Sicherheit5 Min. Lesezeit06. Juli 2026

2-Faktor-Authentifizierung in WordPress einrichten (2026)

Kurz gesagt

Zwei-Faktor-Authentifizierung (2FA) sichert den WordPress-Login mit einem zweiten Faktor zusätzlich zum Passwort – meist ein Zeitcode aus einer App. Selbst wenn das Passwort gestohlen wird, bleibt der Login gesperrt. Für Admin-Konten ist 2FA der wichtigste Basisschutz gegen Brute-Force und Credential-Stuffing.

Passwörter allein reichen für den WordPress-Login nicht mehr. Über geleakte Zugangsdaten und automatisierte Brute-Force-Angriffe wird genau die Admin-Anmeldung zum Einfallstor. Zwei-Faktor-Authentifizierung (2FA) schließt diese Lücke: Zum Passwort kommt ein zweiter, kurzlebiger Faktor. Dieser Beitrag zeigt, welche Methode taugt und wie du 2FA sauber einrichtest.

Was ist 2FA – und warum gerade beim Login?

2FA verlangt zwei unabhängige Nachweise: etwas, das du weißt (Passwort), und etwas, das du hast (Gerät mit Zeitcode). Wird das Passwort gestohlen, fehlt dem Angreifer weiterhin der zweite Faktor. Für ein CMS wie WordPress, dessen Login öffentlich erreichbar ist, ist das der wirksamste Einzelschutz überhaupt.

Welche 2FA-Methode ist die beste?

TOTP-Apps (Authy, Google Authenticator, Aegis) erzeugen alle 30 Sekunden einen Code – offline, kostenlos und phishing-resistenter als SMS. SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping. Passkeys / WebAuthn (Hardware-Key oder biometrisch) sind der sicherste Weg, aber noch nicht überall praktikabel. Für die meisten Seiten ist eine TOTP-App die richtige Wahl.

2FA in WordPress einrichten – Schritt für Schritt

Aktiviere 2FA über ein Sicherheits-Plugin, scanne den angezeigten QR-Code mit deiner Authenticator-App und bestätige den ersten Code. Wichtig: Backup-Codes speichern – sie sind der einzige Weg zurück, wenn das Telefon verloren geht. Rolle 2FA zuerst für alle Administrator- und Redakteurskonten aus.

Häufige Fehler

Die zwei größten Stolpersteine: Backup-Codes nicht sichern (Aussperr-Risiko) und 2FA nur für ein einziges Konto aktivieren, während andere Admins ungeschützt bleiben. Erzwinge 2FA rollenbasiert für alle privilegierten Konten – nicht optional.

Fazit

2FA ist kein Extra, sondern Basisschutz für jeden WordPress-Login. F12 Security bündelt 2FA mit Firewall, Login-Härtung und Echtzeit-Monitoring in einem in Deutschland entwickelten Plugin. Wie du den Login zusätzlich gegen Brute-Force absicherst, zeigt der Beitrag WordPress-Login absichern.