Meer veiligheid: twee-factor-authenticatie voor WordPress

Meer veiligheid: twee-factor-authenticatie voor WordPress

Als populair contentmanagementsysteem is WordPress een geliefd doelwit voor hackers. Daarom is het zinvol om de beheeromgeving te beschermen met twee-factor-authenticatie.

WordPress is uitgegroeid tot het wereldwijd meest gebruikte CMS. Helaas leidt deze populariteit ook tot grote belangstelling bij hackers. Het probleem met WordPress is dat het admingedeelte vrij eenvoudig te vinden is onder /wp-admin/ – kwaadwillende bots en hackers proberen dan ook constant om die toegang te kraken, vooral bij grotere blogs. Dat lukt als de combinatie van gebruikersnaam en wachtwoord te eenvoudig is. Het is daarom zeker geen verspilde moeite om een extra beveiligingslaag toe te voegen: twee-factor-authenticatie.

2FA in WordPress
Met 2-factor-authenticatie heb je een extra code nodig om in te loggen.

Wat is twee-factor-authenticatie voor WordPress?

Twee-factor-authenticatie (ook bekend als ‘Two Factor Authentication’ of ‘2FA’) is een eenvoudige maar uiterst krachtige maatregel. Je kent het misschien al van je account bij Apple, Google, Microsoft, Facebook of Instagram. Na het invoeren van je gebruikersnaam en wachtwoord kom je niet direct binnen, maar ontvang je een sms, e-mail of code. Alleen met die code krijg je vervolgens toegang tot je account. Er zijn verschillende methoden om zo’n code te ontvangen:

Inloggen bij WordPress met Google Authenticator
Je ontvangt de code via sms, e-mail of, zoals in dit geval, via de Google Authenticator-app.

De sms-variant is waarschijnlijk de beste combinatie van veiligheid en gebruiksgemak. Heb je nog geen 2FA ingesteld? Dan is dat beslist het overwegen waard. Dankzij twee-factor-authenticatie kan een aanvaller immers zelfs met je gebruikersnaam en wachtwoord niet inloggen, omdat hij de 2FA-code niet heeft. Hij moet daarvoor ook toegang hebben tot je mobiele telefoon of je e-mailaccount. Dit maakt het zeer onwaarschijnlijk dat een hacker, die meestal op afstand werkt, een 2FA-beschermd account kan binnendringen. De security stijgt hierdoor enorm, reden genoeg om deze functie voor je WordPress accounts te activeren.

2FA in WordPress via Jetpack

Er zijn verschillende manieren om twee-factor-authenticatie in WordPress te gebruiken. Meestal wordt hiervoor een plug-in gebruikt. De eenvoudigste variant is JetPack van de WordPress ontwikkelaars. Dit is een praktisch uitbreidingspakket voor WordPress dat talloze gratis en betaalde functies en beveiligingsmogelijkheden biedt. Twee-factor-authenticatie is gratis.

2FA met Jetpack
De populaire plug-in JetPack staat het gebruik van 2FA toe.

Installeer eerst JetPack en koppel deze plug-in vervolgens aan je account op WordPress.com. Hiertoe moet je inloggen op WordPress.com en de beveiligingsinstellingen van je account openen. Vervolgens kun je twee-factor-authenticatie voor WordPress activeren via app of sms. Na het invoeren van je mobiele telefoonnummer stuurt WordPress je een eerstecode toe. Daarmee bevestig je jouw telefoonnummer. Je kunt dan bovendien back-upcodes aanmaken, mocht je een keer om wat voor reden dan ook geen 2FA-codes kunnen ontvangen.

2FA met Jetpack
Je kunt kiezen of je de code via app of sms wilt ontvangen.

Ga tenslotte terug naar je WordPress site en klik links op Instellingen -> Beveiliging onder ‘JetPack’. Schakel hier de functie ‘Sta gebruikers toe om op deze website in te loggen met WordPress.com-accounts’ in, evenals ‘Accounts moeten tweestapsverificatie van WordPress.com gebruiken’. Vanaf nu gebruik je de WordPress.com-login en ontvang je bij het inloggen een sms-beveiligingscode. Twee-factor-authenticatie is nu actief, ook in de WordPress app.

2FA met Jetpack
Tijdens de installatie krijg je al een code toegestuurd. Die zorgt ervoor dat alles werkt.

Alternatief: 2FA met een gratis plug-in

Er zijn ook andere plug-ins waarmee je 2FA kunt gebruiken. Als je ernaar zoekt in de WordPress repository, vind je diverse mogelijkheden. Sommige plug-ins bieden volwaardige security suites, zoals WordFence, maar die kunnen snel problemen veroorzaken als je ze verkeerd configureert. Een mooie en vooral slanke oplossing is de plug-in Two-Factor. Je hebt JetPack en WordPress.com hiervoor niet nodig. Als je Two-Factor downloadt en activeert, beschik je over diverse opties voor twee-factor-authenticatie in je gebruikersinstellingen. Je vindt die onder Gebruiker -> Profiel

De gratis plug-in Two-Factor
De gratis plug-in Two-Factor geeft je verschillende opties voor eenvoudige twee-factor-authenticatie.

Daar zie je een keuzevak voor de 2FA-methode. Je kunt kiezen tussen het versturen van de code per e-mail of een tijdelijk, eenmalig wachtwoord (TOTP), waarvoor je een extra app nodig hebt. Die installeer je op je mobiele telefoon en koppel je via een QR-code aan WordPress. 

Vergeet de Authenticator-app niet!

Er zijn veel apps voor TOTP. Wij raden de gratis Google Authenticator voor iOS en Android aan. Scan met deze app de QR-code die de plug-in je toont, voer dan de code uit de app in om de link te bevestigen. Vergeet niet extra back-upcodes te maken en te downloaden. Daarna is de twee-factor-authenticatie actief. Je moet dus voortaan bij elke inlogpoging de code invoeren die de Google Authenticator verstrekt. Heb je een back-upmethode gekozen, zoals e-mail? Dan maakt het niet uit of je de app verwijdert of je mobiele telefoon verliest. Je kunt de code gewoon per e-mail laten opsturen.

WordPress plug-in Two-Factor: back-upcodes
Je kunt de back-upcodes gebruiken om in te loggen als er iets mis gaat.

Twee-factor-authenticatie: doen!

Twee-factor-authenticatie is een belangrijke veiligheidsmaatregel voor je WordPress site. Het is tegelijkertijd verrassend vlot te implementeren. Met de plug-in Two-Factor hoef je bovendien geen services van derden te gebruiken. En hoewel het inloggen hierdoor een extra stap vergt, is het die moeite dubbel en dwars waard. Je hebt namelijk de zekerheid dat hackers nu veel moeilijker toegang tot je site krijgen.

Aan de slag met WordPress?

Naar onze WordPress pakketten
Zoekwoorden:

Delen

  1. Ricardo zei op

    Hoi,
    Ik heb de stappen gevolgd en de 2FA via Jetpack aangezet. Alleen als ik op de inlogpagina van Strato ben om in te loggen op mijn wordpress site kan ik kiezen om in te loggen met “wachtwoord en gebruikersnaam”. Vervolgens wordt ik gelijk doorgestuurd en kom gelijk in mijn WordPress terecht zonder een extra code. Lijkt mij niet helemaal de bedoeling? Doe ik iets verkeerd?

    Beantwoorden
    • Jorrit van der Heide zei op

      Hi Ricardo,

      Bedankt voor je reactie. Dat lijkt me inderdaad niet de bedoeling. Voor de zekerheid vraag ik of je deze stappen ook hebt uitgevoerd:

      “Ga tenslotte terug naar je WordPress site en klik links op Instellingen -> Beveiliging onder ‘JetPack’. Schakel hier de functie ‘Sta gebruikers toe om op deze website in te loggen met WordPress.com-accounts’ in, evenals ‘Accounts moeten tweestapsverificatie van WordPress.com gebruiken’. Vanaf nu gebruik je de WordPress.com-login en ontvang je bij het inloggen een sms-beveiligingscode.”

      Daardoor zou je alleen nog maar via wordpress.com moeten kunnen inloggen. Laat me graag weten of dit het gewenste resultaat oplevert.

      Hartelijke groet,

      Jorrit

      Beantwoorden
  2. henrie van dun zei op

    Hoe kan ik 2FA code aanpassen
    Kan ik ook twee met twee personen op de site builder/

    Beantwoorden
    • Jorrit van der Heide zei op

      Beste Henrie,

      Bedankt voor je vraag. Dit blog gaat over 2FA voor WordPress en schetst een aantal oplossingen die je met behulp van plug-ins kunt inrichten. Waar wil je precies inloggen met 2FA?

      Als het om Sitebuilder gaat: je kunt in principe met meerdere personen aan een website werken, maar ik zou ervan afraden om met meerdere gebruikers gelijktijdig aan een project te werken.

      Hopelijk beantwoord dit je vragen?

      Hartelijke groet,

      Jorrit

      Beantwoorden

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie