2-Faktor-Authentifizierung für WordPress

05.08.2016 | Petra Alm

WordPress ist das beliebteste Redaktionssystem der Welt und die beste Lösung für das CMS System, mit dem Sie den Inhalt Ihrer Webpräsenz gestalten. Seine massive Verbreitung und Menge von Installierungen, die Millionen erreicht, haben jedoch auch einen negativen Einfluss – sie ziehen Angreifer an, die sich um einen Hack und Missbrauch von WordPress bemühen. Die zweifache Authentifizierung, die Ihnen zum Beispiel von Ihrem Internetbanking oder Facebook-Absicherung bekannt sein kann, stellt einen effektiven Schutz dar.

Einstellung der 2FA

Die zweifache Authentifizierung lässt sich im WordPress mit dem Plugin Google Authenticator und der gleichnamigen App in Ihrem Smartphone einstellen. Die App finden Sie in Google Play (bei Androids) oder App Store (iOS) und der Download ist natürlich kostenlos.

Das Plugin laden Sie folgendermaßen herunter: Melden Sie sich bei Ihrem WordPress an und öffnen Sie Plugins – Installieren. Hier suchen Sie den bereits erwähnten Google Authenticator aus. Sie können auch andere Plugins probieren (zum Beispiel Google Authenticator for WordPress), aber überprüfen Sie zuerst, ob sie mit Ihrer WordPress-Version kompatibel sind. Die Einstellung läuft bei fast allen Add-ons gleich ab.

Sobald das Plugin installiert ist, gehen Sie in die Spalte Benutzer und hier wählen Sie die Administrator-Rolle aus. In diesem Profil wird Ihnen angeboten, die 2FA mit einem Klick - Häkchen einzuschalten:

Einstellung des Plugins Google Authenticator im WordPress

Klicken Sie QR Code anzeigen/verstecken an und diesen Code scannen Sie in die App Google Authenticator ein: Tasten Sie in ihr das Dreipunktsymbol rechts oben an und wählen Sie Konto einrichten - Barcode scannen aus. Nachfolgend richten Sie die Kamera Ihres Handys auf den Code auf dem Bildschirm. Der Code wird sich gleich einlesen und in der App wird Ihnen eine neue Zeile mit dem Namen Ihres Blogs und sechs Zahlen angezeigt:

Der Authenticator-Code für Wordpress

Diese Zahlenfolge wird sich nach ein paar Sekunden ändern und Sie werden sie bei jedem Einloggen in die Verwaltung von WordPress benötigen.

2FA Anmeldung im WordPress

Um sich anzumelden, werden Sie von nun an Ihre Identität immer mit der zweifachen Authentifizierung nachweisen müssen. Falls Sie in Ihrem WordPress mehrere Benutzerkonten absichern möchten, gehen Sie bei jedem Konto gleich vor.

Besitzen Sie kein Smartphone? Kein Problem

Die 2FA können Sie auch ohne ein Smartphone einstellen, mit einem Passwort, das Ihnen per E-Mail abgesendet wird.

2FA Passwörter für E-Mails kann der oben vorgestellte Google Authenticator jedoch nicht generieren und zu diesem Zweck müssen Sie zum Beispiel auf das Plugin WordPress 2-Step Verification zugreifen. Seine Einstellungsoptionen verstecken sich (nach seiner Einbindung) in dem Menü Benutzer – 2-Step Verification. Schauen wir uns sie nun genauer an. 

Zuerst füllen Sie Ihre E-Mailadresse aus und lassen Sie sich in dieses Postfach den Code senden – Send Code. Nach seinem Eingang kopieren Sie ihn in das Feld rein und klicken Sie Verify an.

Einstellung der E-Mailadresse

Weiter können Sie Ihren Rechner von der Verifizierung für 30 Tage ausschließen (wozu wir Ihnen jedoch nicht raten) und in dem dritten Schritt die 2FA gleich aktivieren - Turn on 2-step verification. In der Übersicht der Einstellung von dem Add-on können Sie die E-Mail sehen, die für die Authentifizierung verwendet worden ist. Hier können Sie ebenfalls Reserve-Codes ausdrucken:

Reserve-Codes für Wordpress

Nach der erfolgreichen Einstellung werden Sie bei jeder Anmeldung auf die vorgewählte Adresse automatisch einen Code erhalten. Diesen müssen Sie dann in die Dialogbox einfügen, die sich beim Einloggen nach der Ausfüllung Ihres Namens und Passwortes öffnet.

Ist etwas schiefgegangen?

Nicht immer gelingt es, alles auf den ersten Versuch erfoglreich zu installieren. Deshalb bringen wir Ihnen auch ein paar Ratschläge für den Fall, dass etwas schiefgeht.

Reserve-Passwörter

Falls Sie nicht der Webhosting-Administrator sind und zu dem Hosting keinen Zugang haben, empfehlen wir Ihnen, sich Reserve-Passwörter auszudrucken, sofern es das Add-on ermöglicht. Diese Vorkehrung wird Sie in dem Fall retten, dass die Handy-App oder die E-Mail nicht funktionieren wird. Mit den Notpasswörtern werden Sie sich einmalig anmelden und die Einstellung von 2FA ändern können.

Ungültiger QR-Code

Gelingt es Ihnen nicht, die 2FA zu aktivieren und der eingescannte Code wird als ungültig eingestuft? Dann empfehlen wir Ihnen, die Zeit auf Ihrem Handy zu überprüfen. Sie muss nämlich der Zeit auf dem Server entsprechen. Die Zeitzone spielt keine Rolle (es wird die UTC Zeit verwendet), aber eine Unstimmigkeit in der Zeiteinstellung zwischen den zwei Geräten stellt schon ein Problem dar. Auf dem Server wird die Zeit von einem NTP-Dämon synchronisiert, deshalb ist diese meistens die genaue.

Probleme mit Einloggen

Falls Sie Ihr WordPress ungewollt mit einem von den 2FA Plugins blockiert haben, melden Sie sich über FTP an und in dem Webordner /wp-content/plugins/ nennen Sie den Ordner mit dem betreffenden Plugin um. Dadurch wird es deaktiviert, die 2FA ebenfalls und Sie werden sich wieder nur mit Ihrem Namen und Passwort anmelden können.

Zugriff zum FTP

Die Wirksamkeit der Absicherung mit 2FA hängt davon ab, ob Ihr FTP-Zugriff zu dem Hosting mit WordPress abgesichert ist. Informieren Sie sich bei Ihrem Webhoster, wie Sie den Angreifern den Zugriff zum FTP vermeiden können; ansonsten hätte die 2FA bei Ihrem WordPress keinen Sinn. Die oben erwähnte Methode der Deaktivierung von 2FA wäre mit bei einem geöffneten FTP auch für Hacker sehr einfach.

Das Versperren von FTP wird die Implementierung von Plugins nicht beeinflussen, weil diese direkt in dem Wordpress-Interface installiert werden. FTP wird somit in diesem Zusammenhang nicht ausgenutzt.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de