Eén van de grootste risico’s om gehackt te worden is het gebruik van onveilige wachtwoorden. Online hebben hackers alle tijd om continu wachtwoorden uit te proberen, waardoor de kans groot is dat jouw wachtwoord op een dag geraden wordt. Dit geldt ook voor je WordPress website. Regelmatig sluiten nieuwe klanten zich aan op onze WordPress hackvrij abonnementen om hier voortaan vanaf te zijn.

Steeds vaker wordt tweetrapsauthenticatie (of 2FA: two-factor authentication) ingezet als techniek om het risico op malafide logins te minimaliseren. In dit artikel leggen we uit wat 2FA precies is en welke mogelijkheden er zijn om tweetrapsauthenticatie op je WordPress website te realiseren.

Wat is tweetrapsauthenticatie (2FA) voor WordPress?

Tweetrapsauthenticatie (2FA) vereist dat je je op twee verschillende manieren identificeert, zodat met grotere zekerheid kan worden vastgesteld dat je identificatie legitiem is. Een eenvoudig voorbeeld is de pintransactie: je dient niet alleen in het bezit te zijn van een pinpas, maar je moet ook de pincode weten.

Tweetrapsauthenticatie voor WordPress kan bijvoorbeeld betekenen dat je na een succesvolle login ook nog een code van je telefoon moet aflezen en invoeren. Mocht een hacker je wachtwoord dus ooit raden, dan kunnen ze alsnog niks omdat ze ook fysiek je telefoon nodig hebben voor de tweede handeling. De kans dat een hacker je wachtwoord raadt én je telefoon heeft weten te bemachtigen, is natuurlijk heel klein.

Mogelijkheden voor tweetrapsauthenticatie (2FA) voor WordPress

Je kunt je WordPress website op verschillende manieren beveiligen met tweetrapsauthenticatie (2FA). We bespreken hieronder vijf methodes om dit te doen.

1. Google Authenticator (gratis)

tweetrapsauthenticatie-wordpressEen veelgebruikte vorm van tweetrapsauthenticatie voor WordPress is de gratis oplossing met de plugin Google Authenticator. Deze plugin vereist naast een gebruikersnaam en wachtwoord op je WordPress website nu ook een code op je telefoon. Hiervoor moet je wel een smartphone hebben waarop je de gratis Google Authenticator App installeert. De app genereert voor jou een unieke code. Je typt de code in en je logt nu succesvol in. Zo’n code is 5 minuten geldig. Iemand die de code dus toevallig van je telefoon meeleest, heeft daar niks meer aan als hij er even later mee probeert in te loggen.

Google Authenticator wordt door steeds meer online diensten ondersteund, waardoor je maar één app op je telefoon nodig hebt om jouw accounts bij al die diensten extra te beveiligen. Denk aan de diensten van Google zelf, maar ook Dropbox, LastPass en Amazon. Erg handig dus!

2. Duo Security (gratis tot 10 gebruikers)

Duo Security biedt naast een app met dezelfde mogelijkheden als Google Authenticator ook nog enkele andere manieren als tweede stap om je te identificeren. duo-security-voor-wordpressZo kun je ervoor kiezen om gebeld te worden met een code, of om een USB-sleutelhanger te koppelen die je in je computer moet stoppen om je identiteit te bevestigen. Om Duo Security op je WordPress website te activeren heb je de Duo Two-Factor authentication plugin nodig.

Een groot voordeel van Duo Security is dat je meerdere gebruikers kunt toevoegen aan je account en dat je een specifiek beveiligingsbeleid kunt afdwingen. Dit is ideaal voor organisaties die voor meerdere medewerkers tweetrapsauthenticatie willen implementeren. Tot 10 gebruikers is dit zelfs gratis (met ietwat beperkte mogelijkheden). Bovendien kun je heel veel andere online diensten koppelen aan Duo Security.

3. YubiKey 4 ($ 40 per sleutel)

yubikey-wordpressDe YubiKey is een USB-sleutelhanger met een knopje erop. Wanneer je deze in je computer steekt kun je op het knopje drukken en wordt er door de sleutelhanger een unieke code ingetypt op je computer. Deze code is telkens anders en slechts één keer geldig. De geldigheid van de code wordt gecontroleerd door de servers van Yubico, het bedrijf achter de YubiKey. Vervolgens wordt je identiteit al dan niet bevestigt. De YubiKey heeft diverse veiligheidscertificeringen en is daarom heel geschikt voor bedrijven die zich aan strikte normen moeten houden. De YubiKey wordt bijvoorbeeld gebruikt door medewerkers van Google, Facebook, yubikey-wordpressmaar in Nederland ook bij de overheid op verschillende afdelingen waar medewerkers toegang hebben tot gevoelige informatie.

De YubiKey 4 kun je aanschaffen voor $ 40 bij Yubico of voor € 46,15 bij YubiKey Shop. Om de YubiKey met WordPress te integreren heb je de plugin Shield WordPress Security nodig. Je kunt dan bij ‘Login Protection’ je YubiKey activeren door de stappen te volgen in de instellingen.

4. NitroKey (€ 9 per sleutel)

nitrokey-voor-wordpressDe NitroKey is een USB-sleutelhanger die gemaakt is volgens de U2F-standaard. De U2F-standaard is onder andere ontwikkeld door Google en wordt helaas nog heel niet breed ondersteund. De NitroKey ‘typt’ voor jou niet een unieke code in zoals de YubiKey, maar maakt zichzelf eenmalig kenbaar aan je webbrowser wanneer je hem in de computer steekt. Een U2F-sleutel moet dus ook ondersteund worden door je webbrowser, waardoor de NitroKey nu helaas enkel nog te gebruiken is in nieuwere browsers van Chrome en Firefox. Daarmee is de NitroKey vooral handig wanneer je geen rekening hoeft te houden met meerdere gebruikers op verschillende computers en browsers. Verder is het vereist dat je website beveiligd is met een SSL-certificaat en dat je WordPress website dus draait onder een domeinnaam die begint met https://.

Bij het testen van de NitroKey kwamen we er trouwens achter dat deze op een Mac slecht contact maakt met de USB-poort. Op PC’s ging het testen zonder problemen. Je kunt de NitroKey aanschaffen op nitrokey.com. Verder heb je de Two Factor plugin voor WordPress nodig om je U2F-sleutel te koppelen.

5. Clef (gratis

clef-login-wordpressDe plugin Clef Two-Factor Authentication vliegt het concept van tweetrapsauthenticatie op een andere manier aan. In plaats van het invoeren van een gebruikersnaam en wachtwoord moet je de camera van je telefoon met de Clef app op je beeldscherm richten. Vervolgens wordt je automatisch ingelogd in WordPress. De app kun je alleen openen met een pincode, of met de vingerafdrukscanner op je telefoon.

De twee trappen van authenticatie zitten hem met Clef dus in het bezitten van je telefoon en het inloggen in de app. Op je website (of andere diensten die je aan Clef kunt koppelen) hoef je vervolgens helemaal geen gebruikersnaam en wachtwoord meer in te typen. Clef is gratis voor losse gebruikers, maar om distributie voor een hele organisatie te regelen betaal je $ 1.000 per maand.

Heb je zelf nog een tip? Vertel het ons hieronder!

Steve Lock

Steve Lock

Steve ontwikkelt WordPress websites en houdt zich bezig met online communicatie en website-optimalisatie.
Steve Lock

@stevelock

WordPress nerd
RT @sowmedia: De beste 100 gratis WordPress thema’s voor 2017 https://t.co/KFDyHZkcHS #wordpress via @sowmedia - 2 weken ago
Steve Lock