So richten Sie die Zwei-Faktor-Authentifizierung für WordPress ein: WP 2FA Review
Veröffentlicht: 2023-11-10Möchten Sie WordPress eine Zwei-Faktor-Authentifizierung hinzufügen?
Die Zwei-Faktor-Authentifizierung von WordPress kann Ihnen helfen, Ihre WordPress-Site zu schützen, indem sie Ihr eigenes WordPress-Konto sowie die Konten anderer Benutzer auf Ihrer Site schützt.
Wenn es um die Einrichtung der Zwei-Faktor-Authentifizierung in WordPress geht, bietet das Freemium WP 2FA-Plugin eine der ausgefeiltesten und flexibelsten Lösungen. Es kann sowohl für private Websites als auch für große Organisationen, die benutzerdefinierte Zwei-Faktor-Richtlinien benötigen, gleichermaßen gut funktionieren.
In unserem WP 2FA-Test beginnen wir mit einer kurzen Erörterung der Funktionen des Plugins. Anschließend zeigen wir Ihnen eine Schritt-für-Schritt-Anleitung zum Einrichten der Zwei-Faktor-Authentifizierung in WordPress mithilfe des Plugins.
Lasst uns eintauchen!
WP 2FA Review: Ein kurzer Blick auf die Funktionen
Wir werden uns in diesem ersten Abschnitt nicht zu sehr mit den Funktionen befassen, da Sie dies alles im praktischeren Abschnitt unseres WP 2FA-Tests/Tutorials sehen werden.
Alle Funktionen finden Sie auch auf der WP 2FA-Website.
Aber bevor wir beginnen, hier ein kurzer Blick auf die Funktionen, die WP 2FA zu einem der besten WordPress-Plugins für die Zwei-Faktor-Authentifizierung machen:
- Mehrere Zwei-Faktor-Methoden – Sie können zwischen E-Mail, SMS/Textnachricht, einer beliebigen Authentifizierungs-App (z. B. Google Authenticator) und/oder Push-Benachrichtigungen (über Authy) wählen. Es besteht auch die Möglichkeit, einmalige Backup-Codes zu generieren.
- Benutzerfreundliche Oberfläche (Frontend und Backend ) – Benutzer können Zwei-Faktor-Funktionen sowohl über das WordPress-Dashboard als auch über das Frontend Ihrer Website verwalten.
- Flexible Zwei-Faktor-Richtlinien – Sie können benutzerdefinierte Zwei-Faktor-Richtlinien erstellen, z. B. die Zwei-Faktor-Richtlinie für einige Benutzer vorschreiben, für andere jedoch nicht.
- White-Labeling – Sie können alle Teile der WP 2FA-Schnittstelle mit einem White-Label versehen, damit sie zu Ihrer Marke passt.
- Vertrauenswürdige Geräte – Sie können ein Gerät für einen bestimmten Zeitraum als „vertrauenswürdig“ speichern, sodass Sie die Zwei-Faktor-Prüfung auf diesem Gerät nicht erneut durchführen müssen.
- Integrationen – es bietet sofort einsatzbereite Integrationen für WooCommerce und viele Mitgliedschafts-Plugins.
Das WP 2FA-Plugin stammt von WP White Security, dem gleichen Team hinter dem beliebten WP Activity Log-Plugin – mehr darüber erfahren Sie in unserem WP Activity Log-Testbericht.
So richten Sie die WordPress-Zwei-Faktor-Authentifizierung mit WP 2FA ein
Kommen wir nun zur Schritt-für-Schritt-Anleitung zum Einrichten der WordPress-Zwei-Faktor-Authentifizierung mit WP 2FA.
Für dieses Tutorial haben wir die Premium-Version des Plugins auf unserer Website installiert. Es gibt jedoch auch eine kostenlose Version des Plugins auf WordPress.org und die grundlegenden Schritte sind für diese Version dieselben.
Das heißt, Sie können dem folgen, unabhängig davon, ob Sie die kostenlose oder die kostenpflichtige Version verwenden.
1. Installieren Sie das Plugin und schließen Sie den Setup-Assistenten ab
Wenn Sie das WP 2FA-Plugin zum ersten Mal installieren und aktivieren, wird automatisch ein Setup-Assistent gestartet, der Sie bei der Durchführung einiger wichtiger grundlegender Konfigurationsschritte unterstützt.
Im ersten Schritt wählen Sie aus fünf verschiedenen Optionen Ihre bevorzugte(n) Zwei-Faktor-Authentifizierungsmethode(n) aus.
Sie können so viele oder so wenige Optionen auswählen, wie Sie möchten. Wenn Sie mehrere Methoden angeben, können Benutzer auswählen, mit welcher Methode sie sich authentifizieren möchten.
Einige davon – beispielsweise das Versenden von SMS-Nachrichten über Twilio – erfordern eine zusätzliche Einrichtung. Mehr dazu später.
Im nächsten Schritt können Sie alternative Methoden aktivieren, z. B. die Möglichkeit für Benutzer, einmalige Backup-Codes zu generieren, die sie verwenden können, wenn sie ihre primäre Methode verlieren.
Als Nächstes können Sie Ihre 2FA-Richtlinie auswählen – also welche Benutzer zur Verwendung der Zwei-Faktor-Authentifizierung verpflichtet werden sollen. Sie haben drei Möglichkeiten:
- Alle Benutzer – Alle Benutzer müssen die Zwei-Faktor-Authentifizierung konfigurieren und verwenden. Später können Sie weitere Einstellungen konfigurieren, beispielsweise eine Kulanzfrist für die Einrichtung.
- Nur für bestimmte Benutzer und Rollen – nur bestimmte Benutzer müssen die Zwei-Faktor-Authentifizierung verwenden. Beispielsweise können Sie von Administratoren und Redakteuren verlangen, die Zwei-Faktor-Authentifizierung zu verwenden, nicht jedoch von Autoren oder Abonnenten. Sie können es auch nur für bestimmte Benutzernamen anfordern.
- Zwingen Sie keine Benutzer dazu, die Zwei-Faktor-Authentifizierung zu verwenden – bieten Sie ihnen diese nur als Option an, wenn sie ihre Konten schützen möchten.
Wenn Sie eine der ersten beiden Optionen wählen, erhalten Sie im nächsten Schritt die Möglichkeit, bestimmte Benutzer manuell auszuschließen.
Dieser Schritt wird nicht angezeigt, wenn Sie 2FA für keinen Benutzer erzwingen möchten.
Im letzten Schritt können Sie schließlich Ihre Kulanzfrist konfigurieren. Dadurch können Sie neuen Benutzern eine gewisse Zeit für die Einrichtung der Zwei-Faktor-Authentifizierung geben.
Sie könnten ihnen beispielsweise drei Tage Zeit geben, bevor Sie mit der Durchsetzung der Regel beginnen.
Alternativ können Sie die Option „Benutzer müssen 2FA sofort konfigurieren“ auswählen, um Benutzer zu zwingen, es sofort einzurichten.
Und das war’s für den Einrichtungsassistenten!
2. Konfigurieren Sie 2FA für Ihr eigenes Konto
Nachdem Sie den Einrichtungsassistenten abgeschlossen haben, besteht der nächste Schritt darin, die Zwei-Faktor-Authentifizierung für Ihr eigenes Konto zu konfigurieren:
- Gehen Sie in Ihrem WordPress-Dashboard zu Benutzer → Profil , um Ihr eigenes Benutzerprofil zu öffnen.
- Scrollen Sie nach unten zum Abschnitt Einstellungen für die Zwei-Faktor-Authentifizierung .
- Klicken Sie auf die Schaltfläche 2FA konfigurieren .
Sie sehen nun ein Popup, in dem Sie aus den verfügbaren Zwei-Faktor-Authentifizierungsmethoden auswählen können, die Sie im Einrichtungsassistenten ausgewählt haben:
Wenn Sie beispielsweise die 2FA-App-Option (z. B. Google Authenticator) wählen, werden Sie aufgefordert, Ihre 2FA-App durch Scannen des QR-Codes zu konfigurieren:
Das Plugin fügt automatisch den Domainnamen Ihrer Website und Ihr Benutzerkonto zur Zwei-Faktor-App hinzu (falls zutreffend):
Das Plugin fordert Sie dann auf, den Authentifizierungscode einzugeben, um zu bestätigen, dass Sie Ihre App richtig konfiguriert haben:
Anschließend werden Sie vom Plugin auch aufgefordert, eine Sicherungsmethode einzurichten. Sie könnten beispielsweise einige Backup-Codes zur einmaligen Verwendung herunterladen, falls Sie keinen Code aus der App generieren können:
Sie können die Codes per E-Mail versenden, ausdrucken oder in Ihre Zwischenablage kopieren:
Und das ist es! Ihr WordPress-Administratorkonto profitiert jetzt von der Zwei-Faktor-Authentifizierung.
Der Einrichtungsprozess wird für andere Benutzer auf Ihrer Website ähnlich sein – ich zeige Ihnen etwas später ein Beispiel.
3. Konfigurieren Sie Ihre 2FA-Richtlinien weiter
Während Sie mit dem WP 2FA-Setup-Assistenten grundlegende Richtlinien für die Zwei-Faktor-Authentifizierung von WordPress einrichten können, haben Sie im vollständigen Einstellungsbereich des Plugins noch mehr Kontrolle.
Um auf diese Einstellungen zuzugreifen, gehen Sie zu WP 2FA → 2FA-Richtlinien .
Hier können Sie Site-weite Richtlinien konfigurieren. Oder Sie können auch völlig unterschiedliche Richtlinien basierend auf unterschiedlichen Benutzerrollen einrichten, die Sie über das Dropdown-Menü auswählen können.
Hier sind einige der neuen Einstellungen, die Sie erhalten und die nicht Teil des Einrichtungsassistenten waren:
- E-Mail-Authentifizierungslinks – wählen Sie, wie lange sie gültig sind und welche E-Mails Benutzer verwenden können.
- Dieses Gerät merken – Wählen Sie aus, ob Personen sich Geräte merken können. Wenn diese Option aktiviert ist, müssen sie nach der ersten Anmeldung für dieses Gerät keine Zwei-Faktor-Funktion verwenden. Sie können auch auswählen, wie lange das Gerät gespeichert werden soll, bevor Benutzer sich erneut authentifizieren müssen.
- Nach der Einrichtung umleiten – Sie können Benutzer zu einer bestimmten URL umleiten, nachdem sie die Zwei-Faktor-Funktion eingerichtet haben.
- Frontend-2FA-Seiten – Wenn Sie nicht möchten, dass Benutzer das Backend-Dashboard verwenden, können Sie auch eine Frontend-Seite einrichten, auf der sie ihre Zwei-Faktor-Einstellungen verwalten können.
Auch hier können Sie einen Site-weiten Standard festlegen, diese Einstellungen dann aber auch für verschiedene Benutzerrollen anpassen.
4. Entdecken Sie alle WP 2FA-Einstellungen
Wenn Sie das Plugin weiter konfigurieren möchten, bietet WP 2FA auch einen eigenen Einstellungsbereich. Hier müssen Sie nichts ändern, es bietet jedoch einige nützliche Optionen:
- E-Mails und Vorlagen – Passen Sie die Zwei-Faktor-E-Mails an, die das Plugin sendet.
- White-Labeling – Markieren Sie alle Schnittstellen des Plugins mit einem White-Label, damit sie zu Ihren eigenen passen. Sie können das Logo, die Farben und den Text von allem anpassen.
- Integrationen – Sie können Integrationen mit anderen Diensten einrichten, einschließlich der folgenden – Authy ( Push-Benachrichtigungen für Zwei-Faktor ), Twilio ( Textnachrichten für Zwei-Faktor ) und WooCommerce.
Wenn Sie beispielsweise die E-Mails anpassen, erhalten Sie einen Texteditor und eine Reihe von Merge-Tags, mit denen Sie dynamische Informationen einfügen können:
Für White Labeling können Sie über das Dropdown-Menü alle verschiedenen Bereiche des Plugins anpassen:
Und das war's auch schon mit der Konfiguration des Plugins!
Wie andere Benutzer auf Ihrer Website die Zwei-Faktor-Authentifizierung einrichten
Ich habe Ihnen bereits gezeigt, wie Sie die WordPress-Zwei-Faktor-Authentifizierung für Ihr eigenes Konto einrichten, aber was ist mit anderen Benutzern?
Wie andere Benutzer die Zwei-Faktor-Funktion einrichten, hängt von zwei Variablen ab:
- Kulanzfrist – wenn Sie von Benutzern verlangen, dass sie die Zwei-Faktor-Funktion sofort einrichten, werden sie direkt nach der ersten Anmeldung dazu aufgefordert. Wenn Sie ihnen eine Nachfrist von ein paar Tagen geben, können sie warten.
- Frontend-Schnittstelle – die Backend-Schnittstelle funktioniert ähnlich wie das, was ich Ihnen oben gezeigt habe. Wenn Sie jedoch die Frontend-Schnittstelle aktivieren, sieht es etwas anders aus.
Hier sind einige Beispiele…
Wenn Sie keine Kulanzfrist anbieten, werden Benutzer automatisch zu ihrer Profilseite mit geöffnetem Popup für die Zwei-Faktor-Einstellungen weitergeleitet ( genau wie die Schnittstelle, die Sie zur Konfiguration Ihres eigenen Kontos verwendet haben ).
Benutzer können auf keinen Teil des Dashboards zugreifen, bis sie die Einrichtung abgeschlossen haben.
Wenn Sie die Frontend-Zwei-Faktor-Einstellungsseite aktivieren, können Sie sie mit dem Shortcode [wp-2fa-setup-form] überall auf Ihrer Website hinzufügen.
Wenn Sie auf diese Schaltfläche klicken, wird die gleiche Einrichtungsaufforderung wie zuvor geöffnet – der einzige Unterschied besteht darin, dass alles im Frontend Ihrer Website geschieht:
Auch hier können Sie den gesamten Text mit einem White-Label versehen, um ihn besser in Ihre Website zu integrieren.
Hier können Sie beispielsweise sehen, dass ich den Text des Popups für WPKube angepasst habe:
Sobald Benutzer ihre Zwei-Faktor-Methode eingerichtet haben, werden ihnen einige zusätzliche Optionen zum Ändern ihrer Einstellungen oder zum Generieren von Backup-Codes angezeigt:
WordPress-Zwei-Faktor-Authentifizierungsberichte
Damit Sie sehen können, was auf Ihrer Website passiert, enthält das Plugin auch ein Berichtstool, mit dem Sie die Zwei-Faktor-Nutzung schnell bewerten können.
Sie können darauf zugreifen, indem Sie zu WP 2FA → Berichte gehen.
WP 2FA-Preise
WP 2FA gibt es sowohl in einer kostenlosen Version auf WordPress.org als auch in einer Premium-Version mit mehr Funktionalität.
Im Allgemeinen sollte die kostenlose Version in Ordnung sein, wenn Sie nur Ihr eigenes WordPress-Administratorkonto schützen möchten. Es unterstützt bereits die Zwei-Faktor-Authentifizierung über Smartphone-Apps, E-Mail und Backup-Codes.
Wenn Sie jedoch andere Benutzer auf Ihrer Website haben und für diese Benutzer Richtlinien zur Zwei-Faktor-Authentifizierung einrichten möchten, würde ich ein Upgrade auf die Premium-Version empfehlen.
Die Premium-Version gibt Ihnen nicht nur mehr Kontrolle über Zwei-Faktor-Richtlinien und -Verhalten, sondern fügt auch zusätzliche Methoden wie Authy-Push-Benachrichtigungen und SMS-Nachrichten über Twilio hinzu.
Hier sind einige der größten Funktionen der Premium-Version:
- Weitere 2FA-Methoden, einschließlich SMS, Push-Benachrichtigung und Ein-Klick-Anmeldung.
- Option zum Hinzufügen vertrauenswürdiger Geräte („Dieses Gerät merken“).
- White-Label-Unterstützung zur Anpassung der Benutzeroberfläche.
- Passen Sie die 2FA-Richtlinien für verschiedene Benutzertypen an.
Es gibt zwei Hauptvariablen, die den Preis beeinflussen:
- Anzahl der Benutzer – WP 2FA berechnet Ihnen nicht basierend auf der Anzahl Ihrer Websites, sondern basierend auf der Anzahl der Benutzerkonten, die die Zwei-Faktor-Authentifizierung aktivieren. Alle Pläne unterstützen eine unbegrenzte Anzahl von Websites und die Benutzer können auf eine beliebige Anzahl von Websites verteilt werden.
- Funktionen – Es gibt einige Funktionsunterschiede zwischen den verschiedenen Ebenen.
Der Enterprise- Plan bietet außerdem vorrangigen Support.
Hier ist ein Preis-Screenshot, der den Unterschied verdeutlicht:
- Der große Preis oben gilt für bis zu fünf Benutzerkonten .
- Der Preis im Dropdown dient zur Erweiterung der Nutzung auf bis zu 25 Benutzerkonten .
Auch hier gilt: Die Benutzerbeschränkungen gelten nur für Benutzerkonten, die die Zwei-Faktor-Authentifizierung aktiviert haben. Wenn Sie 250 Benutzer haben, aber nur 10 davon über eine Zwei-Faktor-Authentifizierung verfügen, zählt dies für Abrechnungszwecke nur als 10 Benutzer.
Wenn Sie die Premium-Funktionen ausprobieren möchten, gelten für das Plugin hier zwei relevante Richtlinien:
- Sie können die Premium-Funktionen 14 Tage lang kostenlos testen, um sie auszuprobieren.
- Es gibt eine 30-tägige Geld-zurück-Garantie, falls nach der Testversion Probleme auftreten.
Mit unserem exklusiven WP 2FA-Gutscheincode können Sie außerdem 20 % bei jedem Lizenzplan sparen.
Kaufen Sie WP 2FA
WP 2FA Review: Vor- und Nachteile der Verwendung dieses Plugins
Um noch einmal zusammenzufassen, was wir in unserem WP 2FA-Test besprochen haben, gehen wir einige Vor- und Nachteile der Verwendung dieses Plugins durch.
WP 2FA-Profis
- Unterstützung der gängigsten Methoden – WP 2FA unterstützt die meisten gängigen Methoden, die Menschen verwenden, einschließlich TOTP/HOTP-Authentifizierungs-Apps, E-Mail, Textnachricht, Push-Benachrichtigung und Backup-Codes.
- Hochgradig konfigurierbare Zwei-Faktor-Richtlinien – Sie erhalten viel Flexibilität bei der Steuerung der Zwei-Faktor-Anforderungen auf Ihrer Website. Zum Beispiel das Einrichten unterschiedlicher Regeln für verschiedene WordPress-Rollen und das Einräumen einer Frist für die Einrichtung der Zwei-Faktor-Authentifizierung.
- Vollständiges White-Labeling – Sie können jeden einzelnen Teil der Benutzeroberfläche mit White-Label versehen, einschließlich Text, E-Mails, Farben, Logos und mehr.
- Frontend-Dashboards – Sie können Benutzern die Verwaltung ihrer Zwei-Faktor-Methoden über das Frontend Ihrer Website (zusätzlich zum WordPress-Dashboard) ermöglichen.
- Ausgefeilte Designs – WP 2FA verfügt über sehr ausgefeilte, professionelle Designs, was bei einigen anderen WordPress-Plugins für die Zwei-Faktor-Authentifizierung nicht immer der Fall ist.
- Integrationen – WP 2FA lässt sich in WooCommerce und viele Mitgliedschafts-Plugins integrieren.
WP 2FA Kons
- Keine FIDO U2F-Unterstützung – WP 2FA unterstützt FIDO U2F derzeit nicht als Zwei-Faktor-Option, was bedeutet, dass Sie keine physischen Hardwaremethoden wie Yubikey oder Google Titan verwenden können.
- Das Preismodell pro Benutzer kann für viele Benutzer teuer sein – wenn Sie mehr als 100 Benutzer haben, kann das Abrechnungsmodell von WP 2FA, das auf der Anzahl der Benutzer mit aktivem 2FA basiert, es teurer machen als andere Lösungen. Der Vorteil besteht jedoch darin, dass WP 2FA möglicherweise günstiger ist als andere Lösungen, wenn Sie nur eine kleine Anzahl von Benutzern haben.
WP 2FA-FAQs
Um unseren WP 2FA-Test abzuschließen, gehen wir noch einige häufig gestellte Fragen durch, die Sie möglicherweise zum Plugin haben.
Ist WP 2FA kostenlos?
WP 2FA bietet auf WordPress.org eine kostenlose Version an, die für die einfache Zwei-Faktor-Authentifizierung gut funktionieren sollte.
Unterstützt WP 2FA Authentifizierungs-Apps?
WP 2FA funktioniert mit jeder Authentifizierungs-App, die die TOTP/HOTP-Protokolle unterstützt, einschließlich Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator und so weiter.
Unterstützt WP 2FA Backup-Codes?
Mit WP 2FA können Benutzer Offline-Backup-Codes generieren. Benutzer können die Codes kopieren, ausdrucken oder per E-Mail versenden.
Unterstützt WP 2FA die E-Mail-Verifizierung?
Mit WP 2FA können Benutzer ihren einmaligen Bestätigungscode per E-Mail erhalten. Um die Zuverlässigkeit zu gewährleisten, sollten Sie unbedingt einen WordPress-SMTP-Versanddienst einrichten, damit die E-Mails in die Posteingänge der Benutzer gelangen.
Unterstützt WP 2FA die SMS-Verifizierung?
Die Premium-Version von WP 2FA unterstützt die SMS-/Textnachrichtenüberprüfung. Um diesen Dienst zu betreiben, nutzt er eine Integration mit Twilio.
Unterstützt WP 2FA FIDO U2F (Yubikey)?
WP 2FA unterstützt FIDO U2F derzeit nicht . Wenn Sie physische Hardwareschlüssel als Zwei-Faktor-Methode verwenden möchten, müssen Sie ein anderes Zwei-Faktor-Plugin auswählen.
Abschließende Gedanken zu unserem WP 2FA-Test
Insgesamt bietet WP 2FA eine sehr ausgefeilte Möglichkeit, die Zwei-Faktor-Authentifizierung von WordPress einzurichten und Ihre WordPress-Website zu sichern.
Ich denke, es gibt ein paar Bereiche, in denen das Plugin herausragt:
- Hervorragende Benutzeroberfläche mit White-Labeling – die Benutzeroberfläche ist benutzerfreundlicher und besser gestaltet als die meisten anderen Zwei-Faktor-Lösungen, einschließlich der Möglichkeit, die Zwei-Faktor-Lösung vom Frontend aus zu verwalten. Sie können es auch mit einem White-Label versehen, passend zu Ihrer Marke, um ein völlig individuelles Erlebnis zu schaffen.
- Flexible Richtlinien – Sie haben viel Flexibilität bei der Erstellung einer Zwei-Faktor-Richtlinie, die den Anforderungen Ihres Unternehmens entspricht.
- Unterstützt mehrere Methoden – es unterstützt eine breite Palette von Methoden, einschließlich E-Mail, SMS, Authentifizierungs-App, Push-Benachrichtigungen und einmalige Backup-Codes.
Da FIDO U2F derzeit nicht unterstützt wird, ist es nicht die beste Option, wenn Sie physische Hardwareschlüssel wie Yubikey verwenden möchten. Abgesehen von dieser Einschränkung halte ich es jedoch für eine hervorragende Möglichkeit, die Zwei-Faktor-Authentifizierung für WordPress einzurichten.
Wenn Sie also Zwei-Faktor-Methoden wie E-Mail, SMS und/oder Authentifizierungs-Apps verwenden möchten, sollten Sie sich diese unbedingt ansehen. Verwenden Sie unbedingt unseren WP 2FA-Gutscheincode, um 20 % bei jeder Lizenz zu sparen.
Holen Sie sich WP 2FA
Sie können WP 2FA auch mit dem WP Activity Log-Plugin desselben Entwicklers koppeln, um Ihre Website noch weiter zu schützen. Erfahren Sie mehr in unserem WP Activity Log-Testbericht und sparen Sie mit unserem WP Activity Log-Gutschein.