Bij Kinsta nemen we beveiliging uiterst serieus. Om die reden bieden wij al onze klanten twee-factor authenticatie. Niets is erger dan dat iemand ongewild toegang krijgt tot al jouw sites! Deze functie is beschikbaar in ons MyKinsta-dashboard en we raden iedereen ten zeerste aan ervan te profiteren. Vandaag bespreken we waarom twee-factor authenticatie zo belangrijk is voor WordPress, hoe onze 2FA-feature werkt en leggen we uit hoe je helemaal gratis twee-factor authenticatie inschakelt voor jouw WordPress-site.

Waarom twee-factor authenticatie zo belangrijk is

Als je de top CMS-platforms eens goed bekijkt, zoals Joomla!, Drupal en Magento; dan zul je zien dat WordPress aan kop gaat met een marktaandeel van meer dan 35,2%. Deze populariteit heeft ook een keerzijde: WordPress-sites worden vaker aangevallen dan websites op andere platforms. Toch betekent dit niet dat het ene platform veiliger is dan het andere. De voornaamste reden dat er meer WordPress-sites worden aangevallen is omdat er simpelweg meer WordPress-sites zijn.

Een tweede reden is nalatigheid van website-eigenaren. We zijn enorm fan van WordPress, vooral vanwege het feit dat vrijwel iedereen ermee kan beginnen en er een mooie site mee kan opbouwen. Dit betekent echter ook dat er een boel beginners zijn onder de website-eigenaren, waarbij de kans nou eenmaal groter is dat ze fouten maken in het beveiligen van hun websites, zoals het niet uitvoeren van updates, makkelijke wachtwoorden, fouten maken met de juiste machtigingen, enz.

WordFence deed in 2016 een enquête onder een grote groep WordPress-sitebeheerders en vroeg ze het volgende: “In het geval je site in de afgelopen periode is gehackt, geef dan aan hoe de aanvallers toegang kregen tot je site.” 61,5% antwoordde hierop dat ze niet wisten hoe de aanvallers toegang kregen tot hun site.

Ook voerden ze onderzoek uit naar wat aanvallers deden met gecompromitteerde WordPress-sites. Zoals je ziet, wordt 25% doorgaans offline gehaald of onleesbaar gemaakt. Dit is waarschijnlijk een van de ergste dingen dat je kan overkomen als je een bedrijf hebt dat runt op WordPress. En dat is ook de reden waarom je preventief hacks wil voorkomen. Voorkomen is immers beter dan genezen.

Wat WordPress-hackers doen

Wat WordPress-hackers doen

Er zijn veel manieren om een WordPress-site te beveiligen. Een simpele aanpassing is het veranderen van de login-URL van WordPress. Hiermee zal je meteen het aantal mislukte inlogpogingen op je WordPress-site zien slinken, omdat veel bots en scripts de standaard-URL’s gebruiken. Een van de belangrijkste dingen die je kan doen is echter een complex wachtwoord kiezen.

Appeltje-eitje, toch? Nou… dat valt tegen. Elk jaar publiceert SplashData een lijst met welke wachtwoorden het vaakst zijn gehackt, gerangschikt op populariteit. Bekijk de lijst van 2018 maar eens:

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Niet best toch? Het meest populaire wachtwoord is “123456” met een verbazingwekkend “password” op plek twee. Dat is een van de redenen waarom we bij Kinsta een complex wachtwoord forceren voor de wp-admin login als je een nieuwe WordPress-website installeert (zie hieronder de schermafbeelding van ons one-click-installatieproces).

Forceer het genereren van een veilig wachtwoord

Forceer het genereren van een veilig wachtwoord

Beveiliging begint bij de basis. Google geeft een aantal goede tips om een sterk wachtwoord te kiezen. Een van hun aanbevelingen is het gebruik van twee-factor authenticatie.

Beveiliging begint bij de basis. Gebruik twee-factor authenticatie en sterke wachtwoorden! Ze zijn er met een reden. 🔒 Click to Tweet

Twee-staps authenticatie breidt het inlogproces uit van 1 stap naar 2, waardoor je niet alleen je wachtwoord gebruikt, maar ook nog een andere methode. Over het algemeen is dit een sms, telefoontje of een wachtwoord dat je binnen een bepaalde tijd moet invoeren (time-based one-time password, oftewel TOTP). In de meeste gevallen is dit 100% in het voorkomen van brute force-aanvallen op je WordPress-site. Waarom? Omdat het een zo goed als onmogelijk scenario is dat de aanvaller zowel je wachtwoord als je telefoon heeft.

Lees hieronder meer over het inschakelen van twee-factor authenticatie bij WordPress.

Kinsta twee-factor authenticatie

Twee-factor authenticatie bestaat uit twee delen. Het eerste is je account en/of je dashboard die je hebt bij je webhostingprovider. Als iemand toegang hiertoe toegang krijgt, dan kunnen ze je wachtwoord veranderen, je websites verwijderen, DNS-records wijzigen en allerlei andere vreselijke dingen. Maar geen zorgen, Kinsta biedt aan alle klanten twee-factor authenticatie in je MyKinsta-dashboard.

Ook zijn we een partnerschap aangegaan met Authy. Dit bedrijf heeft een solide trackrecord in het bieden van veilige oplossingen voor login-authenticatie voor grote bedrijven als CloudFlare, Twitch, Coinbase en SendGrid. Ze hebben desktop- en mobiele apps voor elk platform, inclusief browserextensies.

CloudFlare zegt dat Authy “een prachtige, simpele, elegante app heeft gemaakt die TOTP implementeert.” – Techcrunch

Om deze in te schakelen, klik je op je avatar linksonder in je MyKinsta-dashboard en ga je naar “Gebruikersinstellingen”. Scrol naar beneden en klik op de knop “Twee-factor authenticatie inschakelen”.

Twee-factor authenticatie inschakelen in MyKinsta

Twee-factor authenticatie inschakelen in MyKinsta

Vervolgens word je gevraagd om je land te selecteren en je mobiele telefoonnummer in te voeren. Klik op “Inschakelen”.

Twee-factor authenticatie configureren

Twee-factor authenticatie configureren

Wanneer 2FA is ingeschakeld, zie je dit onder de kolom 2FA in de pagina “Gebruikersbeheer”. Als 2FA wordt uitgeschakeld binnen je account, dan ontvang je meteen een e-mailnotificatie. Als je een van deze meldingen ontvang, maar je hebt 2FA niet uitgeschakeld, neem dan direct contact op met ons supportteam.

MyKinsta twee-factor authenticatie (2FA)

MyKinsta twee-factor authenticatie (2FA)

Twee opties om opnieuw in te loggen

Als het aankomt op opnieuw inloggen, heb je twee verschillende opties.

Optie 1: sms via mobiel apparaat

De eerste optie is om een sms-bericht te ontvangen op je mobiele apparaat. De volgende keer dat je inlogt bij je MyKinsta-dashboard, klik je op “Request New Code” en je krijgt een unieke code opgestuurd naar je mobiele apparaat.

Nieuwe code opvragen

Nieuwe code opvragen

Optie 2: Authy

De twee optie is om een gratis applicatie te gebruiken genaamd Authy. Het voordeel van het gebruik van Authy is dat ze applicaties hebben voor alle apparaten, inclusief je desktop, mobiel en zelfs een browserextensie. Om dit te configureren, moet je de Authy-app installeren op je mobiele apparaat of via je browser. Start de app en bevestig je telefoonnummer. Om de registratie-PIN te krijgen kan je kiezen om gebeld te worden (door een computer) of een sms te ontvangen.

Instellen Authy-app

Instellen Authy-app

De volgende keer dat je inlogt bij je MyKinsta-dashboard, word je in een venster gevraagd naar je authenticatiecode.

Authy-code

Authy-code

Start simpelweg je Authy-app op en deze maakt een (tijdelijke) code voor je aan die je kan invoeren. Als je gebruikmaakt van de browserextensie, dan zou deze automatisch moeten verschijnen.

MyKinsta Authy

MyKinsta Authy

En dat is het! Je kan nu met een gerust hart slapen, wetende dat je Kinsta-account een stuk veiliger is!

WordPress twee-factor authenticatie inschakelen

Nu je je Kinsta-dashboard hebt beveiligd, wil je wellicht ook twee-factor authenticatie inschakelen op je WordPress-website. We raden een van de volgende twee plugins aan.

Downtime en WordPress problemen? Kinsta is de hosting oplossing speciaal ontworpen om jou tijd te besparen! Bekijk onze kenmerken

Two Factor Authentication

De WordPress-plugin Two Factor Authentication is ontwikkeld door de makers van UpdraftPlus, de populaire back-up-plugin. Standaard ondersteunt de plugin TOTP + HOTP procotollen (Google Authenticator, Authy en nog veel meer). Er is een gratis en premium versie.

Two Factor Authentication WordPress plugin

Two Factor Authentication WordPress plugin

Momenteel heeft de plugin meer dan 10.000 actieve installaties met een score van 4,5 uit 5 en de volgende features:

  • Grafische QR-codes voor gemakkelijke mobiele scans
  • Bevat ondersteuning voor de inlogformulieren van WooCommerce en Affiliates-WP
  • WordPress Multisite compatibel (plugin moet in de netwerkinstallatie geactiveerd zijn)
  • Noodcodes en premium designlay-outs (premium versie)

Google Authenticator

Als je op zoek bent naar een volledig gratis oplossing, dan is Google Authenticator WordPress-plugin meer dan geschikt. Opmerking: Dit betekent wel dat je moet wisselen tussen twee verschillende apps. Je kan zelf beslissen welke voor jouw omgeving het meest geschikt is. Als je niet meer dan een app wil gebruiken, dan is upgraden naar hun starterspakket misschien de beste keuze. In dit voorbeeld gebruiken we de gratis Google Authenticator.

De plugin Google Authenticator heeft meer dan 30.000 actieve installaties met een score van 4,5 uit 5 sterren. De plugin is helemaal gratis en je kan hem opzetten voor een onbeperkt aantal gebruikers. De meeste andere authenticatieplugins zijn gelimiteerd, tenzij je upgradet naar een betaald abonnement. Je kan de plugin Google Authenticator downloaden uit de WordPress-bibliotheek of door een zoekopdracht uit te voeren in je WordPress-dashboard onder “Nieuwe toevoegen” bij plugins.

Zodra de plugin geïnstalleerd is kan je klikken op een gebruikersprofiel, deze als actief markeren en een nieuwe geheime sleutel aanmaken – of de QR-code scannen.

Instellingen Google Authenticator

Instellingen Google Authenticator

Vervolgens kan je een van de gratis Authenticator-app op je telefoon gebruiken:

Nadat je een van deze hebt ingeschakeld, heb je naast je normale wachtwoord ook de code nodig van de Google Authenticator-app op je telefoon. Je zal nu zien dat er een extra veld is bijgekomen op je WordPress-inlogpagina. Deze plugin is trouwens volledig compatibel met de plugin die we eerder aanbevolen om je WordPress-inlog-URL te wijzigen.

google authenticator wordpress login

Google Authenticator WordPress login

En dat was het! Je hebt nu twee-factor authenticatie ingeschakeld op je Kinsta-account én op je WordPress-website.

Samenvatting

We zijn verheugd om twee-factor authenticatie aan te bieden aan klanten van Kinsta, omdat dit een van de meest aangevraagde functies was. Het beveiligen van je WordPress-websites is nu veel eenvoudiger! Zorg ook dat je onze meer geavanceerdere gids over WordPress-beveiliging leest om te zien hoe je je site écht kan vergrendelen.

Heb je nog vragen over hoe WordPress twee-factor authenticatie werkt? Laat gerust hieronder een reactie achter of open een supportticket vanuit je MyKinsta-dashboard.


Als je dit artikel leuk vond, dan zul je gek zijn op Kinsta’s WordPress hosting platform. Of het nu gaat om het versnellen van jouw website of het krijgen van 24/7 support van ons ervaren WordPress-team. Onze door Google Cloud aangedreven infrastructuur is gericht op automatische schaalbaarheid, prestaties en beveiliging. Laat ons jou het Kinsta verschil tonen! Bekijk onze pakketten