WordPress Zwei-Faktor-Authentifizierung mit Two-Factor

Mit dem Plugin Two-Factor kannst du die Login-Sicherheit deiner WordPress Website mit einer Zwei-Faktor-Authentifizierung erhöhen. Damit können sich Unbefugte auch mit Kenntnis der Logindaten nicht mehr so leicht Zugang zu deinem WordPress Account verschaffen.

Warum eine Zwei-Faktor-Verifizierung sinnvoll ist

Mit Einrichtung einer Zwei-Faktor-Authentifizierung kannst du die Sicherheit deiner Online-Konten erhöhen. Neben Benutzername und Password wird damit eine zweite Komponente für den Login erforderlich, meistens in Form eines sechstelligen Bestätigungscodes.

Zwei-Faktor-Authentifizierung mit Smartphone

Die meisten Online-Dienste wie Facebook, Twitter, Github oder PayPal bieten inzwischen ein System zur Zwei-Faktor-Authentifizierung an. Dieser Artikel von T3N erklärt, wie du die Zwei-Faktor-Verifizierung für gängige Webdienste konfigurieren kannst.

Auch deine WordPress Website bzw. deinen WordPress Admin-Account kannst du mit einer 2-Faktor-Authentisierung zusätzlich sichern. Es stehen eine ganze Reihe von Plugins dafür bereit.

Alternative zum Plugin Google Authenticator gesucht

Bisher habe ich immer das Plugin Google Authenticator eingesetzt, welches ich vor zwei Jahren auch in meinem Beitrag WordPress Sicherheit mit Google Authenticator Plugin erhöhen vorgestellt habe. Das Plugin funktioniert nach wie vor, wird aber nicht mehr wirklich aktualisiert.

Ein kleines Problem war, dass es das Eingabefeld für den Bestätigungscode direkt im WordPress Login angezeigt hat. Bei meinen beiden Theme Shops nutze ich ein einen Shortcode von Easy Digital Downloads für den Login, mit dem sich Kunden direkt im Frontend einloggen können.

Die beiden Plugins waren aber nur mit etwas Custom Code kompatibel. Bei Updates kann es natürlich immer passieren, dass es nicht mehr läuft und Anpassungen erforderlich werden. Um diese Fehlerquelle auszuschließen, bin ich nun auf Two-Factor umgestiegen. Es funktioniert, ohne dass hier noch eigene Eingriffe in den Code notwendig werden.

Two-Factor WordPress Plugin

Two-Factor wird regelmäßig aktualisiert und aktiv auf Github weiterentwickelt. Das Plugin wurde auch schon einmal für eine Integration in WordPress Core vorgeschlagen. Mit dem Fokus auf Gutenberg bin ich mir aber nicht sicher, ob eine Implementierung im Core noch aktuell ist.

Enable Two-Factor Authentication (2FA) using time-based one-time passwords (TOTP), Universal 2nd Factor (U2F), email, and backup verification codes.

By WordPress.org Contributors

(184)
Last Updated: 5 Tagen ago
80.000+ Active Installs
Compatible up to: 6.6.2

Two-Factor kann vom offiziellen WordPress.org Plugin Verzeichnis installiert werden. Leider ist das Plugin dort nur sehr spärlich beschrieben, ohne Anleitung, FAQ und Screenshots. Das trägt wahrscheinlich mit dazu bei, dass es derzeit recht wenige Installationen hat, obwohl es meiner Meinung nach eines der besten Plugins für Zwei-Faktor-Authentifizierung ist.

WordPress Zwei-Faktor-Authentifizierung einrichten

Nach der Installation von Two-Factor muss das Plugin erst konfiguriert werden. Die Zwei-Faktor-Authentifizierung wird dabei für jeden Nutzer einzeln eingerichtet, weshalb die Plugin-Einstellungen in deinem Profil zu finden sind.

Das bedeutet auch, dass du die Zwei-Faktor-Authentifizierung auch nur für deinen eigenen Admin-Account einrichten kannst, sich Redakteure und andere Nutzer aber weiterhin ganz normal mit E-Mail und Password einloggen können, ohne zusätzlichen Authentifizierungs-Code.

Du kannst dein Profil und die Two-Factor Optionen unter Benutzer → Dein Profil bearbeiten.

Two-Factor Profil Einstellungen
QR-Code für Authenticator-Apps. Und nein, das ist nicht der tatsächliche QR-Code für themecoder.de 😉

Es stehen vier verschiedene Methoden bereit, um Authentifizierungs-Codes zu erhalten:

  1. E-Mail
  2. Zeitbasierter Code via APP (z.B. Authy, Google Authenticator)
  3. FIDO U2F Standard für Hardware-Token (z.B. Yubikey, U2F Zero)
  4. Backup-Codes

Ich empfehle, zwei Optionen zu aktivieren. Eine primäre Methode und zusätzlich die Backup-Codes, falls doch einmal das Smartphone oder Hardware-Token verloren oder kaputt geht. Persönlich nutze ich nach wie vor eine Authentifizierungs-App für mein Smartphone, habe mir aber schon überlegt, einen YubiKey anzuschaffen.

Bei Auswahl der Checkbox für zeitlich limitierte Codes kannst du den QR-Code mit deiner Authentifizierungs-App (z.B. Google Authenticator) scannen. Trage anschließend den aktuell generierten Code in den WordPress Two-Factor Options ein und klicke auf [Absenden].

Bei korrektem Code (Zeit und Key stimmen überein) wird die erfolgreiche Einrichtung angezeigt:

WordPress Two Factor Plugin aktiviert

Danach kannst du noch die Backup-Codes generieren und sicher notieren.

WordPress Login mit Zwei-Faktor-Authentifizierung

Um das Plugin zu testen, kannst du dich nun ausloggen. Das Einloggen findet erst einmal ganz normal mit Benutzername und Passwort statt. Nach dem ersten Schritt erfolgt aber statt dem Login jetzt noch ein zweiter Schritt, bei dem der Authentifizierungs-Code abgefragt wird:

WordPress Login mit Zwei-Faktor-Authentifizierung

Nach Eingabe des richtigen Codes ist die Authentifizierung und der Login abgeschlossen.

Wie handhabt ihr den WordPress Login? Nutzt jemand einen YubiKey und kann seine Erfahrungen schildern? Wie immer freue ich mich über eure Kommentare und Meinungen.