Als populair contentmanagementsysteem is WordPress een geliefd doelwit voor hackers. Daarom is het zinvol om de beheeromgeving te beschermen met twee-factor-authenticatie.
WordPress is uitgegroeid tot het wereldwijd meest gebruikte CMS. Helaas leidt deze populariteit ook tot grote belangstelling bij hackers. Het probleem met WordPress is dat het admingedeelte vrij eenvoudig te vinden is onder /wp-admin/ – kwaadwillende bots en hackers proberen dan ook constant om die toegang te kraken, vooral bij grotere blogs. Dat lukt als de combinatie van gebruikersnaam en wachtwoord te eenvoudig is. Het is daarom zeker geen verspilde moeite om een extra beveiligingslaag toe te voegen: twee-factor-authenticatie.
Wat is twee-factor-authenticatie voor WordPress?
Twee-factor-authenticatie (ook bekend als ‘Two Factor Authentication’ of ‘2FA’) is een eenvoudige maar uiterst krachtige maatregel. Je kent het misschien al van je account bij Apple, Google, Microsoft, Facebook of Instagram. Na het invoeren van je gebruikersnaam en wachtwoord kom je niet direct binnen, maar ontvang je een sms, e-mail of code. Alleen met die code krijg je vervolgens toegang tot je account. Er zijn verschillende methoden om zo’n code te ontvangen:
- Sms
- Een online dienst als WordPress Jetpack
- Een eenmalig, tijdelijk wachtwoord (TOTP) plus een app die zulke codes genereert
- Een event-gestuurd eenmalig wachtwoord (HOTP)
De sms-variant is waarschijnlijk de beste combinatie van veiligheid en gebruiksgemak. Heb je nog geen 2FA ingesteld? Dan is dat beslist het overwegen waard. Dankzij twee-factor-authenticatie kan een aanvaller immers zelfs met je gebruikersnaam en wachtwoord niet inloggen, omdat hij de 2FA-code niet heeft. Hij moet daarvoor ook toegang hebben tot je mobiele telefoon of je e-mailaccount. Dit maakt het zeer onwaarschijnlijk dat een hacker, die meestal op afstand werkt, een 2FA-beschermd account kan binnendringen. De security stijgt hierdoor enorm, reden genoeg om deze functie voor je WordPress accounts te activeren.
2FA in WordPress via Jetpack
Er zijn verschillende manieren om twee-factor-authenticatie in WordPress te gebruiken. Meestal wordt hiervoor een plug-in gebruikt. De eenvoudigste variant is JetPack van de WordPress ontwikkelaars. Dit is een praktisch uitbreidingspakket voor WordPress dat talloze gratis en betaalde functies en beveiligingsmogelijkheden biedt. Twee-factor-authenticatie is gratis.
Installeer eerst JetPack en koppel deze plug-in vervolgens aan je account op WordPress.com. Hiertoe moet je inloggen op WordPress.com en de beveiligingsinstellingen van je account openen. Vervolgens kun je twee-factor-authenticatie voor WordPress activeren via app of sms. Na het invoeren van je mobiele telefoonnummer stuurt WordPress je een eerstecode toe. Daarmee bevestig je jouw telefoonnummer. Je kunt dan bovendien back-upcodes aanmaken, mocht je een keer om wat voor reden dan ook geen 2FA-codes kunnen ontvangen.
Ga tenslotte terug naar je WordPress site en klik links op Instellingen -> Beveiliging onder ‘JetPack’. Schakel hier de functie ‘Sta gebruikers toe om op deze website in te loggen met WordPress.com-accounts’ in, evenals ‘Accounts moeten tweestapsverificatie van WordPress.com gebruiken’. Vanaf nu gebruik je de WordPress.com-login en ontvang je bij het inloggen een sms-beveiligingscode. Twee-factor-authenticatie is nu actief, ook in de WordPress app.
Alternatief: 2FA met een gratis plug-in
Er zijn ook andere plug-ins waarmee je 2FA kunt gebruiken. Als je ernaar zoekt in de WordPress repository, vind je diverse mogelijkheden. Sommige plug-ins bieden volwaardige security suites, zoals WordFence, maar die kunnen snel problemen veroorzaken als je ze verkeerd configureert. Een mooie en vooral slanke oplossing is de plug-in Two-Factor. Je hebt JetPack en WordPress.com hiervoor niet nodig. Als je Two-Factor downloadt en activeert, beschik je over diverse opties voor twee-factor-authenticatie in je gebruikersinstellingen. Je vindt die onder Gebruiker -> Profiel.
Daar zie je een keuzevak voor de 2FA-methode. Je kunt kiezen tussen het versturen van de code per e-mail of een tijdelijk, eenmalig wachtwoord (TOTP), waarvoor je een extra app nodig hebt. Die installeer je op je mobiele telefoon en koppel je via een QR-code aan WordPress.
Vergeet de Authenticator-app niet!
Er zijn veel apps voor TOTP. Wij raden de gratis Google Authenticator voor iOS en Android aan. Scan met deze app de QR-code die de plug-in je toont, voer dan de code uit de app in om de link te bevestigen. Vergeet niet extra back-upcodes te maken en te downloaden. Daarna is de twee-factor-authenticatie actief. Je moet dus voortaan bij elke inlogpoging de code invoeren die de Google Authenticator verstrekt. Heb je een back-upmethode gekozen, zoals e-mail? Dan maakt het niet uit of je de app verwijdert of je mobiele telefoon verliest. Je kunt de code gewoon per e-mail laten opsturen.
Twee-factor-authenticatie: doen!
Twee-factor-authenticatie is een belangrijke veiligheidsmaatregel voor je WordPress site. Het is tegelijkertijd verrassend vlot te implementeren. Met de plug-in Two-Factor hoef je bovendien geen services van derden te gebruiken. En hoewel het inloggen hierdoor een extra stap vergt, is het die moeite dubbel en dwars waard. Je hebt namelijk de zekerheid dat hackers nu veel moeilijker toegang tot je site krijgen.
Ricardo zei op
Hoi,
Ik heb de stappen gevolgd en de 2FA via Jetpack aangezet. Alleen als ik op de inlogpagina van Strato ben om in te loggen op mijn wordpress site kan ik kiezen om in te loggen met “wachtwoord en gebruikersnaam”. Vervolgens wordt ik gelijk doorgestuurd en kom gelijk in mijn WordPress terecht zonder een extra code. Lijkt mij niet helemaal de bedoeling? Doe ik iets verkeerd?
Jorrit van der Heide zei op
Hi Ricardo,
Bedankt voor je reactie. Dat lijkt me inderdaad niet de bedoeling. Voor de zekerheid vraag ik of je deze stappen ook hebt uitgevoerd:
“Ga tenslotte terug naar je WordPress site en klik links op Instellingen -> Beveiliging onder ‘JetPack’. Schakel hier de functie ‘Sta gebruikers toe om op deze website in te loggen met WordPress.com-accounts’ in, evenals ‘Accounts moeten tweestapsverificatie van WordPress.com gebruiken’. Vanaf nu gebruik je de WordPress.com-login en ontvang je bij het inloggen een sms-beveiligingscode.”
Daardoor zou je alleen nog maar via wordpress.com moeten kunnen inloggen. Laat me graag weten of dit het gewenste resultaat oplevert.
Hartelijke groet,
Jorrit
henrie van dun zei op
Hoe kan ik 2FA code aanpassen
Kan ik ook twee met twee personen op de site builder/
Jorrit van der Heide zei op
Beste Henrie,
Bedankt voor je vraag. Dit blog gaat over 2FA voor WordPress en schetst een aantal oplossingen die je met behulp van plug-ins kunt inrichten. Waar wil je precies inloggen met 2FA?
Als het om Sitebuilder gaat: je kunt in principe met meerdere personen aan een website werken, maar ik zou ervan afraden om met meerdere gebruikers gelijktijdig aan een project te werken.
Hopelijk beantwoord dit je vragen?
Hartelijke groet,
Jorrit