Home / WordPress / 2FA – Two-factor authenticatie instellen in WordPress

2FA – Two-factor authenticatie instellen in WordPress

2FA instellen in WordPress

Steeds meer websites maken gebruik of ondersteunen authenticatie in twee stappen, ook wel bekend als two-factor authentication of 2FA, om de beveiliging een stukje beter te maken.

Dit is natuurlijk niet voor niets. Je hebt al meer dan genoeg verhalen gehoord van mensen die gehackt zijn. Two-factor authenticatie zorgt wat dat betreft voor een dubbele beveiligingslaag.

Op je eigen website is beveiliging ook iets wat je ontzettend serieus moet nemen, net als grote websites als Google, Facebook, Twitter, Dropbox en WordPress.COM. Hier heb je overal de mogelijkheid om authenticatie in twee stappen in te schakelen.

Het is wat mij betreft zeker het overwegen waard om dit ook op je eigen WordPress website in te stellen.

In dit artikel ga ik dieper in op wat authenticatie in twee stappen precies is, wat het nut ervan is en hoe je dit op jouw WordPress website kunt krijgen.

Inhoudsopgave: 2FA – Two-Factor authenticatie

Wat is Authenticatie in twee stappen?

De naam verklapt het eigenlijk al een beetje. Authenticatie in twee stappen is een proces waarbij je jezelf twee keer moet verifiëren voordat je succesvol kunt inloggen. Het is een extra veiligheidsmaatregel om de veiligheid te verbeteren. In de meeste gevallen werkt het als volgt:

Als eerste moet je jouw gebruikersnaam en wachtwoord invoeren zoals je overal moet doen. Voordat je daadwerkelijk ingelogd wordt moet je nu nog een tweede stap doorlopen om je identiteit te bevestigen.

Je moet een gegenereerde beveiligingscode invoeren die één keer of van korte duur geldig is. Meestal kun je aan de beveiligingscode komen via een app als Google Authenticator, een SMS of geautomatiseerd telefoontje.

Het voordeel van deze methode is dat als iemand je gebruikersnaam en wachtwoord weet te achterhalen, dat deze persoon dan nog steeds niet kan inloggen. De extra beveiligingscode is tenslotte ook nog vereist.

Er zijn verder ook nog andere two-factor authenticatie methodes op de markt, maar meestal wordt bovenstaande methode gebruikt. Je herkent het wellicht al omdat je bij bankzaken bijvoorbeeld ook moet bevestigen dat jij het bent.

Ik zal nog twee totaal andere voorbeelden geven waar je in het dagelijkse leven mee te maken kunt krijgen. Ook dit kun je zien als authenticatie in twee stappen.

Voorbeeld 1: Wanneer je online betaald met een creditcard moet je meestal ook de veiligheidscode invullen die op de achterkant van de kaart staat. Het nummer van de creditcard alleen is in dit soort gevallen niet voldoende.

Voorbeeld 2: Wat dacht je ervan als je alcohol koopt? Wanneer je te jong geschat wordt zal er (als het goed is) om je identiteitskaart gevraagd worden om te verifiëren of je wel oud genoeg bent.

2FA is dus zeker niet iets nieuws wat net bedacht is, maar voor websites wordt het nog lang niet overal gebruikt.

Waarom authenticatie in twee stappen gebruiken?

Brute force attacks worden ontzettend vaak uitgevoerd op WordPress websites. Natuurlijk moet je een sterk wachtwoord nemen en kun je de inlogpogingen limiteren op je website om dit te voorkomen.

Wanneer een hacker echter toch op een bepaalde manier achter je wachtwoord komt, dan kan deze persoon nog steeds niets doen wanneer je gebruikmaakt van de two-factor authenticatie methode.

Authenticatie in twee stappen zorgt dus voor een extra veiligheidsmaatregel om de veiligheid te verbeteren. Het antwoord op de vraag “Waarom authenticatie in twee stappen gebruiken?” is dus eigenlijk vrij simpel:

Je maakt het kwaadwillende lastiger om via deze weg je website binnen te dringen en alles wat je kunt doen om het een kwaadwillende moeilijker te maken is de moeite waard om te doen.

Hoewel authenticatie in twee stappen je website een extra veiligheidslaag geeft, zorg het er wel voor dat het inlogproces minder gebruiksvriendelijk is. Het inlogproces is een beetje ingewikkelder en het rooft meer tijd (niet veel).

2FA instellen op je WordPress website

Ben je overtuigd en wil je two-factor authentication inschakelen op jouw WordPress website? Er zijn meerdere WordPress plugins die je hierbij kunnen helpen.

De plugin die ik je kan aanbevelen is: WP 2FA. Geen idee hoe je een plugin kunt installeren? Bekijk dan het artikel ‘Hoe je een WordPress plugin kunt installeren‘.

Zodra je WP 2FA hebt geïnstalleerd kom je in de installatie wizard terecht.

Installatie wizard van de plugin WP 2FA

Zelf vind ik dit wel een goede wizard om door te lopen, maar mocht je alles zelf willen doen kun je het ook overslaan. Ik stel voor dat je hier op knop ‘Laten we beginnen!’ klikt om verder te gaan.

Je krijgt nu twee authenticatie opties te zien. Je kunt beide aangevinkt laten, maar je kunt ook kiezen om een enkele authenticatie methode te gebruiken. De opties die je krijgt zijn:

  • Eenmalige code via 2FA app (TOTP)
  • Eenmalige code via e-mail (HOPT)

Persoonlijk ben ik zelf fan van de 2FA app methode. Dit werkt in combinatie met apps als Google Authenticator, Authy of andere 2FA apps die een persoon gebruikt. Het is hierdoor veilig en de meest stabiele optie.

Ik vind het verder overdreven om beide opties aangevinkt te laten, maar de keuze is geheel aan jou wat je wil doen.

Wanneer je de eenmalige code via e-mail gaat aangevinkt laat staan, zorg er dan wel voor dat je 100% zeker weet dat mails via je website goed verzonden worden, anders werkt het niet.

Wanneer je de opties hebt gekozen die je wil gebruiken voor je website kun je op de knop ‘Doorgaan met configuratie’ klikken.

Wanneer een gebruiker het niet lukt om in te loggen via een 2FA methode, kan een back-up code gebruikt worden. Het is een handige optie om aan te laten staan.

Een back-up code kan maar eenmalig gebruikt worden. Wel kun je altijd nog een nieuwe genereren als je eenmaal bent ingelogd. Klik wederom weer op ‘doorgaan met configuratie’ om naar de volgende insteloptie te gaan.

Heb je een website met meerdere gebruikers en wil je dat iedereen, of slechts een deel van de gebruikers, gebruik moet maken van de two-factor authenticatie optie? Dit is het moment waarop je dit kunt bepalen. Je kunt gaan voor de opties:

  • Alle gebruikers: Dus echt iedereen moet het instellen. Op de volgende pagina kun je echter wel gebruikers of rollen uitsluiten.
  • Alleen voor specifieke gebruikers en rollen: Je kunt dan bijvoorbeeld de belangrijkste rollen als beheerder verplichten en leden van je leeromgeving het optioneel aanbieden.
  • Niet afdwingen op gebruikers: Iedere gebruiker kan zelf bepalen of 2FA gebruikt wordt.

Kies de optie die je voor jouw website wil gebruiken en klik vervolgens weer op de knop ‘Doorgaan met configuratie’.

Deze optie zie je enkel als je voor ‘Alle gebruikers’ of ‘Alleen voor specifieke gebruikers en rollen’ hebt gekozen. Je kunt hier eventueel nog uitzonderingen op de regel maken. Vul de desbetreffende gebruikers of gebruikersrollen in en klik op ‘Doorgaan met configuratie’ om verder te gaan.

Respijtperiode gebruikers instellen in WordPress

Je kunt nu aangeven hoe snel gebruikers op je website verificatie in twee stappen moeten configureren. Je kunt aangeven dat dit meteen moet, dan is het direct bij het inloggen noodzakelijk om in te stellen.

Een andere optie is dat je gebruikers een x aantal uren of dagen de tijd geeft. Wanneer een gebruiker dit niet doet kun je aangeven wat er moet gebeuren. Zo kun je gebruikers toegang geven tot de gebruikerspagina om het alsnog in te stellen of je kunt gebruikers volledig blokkeren. Maak je keuze en klik vervolgens op de knop ‘Helemaal klaar’.

Installatie voltooien 2FA

De plugin is nu succesvol geconfigureerd, dus dat heb je goed gedaan. Het enige wat je nu nog wel moet doen, is 2FA configureren voor je eigen gebruikersaccount. Je kunt dit het best meteen doen, dus je kunt hier op ‘Configureer nu 2FA’ klikken.

2FA instellen voor je gebruikersaccount

2FA kun je direct instellen nadat je de installatie wizard volledig hebt uitgevoerd zoals hierboven beschreven staat. Wanneer je de wizard echter afsluit krijg je ook netjes overal in het dashboard te zien dat je 2FA kunt instellen voor je gebruikersaccount.

Configureer 2FA melding in WordPress dashboard.

Het is zaak om hier op de knop ‘Configureer nu 2FA’ te klikken. Je krijgt dan het volgende te zien.

2FA methode kiezen in WordPress

Afhankelijk van je gekozen opties, code via app of e-mail, kun je als gebruiker een 2FA methode kiezen. Zelf doe ik het altijd via een app. Wanneer je een methode hebt geselecteerd kun je klikken op volgende stap. Wanneer je voor 2FA via app hebt gekozen krijg je het volgende te zien:

Je kunt deze QR code scannen met de authenticatie app waar je gebruik van wil maken. Bekende apps zijn Authy en Google Authenticator.

Ik gebruik zelf Authy. Het is hier een kwestie van op ‘add account’ klikken en dan krijg je onderstaand scherm te zien.

Het is hier een kwestie van op ‘Scan QR Code’ klikken en dan kun je de QR code van je website scannen. De website komt vervolgens in je authy overzicht te staan. Wanneer je erop klikt zal je een eenmalig wachtwoord zien staan die op dat moment nog x seconden geldig is. Je kunt deze code gebruiken om in te loggen.

Klik op je website op de knop ‘Ik ben klaar’ om verder te gaan.

Authenticatie code verifiëren

Voordat 2FA volledig actief is voor jou als gebruiker zal je nog even moeten valideren dat het allemaal goed is gegaan. Vul daarom de eenmalige code in die je via je authenticatie app te zien krijgt en klik op ‘Valideer & Opslaan’.

Wanneer je de juiste code hebt ingevuld krijg je te zien dat twee-factor authenticatie ingeschakeld is. Je account is hiermee veiliger geworden.

Om er zeker van te zijn dat je altijd kunt inloggen, ook als bijvoorbeeld de authenticatie app het opeens niet meer doet, kun je een lijst met back-up codes maken. Je kunt deze codes eenvoudig genereren door op de knop ‘Maak een lijst van back-up codes’ te klikken.

Gegenereerde back-up codes

Je kunt de gegenereerde codes kopiëren en ergens plakken, uitprinten of laten versturen naar je e-mailadres. Kies voor jou de meest veilige optie en bewaar de codes goed. Je kunt nu op ‘Ik ben klaar’ klikken. Alles is helemaal gelukt.

Hoe ziet de 2FA inlogpagina eruit?

De standaard inlogpagina zal er net zo uitzien als altijd. Wanneer je echter een correcte gebruikersnaam en wachtwoord hebt ingevuld, krijg je wel een 2FA veld te zien.

2FA inloggen in WordPress

Conclusie

Kwaadwillende zullen niet verdwijnen. Het is hierdoor belangrijk om de veiligheid van je website zo goed mogelijk op orde te houden.

Naast het hebben van een sterk wachtwoord kun je met authenticatie in twee stappen voor een extra veiligheidslaag zorgen, waardoor het weten van een gebruikersnaam en wachtwoord niet genoeg is om binnen te dringen op je website.

Authenticatie in twee stappen zorgt er overigens niet voor dat je website compleet veilig is. Wanneer een hacker een lek vindt waar geen inloggegevens voor nodig zijn om binnen te dringen, dan helpt deze extra toevoeging ook niet.

Met de informatie uit dit artikel hoop ik dat je voldoende kennis hebt opgedaan om een goede beslissing te nemen of je de two-factor authenticatie (2FA) methode wel of niet inschakelt op je website. Wanneer je toch bezig bent zou je het ook direct kunnen inschakelen voor je Google account.

Maak jij al gebruik van authenticatie in twee stappen op je eigen website of op een andere website? Laat gerust hieronder in de reacties weten of je er gebruik van maakt en wat je mening over two-factor authenticatie is.


WordPress Hulp Nodig? Join Het WP Lab

Het WordPress Lab Mockup

Heb je vragen aan de hand van dit artikel of wil je verder op weg geholpen worden met je website?

Sluit je aan bij Het WordPress lab, een community voor WordPress-liefhebbers waarin ik antwoord geef op jouw WordPress vragen en je toegang krijgt tot al mijn WordPress cursussen.

«
»

4 reacties op “2FA – Two-factor authenticatie instellen in WordPress”

  1. Stefan avatar
    Stefan

    Dank voor deze interessante blog!

    Waar ik tegenaan loop is hoe ik als Beheerder 2fa kan instellen (of afdwingen) voor een Redacteur.

    Heb je daar nog tips voor?

    1. Maikel van de Weerd avatar

      Je kunt met de plugin uit het artikel afdwingen dat de redacteur rol 2fa moet instellen. Zie onder het kopje 2FA instellen op je WordPress website, dan komt het op een gegeven moment naar voren.

  2. Johan avatar
    Johan

    Hi, begrijp ik goed dat 2fa alleen middels een plugin op te zetten is? Hoe kan het dat het niet native in WP zit?

    1. Maikel van de Weerd avatar

      Klopt, 2fa zit er nog niet standaard in. Wellicht dat het in de toekomst komt. Zou niet meer dan normaal zijn tegenwoordig.