Wo WooCommerce Mittel

DataFirefly 2FA Fortress — Vollständige Anleitung

Zwei-Faktor-Authentifizierung für das WordPress-Backend und WooCommerce-Kundenkonten installieren, konfigurieren und betreiben: TOTP, E-Mail, Wiederherstellungscodes, Durchsetzung pro Rolle und Übergangsfrist.

Aktualisiert Modulversion 1.0.0

DataFirefly 2FA Fortress fügt dem WordPress-Backend und den WooCommerce-Kundenkonten eine vollständige Zwei-Faktor-Authentifizierung hinzu. Sie entscheiden Rolle für Rolle, ob die 2FA deaktiviert, optional oder verpflichtend ist, mit einer Übergangsfrist vor der Sperrung. Drei Methoden stehen zur Verfügung: Authenticator-App (TOTP), E-Mail-Code und einmalig nutzbare Wiederherstellungscodes. Diese Anleitung behandelt Installation, Einstellungen, Aktivierung durch Benutzer und Kunden, Anmeldung, Verwaltung und Fehlerbehebung.

Installation

  1. Laden Sie das Archiv df-twofactor.zip aus Ihrem DataFirefly-Konto herunter.
  2. WordPress-Backend → PluginsInstallierenPlugin hochladen → ZIP senden, dann Aktivieren.
  3. Bei der Aktivierung erstellt das Plugin seine Sicherheitsprotokoll-Tabelle, erzeugt einen dedizierten Verschlüsselungsschlüssel und fügt das Menü DataFirefly 2FA hinzu.

Kompatibel mit WordPress 6.0 bis 7.x und PHP 8.1 bis 8.3. Kompatibel mit WooCommerce HPOS (Hochleistungs-Bestellspeicherung) und Cart/Checkout Blocks, Multisite und mehrsprachig. Keine Composer-Abhängigkeit.

Schnellstart in drei Minuten

  1. Öffnen Sie DataFirefly 2FA → Einstellungen und wählen Sie den Modus pro Rolle (mindestens Verpflichtend für Administratoren).
  2. Legen Sie eine Übergangsfrist fest (standardmäßig 7 Tage), damit alle Zeit haben, ihre 2FA einzurichten.
  3. Gehen Sie zu Ihrem Profil und aktivieren Sie die TOTP-App: QR-Code scannen, 6-stelligen Code eingeben, dann Ihre Wiederherstellungscodes herunterladen.
  4. Melden Sie sich ab und wieder an: Nach dem Passwort wird nun ein Code verlangt.

Aktivieren Sie immer mindestens eine Wiederherstellungsmethode (Wiederherstellungscodes oder E-Mail), bevor Sie die 2FA verpflichtend machen: So vermeiden Sie eine Aussperrung bei Verlust des Telefons.

Allgemeine Einstellungen (Backend)

Alle Einstellungen befinden sich unter DataFirefly 2FA → Einstellungen.

Durchsetzung pro Rolle

Wählen Sie für jede Rolle (Administrator, Redakteur, Shop-Manager, Kunde…) einen von drei Modi:

  • Deaktiviert: Die 2FA wird für diese Rolle weder angeboten noch verlangt.
  • Optional: Benutzer können sie bei Bedarf aktivieren.
  • Verpflichtend: Der Benutzer muss sie einrichten; nach Ablauf der Übergangsfrist wird der Zugang gesperrt, bis sie aktiv ist.

Hat ein Benutzer mehrere Rollen, gilt die strengste Stufe.

Übergangsfrist

Die Übergangsfrist (in Tagen) gilt für Benutzer mit verpflichtender 2FA, die sie noch nicht eingerichtet haben. Während dieser Frist zeigt ein Hinweis die verbleibenden Tage an. Bei 0 Tagen wird die Einrichtung bereits bei der ersten Anmeldung verlangt.

Erlaubte Methoden

Aktivieren Sie die Ihren Benutzern angebotenen Methoden: TOTP-App, E-Mail-Code und Wiederherstellungscodes. TOTP wird als primäre Methode empfohlen; Wiederherstellungscodes dienen als Sicherheitsnetz. Das Feld Anzeigename (Issuer) bestimmt die in der Authenticator-App angezeigte Bezeichnung (standardmäßig der Seitenname).

Vertrauenswürdige Geräte

Die Einstellung Browser merken (in Tagen) erlaubt einem Benutzer, auf einem bestätigten Gerät für die gewählte Dauer nicht erneut abgefragt zu werden. Der Wert 0 deaktiviert diese Funktion vollständig.

Brute-Force-Schutz

Legen Sie die Anzahl der erlaubten Versuche vor einer temporären Sperrung und deren Dauer fest. Die TOTP-Toleranz gleicht leicht abweichende Uhren aus: 1 akzeptiert den vorherigen und den nächsten Code. Eine Erhöhung verringert die Sicherheit.

E-Mail-Code

Stellen Sie die Gültigkeitsdauer des per E-Mail erhaltenen Codes und die Mindestzeit zwischen zwei Sendungen (Anti-Spam) ein. Der Code ist einmalig nutzbar und läuft automatisch ab.

Kunden und Benachrichtigungen

  • Kunden-Opt-in: Erlaubt Kunden, die 2FA über „Mein Konto“ in WooCommerce zu aktivieren.
  • Neues Gerät: Sendet eine informative E-Mail bei einer bestätigten Anmeldung von einem noch nie gesehenen Gerät.

Eigene 2FA aktivieren (Administratoren und Team)

Jeder Benutzer richtet seine 2FA über sein Profil ein (BenutzerProfil), im Abschnitt „Zwei-Faktor-Authentifizierung“.

Authenticator-App (TOTP)

  1. Klicken Sie unter „Authenticator-App“ auf Einrichten.
  2. Scannen Sie den QR-Code mit Google Authenticator, Authy, Microsoft Authenticator, 1Password usw. Falls der QR-Code nicht gescannt werden kann, geben Sie den darunter angezeigten Schlüssel manuell ein.
  3. Geben Sie den von der App erzeugten 6-stelligen Code ein und klicken Sie auf Bestätigen & aktivieren.

Das TOTP-Geheimnis wird serverseitig (AES-256-GCM) verschlüsselt, bevor es gespeichert wird. Nach Abschluss der Einrichtung wird es nie im Klartext angezeigt.

E-Mail-Code

Klicken Sie unter „E-Mail-Code“ auf Aktivieren: Ein Bestätigungscode wird an Ihre Adresse gesendet. Geben Sie ihn zur Bestätigung ein. Ist der Code abgelaufen, verwenden Sie Neuen Code senden.

Wiederherstellungscodes

Sobald eine Methode aktiviert ist, werden zehn einmalig nutzbare Wiederherstellungscodes erzeugt und einmalig angezeigt. Nutzen Sie die Schaltflächen Herunterladen (.txt) oder Kopieren, um sie sicher aufzubewahren. Jeder Code funktioniert nur einmal; Sie können sie jederzeit neu erzeugen (die alten werden dann ungültig).

2FA für Kunden aktivieren (WooCommerce)

Wenn das Kunden-Opt-in aktiviert ist, erhalten Ihre Kunden einen Tab Sicherheit (2FA) unter „Mein Konto“. Dort aktivieren sie die TOTP-App oder den E-Mail-Code, genau wie im Backend, und verwahren ihre eigenen Wiederherstellungscodes. Sie können die 2FA auch für die Rolle Kunde verpflichtend machen.

Anmelden mit Zwei-Faktor-Authentifizierung

Sobald die 2FA aktiv ist, erfolgt die Anmeldung in zwei Schritten: gewohnter Benutzername und Passwort, dann ein Bestätigungsbildschirm, der den Code der primären Methode verlangt.

Methode wechseln oder Code erneut senden

Auf dem Bestätigungsbildschirm ermöglichen Links den Wechsel zu einer anderen aktivierten Methode (zum Beispiel von TOTP zum E-Mail-Code) oder die Verwendung eines Wiederherstellungscodes. Für die E-Mail-Methode erlaubt ein Link, bei Bedarf einen Code erneut zu senden.

Gerät merken

Sind vertrauenswürdige Geräte aktiviert, vermeidet ein Kontrollkästchen „Dieses Gerät merken“, auf diesem Browser für die konfigurierte Dauer erneut nach einem Code zu fragen. Auf einem gemeinsam genutzten Rechner vermeiden.

Erzwungene Einrichtung (verpflichtende 2FA)

Ist die 2FA für die Rolle verpflichtend und die Übergangsfrist abgelaufen, muss der Benutzer sie direkt auf dem Anmeldebildschirm einrichten: Er gibt sein Passwort ein und aktiviert dann die TOTP-App, bevor er die Seite erreicht. Seine Wiederherstellungscodes werden unmittelbar danach angezeigt.

Bevor Sie eine Rolle mit kurzer Übergangsfrist auf „Verpflichtend“ setzen, informieren Sie die betroffenen Benutzer und stellen Sie sicher, dass eine Wiederherstellungsmethode verfügbar ist. Bei einer Aussperrung kann ein Administrator die 2FA eines Kontos jederzeit zurücksetzen.

Wiederherstellungscodes: Verwendung, Download, Neuerzeugung

Mit Wiederherstellungscodes melden Sie sich an, wenn das primäre Gerät nicht verfügbar ist. Wählen Sie auf dem Bestätigungsbildschirm „Wiederherstellungscode verwenden“ und geben Sie einen Ihrer ungenutzten Codes ein. Im Profil zeigt die Karte „Wiederherstellungscodes“ die Anzahl der verbleibenden Codes an und ermöglicht deren Neuerzeugung. Bei der Erzeugung können die Codes als .txt-Datei heruntergeladen (Kopf mit Seite, Konto und Datum) oder in die Zwischenablage kopiert werden.

2FA der Benutzer verwalten (Administrator)

2FA-Spalte und Zurücksetzen

Die Benutzer-Liste zeigt eine Spalte 2FA, die den Zwei-Faktor-Status jedes Benutzers angibt (Aktiviert, Ausstehend, Gesperrt oder Inaktiv). Der Link Verwalten öffnet das 2FA-Panel des Benutzers, in dem ein Administrator dessen Konfiguration zurücksetzen kann (zum Beispiel nach einem Geräteverlust).

Sicherheitsprotokoll

Das Menü DataFirefly 2FA → Sicherheitsprotokoll bewahrt die letzten 200 Ereignisse auf: erfolgreiche und fehlgeschlagene Anmeldungen, Aktivierungen und Deaktivierungen, Verwendung eines Wiederherstellungscodes, Brute-Force-Sperrungen und Administrator-Zurücksetzungen. Einträge, die älter als 180 Tage sind, werden automatisch bereinigt.

Sicherheit und Datenspeicherung

  • TOTP-Geheimnisse werden mit AES-256-GCM verschlüsselt, mit einem bei der Aktivierung erzeugten dedizierten Schlüssel, unabhängig von den WordPress-Salt-Schlüsseln.
  • Wiederherstellungscodes werden gehasht (nie im Klartext gespeichert) und nach Gebrauch ungültig gemacht.
  • Der Brute-Force-Schutz sperrt ein Konto nach zu vielen Fehlversuchen temporär.
  • Vertrauenswürdige Geräte beruhen auf einem zufälligen Token, das serverseitig gehasht gespeichert wird.

Kompatibilität und technische Hinweise

  • WordPress 6.0 bis 7.x, PHP 8.1 bis 8.3, Multisite.
  • WooCommerce: HPOS- und Cart/Checkout-Blocks-Kompatibilität deklariert.
  • Mehrsprachig: Eine .pot-Übersetzungsvorlage ist enthalten (kompatibel mit Polylang, WPML, Loco Translate).
  • Durch Methoden-Provider erweiterbare Architektur (siehe Entwicklerabschnitt), bereit für das spätere Hinzufügen von WebAuthn / Passkeys.

Für Entwickler (Hooks und Filter)

  • df2fa_providers (Filter): Verifizierungsmethoden hinzufügen oder entfernen.
  • df2fa_ip_headers (Filter): Header anpassen, die zur Ermittlung der Client-IP verwendet werden.
  • df2fa_email_code_message (Filter): Die Nachricht der E-Mail mit dem Code anpassen.
  • df2fa_event_logged (Action): Wird bei jedem Eintrag in das Sicherheitsprotokoll ausgelöst.
  • df2fa_login_success (Action): Wird nach einer per 2FA bestätigten Anmeldung ausgelöst.

Deinstallation

Das Löschen des Plugins über den Plugins-Bildschirm führt eine vollständige Bereinigung durch: Die Sicherheitsprotokoll-Tabelle wird entfernt, Optionen und alle 2FA-Metadaten der Benutzer werden gelöscht, und geplante Aufgaben werden entfernt. Eine bloße Deaktivierung behält die Daten.

FAQ und Fehlerbehebung

Der QR-Code erscheint nicht. Erzwingen Sie ein Neuladen der Seite (Browser-Cache). Sie können die App auch manuell einrichten, indem Sie den unter dem QR-Code angezeigten Schlüssel eingeben. Prüfen Sie, ob kein JavaScript-Minify-/Blockier-Plugin das Laden der Skripte verhindert.

Ein Benutzer hat sein Telefon verloren. Er kann einen Wiederherstellungscode verwenden oder die E-Mail-Methode, falls aktiviert. Andernfalls setzt ein Administrator seine 2FA über die Benutzerliste zurück.

Der per E-Mail erhaltene Code wird abgelehnt. Prüfen Sie, ob er nicht abgelaufen ist, und verwenden Sie „Neuen Code senden“. Prüfen Sie auch die E-Mail-Versandkonfiguration der Seite (SMTP).

Ich bin ausgesperrt, nachdem ich die 2FA verpflichtend gemacht habe. Melden Sie sich mit einem anderen Administratorkonto an, um das betroffene Konto zurückzusetzen, oder passen Sie den Modus der Rolle in den Einstellungen an.

Werden Passkeys / WebAuthn unterstützt? Nicht in Version 1.0.0. Die Provider-Architektur erlaubt es, sie später ohne Umbau hinzuzufügen.

War diese Seite hilfreich?

Immer noch nicht weiter? Support kontaktieren