Was ist die Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung (kurz: 2FA, auch Multi-Faktor-Authentifizierung / MFA) ist ein Sicherheitsmechanismus, der den Login-Prozess um einen zweiten Verifizierungsschritt erweitert. Statt sich nur mit Benutzername und Passwort anzumelden, muss der Nutzer zusätzlich einen zweiten Beweis seiner Identität erbringen.
Das Prinzip basiert auf der Kombination verschiedener Faktortypen:
| Faktortyp | Beschreibung | Beispiele |
|---|---|---|
| Wissen | Etwas, das nur der Nutzer kennt | Passwort, PIN |
| Besitz | Etwas, das nur der Nutzer hat | Smartphone, Hardware-Token |
| Biometrie | Etwas, das der Nutzer ist | Fingerabdruck, Gesichtserkennung |
2FA kombiniert mindestens zwei dieser Typen. Im WordPress-Kontext ist das typischerweise: Passwort (Wissen) + Einmalcode vom Smartphone (Besitz).
Warum ist 2FA für WordPress unverzichtbar?
WordPress-Accounts werden täglich durch Brute-Force-Angriffe angegriffen. Selbst starke Passwörter können durch Datenlecks anderer Dienste kompromittiert werden – wenn ein Nutzer dasselbe Passwort mehrfach verwendet. 2FA macht ein geknacktes Passwort wertlos: Ohne den zweiten Faktor, der sich alle 30 Sekunden ändert und nur auf dem Smartphone des Besitzers erscheint, ist kein Login möglich.
Darüber hinaus schützt 2FA auch dann, wenn:
- Ein Passwort durch einen Keylogger abgegriffen wurde
- Zugangsdaten durch Phishing gestohlen wurden
- Ein Datenleck eines anderen Dienstes die Zugangsdaten offengelegt hat
Wie funktioniert TOTP – der häufigste 2FA-Standard für WordPress?
Das verbreitetste Verfahren für WordPress ist TOTP (Time-based One-Time Password). Es funktioniert so:
- Bei der Einrichtung wird ein gemeinsames Geheimnis (Seed) zwischen dem Server und der Authenticator-App ausgetauscht – sichtbar als QR-Code
- Die App generiert daraus alle 30 Sekunden einen neuen 6-stelligen Code
- Beim Login gibt der Nutzer diesen Code zusätzlich zum Passwort ein
- Der Server berechnet den gleichen Code und prüft die Übereinstimmung
Da der Code zeitbasiert und einmalig ist, kann ein abgefangener Code nicht wiederverwendet werden.
Welche Apps können für WordPress-2FA verwendet werden?
- Google Authenticator (iOS / Android) – weit verbreitet, einfach
- Microsoft Authenticator (iOS / Android) – mit Cloud-Backup
- Authy (iOS / Android / Desktop) – mit verschlüsseltem Cloud-Backup, mehrere Geräte
- 2FAS (iOS / Android) – Open Source
Wichtig: Die App sollte auf einem anderen Gerät als dem laufen, das zum Login verwendet wird. Wer seinen Desktop-Computer für den WordPress-Login nutzt, sollte die 2FA-App auf dem Smartphone haben – nicht auf demselben Gerät.
2FA für WordPress einrichten
2FA für WordPress lässt sich über Sicherheits-Plugins einrichten, z.B.:
- Wordfence Security (kostenlos, unter „Login Security")
- Solid Security (ehemals iThemes Security)
- WP 2FA (dediziertes 2FA-Plugin)
Nach der Installation und Aktivierung werden Administratoren zur Einrichtung aufgefordert. Der QR-Code wird mit der Authenticator-App gescannt, ein Testcode zur Bestätigung eingegeben – fertig.
Sinnvoll: 2FA für alle Nutzer mit Admin-Rechten verpflichtend aktivieren. Redakteure oder Mitglieder können nach Ermessen einbezogen werden.
Was tun, wenn das Smartphone verloren geht?
Jedes 2FA-Plugin erzeugt bei der Einrichtung Recovery Codes – einmalig verwendbare Backup-Codes für den Notfall. Diese sollten sicher und offline aufbewahrt werden, z.B. ausgedruckt in einem verschlossenen Ordner oder in einem Passwort-Manager.
Fazit
2FA ist die effektivste Einzelmaßnahme zum Schutz des WordPress-Admin-Zugangs. Sie kostet wenige Minuten in der Einrichtung und eliminiert einen der häufigsten Angriffsvektoren fast vollständig. Kombiniert mit einem starken Passwort und einem Login-Limit gegen Brute Force ist der Admin-Bereich dramatisch besser geschützt. Mehr zu allen Schutzmaßnahmen im Beitrag WordPress Sicherheitslücken: Der vollständige Leitfaden.
