Additional verification is required for login.
Wer das Wordfence Plugin zur Absicherung von WordPress Installationen einsetzt bekommt früher oder später diese Fehlermeldung angezeigt. Inzwischen setze ich das Plugin bei einer Vielzahl unterschiedlicher WordPress Webseiten ein. Heute hatte ich ein Projekt bei dem eine Anmeldung aufgrund dieser Fehlermeldung nicht mehr möglich war, denn die im Begleittext versprochene E-Mail war nirgendwo aufzufinden.
More...
VERIFICATION REQUIRED: Additional verification is required for login. Please check the email address associated with the account for a verification link."
Mehrfach habe ich das Password neu angefordert und automatisiert und manuell einige E-Mail Konten durchsucht. Angefangen von der Inbox über hunderte Junk-Mails. Nirgendwo war die angekündigte Mail zu finden. Seltsamerweise kamen andere Mails wie die folgende von WordPress und auch von Wordfence weiterhin an.
[...] Fehlgeschlagener WordPress-Anmeldeversuch von IP xx.xxx.xx.xx auf x.xx.xxxx
12 failed login attempts (3 lockout(s)) from IP xx.xxx.xx.xx
Last user attempted: gast
IP was blocked for 20 Minuten
Solche Nachrichten erhalte ich in regelmäßigen Abständen auf meine Admin-E-Mail-Adressen. Auch die Mail von WordPress selber zum zurücksetzen des Passwords kam an. Doch ausgerechnet die angekündigte Verification Mail war nirgendwo zu finden. Ich muß gestehen, dass es mich wirklich einige Zeit gekostet bis ich darauf gekommen bin, dass ein Kollege von mir die Admin-E-Mail Adresse geändert hatte, und diese Meldung deswegen bei ihm statt bei mir ankamen. Eigentlich hätte ich gleich darauf kommen müssen. Aber so ist das manchmal. Man möchte schnell etwas erledigen und ist gedanklich bei ganz anderen Themen und sieht sich dann mit solchen Routineproblemen konfrontiert, für die man eigentlich gerade gar keine Zeit hat.
Die Problemlösung
Das Problem lässt sich lösen, indem man sich per FTP auf seinem Webspace anmeldet und das Plugin "Wordfence" umbenennt. Beispielsweise in "Wordfence2". Daraufhin lädt man die Login-Seite (.../wp-admin) neu und kann sich wie gewohnt in WordPress anmelden. Im nächsten Schritt benennt man das Plugin Wordfence wieder zurück. Eine erneute Aktivierung ist nicht erforderlich. In meinem Fall habe ich dann als erstes nach der Admin-E-Mailadresse geschaut und bin darauf gestossen, dass ein Kollege die vor ein paar Monaten geändert hat.
Den Versand von E-Mails zur Wordfence-Authentifizierung deaktivieren
Der Versand der Authentifizierungsmail von Wordfence mit dem Betreff „Login Verification Required: Additional verification is required for login.“ erfolgt unter zwei Bedingungen:
$requireCAPTCHA = true
$performVerification = true
Es gibt die Möglichkeit, den Versand dieser Mails ganz zu unterbinden, indem wir den jeweiligen Wert auf „false“ ($requireCAPTCHA = false) setzen. Was aus Sicherheitsgründen nicht empfehlenswert ist, aber manchmal notwendig ist. Der Filter dazu lässt sich folgendermaßen einstellen:
add_filter( 'wordfence_ls_require_captcha', '__return_false' );