So fügen Sie dem WordPress-Anmeldebildschirm Sicherheitsfragen hinzu

Ein schwaches Passwort genügt, damit ein Hacker Ihre Website kapern kann. Ohne zusätzliche Sicherheit ist alles, was Sie aufgebaut haben, gefährdet.

Eine einfache Lösung? Sicherheitsfragen. Und die Einrichtung ist einfacher, als Sie vielleicht denken.

Ich habe verschiedene Authentifizierungsmethoden auf WordPress-Websites getestet und festgestellt, dass das Hinzufügen von Sicherheitsfragen eine einfache Möglichkeit ist, unbefugten Zugriff zu verhindern. 🔑

Indem Sie eindeutige Antworten verlangen, die nur Sie kennen, fügen Sie Ihrer Website eine Sicherheitsebene hinzu. Es macht es für Hacker viel schwieriger, Zugriff zu erhalten, selbst wenn sie Ihr Passwort stehlen.

In diesem Leitfaden zeige ich Ihnen, wie Sie Sicherheitsfragen zu Ihrem WordPress-Anmeldebildschirm hinzufügen. Sie müssen kein Technikexperte sein – folgen Sie einfach den Anweisungen, und Sie haben in wenigen Minuten eine zusätzliche Sicherheitsebene.

Warum Sicherheitsfragen in WordPress hinzufügen?

Sicherheitsfragen bieten eine zusätzliche Schutzschicht für Ihren WordPress Admin-Bereich und erschweren Angreifern den Zutritt.

Wenn diese Funktion aktiviert ist, müssen Benutzer eine oder mehrere persönliche Fragen beantworten, bevor sie sich anmelden können.

So können Sicherheitsfragen helfen:

• Eine zusätzliche Hürde für Hacker: Selbst wenn jemand Ihr Passwort errät, machen Sicherheitsfragen es ihm schwerer, einzudringen.
• Fügt eine zusätzliche Anmeldebarriere hinzu: Sicherheitsfragen erschweren Angreifern den Zugriff auf Ihre Website, insbesondere in Kombination mit starken Passwörtern und Anmeldelimits. (Dies ist effektiver in Multi-User-Setups, bei denen jeder Benutzer seine eigenen Antworten festlegt.)
• Unterstützt die Kontowiederherstellung (nur in Plugin-basierten Setups): In Tools wie MelaPress können Sicherheitsfragen während der Passwortzurücksetzung oder Kontowiederherstellung verwendet werden, um die Identität zu überprüfen, bevor der Zugriff gewährt wird.
• Schnelle und einfache Einrichtung: Sicherheitsfragen sind einfacher einzurichten als Zwei-Faktor-Authentifizierung (2FA), die eine App oder ein separates Gerät erfordert. Obwohl praktisch, bieten Sicherheitsfragen ein geringeres Schutzniveau als 2FA, was ich generell für maximale Sicherheit empfehle.

Obwohl hilfreich, sind Sicherheitsfragen nicht narrensicher. Clevere Hacker könnten versuchen, Ihre Antworten zu erraten oder Sie sogar dazu zu bringen, sie preiszugeben (dies nennt man „Social Engineering“).

Daher ist es wichtig, Fragen mit Antworten zu wählen, die nicht leicht zu erraten oder online öffentlich verfügbar sind.

Nichtsdestotrotz sehen wir uns an, wie Sie Ihrem WordPress-Anmeldebildschirm Sicherheitsfragen hinzufügen können. In diesem Tutorial zeige ich Ihnen zwei Methoden, die jeweils für einen anderen Website-Typ konzipiert sind.

Sie können die folgenden Links verwenden, um zu der Methode zu springen, die Sie bevorzugen:

Methode 1: Hinzufügen einer einzelnen, website-weiten Sicherheitsfrage mit Code

Diese Methode ist ideal, wenn Sie der einzige Benutzer auf Ihrer Website sind und eine einzelne, fest codierte Sicherheitsfrage zu Ihrem Anmeldebildschirm hinzufügen möchten.

Es ist eine schnelle Möglichkeit, einen zusätzlichen Schutz für einen Blog mit einem Autor oder eine persönliche Website hinzuzufügen.

Ich habe gesehen, dass viele andere Websites diese Taktik neben der Zwei-Faktor-Authentifizierung und anderen Anmeldeschutzmaßnahmen verwenden, und sie hat für sie als weitere Hürde für potenzielle Eindringlinge sehr gut funktioniert.

Dazu müssen Sie benutzerdefinierten Code zu Ihrer functions.php-Datei hinzufügen. Dies kann etwas überwältigend sein, da der kleinste Fehler Ihre Website lahmlegen kann.

Deshalb empfehle ich WPCode, dem über 1 Million Websites vertrauen und der auf WordPress.org durchweg mit 4,9 von 5 Sternen bewertet wird.

Nach gründlichen Tests sind meine Teamkollegen und ich zu dem Schluss gekommen, dass dies der einfachste und sicherste Weg ist, benutzerdefinierten Code zu Ihrer Website hinzuzufügen. Es ist unsere Top-Wahl für Anfänger und Profis gleichermaßen.

Um mehr zu erfahren, lesen Sie unsere vollständige WPCode-Bewertung.

📍Wichtig: Dieser Code fügt eine Sicherheitsfrage und eine einzige, feste Antwort hinzu, die für jeden gilt, der versucht, sich auf Ihrer Website anzumelden. Er eignet sich am besten für Blogs mit einem Autor oder persönliche Websites, auf denen nur Sie sich anmelden. Wenn Sie mehrere Benutzer auf Ihrer Website haben (wie eine Mitgliedschaftsseite oder einen Online-Shop), empfehle ich dringend Methode 2.

Schritt 1: WPCode installieren und aktivieren

Zuerst müssen Sie das WPCode-Plugin installieren und aktivieren. Schritt-für-Schritt-Anleitungen finden Sie in unserem Leitfaden zur Installation eines WordPress-Plugins.

Schritt 2: Neues benutzerdefiniertes Snippet hinzufügen

Sobald Sie das Plugin aktiviert haben, besuchen Sie die Seite Code Snippets » + Snippet hinzufügen im WordPress-Dashboard.

Klicken Sie hier auf die Schaltfläche 'Snippet verwenden' unter der Option 'Benutzerdefinierten Code hinzufügen (Neues Snippet)'.

Dies führt Sie zu einem neuen Bildschirm, auf dem Sie Ihrem Code-Snippet einen Namen geben können.

Beachten Sie, dass dieser Name keinen Benutzern angezeigt wird. Er dient lediglich dazu, Ihnen die einfache Identifizierung des von Ihnen erstellten Code-Snippets zu erleichtern.

Wählen Sie als Nächstes im Popup 'PHP-Snippet' als 'Code-Typ'.

Schritt 3: Fügen Sie den Code für die Sicherheitsfrage hinzu

Fügen Sie nun den folgenden benutzerdefinierten Code in das Feld „Code-Vorschau“ ein:

add_action( 'login_form', function () {
	?>
	<p><label for="security_question">What is your favorite color?<br/>
			<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
	</p>
	<?php
} );

add_filter( 'wp_authenticate_user', function( $user, $password ) {
	$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
	if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
		return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
	}

	return $user;

}, 10, 2 );

Standardmäßig legt der benutzerdefinierte Code „Was ist deine Lieblingsfarbe?“ als Sicherheitsfrage fest.

Ich empfehle Ihnen jedoch dringend, dies in etwas zu ändern, das nicht leicht zu erraten ist. Am besten wählen Sie etwas Persönliches, das nur wenige Leute wissen.

Zum Beispiel sind einige gängige Sicherheitsfragen:

• 🐶 „Wie hieß Ihr erstes Haustier aus der Kindheit?“
• 🏡 „Wie hieß die erste Straße, in der Sie gewohnt haben?“
• 👩 „Wie lautet der Mädchenname Ihrer Mutter?“

Wählen Sie bei der Auswahl einer Frage eine aus, deren Antwort nicht öffentlich zugänglich ist. Vermeiden Sie Antworten, die auf Ihren Social-Media-Profilen oder in öffentlichen Aufzeichnungen zu finden wären.

Die besten Sicherheitsfragen sind persönlich und für Sie einprägsam, aber für andere nicht leicht zu erraten. Suchen Sie einfach diese Zeile im Code und ersetzen Sie sie durch Ihre gewünschte Frage.

Denken Sie daran, nur den Fragetext zu ändern, nicht die umgebenden HTML-Tags oder überflüssige Zeilen:

<p><label for="security_question">What was the name of your first childhood pet?<br/>

Schritt 4: Legen Sie Ihre Sicherheitsantwort fest

Wenn Sie die Standardfrage zuvor geändert haben (z. B. zu „Wie war der Name Ihres ersten Kindheitstierchens?“), sollten Sie auch die Antwort aktualisieren, um Ihre neue Frage anzupassen.

Der ursprüngliche Code verwendet „blue“ als Antwort. Sie müssen also die folgende Zeile im Code finden:

if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer

Wenn dann der Name Ihres Haustieres „spike“ war, würden Sie ihn wie folgt ändern:

if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer

📍Hinweis: Die Funktion strtolower() bedeutet, dass die Antwort nicht zwischen Groß- und Kleinschreibung unterscheidet. Daher werden „Spike“, „SPIKE“ und „spike“ alle akzeptiert.

Schritt 5: Snippet aktivieren und speichern

Nachdem Sie Ihre Frage und Antwort noch einmal überprüft haben, schalten Sie einfach den Schalter 'Inaktiv' auf 'Aktiv'.

Klicken Sie abschließend auf die Schaltfläche „Snippet speichern“, um Ihre Einstellungen zu speichern.

Sie können nun Ihre WordPress-Anmeldeseite besuchen, um die Sicherheitsfrage anzuzeigen.

Methode 2: Jedem Benutzer erlauben, seine eigenen Sicherheitsfragen festzulegen

Diese Methode ist die sicherste und empfohlene Lösung für jede Website mit mehr als einem Benutzer. Dazu gehören Mitgliedschaftsseiten, Blogs mit mehreren Autoren, E-Commerce-Shops mit Kundenkonten oder jede Website, auf der sich verschiedene Personen anmelden müssen.

Im Gegensatz zur ersten Methode, die eine Frage für einen einzelnen Benutzer verwendet, ermöglicht dieser Ansatz jedem Einzelnen auf Ihrer Website, seine eigenen privaten Sicherheitsfragen festzulegen. Dies bietet eine wesentlich stärkere Schutzschicht für jedes Konto.

Ich habe gesehen, dass dies auf mehreren Websites, die kostenpflichtige Abonnements, Online-Kurse und private Communities anbieten, gut funktioniert.

MelaPress Login Security ermöglicht es Ihnen, Benutzer aufzufordern, Sicherheitsfragen zu beantworten, bevor sie sensible Aktionen ausführen, wie z. B. das Zurücksetzen eines Passworts oder die Reaktivierung eines deaktivierten Kontos.

Dies stellt sicher, dass nur der rechtmäßige Kontoinhaber diese Aktionen abschließen kann.

Schritt 1: Installieren und aktivieren Sie MelaPress

Zuerst müssen Sie das Plugin MelaPress Login Security installieren und aktivieren. Details finden Sie im Tutorial meines Teams zur Installation eines WordPress-Plugins.

Schritt 2: Aktivieren Sie Anmeldesicherheitsrichtlinien

Nachdem Sie das Plugin aktiviert haben, gehen Sie im WordPress-Admin-Dashboard zur Seite Login Security » Login Security Policies und aktivieren Sie die Option „Login-Sicherheitsrichtlinien aktivieren“.

Schritt 3: Aktivieren Sie Sicherheitsfragen und Richtlinien

Sobald Sie dies getan haben, werden neue Einstellungen auf dem Bildschirm angezeigt. Scrollen Sie von hier aus zum Abschnitt „Sicherheitsfragen“ und aktivieren Sie das Kontrollkästchen „Sicherheitsfragen aktivieren“.

Wählen Sie dann aus, ob Sie Sicherheitsfragen für die Einleitung einer Passwortzurücksetzung oder zur Aktivierung eines deaktivierten Kontos verlangen möchten. Sie können auch beide Optionen auswählen.

Wählen Sie nun die Anzahl der voreingestellten Sicherheitsfragen aus, die jeder Benutzer beantworten muss.

Schritt 4: Konfigurieren Sie Sicherheitsfragen

Klicken Sie danach auf den Link „Aktivieren“ neben den Sicherheitsfragen, die Ihre Benutzer beantworten sollen.

Wenn keine der Standardfragen geeignet ist, können Sie einfach auf die Schaltfläche 'Frage hinzufügen' klicken und Ihre bevorzugte Frage in das Feld eingeben.

Sie können auch die restlichen Sicherheitseinstellungen nach Ihren Wünschen konfigurieren.

Wenn Sie fertig sind, klicken Sie einfach auf die Schaltfläche „Änderungen speichern“, um Ihre Auswahl zu speichern.

Schritt 5: Benutzer legen ihre eigenen Antworten fest

Jetzt, da die Richtlinie für Sicherheitsfragen aktiviert wurde, erhalten Benutzer auf Ihrer Website eine Benachrichtigung auf ihrem Dashboard, in der sie aufgefordert werden, einige Sicherheitsfragen zu beantworten.

Sobald die Benutzer auf die Schaltfläche „Profilseite besuchen“ klicken, werden sie zu ihrer WordPress-Profilseite weitergeleitet.

Hier können sie die von Ihnen ausgewählten Fragen beantworten und auf die Schaltfläche „Änderungen speichern“ klicken.

Schritt 6: Überprüfen Sie den Ablauf der Sicherheitsfragen

Wenn ein Benutzer auf Ihrer Website versucht, sein Passwort zurückzusetzen oder ein deaktiviertes Konto zu aktivieren, muss er nun zuerst eine Sicherheitsfrage beantworten.

Hier ist eine Vorschau, wie es auf Ihrem Anmeldebildschirm aussehen wird.

Häufig gestellte Fragen zu Anmelde-Sicherheitsfragen

Hier sind einige Fragen, die unsere Leser häufig stellen, bevor sie Anmeldesicherheitsfragen auf ihren Websites hinzufügen:

Was passiert, wenn ich die Antwort auf meine Sicherheitsfrage vergesse?

Wenn Sie Ihre Antwort vergessen, müssen Sie die Notfallzugriffstools Ihres Hosts verwenden.

Sie können sich in Ihr WordPress-Hosting-Konto einloggen und den Dateimanager oder einen FTP-Client verwenden, um zum Ordner wp-content/plugins zu navigieren. Von dort aus können Sie das Sicherheit-Plugin (wie MelaPress oder WPCode) deaktivieren, indem Sie seinen Ordner umbenennen.

Dies deaktiviert vorübergehend die Funktion für Sicherheitsfragen, sodass Sie sich mit Ihrem Passwort anmelden und Ihre Fragen zurücksetzen können.

Sind Sicherheitsfragen ein Ersatz für die Zwei-Faktor-Authentifizierung (2FA)?

Nein, das sind sie nicht. Sicherheitsfragen sind eine Form der wissensbasierten Sicherheit (etwas, das Sie wissen). Die Zwei-Faktor-Authentifizierung (2FA) ist stärker, da sie ein separates Gerät (etwas, das Sie haben), wie Ihr Telefon, erfordert.

Für maximale Sicherheit empfehle ich, 2FA als Ihre primäre Verteidigung zu verwenden und Sicherheitsfragen als hilfreiche sekundäre Ebene hinzuzufügen.

Kann ich Benutzer dazu verpflichten, mehr als eine Frage zu beantworten?

Das hängt von der von Ihnen verwendeten Methode ab. Der benutzerdefinierte Code-Snippet in Methode 1 ist für eine einzelne Frage und Antwort konzipiert.

Ein voll ausgestattetes Plugin wie MelaPress (Methode 2) enthält jedoch oft Einstellungen, die es Ihnen ermöglichen, Benutzer zu verpflichten, mehrere Fragen zu beantworten, bevor sie sich anmelden oder ihr Passwort zurücksetzen können.

Was passiert, wenn ein Benutzer auf meiner Multi-Author-Website seine Sicherheitsfragen nicht einrichtet?

In den meisten Fällen zeigt ein Plugin wie MelaPress eine dauerhafte Benachrichtigung im WordPress-Dashboard des Benutzers an, die ihn auffordert, seine Sicherheitsfragen einzurichten.

Es wird sie in der Regel nicht aus ihrem Konto aussperren, sondern sie weiterhin daran erinnern, bis die Sicherheitseinrichtung abgeschlossen ist.

Dies stellt sicher, dass bestehende Benutzer weiterhin auf ihre Konten zugreifen können, während sie gleichzeitig ermutigt werden, ihre Sicherheit zu verbessern.

Bonus-Anleitungen für die Sicherheit des Anmeldebildschirms

Ich hoffe, dieses Tutorial hat Ihnen geholfen zu lernen, wie Sie Ihrem WordPress-Login-Bildschirm Sicherheitsfragen hinzufügen. Möglicherweise möchten Sie auch einige Anleitungen zu anderen Möglichkeiten sehen, wie Sie Ihren Login-Bildschirm schützen können:

• CAPTCHA zum WordPress-Anmelde- und Registrierungsformular hinzufügen
• So fügen Sie die passwortlose Anmeldung in WordPress mit Magic Links hinzu
• Warum und wie Sie Anmeldeversuche in WordPress einschränken sollten
• So deaktivieren Sie Anmeldehinweise in WordPress-Fehlermeldungen bei der Anmeldung
• So fügen Sie soziale Anmeldungen zu WordPress hinzu (Der einfache Weg)
• Leitfaden für Anfänger zum Hinzufügen einer benutzerdefinierten Anmelde-URL in WordPress (Schritt für Schritt)

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.