So fügen Sie dem WordPress-Anmeldebildschirm Sicherheitsfragen hinzu

Ein schwaches Passwort genügt, damit ein Hacker Ihre Website kapern kann. Ohne zusätzliche Sicherheit ist alles, was Sie aufgebaut haben, gefährdet.

Eine einfache Lösung? Sicherheitsfragen. Und die Einrichtung ist einfacher, als Sie vielleicht denken.

Ich habe verschiedene Authentifizierungsmethoden auf WordPress-Websites getestet und festgestellt, dass das Hinzufügen von Sicherheitsfragen eine einfache Möglichkeit ist, unbefugten Zugriff zu verhindern. 🔑

Indem Sie eindeutige Antworten verlangen, die nur Sie kennen, fügen Sie Ihrer Website eine Sicherheitsebene hinzu. Es macht es für Hacker viel schwieriger, Zugriff zu erhalten, selbst wenn sie Ihr Passwort stehlen.

In diesem Leitfaden zeige ich Ihnen, wie Sie Sicherheitsfragen zu Ihrem WordPress-Anmeldebildschirm hinzufügen. Sie müssen kein Technikexperte sein – folgen Sie einfach den Anweisungen, und Sie haben in wenigen Minuten eine zusätzliche Sicherheitsebene.

Warum Sicherheitsfragen in WordPress hinzufügen?

Ihre WordPress-Anmeldeseite ist wie die Haustür Ihrer Website. Ein Passwort ist ein gutes Schloss, aber das Hinzufügen von Sicherheitsfragen ist wie das Hinzufügen eines Riegels – es macht es für jemanden, der einbrechen will, deutlich schwieriger.

Sicherheitsfragen bieten eine zusätzliche Schutzebene für Ihren WordPress-Adminbereich und erschweren es Angreifern, sich einzuschleichen. Wenn diese Funktion aktiviert ist, müssen Benutzer eine oder mehrere persönliche Fragen beantworten, bevor sie sich anmelden können.

So können Sicherheitsfragen helfen:

• Eine zusätzliche Hürde für Hacker: Selbst wenn jemand Ihr Passwort errät, machen Sicherheitsfragen es ihm schwerer, sich anzumelden.
• Verhindert automatisierte Angriffe: Hacker verwenden oft Bots, um Passwörter zu erraten. Sicherheitsfragen erfordern jedoch persönliche Antworten, die Bots nicht leicht herausfinden können, wodurch automatisierte Angriffe weniger effektiv werden.
• Hilft bei der sichereren Wiederherstellung von Konten: Passwort vergessen? Anstatt auf eine Reset-E-Mail zu warten (die abgefangen werden kann), bieten Sicherheitsfragen eine schnelle und sichere Möglichkeit, wieder Zugriff zu erhalten.
• Schnelle und einfache Einrichtung: Sicherheitsfragen sind einfacher einzurichten als Zwei-Faktor-Authentifizierung (2FA), die eine App oder ein separates Gerät erfordert. Obwohl praktisch, bieten Sicherheitsfragen ein geringeres Schutzniveau als 2FA, was ich im Allgemeinen für maximale Sicherheit empfehle.

Obwohl hilfreich, sind Sicherheitsfragen nicht narrensicher. Clevere Hacker könnten versuchen, Ihre Antworten zu erraten oder Sie sogar dazu zu bringen, sie preiszugeben (dies nennt man „Social Engineering“).

Daher ist es wichtig, Fragen mit Antworten zu wählen, die nicht leicht zu erraten oder online öffentlich verfügbar sind.

Nichtsdestotrotz sehen wir uns an, wie Sie Ihrem WordPress-Anmeldebildschirm Sicherheitsfragen hinzufügen können. In diesem Tutorial zeige ich Ihnen zwei Methoden, die jeweils für einen anderen Website-Typ konzipiert sind.

Sie können die folgenden Links verwenden, um zu der Methode zu springen, die Sie bevorzugen:

• Methode 1: Hinzufügen einer einzelnen, website-weiten Sicherheitsfrage mit Code
• Methode 2: Jedem Benutzer erlauben, seine eigenen Sicherheitsfragen festzulegen
• Häufig gestellte Fragen zu Anmelde-Sicherheitsfragen
• Bonus-Anleitungen für die Sicherheit des Anmeldebildschirms

Methode 1: Hinzufügen einer einzelnen, website-weiten Sicherheitsfrage mit Code

Diese Methode ist ideal, wenn Sie der einzige Benutzer auf Ihrer Website sind und eine einzelne, fest codierte Sicherheitsfrage zu Ihrem Anmeldebildschirm hinzufügen möchten.

Es ist eine schnelle Möglichkeit, einen zusätzlichen Schutz für einen Blog mit einem Autor oder eine persönliche Website hinzuzufügen.

Ich habe gesehen, dass viele andere Websites diese Taktik neben der Zwei-Faktor-Authentifizierung und anderen Anmeldeschutzmaßnahmen verwenden, und sie hat für sie als weitere Hürde für potenzielle Eindringlinge sehr gut funktioniert.

Dazu müssen Sie benutzerdefinierten Code zu Ihrer functions.php-Datei hinzufügen. Dies kann etwas überwältigend sein, da der kleinste Fehler Ihre Website beschädigen kann. Deshalb empfehle ich WPCode, das beste Plugin für WordPress-Code-Snippets auf dem Markt.

Nach gründlichen Tests sind meine Teamkollegen und ich zu dem Schluss gekommen, dass dies der einfachste und sicherste Weg ist, benutzerdefinierten Code zu Ihrer Website hinzuzufügen. Weitere Informationen finden Sie in unserem vollständigen WPCode-Testbericht.

Wichtig: Dieser Code fügt eine Sicherheitsfrage für einen einzelnen Benutzer hinzu. Er eignet sich am besten für Blogs mit einem Autor. Wenn Sie mehrere Benutzer auf Ihrer Website haben (wie eine Mitgliedschaftsseite oder einen Online-Shop), empfehlen wir dringend die Verwendung von Methode 2.

Zuerst müssen Sie das WPCode-Plugin installieren und aktivieren. Schritt-für-Schritt-Anleitungen finden Sie in unserem Leitfaden zur Installation eines WordPress-Plugins.

Sobald Sie das Plugin aktiviert haben, besuchen Sie die Seite Code Snippets » + Snippet hinzufügen im WordPress-Dashboard.

Klicken Sie hier auf die Schaltfläche 'Snippet verwenden' unter der Option 'Benutzerdefinierten Code hinzufügen (Neues Snippet)'.

Dies führt Sie zu einem neuen Bildschirm, auf dem Sie Ihrem Code-Snippet einen Namen geben können.

Beachten Sie, dass dieser Name keinen Benutzern angezeigt wird. Er dient lediglich dazu, Ihnen die einfache Identifizierung des von Ihnen erstellten Code-Snippets zu erleichtern.

Wählen Sie als Nächstes im Popup 'PHP-Snippet' als 'Code-Typ'.

Fügen Sie nun den folgenden benutzerdefinierten Code in das Feld „Code-Vorschau“ ein:

add_action( 'login_form', function () {
	?>
	<p><label for="security_question">What is your favorite color?<br/>
			<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
	</p>
	<?php
} );

add_filter( 'wp_authenticate_user', function( $user, $password ) {
	$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
	if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
		return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
	}

	return $user;

}, 10, 2 );

Standardmäßig legt der benutzerdefinierte Code „Was ist deine Lieblingsfarbe?“ als Sicherheitsfrage fest.

Ich empfehle Ihnen jedoch dringend, dies in etwas zu ändern, das nicht leicht zu erraten ist. Am besten wählen Sie etwas Persönliches, das nur wenige Leute wissen.

Zum Beispiel sind einige gängige Sicherheitsfragen:

• 🐶 „Wie hieß Ihr erstes Haustier aus der Kindheit?“
• 🏡 „Wie hieß die erste Straße, in der Sie gewohnt haben?“
• 👩 „Wie lautet der Mädchenname Ihrer Mutter?“

Wählen Sie bei der Auswahl einer Frage eine aus, deren Antwort nicht öffentlich zugänglich ist. Vermeiden Sie Antworten, die auf Ihren Social-Media-Profilen oder in öffentlichen Aufzeichnungen zu finden wären.

Die besten Sicherheitsfragen sind persönlich und für Sie einprägsam, aber für andere nicht leicht zu erraten. Suchen Sie einfach diese Zeile im Code und ersetzen Sie sie durch Ihre gewünschte Frage.

<p><label for="security_question">What was the name of your first childhood pet?<br/>

Sobald Sie dies getan haben, scrollen Sie in diesem Code zu dieser Zeile:

if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer

Sie können die Antwort auf die Sicherheitsfrage jetzt von hier aus ändern.

Nachdem Sie Ihre Frage und Antwort noch einmal überprüft haben, schalten Sie einfach den Schalter 'Inaktiv' auf 'Aktiv'.

Klicken Sie abschließend auf die Schaltfläche „Snippet speichern“, um Ihre Einstellungen zu speichern.

Sie können nun Ihre WordPress-Anmeldeseite besuchen, um die Sicherheitsfrage anzuzeigen.

Methode 2: Jedem Benutzer erlauben, seine eigenen Sicherheitsfragen festzulegen

Diese Methode ist die sicherste und empfohlene Lösung für jede Website mit mehr als einem Benutzer. Dazu gehören Mitgliedschaftsseiten, Blogs mit mehreren Autoren, E-Commerce-Shops mit Kundenkonten oder jede Website, auf der sich verschiedene Personen anmelden müssen.

Im Gegensatz zur ersten Methode, die eine Frage für einen einzelnen Benutzer verwendet, ermöglicht dieser Ansatz jedem Einzelnen auf Ihrer Website, seine eigenen privaten Sicherheitsfragen festzulegen. Dies bietet eine wesentlich stärkere Schutzschicht für jedes Konto.

Ich habe gesehen, dass dies auf mehreren Websites, die kostenpflichtige Abonnements, Online-Kurse und private Communities anbieten, gut funktioniert.

MelaPress Login Security ermöglicht es Ihnen, Benutzer aufzufordern, Sicherheitsfragen zu beantworten, bevor sie sensible Aktionen ausführen, wie z. B. das Zurücksetzen eines Passworts oder die Reaktivierung eines deaktivierten Kontos.

Dies stellt sicher, dass nur der rechtmäßige Kontoinhaber diese Aktionen abschließen kann.

Zuerst müssen Sie das MelaPress Login Security Plugin installieren und aktivieren. Details finden Sie im Tutorial meines Teams zur Installation eines WordPress-Plugins.

Nachdem Sie das Plugin aktiviert haben, gehen Sie im WordPress-Admin-Dashboard zur Seite Login Security » Login Security Policies und aktivieren Sie die Option „Login-Sicherheitsrichtlinien aktivieren“.

Sobald Sie dies getan haben, werden neue Einstellungen auf dem Bildschirm angezeigt. Scrollen Sie von hier aus zum Abschnitt „Sicherheitsfragen“ und aktivieren Sie das Kontrollkästchen „Sicherheitsfragen aktivieren“.

Wählen Sie dann aus, ob Sie Sicherheitsfragen für die Einleitung einer Passwortzurücksetzung oder zur Aktivierung eines deaktivierten Kontos verlangen möchten. Sie können auch beide Optionen auswählen.

Wählen Sie nun die Anzahl der voreingestellten Sicherheitsfragen aus, die jeder Benutzer beantworten muss.

Klicken Sie danach auf den Link „Aktivieren“ neben den Sicherheitsfragen, die Ihre Benutzer beantworten sollen.

Wenn keine der Standardfragen geeignet ist, können Sie einfach auf die Schaltfläche 'Frage hinzufügen' klicken und Ihre bevorzugte Frage in das Feld eingeben.

Sie können auch die restlichen Sicherheitseinstellungen nach Ihren Wünschen konfigurieren.

Wenn Sie fertig sind, klicken Sie einfach auf die Schaltfläche „Änderungen speichern“, um Ihre Auswahl zu speichern.

Jetzt, da die Richtlinie für Sicherheitsfragen aktiviert wurde, erhalten Benutzer auf Ihrer Website eine Benachrichtigung auf ihrem Dashboard, in der sie aufgefordert werden, einige Sicherheitsfragen zu beantworten.

Sobald die Benutzer auf die Schaltfläche „Profilseite besuchen“ klicken, werden sie zu ihrer WordPress-Profilseite weitergeleitet.

Hier können sie die von Ihnen ausgewählten Fragen beantworten und auf die Schaltfläche „Änderungen speichern“ klicken.

Wenn ein Benutzer auf Ihrer Website versucht, sein Passwort zurückzusetzen oder ein deaktiviertes Konto zu aktivieren, muss er nun zuerst eine Sicherheitsfrage beantworten.

Hier ist eine Vorschau, wie es auf Ihrem Anmeldebildschirm aussehen wird.

Häufig gestellte Fragen zu Anmelde-Sicherheitsfragen

Hier sind einige Fragen, die unsere Leser häufig stellen, bevor sie Anmeldesicherheitsfragen auf ihren Websites hinzufügen:

Was passiert, wenn ich die Antwort auf meine Sicherheitsfrage vergesse?

Wenn Sie Ihre Antwort vergessen, müssen Sie die Notfallzugriffstools Ihres Hosts verwenden.

Sie können sich in Ihr WordPress-Hosting-Konto einloggen und den Dateimanager oder einen FTP-Client verwenden, um zum Ordner wp-content/plugins zu navigieren. Von dort aus können Sie das Sicherheitspaket deaktivieren (wie MelaPress oder WPCode), indem Sie seinen Ordner umbenennen.

Dies deaktiviert vorübergehend die Funktion für Sicherheitsfragen, sodass Sie sich mit Ihrem Passwort anmelden und Ihre Fragen zurücksetzen können.

Sind Sicherheitsfragen ein Ersatz für die Zwei-Faktor-Authentifizierung (2FA)?

Nein, das sind sie nicht. Sicherheitsfragen sind eine Form der wissensbasierten Sicherheit (etwas, das Sie wissen). Die Zwei-Faktor-Authentifizierung (2FA) ist stärker, da sie ein separates Gerät (etwas, das Sie haben), wie Ihr Telefon, erfordert.

Für maximale Sicherheit empfehle ich, 2FA als Ihre primäre Verteidigung zu verwenden und Sicherheitsfragen als hilfreiche sekundäre Ebene hinzuzufügen.

Kann ich Benutzer dazu verpflichten, mehr als eine Frage zu beantworten?

Das hängt von der von Ihnen verwendeten Methode ab. Der benutzerdefinierte Code-Snippet in Methode 1 ist für eine einzelne Frage und Antwort konzipiert.

Ein voll ausgestattetes Plugin wie MelaPress (Methode 2) enthält jedoch oft Einstellungen, die es Ihnen ermöglichen, Benutzer zu verpflichten, mehrere Fragen zu beantworten, bevor sie sich anmelden oder ihr Passwort zurücksetzen können.

Was passiert, wenn ein Benutzer auf meiner Multi-Author-Website seine Sicherheitsfragen nicht einrichtet?

In den meisten Fällen zeigt ein Plugin wie MelaPress eine dauerhafte Benachrichtigung im WordPress-Dashboard des Benutzers an, die ihn auffordert, seine Sicherheitsfragen einzurichten.

Es wird sie in der Regel nicht aus ihrem Konto aussperren, sondern sie weiterhin daran erinnern, bis die Sicherheitseinrichtung abgeschlossen ist.

Dies stellt sicher, dass bestehende Benutzer weiterhin auf ihre Konten zugreifen können, während sie gleichzeitig ermutigt werden, ihre Sicherheit zu verbessern.

Bonus-Anleitungen für die Sicherheit des Anmeldebildschirms

Ich hoffe, dieses Tutorial hat Ihnen geholfen zu lernen, wie Sie Ihrem WordPress-Login-Bildschirm Sicherheitsfragen hinzufügen. Möglicherweise möchten Sie auch einige Anleitungen zu anderen Möglichkeiten sehen, wie Sie Ihren Login-Bildschirm schützen können:

• CAPTCHA zum WordPress-Anmelde- und Registrierungsformular hinzufügen
• So fügen Sie die passwortlose Anmeldung in WordPress mit Magic Links hinzu
• Warum und wie Sie Anmeldeversuche in WordPress einschränken sollten
• So deaktivieren Sie Anmeldehinweise in WordPress-Fehlermeldungen bei der Anmeldung
• So fügen Sie soziale Anmeldungen zu WordPress hinzu (Der einfache Weg)
• Leitfaden für Anfänger zum Hinzufügen einer benutzerdefinierten Anmelde-URL in WordPress (Schritt für Schritt)

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.