ist ein Platzhalter für den Einmalcode, den der Nutzer zum Login benötigt.

Wenn du dich nicht mehr einloggen kannst – die Lösung

Sollte bei dem Versand der E-Mail oder dem Login mit der App etwas schiefgehen, kannst du als ersten Lösungsansatz auf die Backup-Codes zurückgreifen. Jeder Backup-Code kann einmal genutzt werden und wird anschließend ungültig.

Sollte auch das nicht funktionieren, kannst du das gesamte Plugin deaktivieren, wodurch auch die zwei Faktor Authentifizierung deaktiviert wird.

Falls du einen auf WordPress spezialisierten Hoster wie WP Space, Siteground oder Raidboxes nutzt, kannst du über das Dashboard des Hosters einzelne Plugins ohne Probleme deaktivieren.

Bei allen anderen Hostern kannst du dich per FTP auf dem Server deiner Website einloggen und anschließend in den Ordner „wp-content“ → „plugins“ navigieren.

Dort findest du den Ordner „wp-2fa“. Benenne ihn einfach um, indem du beispielsweise einen Punkt anhängst oder einen Unterstrich, dadurch wird das Plugin deaktiviert.

Vorteile & Nachteile der zwei Faktor Authentifizierung

Der große Vorteil liegt natürlich auf der Hand, denn die zwei Faktor Authentifizierung erhöht die Sicherheit deines Logins deutlich. Es reicht nicht mehr aus, dein Passwort zu knacken oder zu kennen, die zweite Sicherheitsebene der Authentifizierung muss ebenfalls überwunden werden.

Die Nachteile will ich dir aber auch nicht unterschlagen, denn sie sind auch der Grund, wieso ich auf den meisten Websites keine 2FA nutze:

  • jeder Login dauert länger (vor allem, wenn du den Code per E-Mail schickst und der E-Mail-Server mal ein paar Sekunden oder Minuten benötigt)
  • klappt die Authentifizierung nicht, kannst du dich nicht mehr einloggen und musst das erst das Plugin deaktivieren, bevor du wieder in das WordPress Backend kommst

Fazit zur zwei Faktor Authentifizierung

Dank nützlicher WordPress Plugins wie dem vorgestellten „WP 2FA“, ist eine zwei Faktor Authentifizierung für deine WordPress Website recht schnell eingerichtet.

Entscheide selber, ob die zwei Faktor Authentifizierung für dich Sinn macht.

Bedenke dabei, dass es deinen Login deutlich sicherer (und etwas nerviger) macht, aber auch dass gerade mal 8 % aller erfolgreichen Angriffe über die Login-Maske stattfinden.


Jonas Tietgen

Dein WordPress Ninja mit 10+ Jahren Erfahrung, Gründer von WP Ninjas und SEO Nerd.

Jonas hilft Solopreneuren, ihre WordPress Websites selber überarbeiten, pflegen und optimieren zu können.

Schon seit er 14 ist, baut er Websites mit WordPress und arbeitet seit Jahren täglich mit WordPress. Dadurch hat er Erfahrung mit so ziemlich jedem Theme und Plugin, kennt WordPress auswendig und toppt das Ganze mit einer Liebe zu Webdesign (inklusive Webdesign-Studium) und SEO.

In über 120 Tutorials stellt er dir in seinem Blog sein gesamtes Wissen zur Verfügung, erweitert dein SEO-Wissen in seinem Search Effect Podcast, sowie dem Keyword-Magic-Workshop und unterstützt dich in Coachings und über seinen beliebten Mitgliederbereich.

Abseits von WordPress nerdet Jonas gerne über Gesundheit ab, macht viel Krafttraining und weiteren Sport und baut immer wieder spannende Website-Projekte wie bambuslife.de oder wattlife.de auf.


46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Begrüßungsmail kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz

46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Begrüßungsmail kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz