När vi först lanserade vår blogg hade vi alltid säkerhet i åtanke. Vi visste att att bygga en framgångsrik webbplats innebar mer än bara bra innehåll. Det krävde en säker grund för att skydda vårt hårda arbete och våra läsare.
Men när vi märkte en stor ökning av inloggningsförsök insåg vi att vi behövde göra mer.
Med inspiration från stora webbplatser som Facebook och Google visste vi att tvåfaktorsautentisering (2FA) var lösningen vi behövde. Detta extra säkerhetslager gör det mycket svårare för hackare att få åtkomst.
Lyckligtvis fann vi att det var ganska enkelt att lägga till 2FA på vår webbplats. Det ökade vår webbplats säkerhet och gav oss sinnesro.
I den här artikeln visar vi dig steg för steg hur du lägger till tvåfaktorsautentisering (2FA) på din WordPress-webbplats. Med 2FA aktiverat krävs både ditt lösenord och en tidskänslig kod från en app på din telefon för att logga in.
Vi guidar dig genom två enkla metoder för att ställa in detta.
Varför lägga till tvåfaktorsautentisering i WordPress?
Ett av de vanligaste knepen som hackare använder kallas brute force-attacker. Under en av dessa attacker använder de automatiserade skript som försöker gissa rätt användarnamn och lösenord så att de kan logga in på din WordPress-webbplats.
För att ge dig en uppfattning om skalan, blockerar WordPress-säkerhetsleverantörer miljarder sådana automatiska gissningsförsök på lösenord varje månad.
En lyckad attack kan ge hackare tillgång till ditt administratörsområde, där de kan installera skadlig kod, stjäla användarinformation eller radera hela din webbplats.
Ett av de enklaste sätten att skydda din WordPress-webbplats mot stulna lösenord är att lägga till tvåfaktorsautentisering (2FA). Med den här inställningen måste du både ange ditt lösenord och en sekundär kod (från en app, e-post eller SMS) för att logga in på din webbplats.
På så sätt, även om någon lyckades stjäla ditt lösenord, skulle de fortfarande behöva säkerhetskoden från din telefon för att få åtkomst.
På så sätt, även om någon stal ditt lösenord, skulle de fortfarande behöva ange en säkerhetskod från din telefon för att få åtkomst.
Vad är en autentiseringsapp?
En autentiseringsapp är en smartphone-applikation som genererar tillfälliga säkerhetskoder för dina onlinekonton. Det är den säkraste och mest pålitliga metoden för att ställa in en 2-stegsinloggning i WordPress.
Appen och din webbplats använder en delad hemlig nyckel för att generera tidsberoende engångslösenord. Du kommer att använda dessa koder som det andra skyddslagret när du loggar in.
Det finns många utmärkta appar tillgängliga gratis. Här är några populära val:
- Google Authenticator: Ett mycket vanligt val, men det erbjuder inte molnbackup. Om du tappar bort din telefon kan du bli utelåst om du inte har sparat dina återställningskoder separat.
- Authy: Detta är vår topprekommendation för de flesta användare. Det är en gratis app som säkert sparar dina konton i molnet. På så sätt, om du tappar bort din telefon, kan du enkelt återställa åtkomsten på en ny enhet.
- 1Password och LastPass: Populära lösenordshanterare har ofta sina egna inbyggda autentiserare. Här på WPBeginner använder hela vårt team 1Password för att hålla våra inloggningar och 2FA-koder på ett säkert ställe.
För den här handledningen använder vi Authy i våra skärmdumpar. Du kan följa med en annan app, eftersom processen är mycket liknande för alla.
Med det sagt, låt oss titta på hur man lägger till 2FA i WordPress. Klicka helt enkelt på länkarna nedan för att hoppa till den metod du föredrar:
- Metod 1: Lägga till tvåfaktorsautentisering med WP 2FA
- Metod 2: Lägga till tvåfaktorsautentisering med Two-Factor
- Vanliga frågor om tvåfaktorsautentisering (2FA) i WordPress
- Experthandledningar för att skydda WordPress-inloggning
Nu ska vi titta på hur du enkelt lägger till tvåfaktorsverifiering till din WordPress-inloggningsskärm gratis.
Metod 1: Lägga till tvåfaktorsautentisering med WP 2FA
Den här metoden är enkel och rekommenderas för alla användare. Den är flexibel och låter dig tvinga fram tvåfaktorsautentisering för alla användare.
Först måste du installera och aktivera pluginet WP 2FA – Two-factor Authentication. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Vid aktivering startar WPA 2FA-installationsguiden automatiskt. Annars kan du besöka sidan Användare » Din profil och skrolla ner till avsnittet ‘WP 2FA-inställningar’.
Att klicka på knappen ‘Konfigurera tvåfaktorsautentisering (2FA)’ startar installationsguiden.
WP 2FA-installationsguiden
Klicka helt enkelt på knappen "Låt oss börja!" för att börja konfigurera plugin-programmet.
På nästa sida kommer du att bli ombedd att välja en autentiseringsmetod.
Det finns två alternativ:
- Engångskod genererad med din valda 2FA-app (rekommenderas)
- Engångskod skickad till dig via e-post
Vi rekommenderar att du väljer autentisering via 2FA-appen (TOTP)-metoden, eftersom den är säkrare och mer pålitlig.
När du har gjort ditt val kan du klicka på knappen ‘Fortsätt installation’ för att gå till nästa sida i installationsguiden.
Du kommer att bli tillfrågad vilka alternativa 2FA-metoder du vill att dina användare ska använda om den primära 2FA-metoden misslyckas, till exempel om de tappar bort sin telefon.
På gratisplanen kommer endast metoden med backup-kod att vara tillgänglig. Om du vill ha fler alternativa 2FA-metoder måste du uppgradera till WP 2FA Premium.
Klicka bara på knappen ‘Fortsätt installation’ för att gå till nästa sida.
På den här sidan kan du göra tvåfaktorsinloggning obligatorisk för vissa eller alla användare. Vi rekommenderar detta, särskilt om du driver en WordPress-webbplats med flera användare, som en medlemskapswebbplats.
Om du vill tvinga 2FA för alla användare på din webbplats, välj helt enkelt alternativet ‘Alla användare’ och klicka på ‘Fortsätt installation’.
Nu kommer alla dina användare att krävas att använda 2FA.
Det kan dock finnas vissa användare på din webbplats som du inte vill tvinga att använda 2FA. Nästa sida låter dig skriva in användarnamnen eller användarroller för dessa teammedlemmar.
När du har gjort det kommer ett klick på knappen ‘Fortsätt installation’ att ta dig till en sida där du kan bestämma hur snart dina användare behöver börja använda 2FA.
Du kan kräva att de börjar direkt, eller så kan du ge dem en respitperiod på, säg, 3 dagar, så att de har tid att ställa in saker. Klicka bara på det alternativ du vill använda på din webbplats.
Om du vill ge en respitperiod kan du välja hur många timmar eller dagar det ska vara. Standardinställningen på 3 dagar fungerar bra för de flesta webbplatser.
Det finns också alternativ för vad som händer efter att nådperioden har löpt ut om vissa användare inte har konfigurerat 2FA. Du kan antingen släppa in dem men inte låta dem komma åt instrumentpanelen eller blockera dem från att kunna logga in alls. För de flesta webbplatser kommer det första alternativet att vara bäst.
När du har gjort ditt val kan du klicka på ‘Allt klart’ för att avsluta installationsguiden. Grattis, du har konfigurerat tvåfaktorsautentisering på din webbplats!
Du kommer att se skärmen "Setup Finish" med ett gratulationsmeddelande. Du kommer också att se en knapp som låter dig ställa in 2FA för ditt eget användarkonto. Du bör klicka på knappen "Konfigurera 2FA nu".
Konfigurera tvåfaktorsautentisering för ditt eget användarkonto
En ny installationsguide startar för att hjälpa dig att ställa in tvåfaktorsautentisering för ditt eget användarkonto. Andra användare på din webbplats kommer att uppmanas att göra detsamma.
Det första du behöver bestämma är vilken 2FA-metod du vill använda. Du bör se alternativet för en engångskod via en autentiseringsapp. Du kan också se andra alternativ beroende på de val du gjorde under installationsguiden.
Välj helt enkelt alternativet ‘Engångskod via 2FA-app’ och klicka sedan på knappen ‘Nästa steg’.
Pluginet kommer nu att visa dig en QR-kod och en textkod.
Du måste skanna QR-koden med en autentiseringsapp. Alternativt kan du skriva in textkoden i appen manuellt.
Nu måste du plocka upp din mobila enhet och öppna din föredragna autentiseringsapp. Skärmbilderna nedan använder Authy, men andra appar fungerar på ett liknande sätt.
Klicka först på knappen ‘+’ eller ‘Lägg till konto’ i din autentiseringsapp.
Appen kommer sedan att be om tillåtelse att komma åt kameran på din telefon.
Du måste tillåta den här behörigheten och sedan trycka på knappen 'Skanna QR-kod' så att du kan skanna QR-koden som visas på pluginens inställningssida på din dator.
När appen känner igen QR-koden börjar den automatiskt att spara kontot.
Därefter kan du redigera standardlogotypen och smeknamnet för kontot. När du är redo bör du trycka på knappen 'Spara'.
Autentiseringsappen kommer nu att spara ditt webbplatskonto.
Därefter kommer den att börja visa ett engångslösenord. Du måste ange detta i plugininställningarna på din dator.
Nu måste du byta tillbaka till din dator.
I plugin-programmets installationsguide, klicka på knappen "Jag är redo" för att fortsätta.
Plugin kommer nu att be dig att verifiera ditt engångslösenord.
Skriv bara in koden från din mobilapp i fältet ‘Autentiseringskod’ innan den går ut.
Därefter bör du klicka på knappen "Verifiera & Spara" för att slutföra installationen.
Därefter får du möjlighet att generera och spara en lista med backupkoder. Dessa koder kan användas om du inte har tillgång till din telefon.
Du bör klicka på knappen 'Generera lista med backupkoder'.
Säkerhetskopieringskoderna kommer att genereras och visas.
Du kan ladda ner dessa säkerhetskopieringskoder till en säker plats på din dator, skriva ut dem och lägga dem någonstans säkert, eller skicka dem till dig själv via e-post. Se till att du förvarar dem någonstans där du kan komma åt dem om du inte har din telefon.
Därefter kan du klicka på knappen ‘Jag är redo, stäng guiden’ för att avsluta installationsguiden.
Använda tvåfaktorsautentisering vid inloggning
Nästa gång dina användare loggar in kommer de att se en avisering om att de behöver ställa in tvåfaktorsautentisering, tillsammans med slutdatumet i slutet av respitperioden.
De kan klicka på en knapp för att konfigurera 2FA nu eller välja att bli påminda vid nästa inloggning.
När de klickar på knappen 'Konfigurera 2FA nu' kommer de att guidas genom samma steg som när du ställer in 2FA för ditt eget användarkonto i föregående avsnitt.
När de loggar in efter att ha konfigurerat tvåfaktorsautentisering kommer de att se WordPress-inloggningsskärmen som vanligt. Men när de anger sitt användarnamn och lösenord kommer en andra skärm att visas, som ber om koden från deras autentiseringsapp.
De kommer att behöva ange koden från appen på sin telefon innan de kan loggas in. Alternativt kan de ange en backup-kod om de inte har sin telefon med sig.
Detta gör din webbplats säkrare. Om en hackare får reda på användarnamnet och lösenordet för en av dina användare, kommer de inte att kunna logga in om de inte också har tillgång till deras telefon.
Tips: Om din WordPress-webbplats använder en anpassad inloggningsformulärsida, kan du också skapa en anpassad sida där användare kan hantera sina tvåfaktorsautentiseringsinställningar utan att komma åt WordPress-administratörsområdet.
Metod 2: Lägga till tvåfaktorsautentisering med Two-Factor
Den här metoden är mindre flexibel eftersom den inte tillåter dig att tvinga fram tvåfaktorsinloggningar för alla användare. Varje användare måste ställa in det själva och kan inaktivera det från sin profil. Det är dock en snabb och enkel metod om du bara vill ställa in 2FA för ditt eget konto.
Först måste du installera och aktivera pluginet Two-Factor. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Efter aktivering måste du besöka sidan Användare » Profil och rulla ner till avsnittet ‘Tvåfaktorsalternativ’.
Härifrån måste du välja ett alternativ för tvåfaktorsinloggning. Pluginet låter dig använda e-post, en autentiseringsapp och metoderna för FIDO U2F-säkerhetsnycklar.
Vi rekommenderar att du använder metoden med autentiseringsapp. Skanna helt enkelt QR-koden på skärmen med en autentiseringsapp som Google Authenticator, Authy eller LastPass Authenticator.
När du har skannat QR-koden kommer appen att visa dig en verifieringskod som du behöver ange i plugin-alternativen och klicka på knappen 'Skicka'.
Pluginet kommer nu att ställa in hemlig nyckel. Du kan återställa den här nyckeln när som helst från inställningssidan för att skanna QR-koden igen.
Glöm inte att klicka på knappen ‘Uppdatera profil’ längst ner på sidan för att spara dina inställningar.
Nu varje gång du loggar in på din WordPress-webbplats kommer du att bli ombedd att ange autentiseringskoden som genereras av appen på din telefon.
Vanliga frågor om tvåfaktorsautentisering (2FA) i WordPress
Här är några svar på några av de vanligaste frågorna om att använda tvåstegsinloggning i WordPress.
Hur loggar jag in med 2FA om jag inte har tillgång till min telefon?
Om du inte har din telefon har du flera sätt att komma åt ditt konto, förutsatt att du har förberett i förväg.
- Använd en molnbakad app: Om du använder en autentiseringsapp med molnbackup som Authy, kan du installera appen på en annan enhet (som din bärbara dator eller en ny telefon). Logga helt enkelt in på ditt Authy-konto för att komma åt dina 2FA-koder.
- Använd backup-koder: När du ställer in 2FA, tillhandahåller pluginet en lista med engångsbackup-koder. Du kan använda en av dessa koder istället för den app-genererade koden för att logga in.
Hur loggar jag in utan koder från min authenticator-app?
Om du inte har tillgång till din telefon, en annan enhet med dina koder eller dina säkerhetskopieringskoder, är det enda sättet att logga in att inaktivera 2FA-pluginet.
Du kan följa vår guide om hur man inaktiverar alla WordPress-plugins när du är utelåst från adminområdet. Detta kommer att inaktivera 2FA-kravet, och du kommer att kunna logga in. Väl inne kan du återaktivera dina plugins och återställa 2FA-inställningen.
Behöver jag lösenordsskydda WordPress admin-mappen?
Webbplatssäkerhet fungerar bäst när du använder flera skyddslager, med början med grunderna som säker WordPress-hosting. Medan 2FA säkrar din inloggningssida kan du göra din webbplats ännu säkrare genom att lösenordsskydda din WordPress-administratörskatalog.
Detta innebär att användare måste ange ett separat lösenord bara för att komma åt din inloggningssida, vilket lägger till ytterligare en stark barriär mot attacker.
Experthandledningar för att skydda WordPress-inloggning
Nu när du vet hur du lägger till 2-faktorsverifiering i WordPress, kanske du vill se några andra artiklar som rör hur du gör WordPress-inloggningen säkrare.
- Hur och varför du bör begränsa inloggningsförsök i WordPress
- Hur man lägger till en anpassad inloggnings-URL i WordPress (steg för steg)
- Hur man lägger till CAPTCHA i WordPress inloggnings- och registreringsformulär
- Hur man lägger till säkerhetsfrågor på WordPress inloggningsskärm
- Hur man inaktiverar inloggningsledtrådar i WordPress-inloggningsfelmeddelanden
- Hur lösenordsskyddar du din WordPress-admin (wp-admin) katalog
- Hur du begränsar åtkomst via IP till din wp-login.php-fil i WordPress
- Hur man lägger till lösenordsfri inloggning i WordPress med magiska länkar
- Hur du skyddar din WordPress-webbplats från brute force-attacker
Vi hoppas att den här artikeln hjälpte dig att lägga till 2-faktorsverifiering för WordPress-inloggning. Du kanske också vill se vår guide om hur du får ett gratis SSL-certifikat för din WordPress-webbplats eller vårt experttips om de bästa WordPress-säkerhetsplugins.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Olaf
I WordPress är säkerhet absolut avgörande. Varje ytterligare säkerhetslager är utmärkt, särskilt mot brute force-attacker. Jag anser att tvåfaktorsautentisering är ett mycket starkt och nyckelelement i den ogenomträngliga barriären mellan WordPress-administratörsområdet och hackare. Jag har pluginet WP 2FA – Two-factor Authentication aktivt på flera webbplatser och jag gillar verkligen att använda det eftersom det är helt pålitligt och integrationsprocessen i webbplatsen inte är alltför komplicerad. Det är ett utmärkt val för säkerhet.
Dayo Olobayo
Jag håller helt med om vikten av tvåfaktorsautentisering, men jag tycker också att vi bör överväga implikationerna för användarupplevelsen. Vissa 2FA-metoder kan vara besvärliga och leda till friktion, så det är viktigt att hitta en balans mellan säkerhet och användbarhet.
Mrteesurez
Hjälpsam artikel för att säkra webbplatsen med 2FA, jag visste inte hur viktig 2FA var innan och med den här guiden kommer jag att lägga till det på min webbplats. Men min fråga är, om jag tvingar 2FA på alla mina användare, hur ofta kommer de att bli ombedda att använda det vid inloggning, är det bara första gången eller vad?
WPBeginner Support
De skulle bli ombedda att ange 2FA varje gång de försöker logga in på din webbplats.
Admin
Jiří Vaněk
Jag ville följa upp frågan. Med många tjänster är jag van vid att ha alternativet att “komma ihåg enheten” för 2FA. Det innebär att 2FA bara anges en gång, och sedan finns det ett alternativ att komma ihåg min enhet, så jag behöver inte ange 2FA upprepade gånger på samma maskin. Är det möjligt att ställa in detta, eller tvingas 2FA alltid? Min oro gäller också användarkomforten på en webbplats som kommer att ha ett registreringsformulär.
WPBeginner Support
Pluginet har inte den funktionen för tillfället, du bör kontakta pluginets författare för att begära den funktionen.
Felix
Molnsynkroniseringsfunktionen är nu tillgänglig i Google Authenticator. Så du kommer inte att förlora dina konton även om telefonen tappas bort. Personligen använder jag Google Authenticator eftersom det är bekvämare för mig som Google-användare.
Dayo Olobayo
Det är en utmärkt poäng! Molnsynkronisering i Google Authenticator är en räddare i nöden. Du behöver inte längre oroa dig för att förlora åtkomsten till konton om din telefon försvinner. Dessutom gör användningen med ditt Google-konto saker och ting ännu enklare.
Moinuddin Waheed
tvåfaktorsautentisering är ett måste för säkerheten på webbplatser.
Jag använde det efter att ha lärt mig en fruktansvärd läxa från ett delat webbhotellskonto. Min webbplats blev korrupt och fungerade inte, och jag hade ingen aning om vad jag skulle göra.
När jag gjorde en ny installation var det första jag gjorde att aktivera tvåfaktorsautentisering.
Det kan ibland verka som en extra sak att göra vid inloggning, men det sparar dig från en stor huvudvärk som kan uppstå om kontot komprometteras.
Jag vill veta hur hackare eller brute force-angripare riktar sig mot en webbplats?
Har de en databas med webbplatser som stulits från webbhotell eller gör de det bara slumpmässigt?
WPBeginner Support
Det finns olika sätt som webbplatser riktas mot, men i slutändan är det slumpmässigt.
Admin
Jiří Vaněk
Jag använder tvåfaktorsautentisering för administration integrerad i Wordfence-pluginet, som även fungerar för övergripande webbplatsskydd. Dessutom skulle jag rekommendera att ändra URL-adressen från wp-admin till något anpassat för ökad säkerhet.
WPBeginner Support
Även om det kan göras, skulle vi avråda från det. Om du ändrar wp-admin-URL:en kan det orsaka konflikter med vissa plugins och göra felsökning av webbplatsen svårare.
Admin
Jiří Vaněk
Okej, tack för rådet. Jag har ändrat URL:en på många webbplatser och hittills har jag aldrig haft några problem med det. Det kan också bero på att jag använder en mycket liknande, betrodd serie plugins på många av dessa webbplatser som jag är bekant med. Tack ändå för varningen.
J P Welch
Jag skulle vilja använda 2FA på en länk till flera sidor med data, men inte hela webbplatsen. Är det möjligt?
WPBeginner Support
Även om det är möjligt, har vi för närvarande ingen rekommenderad plugin för att uppnå det, vi kommer definitivt att hålla ögonen öppna!
Admin
Skye
Vad händer om du migrerar din webbplats till en annan domän – kommer din 2FA att vara kopplad till den gamla domänen? Skulle du behöva inaktivera den innan du migrerar din webbplats till den nya värden och domänen?
Bikash Rai
Hur man tar bort tvåfaktorsautentisering som jag får varje gång jag loggar in. Jag vill helt enkelt bli av med den här saken.
Tack på förhand!
WPBeginner Support
Det skulle bero på vilken metod du använde för att ställa in det. Om du använde pluginet skulle du ta bort pluginet för att ta bort tvåfaktorsautentiseringen. Om du inte kan ta bort det, och du kontaktar din hosting-leverantör, bör de kunna hjälpa till.
Admin
MuZa
Hej, uppdatera gärna det här inlägget. Det här pluginet är för gammalt och har inte testats på tre stora uppdateringar av WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Admin
Lisa Smith
Fann detta vara riktigt hjälpsamt relaterat till tvåfaktorsautentisering, men FYI – Two Factor SMS-pluginet har inte uppdaterats på flera WP-versioner.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Admin
Harman
Du kan helt enkelt göra det via wordpress.com.
Anna Walton
Jag har precis följt dina exakta instruktioner för att ställa in 2FA med Twilio. Jag loggade ut efter att ha avslutat installationen enligt artikeln, och nu kommer jag inte in på min sajt igen! Jag får koden från Twilio, men det står att det är ett fel! Tyvärr hade jag ännu inte ställt in 2FA med autentiseringsappen, eftersom jag följde stegen i artikeln, vilket var att logga ut först för att se det fungera. Kan du ge råd tack? Jag har kontrollerat din artikel https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, men den verkar inte täcka hur man blir utelåst på grund av 2FA-fel. Jag använder din sajt mycket och tycker att din vägledning är utmärkt! Snälla hjälp till med detta!!
WPBeginner Support
Hej Anna,
Du kan manuellt ta bort pluginet med FTP. Anslut till din webbplats och gå till mappen /wp-content/plugins/ och ta sedan bort mapparna two-factor och two-factor-sms. Du kan alltid installera om pluginen efter inloggning.
Admin
Patrick Bartkus
FreeOTP är ett Open Source-alternativ till Google Authenticator. Det kontrolleras inte av Google och underhålls av Red Hat under Apache 2.0-licensen. Det är tillgängligt för iOS och Android. Det fungerar även på Google-webbplatser.