Authenticatie in twee stappen voor WordPress

Steeds meer websites maken gebruik of ondersteunen authenticatie in twee stappen, ook bekend als two-factor authentication, om de beveiliging een stukje beter te maken.

Dit is natuurlijk niet voor niets. Je hoort steeds meer verhalen op het nieuws over welke website er nu weer gehackt is.

Beveiliging is iets wat je ontzettend serieus moet nemen en waar je zoveel mogelijk aan moet doen. Je hebt daarom bij grote websites als Google, Facebook, Twitter, Dropbox en WordPress.COM al de mogelijkheid om authenticatie in twee stappen in te schakelen. Het is zeker het overwegen waard om dit ook op je eigen WordPress website in te stellen.

In dit artikel ga ik dieper in op wat authenticatie in twee stappen precies is, wat het nut ervan is en hoe je dit op jouw WordPress website kunt krijgen.

Wat is Authenticatie in twee stappen?

De naam verklapt het eigenlijk al een beetje. Authenticatie in twee stappen is een proces waarbij je jezelf twee keer moet verifiëren voordat je succesvol kunt inloggen. Het is een extra veiligheidsmaatregel om de veiligheid te verbeteren en in de meeste gevallen werkt het als volgt:

Als eerste moet je jouw gebruikersnaam en wachtwoord invoeren zoals je overal moet doen. Voordat je inlogt moet je echter nog een tweede stap doorlopen om je identiteit te bevestigen.

Je moet ook nog een gegenereerde beveiligingscode invoeren die één keer of van korte duur geldig is. Meestal krijg je de beveiligingscode via een SMS, geautomatiseerd telefoontje of een aparte app.

Wanneer iemand je gebruikersnaam en wachtwoord weet te achterhalen kan er nog steeds niet ingelogd worden omdat er ook nog een extra beveiligingscode vereist is.

Er zijn verder ook nog andere two-factor authentication methodes op de markt, maar meestal wordt bovenstaande methode gebruikt. Het klinkt wellicht allemaal vrij nieuw, maar we maken eigenlijk al veel vaker gebruik van vergelijkbare methodes. Ik zal even twee voorbeelden geven.

Voorbeeld 1: Wanneer je online betaald met een creditcard moet je meestal ook de veiligheidscode invullen die op de achterkant van de kaart staat. Het nummer van de creditcard alleen is in dit soort gevallen niet voldoende.

Voorbeeld 2: Wat dacht je ervan als je alcohol koopt? Wanneer je te jong geschat wordt zal er (als het goed is) om je identiteitskaart gevraagd worden om te verifiëren of je wel oud genoeg bent.

Het is dus zeker niet iets nieuws wat net bedacht is, maar voor websites zou je kunnen zeggen dat het nog wel relatief nieuw is omdat het nog niet heel bekend is.

Waarom authenticatie in twee stappen gebruiken?

Brute force attacks worden ontzettend vaak uitgevoerd op WordPress websites. Natuurlijk moet je een sterk wachtwoord nemen en kun je de inlogpogingen limiteren op je website om dit te voorkomen.

Wanneer een hacker echter toch op een bepaalde manier achter je wachtwoord komt, dan kan hij of zij nog steeds niets doen wanneer je gebruikmaakt van de two-factor authentication methode.

Authenticatie in twee stappen zorgt dus voor een extra veiligheidsmaatregel om de veiligheid te verbeteren. Het antwoord op de vraag “Waarom authenticatie in twee stappen gebruiken?” is dus eigenlijk vrij simpel:

Je maakt het hackers lastiger om via deze weg je website binnen te dringen en alles wat je kunt doen om het een hacker moeilijker te maken is de moeite waard om te doen.

Hoewel authenticatie in twee stappen je website een extra veiligheidslaag geeft, zorg het er wel voor dat het inlogproces minder gebruiksvriendelijk is. Het inlogproces is een beetje ingewikkelder en het rooft meer tijd (niet veel).

Two-factor authentication instellen op je WordPress website

Ben je overtuigd en wil je een two-factor authentication plugin installeren op je WordPress website? Er zijn meerdere plugins waarmee je dit voor elkaar kunt krijgen.

Google AuthenticatorIn dit artikel laat ik zien hoe je het kunt instellen in combinatie met de Google Authenticator app, de populairste optie.

Google Authenticator is een app voor Android, iOS en BlackBerry waarmee je de beveiligingscodes kunt ontvangen die je moet invoeren. Het kan zijn dat je al gebruikmaakt van deze app voor bijvoorbeeld Gmail, Google Drive of een ander programma.

Naast dat je de app nodig hebt moet je ook de gelijknamige WordPress plugin Google Authenticator installeren op je website. Nadat je de plugin hebt geïnstalleerd komt er geen nieuwe menu-item waar je terecht kunt voor de instellingen, maar moet je naar “Gebruikers -> Je profiel” gaan om de instellingen van de plugin te bekijken.

Google authenticator instellingen

Bij “Description” kun je een beschrijving/naam invullen waaraan je de website kunt herkennen in de Google app. Bij “Secret” zie je de code staan die je kunt invoeren om je website met de app te koppelen. Een andere optie is om op “Show/Hide QR code” te klikken en met de Google Authenticator app de QR code te scannen.

WordPress website toevoegen aan de Google Authenticator app

Wanneer je een beschrijving hebt ingevuld kun je jouw website toevoegen aan de app. Ik zal hieronder uitleggen hoe ik het op mijn Android telefoon heb gedaan. Heb je een iPhone of Blackberry, dan zal het er net iets anders uitzien.

Je kunt je website toevoegen door rechtsboven in het menu van de Google Authenticator app op “Account instellen” te klikken. Je kunt vervolgens kiezen uit de volgende twee mogelijkheden:

Website toevoegen aan de Google Authenticator App

Het minste werk is om een streepjescode (QR code) te scannen, maar je kunt eventueel ook de code invoeren.

Wanneer je jouw website succesvol hebt toegevoegd kom je op onderstaande pagina terecht en krijg je in het vervolg altijd een code te zien die je kunt gebruiken om in te loggen op je website.

Google Authenticator code

De verificatiecode zal maximaal een minuut geldig zijn en wanneer de tijd verstreken is verschijnt er een nieuwe code. Het is belangrijk dat de tijd op je smartphone en computer synchroon lopen omdat de code tijdsgebonden is. Zit er meer dan een minuut tussen, dan zal de code niet werken.

Authenticatie in twee stappen activeren op je website

Wanneer je website succesvol is gekoppeld aan de app kun je “Active” aanvinken om aan te geven dat vanaf dat moment bij alle inlogpogingen op jouw account een Google Authenticator verificatieode nodig is. De inlogformulier van WordPress zal er als volgt uitzien:

WordPress inlogpagina met Google Authenticator code

Verder heb je ook de mogelijkheid om twee andere opties in te stellen. Zo kun je met “Relaxed Mode” ervoor zorgen dat de code die je moet invoeren langer geldig is dan 1 minuut (ongeveer 4 minuten). Zolang je ervoor zorgt dat de tijd op je smartphone en computer synchroon lopen zal je dit waarschijnlijk niet hoeven aan te vinken.

Met “Enable app Password” hoef je in de meeste gevallen ook niets te doen. Je hoeft er alleen wat mee te doen wanneer je via de XML-RPC interface wilt inloggen. Je logt via deze interface in wanneer je bijvoorbeeld gebruikmaakt van de WordPress iOS app of Windows Live Writer. Indien je “Enable app Password” inschakelt verminder je ook direct de security van je website, dit is dus niet aan te raden.

Nadat je alles hebt ingesteld moet je tot slot natuurlijk niet vergeten om onderaan de pagina op “Profiel bijwerken” te klikken.

Gefeliciteerd, je website heeft vanaf nu een extra veiligheidslaag waarmee je het hackers wat moeilijker maakt om binnen te dringen.

Deze plugin werkt overigens per gebruiker en is dus ook geschikt voor websites met meerdere auteurs. Elke gebruiker zal een unieke secret code krijgen waarmee de Google Authenticator app ingesteld kan worden.

Conclusie

Hackers zullen niet verdwijnen en het is hierdoor belangrijk om de veiligheid van je website zo goed mogelijk op orde te hebben.

Naast het hebben van een sterk wachtwoord kun je met authenticatie in twee stappen voor een extra veiligheidslaag zorgen, waardoor het weten van een gebruikersnaam en wachtwoord niet genoeg is om via deze manier binnen te dringen op je website.

Authenticatie in twee stappen zorgt er overigens niet voor dat je website compleet veilig is. Wanneer een hacker een lek vindt waar geen inloggegevens voor nodig zijn om binnen te dringen, dan helpt deze extra toevoeging ook niet.

Met de informatie uit dit artikel hoop ik dat je voldoende kennis hebt opgedaan om een goede beslissing te nemen of je de two-factor authentication methode wel of niet inschakelt op je website. Wanneer je toch bezig bent zou je het ook direct kunnen inschakelen voor je Google account.

Maak jij al gebruik van authenticatie in twee stappen op je eigen website of op een andere website? Laat gerust hieronder in de reacties weten of je er gebruik van maakt en wat je mening over two-factor authentication is.

4 reacties Voeg ook een reactie toe

  1. Mijn wordpress app vraagt bij het toevoegen van site nadat ik mijn gegevens heb ingevoert van mijn site met een pop-up om nog maals inlog gegevens en wachtwoord. Met daarboven de authenticatie verplicht tekst. Is dat dan dit artikel waar jij het over hebt? Ik heb dit niet eerlijk gehad en sinds vandaag ineens die problemen. De app gaf vanzelf aan dat ik opnieuw moest inloggen.

    • Kan gedeeltelijk met dit artikel te maken hebben. Het zal niet de Google Authenticator plugin zijn, maar het kan wel degelijk een vorm zijn van authenticatie in 2 stappen (indien je verschillende inloggegevens moet invullen).

      Ik ben zelf niet heel bekend met de app dus weet niet precies wat voor melding je gezien hebt.

      Diverse hostingproviders hebben om brute force attacks te voorkomen echter ook de inlogpagina beveiligd, zodat deze aanvallen niet werken. Wellicht dat dit ermee te maken heeft, maar dat durf ik niet met zekerheid te zeggen.

  2. Stel dat mijn mobiele telefoon niet meer werkt, of ik raak hem kwijt, is er dan nog een escape?

    • Ja, er is een escape mogelijk. Via FTP kun je naar wp-content/plugins gaan om vervolgens de map “google-authenticator” te hernoemen. De plugin zal vervolgens automatisch gedeactiveerd worden en dan kun je weer inloggen.

Geef een reactie