Support » Installation » Bei 2FA- Login kommt „Sorry, your nonce did not verify.“ – Bin ausgesperrt !!!

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Hallo,
    benenne den gesamten Ordner ...\wp-content\plugins um, – z. B. durch einen Unterstrich vor dem Ordner (...\wp-content\_plugins).
    Erstelle dann einen neuen Ordner ...\wp-content\plugins. Verschiebe dann Plugin für Plugin in diesen neuen Ordner aus ...\wp-content\_plugins, in dem sich alle Ordner mit den Plugins befinden. Teste jeweils danach, ob du dich wieder anmelden kannst.

    Ausführliche Informationen zum Deaktivieren von Plugins findest du in einem Beitrag aus unsere FAQ: Speichern o. Aktualisieren o. Schreiben o. Anmeldung im Backend geht nicht mehr .

    Viele Grüße
    Hans-Gerd

    Thread-Starter wortpressender38

    (@wortpressender38)

    Erstmal Danke für die schnelle Antwort 🙂

    Ich hab dazu noch ein paar Verständnisfragen:

    1. Werden, wenn ich durch das Umbenennen des alten Plugin-Ordners (…\_plugins) und anschließendes Anlegen eines neuen Ordners der WP-Installation die Plugins „unterm Hintern wegziehe“, die Plugins von WP dann automatisch deaktiviert? Und werden diese dann sukzessive wieder automatisch aktiviert, wenn ich die Plugins wieder nach und nach in den neu erstellen Ordner (…\plugins] schiebe?
    2. Könnte man statt den kompletten Ordner plugins in _plugins umzubenennen nicht alternativ nach und nach die die Ordner der einzelnen Plugins im Ordner plugin umbenennen, also z.B. \plugins\wp-optimze in \plugins\_wpoptimize? Das wäre dann die umgekehrte Verfahrensweise wie unter 1: Alle plugins bis auf das untersuchte plugin bleiben aktiviert. Und wenn das Plugin nicht der „Täter“ war, wird es durch Umbennen wieder aktiviert
    3. In der verlinkten FAQ steht, dass man vor dem Testen ein komplettes Backup (Datenbank plus Dateien auf dem Webspace) machen soll. Wäre es ein korrektes Backup, wenn ich mit per FTP (Filezilla) alle Dateien, die auf dem Webserver stehen, auf meinen lokale Festplatte herunterlade und diese bei Bedarf (Fehler) wieder per FTP in den Webspace zurückschiebe (…die Frage mag vielleicht trivial sein… aber ich bin ziemlicher Laie auf diesem Gebiet )
    4. In den FAQ steht auch, dass man bevor man eine Lösung testest, zuvor den Browser-Cache und evtl. vorhanden Caches, die vom Theme oder von Plugins erstellt wurden, löschen soll. Wie ich den Browsercache lösche ist mir halbwegs klar… da gibt es einen Menüpunkt Browser-Daten löschen. Aber wie mache ich das mit dem Cache der Plugins bzw. Themes? Müßte ich nicht dazu in der WP-Installation sein und dort etwas machen?
    5. Hoffe das waren nicht zu viele Fragen. Viele Grüße und Gute Nacht 🙂

    Hallo,
    zu 1.) und 2.) In der Tat werden durch den beschriebenen Verlauf alle Plugins deaktiviert. Du kannst natürlich auch einen Ordner _plugins erstellen und dann die Plugins, die deaktiviert werden sollen, von plugins nach _plugins einzeln verschieben. Dann bleiben die Plugins in dem Originalordner natürlich solange aktiviert. Aber die unter 2.) genannte Vorgehensweise würde auch funktionieren.

    zu 3.) Welche Dateien du (mindestens) auf deine lokale Festplatte sichern solltest, habe ich in dem folgenden Beitrag beschrieben. In dem Beitrag beschreibe ich auch, wie Du die Datenbank sicherst.

    zu 4.) Solltest du ein Cache-Plugin wie z. B. WP Optimize, WP Fastest Cache, WP Rocket, Comet Cache, Autoptimize, etc. installiert haben, dann sollte man normalerweise den Cache über eine Option des jeweiligen Plugins löschen. Das ist allerdings nicht so einfach möglich, wenn du dich nicht mehr im Backend anmelden kannst. In der Dokumentation zum jeweiligen Plugin findest du aber in der Regel, wo die Cache-Dateien bzw. die entsprechenden Ordner zu finden sind, die auch per FTP gelöscht werden können. Vorher solltest du aber alles manuell gesichert haben.

    zu 5.) Alles gut und guten Morgen 😊. Und ganz wichtig: Immer mit entsprechender Ruhe daran gehen. Panik ist immer schlecht.

    Viele Grüße
    Hans-Gerd

    Nach Eingabe von Username und Passwort … kommt die Meldung „Sorry, your nonce did not verify.“

    Ein „Nonce“, Abkürzung für eine einmalig verwendete Zahl („number, used once„) ist ein kleiner Code, der verhindert, dass Formularübertragungen missbraucht oder manipuliert werden. Wenn diese Fehlermeldung bei korrekter Verwendung des Formulars öftern kommt, könnte eine fehlerhafte Programmierung des Plugins die Ursache sein.

    Alternativ könnte es auch einfach sein, dass das OneTimePassword nicht mit dem übereinstimmt, was das Plugin errechnet. Das passiert z.B. wenn deine OTP-App und der Webserver eine unterschiedliche Zeit verwenden. Die Serverzeit lässt sich per SSH mit dem Befehl date abrufen, oder du lädst ein kleines PHP-Skript hoch mit der Zeile <?php echo "Serverzeit: " . date("H:i:s");, das du dann per Browser aufrufst.

    Um ein 2FA-Plugin zu deaktivieren, reicht eigentlich, das Verzeichnis wp-content/plugins beliebig umzubenennen (z.B. wp-content/no.plugins) und dann eine erneute Anmeldung auszuprobieren. Sobald das klappt (bei der Anmeldung werden alle Plugins deaktiviert), kannst du die Umbenennung rückgängig machen, die Plugins bis auf das 2FA-Plugin wieder aktivieren und dann in Einstellungen > Allgemein die Zeiteinstellung prüfen. Sollte der Server eine falsche Zeit verwenden, reicht ein Anruf beim Support des Webhosters.

    Wieso Hans-Gerd etwas umständlich* eine Erstellung eines neuen Verzeichnisses und Verschieben der Dateien vorschlägt, kann ich nicht ganz nachvollziehen, aber es gibt immer verschiedene Lösungsansätze und jeder hat da so seine eigenen Wege, um möglichst rasch ans Ziel zu gelangen.

    Bei den von dir genannten Plugins solltest du nochmal prüfen, ob du die wirklich benötigst. All-in-One-Sicherheits-Plugins haben auf die Sicherheit deiner Website oft einen ähnlichen Effekt, wie Globuli und Multivitamintabletten zur Stärkung der Gesundheit. Der Glaube versetzt bekanntlich Berge …

    (* Um einen falschen Eindruck zu vermeiden: Hans-Gerd ist ein erfahrener WordPress-Anwender, der täglich dutzenden Anwendern kostenlos hilft, ihre Websites wieder in Gang zu kriegen und weiß, was er da schreibt. Sein Vorschlag ist auch gar nicht „falsch“. Ich hätte es nur in diesem Fall anders gemacht.)

    • Diese Antwort wurde geändert vor 1 Monat, 2 Wochen von Bego Mario Garde. Grund: Nachtrag

    @pixolin
    da hast du recht: das ist umständlicher als deine Lösung. 😊
    Daher bin ich auch wirklich immer froh, wenn sich WordPress-Anwender wie du, die noch erfahrener sind als ich, dazu äußern. Zumal ich manchmal auch aus Zeitgründen zu sehr querlese und dann schon mal was übersehe. Alles gut. 👍

    Thread-Starter wortpressender38

    (@wortpressender38)

    Guten Abend allesseits,

    ich glaube (hoffe), dass ich den Täter gefasst habe. Nachdem ich das Plugin „No Right Click Images“ deaktiviert hatte, funktionierte der 2FA-Login. Sobald ich es wieder aktiviert habe, kam wieder die Meldung „Sorry, your nonce did not verify.“ Murphy’s Law: Es war natürlich eines der letzten plugins, die beim Abarbeiten meiner Liste an der Reihe waren 🙁

    Als technischer Laie habe ist mir vollkommen unerklärlich, warum ein plugin, das den Rechtsklick der Maus bei Bildern unterbindet, den Login sabotieren kann. Vielleicht liegt’s ja auch an einer Kombination/einem Zusammenspiel mit anderen plugins. Egal: Auf das Ding kann ich erstmal verzichten.

    Falls in den kommenden Tagen das Nonce-Problem doch noch einmal auftritt, würde ich mich noch einmal melden. Das Problem ist aber hoffentlich bis auf weiteres gelöst!

    Hab wieder viel dazu gelernt. Auch Dank Eurer Unterstützung.

    ein plugin, das den Rechtsklick der Maus bei Bildern unterbindet

    ist ohnehin völlig unnütz.

    Auf das Ding kann ich erstmal verzichten.

    Nein, für immer.
    Es gibt viele Wege, Bilder anders zu klauen, bzw. werden die Dateien normalerweise ohnehin auf jeden Rechner jedes Besuchers geladen.

    Stören tut hier vllt. irgendeine kollidierende Funktion oder so. Das hat mit dem Zweck nix zu tun; Manche Plugins mit dem völlig gleichen Einsatzzweck laufen friedlich nebeneinander und manche können sich halt nicht vertragen …

    Also gratuliere zum Fahndungserfolg, hoffentlich bleibt es so!

    Thread-Starter wortpressender38

    (@wortpressender38)

    Das das Ding das Mopsen von Bildern nicht sicher verhindert, ist mir klar. Hält vielleicht den ein oder anderen Durchschnittsuser davon ab und der macht notfalls einen Screenshot 🙂

    Meine Bilder sind ohnehin nur in einer niedrigen Auflösung… ich lassen den Rechtsklick nun zu… so einzigartig und selten sind meine Bildchen nun doch nicht 🙂

    In der Tat ist das Plugin unsinnig, weil man diesen „Schutz“ ziemlich einfach umgehen kann und ohne Probleme trotzdem die developer console öffnen kann. Also: Ab in die Tonne und zwar dauerhaft. 😉

    Hallo!

    Passierte heute bei einem Testuser Profil auch. Habe dann das PW neu generiert und gespeichert und das Problem war gelöst.

    Immer dran bleiben… 😉

    Thread-Starter wortpressender38

    (@wortpressender38)

    Lag das auch an dem no-right-click-plugin oder war ein anderes die Ursache?

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)