Vier in WordPress integrierte Methoden für die Zwei-Faktor-Authentifizierung, kostenlos
Die Zwei-Faktor-Authentifizierung für WordPress wird in der Regel als Add-on oder im Rahmen eines Premium-Tarifs angeboten. ReportedIP bietet vier 2FA-Methoden im Kern an – TOTP, Passkeys/WebAuthn, E-Mail und SMS –, die in jedem Tarif kostenlos enthalten sind, einschließlich Wiederherstellungscodes und einer Funktion zum Zurücksetzen des Passworts.
Dieser Leitfaden behandelt alle vier Methoden, erklärt, wie die Rate-Limit-Leiter das Erraten von Codes verhindert, und geht auf die Lücke beim Reset-Flow ein, die die meisten 2FA-Plugins offen lassen.
Was ist ReportedIP ?
ReportedIP ist ein umfassendes WordPress-Sicherheits-Plugin: 12 Angriffssensoren, die hier beschriebene vollständige 2FA-Suite, progressive Sperrfunktionen und opt-in-basierte Community-Bedrohungsdaten. Das gesamte 2FA-System ist kostenlos und funktioniert auch offline. Den vollständigen Funktionsumfang ReportedIP finden Sie auf der Produktseite.
Die vier Methoden im Kern
- TOTP – RFC-6238-Codes, kompatibel mit Google Authenticator, Authy, 1Password und Microsoft Authenticator. Geheimnisse werden im Ruhezustand verschlüsselt.
- Passkey / WebAuthn / FIDO2 – Face ID, Touch ID, Windows Hello und YubiKey. Phishing-resistent, mit einer eigenen Implementierung und ohne Abhängigkeit von Composer.
- E-Mail-OTP – ein 6-stelliger Code, der 10 Minuten lang gültig ist, auf 3 Sendungen pro 15 Minuten begrenzt ist, eine Wartezeit von 60 Sekunden vor dem erneuten Versand hat und pro Code 5 Verifizierungsversuche zulässt.
- SMS-OTP – über den verwalteten reportedIP (ab Professional-Tarif), nur in der EU mit ausdrücklicher DPA. Telefonnummern werden im Ruhezustand verschlüsselt.
Unterstützt alle vier Optionen: 10 Einmal-Wiederherstellungscodes (im Ruhezustand gehasht, mit einer Warnung bei nur noch 3 verbleibenden Codes), vertrauenswürdige Geräte mit konfigurierbarer Gültigkeitsdauer (standardmäßig 30 Tage) sowie rollenbasierte Durchsetzung mit einer Nachfrist (standardmäßig 7 Tage) und einem Überspringungszähler.
Die Rate-Limit-Leiter macht Schluss mit dem Rätselraten beim Code
Falsche 2FA-Codes unterliegen derselben mehrstufigen Sperrskala wie fehlgeschlagene Anmeldeversuche: 3 falsche Codes → 30 Sekunden, 5 → 5 Minuten, 10 → 30 Minuten, 15 → 1 Stunde. Nach dem 15. Fehlversuch auf IP-Ebene wird die IP-Adresse einer echten progressiven Sperre unterzogen, sodass ein Brute-Force-Angreifer nicht mehr einfach auf das Ablaufen der Sperrfrist warten und es dann stündlich erneut versuchen kann.
Die Funktion zum Zurücksetzen des Passworts, die in den meisten Plugins fehlt
Der „Passwort vergessen“-Prozess von WordPress ist ein klassischer 2FA-Umgehungsweg: Wenn Ihre einzige zweite Authentifizierungsstufe die E-Mail ist, erhält jeder, der Zugriff auf das Postfach hat, sowohl den Link zum Zurücksetzen als auch das Einmalpasswort über denselben Kanal. Das Zurücksetzungs-Gate von Hive verlangt eine zweite Authentifizierungsstufe, die nicht per E-Mail erfolgt – Authentifikator, SMS, Passkey oder Wiederherstellungscode –, bevor ein neues Passwort akzeptiert wird. E-Mail ist von vornherein ausgeschlossen. Konten, deren einziger Faktor E-Mail ist und die keine Wiederherstellungscodes enthalten, werden mit einer Administratorwarnung gesperrt. Dieses Verhalten entspricht NIST SP 800-63B §6.1.2.3 und OWASP ASVS V6.3.
So aktivieren Sie diese Funktion
Im Schritt „2FA“ des Einrichtungsassistenten (oder Einstellungen → Zwei-Faktor-Authentifizierung), aktivieren Sie die Methoden, die Sie anbieten möchten, wählen Sie aus, welche Rollen sich anmelden müssen, und legen Sie die Nachfrist und den Überspring-Zähler fest. Bei Headless- oder benutzerdefinierten Abläufen gilt für die reportedip-hive/v1 Der REST-Namespace stellt Folgendes bereit /2fa/challenge, /2fa/verify und /2fa/methods; Shell-Administratoren können wp reportedip 2fa reset <user> um ein gesperrtes Konto freizuschalten.
Verwandte Anleitungen
- Passkeys und WebAuthn: Phishing-sichere WordPress-Anmeldung
- Verwalteter E-Mail- und SMS-Relay-Dienst für die zuverlässige Zustellung von Einmalpasswörtern
- WooCommerce-2FA, das in Ihrem Theme integriert bleibt
Weitere Informationen zur Einrichtung finden Sie in der Dokumentation zur Authentifizierung. Sie können auch die vollständigen AnleitungenReportedIP durchsehen oder den WebAuthn-Standard auf der W3C-Website lesen.