Two Factor

Das Plugin Two Factor fügt deiner WordPress-Anmeldung eine zusätzliche Sicherheitsschicht hinzu, indem es vom Benutzer zusätzlich zum Passwort eine weitere Form der Authentifizierung verlangt. Das schützt vor unberechtigten Zugriffen sogar dann, wenn Passwörter kompromittiert wurden.

Einrichtungs-Anleitungen

Important: Each user must individually configure their two-factor authentication settings.

Für individuelle Benutzer

1. Zu deinem Profil navigieren: Gehe im WordPress-Admin zu „Benutzer“ → „Profil“
2. Two-Factor-Optionen finden: Scrolle runter bis zum Abschnitt „Two-Factor-Optionen“
3. Choose your methods: Enable one or more authentication providers (noting a site admin may have hidden one or more so what is available could vary):
   • Authenticator App (TOTP) – Nutze Apps wie Google Authenticator, Authy oder 1Password
   • Email Codes – Erhalte Einmal-Codes via E-Mail
   • Backup-Codes – Erzeuge Einmal-Backup-Codes für Notfälle
   • Dummy-Methode – nur zu Testzwecken (erfordert WP_DEBUG)
4. Jede Methode konfigurieren: Folge den Einrichtungs-Anleitungen für jeden aktivierten Anbieter
5. Primäre Methode wählen: Wähle, welche Methode du als Standard-Authentifizierung verwenden möchtest
6. Änderungen speichern: Klicke auf „Profil aktualisieren“, um deine Einstellungen zu speichern

Für Website-Administratoren

• Plugin settings: The plugin provides a settings page under „Settings → Two-Factor“ to configure which providers should be disabled site-wide.
• Benutzerverwaltung: Administratoren können 2FA für andere Benutzer konfigurieren, indem die deren Profile bearbeiten
• Sicherheits-Empfehlungen: Benutzer sollten Backup-Methoden einrichten, damit sie nicht aus ihrem Konto ausgesperrt werden

Verfügbare Authentifizierungs-Methoden

Authenticator-App (TOTP) – empfohlen

• Sicherheit: Hoch – Zeitbasierte Einmalpasswörter
• Einrichtung: QR-Code mit Authenticator-App scannen
• Kompatibilität: Funktioniert mit Google Authenticator, Authy, 1Password und anderen TOTP-Apps
• Am besten für: die meisten Benutzer, bietet exzellente Sicherheit und gute Benutzerfreundlichkeit

Backup-Codes – empfohlen

• Sicherheit: Mittel – Codes einmal nutzbar
• Einrichtung: 10 Backup-Codes für den Notfall-Zugriff erzeugen
• Kompatibilität: Funktioniert überall, keine spezielle Hardware erforderlich
• Am besten für: Notfall-Zugriff, wenn andere Verfahren nicht verfügbar sind

E-Mail-Codes

• Sicherheit: Mittel – Einmal-Codes werden via E-Mail verschickt
• Einrichtung: Automatisch – verwendet deine WordPress-E-Mail-Adresse
• Kompatibilität: Funktioniert mit jedem E-Mail-fähigen Gerät
• Am besten für: Benutzer, die E-Mail-basierte Authentifizierung bevorzugen

FIDO-U2F-Sicherheitsschlüssel

• Deprecated and removed due to loss of browser support.

Dummy-Methode

• Sicherheit: Keine – immer erfolgreich
• Einrichtung: nur verfügbar, wenn WP_DEBUG aktiviert ist
• Zweck: nur Testen und Entwicklung
• Am besten für: Entwickler, die das Plugin testen

Wichtige Hinweis

HTTPS-Anforderung

• Andere Methoden funktionieren auf sowohl HTTP- als auch HTTPS-Websites

Browser-Kompatibilität

• TOTP und E-Mail-Methoden funktionieren mit allen Geräten und Browsern

Kontowiederherstellung

• Aktiviere immer Backup-Codes, damit du nicht aus deinem Konto ausgesperrt wirst
• Wenn du Zugriff auf alle Authentifizierungs-Methoden verlierst, wende dich an den Administrator deiner Website

Bewährte Sicherheitspraktiken

• Verwende möglichst mehrere Authentifizierungs-Methoden
• Verwahre Backup-Codes an einem sicheren Ort
• Prüfe und aktualisiere deine Authentifizierungseinstellungen regelmäßig

Für weitere Information zur Zwei-Faktor-Authentifizierung schau dir den WordPress Advanced Administration Security Guide an.

Weitergehende Informationen finden sich in diesem Beitrag.

Actions und Filter

Nachfolgend findet sich hier eine Auflistung von Action- und Filter-Hooks, die das Plugin anbietet:

• Der two_factor_providers-Filter hat Vorrang gegenüber anderen vorhandenen Zwei-Faktor-Authentifizierungs-Methoden wie E-Mail und zeitbasierten Einmal-Passwörtern. Array-Werte können PHP-Klassennamen der jeweiligen Zwei-Faktor-Methoden sein.
• Der Filter two_factor_providers_for_user setzt die verfügbaren Zwei-Faktor-Anbieter für einen bestimmten Benutzer zurück. Array-Werte sind Instanzen von Anbieterklassen und das Benutzerobjekt WP_User ist als zweites Argument verfügbar.
• Der two_factor_enabled_providers_for_user-Filter überschreibt die Authentifizierungsmethoden, die für einen Benutzer aktiviert sind. Das erste Argument ist ein Array der Klassennamen erlaubter Authentifizierungsmethoden, während das zweite Argument die Nutzer-ID ist.
• Die two_factor_user_authenticated-Aktion empfängt das eingeloggte WP_User-Objekt als erstes Argument, um den angemeldeten Benutzer direkt nach dem Authentifizierung-Workflow zu ermitteln.
• Der Filter two_factor_user_api_login_enable beschränkt die Authentifizierung für REST-API und XML-RPC nur auf Anwendungskennwörter. Gibt die Benutzer-ID als zweites Argument an.
• Der Filter two_factor_token_ttl überschreibt die Zeitangabe in Sekunden, in der ein E-Mai-Token nach Erzeugung gültig ist. Akzeptiert die Zeit (in Sekunden) und die ID des WP_User-Objekts, das authentifiziert wird.
• Der Filter two_factor_email_token_length überschreibt die 8-Zeichen-Vorgabe für E-Mail-Tokens.
• Der Filter two_factor_backup_code_length überschreibt die 8-Zeichen-Vorgabe für Backup-Codes. Liefert den WP_User des verknüpften Benutzers als zweites Argument.
• Der Filter two_factor_rest_api_can_edit_user überschreibt, ob sich die Zwei-Faktor-Einstellungen eines Benutzers über die REST-API bearbeiten lassen. Das erste Argument ist das aktuelle Boolesche $can_edit, das zweite Argument ist die Benutzer-ID.
• Die Aktion two_factor_before_authentication_prompt empfängt das Provider-Objekt und wird vor der Eingabeaufforderung im Authentifizierungsformular ausgelöst.
• Die Aktion two_factor_after_authentication_prompt empfängt das Provider-Objekt und wird nach der im Authentifizierungs-Eingabeformular angezeigten Eingabeaufforderung ausgelöst.
• Die Aktion two_factor_after_authentication_input empfängt das Provider-Objekt und wird nach der Eingabe im Authentifizierungsformular ausgelöst (wenn das Formular keine Eingabe enthält, wird die Aktion unmittelbar nach der Aktion two_factor_after_authentication_prompt ausgelöst).
• two_factor_login_backup_links filters the backup links displayed on the two-factor login form.

Redirect After the Two-Factor Challenge

To redirect users to a specific URL after completing the two-factor challenge, use WordPress Core built-in login_redirect filter. The filter works the same way as in a standard WordPress login flow: