Konfiguration

Sicherheit »Zwei-Schritt-Authentifizierung

Deine WordPress.com-Website ist dein Zuhause im Internet, das du zuverlässig schützen solltest. Hoffentlich hast du bereits ein einmaliges und schwer zu erratendes Passwort für dein Konto gewählt. Um eine zusätzliche Sicherheitsebene hinzuzufügen, kannst du die Zwei-Schritt-Authentifizierung aktivieren.


Was ist die Zwei-Schritt-Authentifizierung?

Die Zwei-Schritt-Authentifizierung ist eine Methode zur Absicherung von Konten, bei der du zum Anmelden nicht nur wie gewohnt z. B. ein Passwort kennen musst, sondern auch etwas physisch besitzen musst (dein Mobilgerät oder einen Schlüssel). Der Vorteil dieses Sicherheitsansatzes ist, dass selbst wenn eine Person dein Passwort errät, sie ohne dieses physische Objekt nicht auf dein Konto zugreifen kann.

Bei WordPress.com bieten wir Zwei-Schritt-Authentifizierung mit Mobilgerät und physischem Sicherheitsschlüssel an. Zuerst verifizieren wir dein Mobilgerät, indem wir dir mit einer von mehreren Methoden einen Code zusenden. Sobald du dein Mobilgerät verifiziert hast, kannst du auch eine Authentifizierung hinzufügen, bei der stattdessen ein physischer Schlüssel verwendet wird.

Wenn du die Zwei-Schritt-Authentifizierung eingerichtet hast, senden wir bei jeder Anmeldung mit deinem Passwort auch einen neuen Code an dein Gerät, den du eingeben musst, oder du musst den physischen Schlüssel einstecken, bevor du dich anmeldest. Dies ist nur ein kurzer Schritt in deinem Anmeldeprozess, der aber dein Konto erheblich sicherer macht.


↑ Inhaltsverzeichnis ↑

Einrichtung mit einer Authenticator-App

Die Einrichtung der Zwei-Schritt-Authentifizierung mit einer Authenticator-App wie Google Authenticator, Authy oder Duo auf deinem Gerät beginnst du in einem Desktop-Browser.

Rufe zuerst auf WordPress.com deine Einstellungsseite für die Zwei-Schritt-Authentifizierung auf.

Du kannst die Einstellungen aber auch aufrufen, indem du auf der WordPress.com-Startseite auf dein Profilbild klickst:

Profil-Link

Als Nächstes klickst du in der Navigation auf der linken Bildschirmseite auf den Menüpunkt Sicherheit:

Kontomenü, Sicherheitslink

Anschließend klickst du auf Zwei-Schritt-Authentifizierung und dann auf Jetzt starten.

Einstellungen der Zwei-Schritt-Authentifizierung

Hier wirst du aufgefordert, dein Land auszuwählen und deine Mobiltelefonnummer anzugeben (ohne Landesvorwahl und Leerzeichen oder Bindestriche). Klicke anschließend auf Per App verifizieren.

Telefonnummer eingeben

Scanne als nächstes den QR-Code, der in deiner Authenticator-App angezeigt wird. In der Authenticator-App wird eine sechsstellige Nummer angezeigt. Gib diese Nummer im entsprechenden Feld ein und klicke auf Aktivieren.

QR-Code scannen und Code bestätigen

Im letzten Schritt wirst du aufgefordert, die Backup-Codes auszudrucken. Diesen Schritt solltest du nicht überspringen, da diese Codes die einzige Möglichkeit sind, dich ohne die Hilfe unserer Support-Mitarbeiter bei deinem Konto anzumelden, falls dein Gerät verloren geht!

Bitte beachte: Wenn dein Webbrowser so eingestellt ist, dass Pop-up-Fenster blockiert werden, kann es sein, dass du  diese Funktion vorübergehend deaktivieren musst, da sonst das Fenster mit deinen Backup-Codes nicht geöffnet wird.

Klicke auf Fertig!

Die Zwei-Schritt-Authentifizierung ist nun für deine Website aktiviert. In einem der nächsten Schritte kannst du überprüfen, ob deine Backup-Codes funktionieren, indem du einen der ausgedruckten Codes eingibst.

Backup-Code verifizieren

↑ Inhaltsverzeichnis ↑

Einrichtung mit SMS-Codes

Wenn du keine Zwei-Schritt-Authentifizierung mit einer Authenticator-App einrichten kannst, hast du die Möglichkeit, die Authentifizierung per SMS-Nachrichten einzurichten. Gib dazu wie oben beschrieben deine Telefonnummer an, klicke anschließend jedoch auf Per SMS verifizieren.

Per SMS verifizieren

Innerhalb weniger Augenblicke solltest du eine SMS mit einer siebenstelligen Nummer erhalten. Gib diese Nummer im entsprechenden Feld ein und klicke auf Aktivieren.

Anschließend kannst du die Backup-Codes, wie oben beschrieben, ausdrucken und überprüfen. Dein Konto ist jetzt durch die Zwei-Schritt-Authentifizierung geschützt.

Smartphone-Apps, die automatische Anrufe blockieren, können möglicherweise auch unsere Nachrichten blockieren.


↑ Inhaltsverzeichnis ↑

Authentifizierung mit Sicherheitsschlüssel

WordPress.com unterstützt die Anmeldeverifizierung mit physischen Sicherheitsschlüsseln über den WebAuthn-Standard.

Anstatt einen Code einzugeben, den du nach Eingabe deines Passworts per SMS oder über eine App wie Google Authenticator erhältst, steckst du einen physischen Schlüssel ein. Dann drückst du einen Button auf diesem Schlüssel, um die Verifizierung abzuschließen und dich anzumelden. Ohne diesen physischen Schlüssel ist es für niemanden möglich, sich bei deinem Konto anzumelden, selbst wenn er das Passwort kennt.

Anforderungen
  • Du benötigst einen Computer mit USB-Anschluss und der aktuellen Version eines kompatiblen Browsers wie Chrome, Firefox, Opera oder Edge.
    (Hinweis: Da Chrome und Firefox derzeit die beste allgemeine Unterstützung für diese Methode bieten, empfehlen wir diese Browser für eine möglichst konsistente Benutzererfahrung.)
  • Du benötigst einen Schlüssel, der an einen USB-Anschluss angeschlossen werden kann und FIDO2 verwendet, z. B. YubiKey von Yubico oder den Titan-Sicherheitsschlüssel von Google. (Geräte, die den älteren Standard FIDO U2F verwenden, sollten ebenfalls funktionieren.) Weitere Informationen zu den Gerätetypen und Browsern, die von deinem Schlüssel unterstützt werden, findest du in der Support-Dokumentation des jeweiligen Schlüssels.
Schlüssel hinzufügen

Hinweis: Bevor du einen Sicherheitsschlüssel hinzufügen kannst, musst du erst die Zwei-Schritt-Authentifizierung per SMS oder Authenticator-App aktivieren, wie oben beschrieben.

Nachdem du die Zwei-Schritt-Authentifizierung per App oder SMS eingerichtet hast, wird dir die Option angezeigt, einen Sicherheitsschlüssel hinzuzufügen. Klicke auf Schlüssel registrieren.

Sicherheitsschlüssel registrieren

Da du bei uns mehrere Schlüssel registrieren kannst, kannst du deinem Schlüssel einen Namen geben, um ihn so von anderen Schlüsseln zu unterscheiden, die du möglicherweise später hinzufügst. Gib einen eindeutigen Namen ein und klicke auf Schlüssel registrieren.

Stecke nun deinen Schlüssel in einen USB-Anschluss an deinem Computer und drücke den Button bzw. tippe auf die goldene Markierung auf dem Schlüssel (je nach Art des Schlüssels).

Verbinde und berühre den Sicherheitsschlüssel zum Registrieren.

Wenn der Vorgang erfolgreich war, wird auf dem Bildschirm eine Meldung angezeigt und der Schlüssel wird nun im Abschnitt Sicherheitsschlüssel aufgeführt.

Liste der Sicherheitsschlüssel

Nach der Einrichtung kannst du ohne deinen Schlüssel nicht mehr auf dein Konto zugreifen. Behandle ihn also genauso wie deinen Haustür- oder Autoschlüssel: Bewahre ihn sicher auf!

Du kannst dir auch überlegen, zu deiner Absicherung einen zweiten Schlüssel hinzuzufügen. Bewahre ihn an einem Ort auf, an dem du ihn finden kannst, falls du deinen ersten Schlüssel verlierst. Wenn du zusätzliche Schlüssel hinzufügen möchtest, klicke einfach noch einmal auf Schlüssel registrieren.

Schlüssel entfernen

Wenn du einen Sicherheitsschlüssel entfernen möchtest, den du zuvor hinzugefügt hast (z. B. wenn ein Schlüssel verloren gegangen ist oder nicht mehr funktioniert), kannst du diesen Schlüssel von deinem Konto trennen.

Navigiere in deinen Profileinstellungen zur Seite Zwei-Schritt-Authentifizierung, klicke auf das Papierkorb-Icon neben dem Schlüssel und in der daraufhin angezeigten Bestätigungsmeldung auf Schlüssel entfernen.

Sicherheitsschlüssel löschen

↑ Inhaltsverzeichnis ↑

Anmelden

Wenn die Zwei-Schritt-Authentifizierung aktiviert ist, unterscheidet sich der Anmeldeprozess ein wenig vom üblichen Vorgang. Unabhängig davon, ob du für die Aktivierung der Zwei-Schritt-Authentifizierung Google Authenticator oder SMS verwendet hast, meldest du dich wie gewohnt zuerst mit deinem Benutzernamen und Passwort an.

Abbildung des Anmeldebildschirms
Bei WordPress.com anmelden

Anschließend wirst du aufgefordert, den Verifizierungscode einzugeben, der an dein Gerät gesendet wurde.

Code für Zwei-Schritt-Authentifizierung eingeben

Wenn du die Zwei-Schritt-Authentifizierung mit einer Authenticator-App eingerichtet hast, öffne die App auf deinem Gerät und gibt die sechsstellige Nummer ein, die für das Konto aufgeführt ist. Wenn du für die Zwei-Schritt-Authentifizierung die SMS-Methode gewählt hast, senden wir dir eine sechsstellige Nummer zu. Sobald du den Code eingegeben hast, bist du angemeldet und kannst mit dem Bloggen beginnen.

Wenn du einen Sicherheitsschlüssel konfiguriert hast, wird dir eine Meldung mit der Frage angezeigt wird, ob du zur Verifizierung deinen Schlüssel oder deine Authenticator-App/SMS verwenden möchtest. Wenn du zur Verifizierung den Schlüssel verwenden möchtest, klicke auf Mit Sicherheitsschlüssel fortfahren.

Optionen der Zwei-Schritt-Authentifizierung

Als Nächstes wirst du aufgefordert, den Schlüssel zu verbinden. Stecke den Schlüssel an einem USB-Anschluss deines Computers an und drücke den Button bzw. tippe auf die goldene Markierung auf dem Schlüssel (je nach Art des Schlüssels), um die Anmeldung abzuschließen.

Aufforderung, den Sicherheitsschlüssel anzuschließen und die Anmeldung abzuschließen.

Hinweis: Wenn der Verifizierungsvorgang zu lange dauert, wird die Verifizierungsanfrage abgebrochen und es wird eine Fehlermeldung angezeigt. Klicke einfach erneut auf Mit Sicherheitsschlüssel fortfahren, um die Verifizierung noch einmal zu starten.


↑ Inhaltsverzeichnis ↑

Backup-Codes

Wir möchten verhindern, dass du nicht mehr auf dein WordPress.com-Konto zugreifen kannst, wenn dein Gerät verloren geht, gestohlen wird, du dich aus irgendeinem Grund nicht mehr anmelden kannst oder alle Daten auf deinem Gerät komplett gelöscht werden müssen (sodass auch Google Authenticator entfernt wird).

Damit du nie aus deinem Konto ausgesperrt wirst, kannst du eine Liste mit zehn einmal verwendbaren Backup-Codes generieren. Wir empfehlen, dass du die Backup-Codes ausdruckst und an einem sicheren Ort wie einer Geldbörse oder einem Dokumentensafe aufbewahrst. (Speichere sie nicht auf deinem Computer. Jeder, der deinen Computer benutzt, könnte auf sie zugreifen.) 

Die Erstellung von Backup-Codes ist wichtig und muss durchgeführt werden. Wenn du einen Backup-Code verwenden musst, meldest du dich ganz normal an und gibst statt des Anmeldecodes den Backup-Code ein.

Am Ende des Einrichtungsprozesses für die Zwei-Schritt-Authentifizierung hast du die Möglichkeit, Backup-Codes zu generieren:

Backup-Codes ausdrucken

Drucke die Codes aus – es ist wichtig, sie nicht nur zu speichern – und bestätige den Vorgang. Klicke dann auf Fertig!, um diesen Bildschirm zu schließen.

Wenn du die Liste mit deinen Backup-Codes verlierst oder sie kompromittiert wird, kannst du eine neue Liste mit Codes generieren. Für zusätzliche Sicherheit werden dadurch alle zuvor generierten Codes deaktiviert.

Neue Backup-Codes generieren

Du kannst die Backup-Codes nur mit einem Desktop-Browser generieren. Beispielsweise kann Safari unter iOS die Backup-Codes nicht anzeigen. Wenn dein Webbrowser außerdem so eingestellt ist, dass Pop-up-Fenster blockiert werden, musst du diese Funktion vorübergehend deaktivieren, da sonst das Fenster mit deinen Backup-Codes nicht geöffnet wird.


↑ Inhaltsverzeichnis ↑

Anwendungsspezifische Passwörter

Es gibt möglicherweise Apps, die eine Verbindung zu deinem WordPress.com-Konto herstellen und die Zwei-Schritt-Authentifizierung noch nicht vollständig unterstützen. Die bekanntesten sind Jabber-Apps, die zum Abonnieren von WordPress.com-Blogs verwendet werden. Bei diesen Apps kannst du für jede Anwendung ein eindeutiges Passwort generieren (so kannst du z. B. für dein Handy und dein Tablet unterschiedliche Passwörter haben). Anschließend kannst du einzelne Passwörter deaktivieren und Anwendungen aus deinem Konto aussperren, damit niemand außer dir auf deine Websites zugreifen kann.

Zum Generieren anwendungsspezifischer Passwörter rufst du wieder die Zwei-Schritt-Authentifizierung auf und scrollst nach unten zu Anwendungspasswörter:

Aufforderung zur Eingabe des Anwendungspassworts

Gib der Anwendung einen Namen – diesen kann außer dir niemand sehen, du kannst also einen beliebigen Namen wählen – und klicke auf Passwort generieren. WordPress.com erstellt ein eindeutiges Passwort mit 16 Zeichen, das du bei der nächsten Anmeldung in deinem Konto auf diesem Gerät kopieren und einfügen kannst. Die Anwendung speichert dieses Passwort, sodass du es dir nicht merken musst.

Auf deiner Sicherheitsseite findest du eine Liste aller Anwendungen, für die du Passwörter generiert hast. Wenn eines deiner Geräte verloren geht bzw. gestohlen wird oder du lediglich für eine bestimmte Anwendung den Zugriff sperren möchtest, kannst du diese Seite jederzeit aufrufen und mit einem Klick auf X das entsprechende Passwort deaktivieren, sodass die App nicht mehr auf dein Konto zugreifen kann:

Anwendungspasswort entfernen

↑ Inhaltsverzeichnis ↑

Zwei-Schritt-Authentifizierung deaktivieren

Wir raten davon ab, die Zwei-Schritt-Authentifizierung zu deaktivieren, da dies die Sicherheit erheblich schwächt, selbst wenn das Passwort deiner Meinung nach sehr sicher ist. Wenn du jedoch darauf bestehst, kannst du die Funktion auf der Seite Zwei-Schritt-Authentifizierung abschalten.

Auf der Seite wird angezeigt, dass die Funktion aktiviert ist, und du kannst den Button Zwei-Schritt-Authentifizierung deaktivieren anklicken. Anschließend wirst du aufgefordert, einen Code einzugeben und damit zu bestätigen, dass du immer noch Zugriff auf das Gerät hast, mit dem du die Zwei-Schritt-Authentifizierung ursprünglich eingerichtet hast. Wenn du eine Authenticator-App nutzt, öffne sie und gib den darin angezeigten Code ein. Wenn Du die SMS-Methode nutzt, wird dir ein entsprechender Code zugesendet. (Dieser Code unterscheidet sich von dem Code, den du für die Anmeldung bei deinem Konto verwendet hast. Für diesen Schritt kannst du auch einen deiner Backup-Codes nutzen.)

Klicke nach der Eingabe des Codes auf Zwei-Schritt-Authentifizierung deaktivieren. Nun ist dein Konto nicht mehr durch die Zwei-Schritt-Authentifizierung geschützt.

Zwei-Schritt-Authentifizierung deaktivieren

Hinweis: Zum Deaktivieren der Zwei-Schritt-Authentifizierung kann kein Sicherheitsschlüssel verwendet werden. Du kannst die Zwei-Schritt-Authentifizierung nur mit einem Code, den du per SMS oder über deine Authenticator-App erhältst, oder mit einem Backup-Code deaktivieren.


↑ Inhaltsverzeichnis ↑

Wechseln zu einem neuen Gerät

Wenn du zu einem neuen Gerät wechseln möchtest und die Zwei-Schritt-Authentifizierung aktiviert hast, musst du die folgenden Schritte durchführen, um dich nicht selbst aus deinem Benutzerkonto auszusperren.

Wenn du eine Authenticator-App zum Generieren von Verifizierungscodes nutzt:

  1. Folge diesen Schritten, um eine Liste von Backup-Codes für dein Benutzerkonto auszudrucken. DIESER SCHRITT DARF NICHT ÜBERSPRUNGEN WERDEN.
  2. Installiere auf deinem neuen Gerät die Authenticator-App.
  3. Deaktiviere die Verknüpfung der Zwei-Schritt-Authentifizierung mit deinem alten Gerät mit den folgenden Schritten.
  4. Verknüpfe mit den folgenden Schritten dein Benutzerkonto mit deinem neuen Gerät.
  5. Wenn du aufgefordert wirst, deinen Verifizierungscode einzugeben, nutze einen Code aus deiner Liste von Backup-Codes. Backup-Codes können nur einmal verwendet werden.
  6. Jetzt kannst du die Authenticator-App von deinem alten Gerät deinstallieren.

Wenn du die Mobil-App von WordPress.com zum Verwalten und Veröffentlichen auf deiner Website nutzt:

  1. Erstelle ein neues anwendungsspezifisches Passwort, indem du diese Schritte befolgst.
  2. Gib dein neues Anwendungspasswort ein, wenn du diese App auf deinem neuen Gerät nutzt.

Wenn du deine Authentifizierungscodes per SMS erhältst, musst du deine Einstellungen nur dann ändern, wenn du eine neue Telefonnummer nutzt. In diesem Fall solltest du mit den folgenden Schritten eine neue Telefonnummer zur Wiederherstellung einrichten, bevor du deine alte SMS-Nummer deaktivierst.


↑ Inhaltsverzeichnis ↑

Verlust des Geräts

Wenn du dein Gerät oder deinen Sicherheitsschlüssel verlierst, aus Versehen die Authenticator-App löschst oder aus einem anderen Grund keinen Kontozugriff hast, kannst du nur unter Verwendung eines Backup-Codes wieder auf dein Konto zugreifen.

Zum Verwenden eines Backup-Codes musst du ganz normal deine Anmeldedaten eingeben. Wenn der Anmeldecode abgefragt wird, gibst du stattdessen den Backup-Code ein. Denke daran: Jeder Backup-Code kann nur einmal verwendet werden – gehe also bei der Eingabe besonders sorgfältig vor.