Bij Kinsta nemen we beveiliging uiterst serieus. Om die reden bieden wij al onze klanten twee-factor authenticatie. Niets is erger dan dat iemand ongewild toegang krijgt tot al jouw sites! Deze functie is beschikbaar in ons MyKinsta-dashboard en we raden iedereen ten zeerste aan ervan te profiteren. Vandaag bespreken we waarom twee-factor authenticatie zo belangrijk is voor WordPress, hoe onze 2FA-feature werkt en leggen we uit hoe je helemaal gratis twee-factor authenticatie inschakelt voor jouw WordPress-site.

Waarom twee-factor authenticatie zo belangrijk is

Als je de top CMS-platforms eens goed bekijkt, zoals Joomla!, Drupal en Magento; dan zul je zien dat WordPress aan kop gaat met een marktaandeel van meer dan 35,2%. Deze populariteit heeft ook een keerzijde: WordPress-sites worden vaker aangevallen dan websites op andere platforms. Toch betekent dit niet dat het ene platform veiliger is dan het andere. De voornaamste reden dat er meer WordPress-sites worden aangevallen is omdat er simpelweg meer WordPress-sites zijn.

Een tweede reden is nalatigheid van website-eigenaren. We zijn enorm fan van WordPress, vooral vanwege het feit dat vrijwel iedereen ermee kan beginnen en er een mooie site mee kan opbouwen. Dit betekent echter ook dat er een boel beginners zijn onder de website-eigenaren, waarbij de kans nou eenmaal groter is dat ze fouten maken in het beveiligen van hun websites, zoals het niet uitvoeren van updates, makkelijke wachtwoorden, fouten maken met de juiste machtigingen, enz.

WordFence deed in 2016 een enquête onder een grote groep WordPress-sitebeheerders en vroeg ze het volgende: “In het geval je site in de afgelopen periode is gehackt, geef dan aan hoe de aanvallers toegang kregen tot je site.” 61,5% antwoordde hierop dat ze niet wisten hoe de aanvallers toegang kregen tot hun site.

Ook voerden ze onderzoek uit naar wat aanvallers deden met gecompromitteerde WordPress-sites. Zoals je ziet, wordt 25% doorgaans offline gehaald of onleesbaar gemaakt. Dit is waarschijnlijk een van de ergste dingen dat je kan overkomen als je een bedrijf hebt dat runt op WordPress. En dat is ook de reden waarom je preventief hacks wil voorkomen. Voorkomen is immers beter dan genezen.

Wat WordPress-hackers doen
Wat WordPress-hackers doen

Er zijn veel manieren om een WordPress-site te beveiligen. Een simpele aanpassing is het veranderen van de login-URL van WordPress. Hiermee zal je meteen het aantal mislukte inlogpogingen op je WordPress-site zien slinken, omdat veel bots en scripts de standaard-URL’s gebruiken. Een van de belangrijkste dingen die je kan doen is echter een complex wachtwoord kiezen.

Appeltje-eitje, toch? Nou… dat valt tegen. Elk jaar publiceert SplashData een lijst met welke wachtwoorden het vaakst zijn gehackt, gerangschikt op populariteit. Bekijk de lijst van 2018 maar eens:

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Niet best toch? Het meest populaire wachtwoord is “123456” met een verbazingwekkend “password” op plek twee. Dat is een van de redenen waarom we bij Kinsta een complex wachtwoord forceren voor de wp-admin login als je een nieuwe WordPress-website installeert (zie hieronder de schermafbeelding van ons one-click-installatieproces).

Forceer het genereren van een veilig wachtwoord
Forceer het genereren van een veilig wachtwoord

Beveiliging begint bij de basis. Google geeft een aantal goede tips om een sterk wachtwoord te kiezen. Een van hun aanbevelingen is het gebruik van twee-factor authenticatie.

Twee-staps authenticatie breidt het inlogproces uit van 1 stap naar 2, waardoor je niet alleen je wachtwoord gebruikt, maar ook nog een andere methode. Over het algemeen is dit een sms, telefoontje of een wachtwoord dat je binnen een bepaalde tijd moet invoeren (time-based one-time password, oftewel TOTP). In de meeste gevallen is dit 100% in het voorkomen van brute force-aanvallen op je WordPress-site. Waarom? Omdat het een zo goed als onmogelijk scenario is dat de aanvaller zowel je wachtwoord als je telefoon heeft.

Lees hieronder meer over het inschakelen van twee-factor authenticatie bij WordPress.

Kinsta twee-factor authenticatie

Bij Kinsta nemen we gebruikersbeveiliging uiterst serieus. Om onze klanten te helpen hun MyKinsta accounts en WordPress sites te beschermen, ondersteunen we op Authenticator gebaseerde 2FA authenticatie.

In vergelijkin met de traditionele op sms gebaseerde 2FA methode – die inlogcodes via sms verzendt – gebruikt onze op Authenticator gebaseerde methode dynamisch gegenereerde codes in Google Authenticator, 1Password en andere 2FA apps. Dit betekent dat je 2FA configuratie is beschermd tegen beveiligingsaanvallen als het wisselen van SIM kaarten.

We raden dan ook aan om 2FA in te schakelen voor al je internetdiensten die dit ondersteunen. Om twee-factor authenticatie in te schakelen, kan je het best even ons kennisbankartikel lezen.

WordPress twee-factor authenticatie inschakelen

Nu je je Kinsta-dashboard hebt beveiligd, wil je wellicht ook twee-factor authenticatie inschakelen op je WordPress-website. We raden een van de volgende twee plugins aan.

Two Factor Authentication

De WordPress-plugin Two Factor Authentication is ontwikkeld door de makers van UpdraftPlus, de populaire back-up-plugin. Standaard ondersteunt de plugin TOTP + HOTP procotollen (Google Authenticator, Authy en nog veel meer). Er is een gratis en premium versie.

Two Factor Authentication WordPress plugin
Two Factor Authentication WordPress plugin

Momenteel heeft de plugin meer dan 10.000 actieve installaties met een score van 4,5 uit 5 en de volgende features:

  • Grafische QR-codes voor gemakkelijke mobiele scans
  • Bevat ondersteuning voor de inlogformulieren van WooCommerce en Affiliates-WP
  • WordPress Multisite compatibel (plugin moet in de netwerkinstallatie geactiveerd zijn)
  • Noodcodes en premium designlay-outs (premium versie)

Google Authenticator

Als je op zoek bent naar een volledig gratis oplossing, dan is Google Authenticator WordPress-plugin meer dan geschikt. Opmerking: Dit betekent wel dat je moet wisselen tussen twee verschillende apps. Je kan zelf beslissen welke voor jouw omgeving het meest geschikt is. Als je niet meer dan een app wil gebruiken, dan is upgraden naar hun starterspakket misschien de beste keuze. In dit voorbeeld gebruiken we de gratis Google Authenticator.

De plugin Google Authenticator heeft meer dan 30.000 actieve installaties met een score van 4,5 uit 5 sterren. De plugin is helemaal gratis en je kan hem opzetten voor een onbeperkt aantal gebruikers. De meeste andere authenticatieplugins zijn gelimiteerd, tenzij je upgradet naar een betaald abonnement. Je kan de plugin Google Authenticator downloaden uit de WordPress-bibliotheek of door een zoekopdracht uit te voeren in je WordPress-dashboard onder “Nieuwe toevoegen” bij plugins.

Zodra de plugin geïnstalleerd is kan je klikken op een gebruikersprofiel, deze als actief markeren en een nieuwe geheime sleutel aanmaken – of de QR-code scannen.

Instellingen Google Authenticator
Instellingen Google Authenticator

Vervolgens kan je een van de gratis Authenticator-app op je telefoon gebruiken:

Nadat je een van deze hebt ingeschakeld, heb je naast je normale wachtwoord ook de code nodig van de Google Authenticator-app op je telefoon. Je zal nu zien dat er een extra veld is bijgekomen op je WordPress-inlogpagina. Deze plugin is trouwens volledig compatibel met de plugin die we eerder aanbevolen om je WordPress-inlog-URL te wijzigen.

google authenticator wordpress login
Google Authenticator WordPress login

En dat was het! Je hebt nu twee-factor authenticatie ingeschakeld op je Kinsta-account én op je WordPress-website.

Samenvatting

We zijn verheugd om twee-factor authenticatie aan te bieden aan klanten van Kinsta, omdat dit een van de meest aangevraagde functies was. Het beveiligen van je WordPress-websites is nu veel eenvoudiger! Zorg ook dat je onze meer geavanceerdere gids over WordPress-beveiliging leest om te zien hoe je je site écht kan vergrendelen.

Heb je nog vragen over hoe WordPress twee-factor authenticatie werkt? Laat gerust hieronder een reactie achter of open een supportticket vanuit je MyKinsta-dashboard.

QR Code is een geregistreerd handelsmerk van DENSO WAVE INCORPORATED in de Verenigde Staten en andere landen.

Brian Jackson

Brian heeft een enorme passie voor WordPress, gebruikt het al meer dan tien jaar en heeft zelfs al aantal premium plugins ontwikkeld. Brian houdt van bloggen, films en hikes. Kom in contact met Brian op Twitter.