Hoe verbeter je de veiligheid van je WordPress website met Two-factor authenticatie

Robert-Jan Budding, 10 januari 2019

De trieste waarheid is dat hoe groot of klein je website ook mag zijn, er vroeg of laat altijd iemand zal proberen op in te breken. Het is erg stressvol en tijdrovend om de problemen te moeten oplossen die ontstaan nadat je gehackt bent of anderzijds bent aangevallen, dus kun je beveiligingsinbreuken het beste zoveel mogelijk vermijden. Er bestaan veel verschillende manieren om de beveiliging van je website aan te scherpen, maar één van de effectiefste manieren is de implementatie van Two-factor authenticatie (2FA). Dit biedt het meest kwetsbare onderdeel van je website – de inlogpagina – een extra beschermingslaag en houdt kwaadwillende gebruikers tegen.

In deze post bespreken we waarom het van het grootste belang is dat je je WordPress-site van uitstekende beveiliging voorziet. Daarna leggen we uit wat 2FA is en hoe het werkt, en laten we je zien hoe je het gemakkelijk kunt implementeren. Laten we beginnen!

Waarom de beveiliging van jouw WordPress-site je voornaamste prioriteit zou moeten zijn

WordPress is een fantastisch platform om je website mee te bouwen. Dit is hoe dan ook waar, of je nu een kleine, persoonlijke blog wilt opzetten of een snelgroeiende site voor e-commerce. Het is geschikt voor beginners en toch flexibel en krachtig genoeg om aan vrijwel iedere behoefte te voldoen.

Daar komt ook bij dat WordPress zich onderscheidt als een zeer veilig platform. Voor ontwikkelaars is het zeer belangrijk dat de kernsoftware veilig te gebruiken is en om regelmatig updates met de nadruk op beveiliging en andere patches uit te brengen. Deze zorgen ervoor dat je website altijd bestand is tegen de nieuwste dreigingen.

A list of WordPress security updates.

Geen enkel platform is echter perfect en in het verleden heeft WordPress dan ook een aantal bekende beveiligingsproblemen ondervonden. Dit komt vooral doordat het platform zo ontzettend populair is – ongeveer 27% van alle websites op het internet draait erop. Dit maakt het één van de hoofddoelen van hackers, die constant op zoek zijn naar nieuwe zwakke plekken en gaten in de beveiliging waarvan zij kunnen profiteren.

Daarom wil je niet volledig op de ingebouwde beveiligingsfuncties van het platform vertrouwen. In plaats daarvan kun je beter een uitgebreid beveiligingsplan voor je website opstellen om zo overal op voorbereid te zijn. Als je dit niet doet, kan dit leiden tot:

  • Gestolen gegevens, van jou of van de gebruikers van je site
  • Schadelijke inhoud die aan je site wordt toegevoegd, zoals links en downloads
  • Problemen met prestaties en uitvaltijd

Als je deze scenario’s wilt voorkomen, moet je beginnen met letten op wat de beveiliging van je website op dit moment nodig heeft. De beste plek om hiermee te beginnen is je inlogpagina.

Waarom het belangrijk is de inlogpagina van je site te beveiligen

Als je je website als huis ziet, is de inlogpagina de voordeur. Een inbreker die in je huis probeert in te breken zou vermoedelijk als eerste proberen via de voordeur binnen te komen – en hetzelfde geldt voor jouw site.

The WordPress login page.

Dit is vooral relevant voor WordPress, aangezien het platform de inlogpagina van je site normaal gesproken een zeer voorspelbare URL geeft (zoals www.example.com/wp-login.php). Omdat dit webadres zo gemakkelijk te raden is, is je ‘voordeur’ dus ook gemakkelijk te vinden. Tenslotte kan een hacker hierlangs met geweld binnendringen.

Gelukkig bestaan er talloze manieren om de ingang van je site te beschermen. Je zou bijvoorbeeld de locatie van de inlogpagina kunnen wijzigen en hem een unieke URL geven die veel moeilijker te raden is. Je zou ook het toegestane aantal inlogpogingen per IP-adres kunnen beperken. Aangezien de meeste aanvallen met ‘brute kracht’ gebruik maken van een bot die talloze combinaties aan gebruikersnamen en wachtwoorden uitprobeert tot er eindelijk iets werkt, is het een geschikte voorzorgsmaatregel om een gebruiker buiten te sluiten na een bepaald aantal mislukte inlogpogingen. Als je website door Savvii wordt gehost, is dit aantal al beperkt.

Beide technieken helpen het aantal hackpogingen dat ook daadwerkelijk weet in te breken op je site te verminderen. De beste manier om de meest kwetsbare ingang van je site te beschermen is echter iets dat Twee Factor-authenticatie (2FA) heet.

Een inleiding tot Twee Factor-authenticatie

Je bent zonder twijfel bekend met het standaard inlogproces van WordPress. Zelfs als dat niet het geval is, is het een systeem dat je al vele malen hebt gezien. Je voert gewoon een gebruikersnaam en een wachtwoord in en krijgt toegang tot de back-end van de site.

Dit is een beproefde methode die goed genoeg werkt. Dit is vooral zo als je een unieke gebruikersnaam en een sterk wachtwoord hebt gekozen. Als een hacker of bot er echter in slaagt deze twee toegangsgegevens te raden, heeft deze volledige toegang tot je website.

Op dit punt kun je dus gebruikmaken van 2FA. Deze techniek voegt een tweede beschermende laag toe aan je site – vandaar het ‘twee factor’ in de naam ook. Als 2FA op je site is geactiveerd, moet je nog steeds inloggen met je gebruikersnaam en wachtwoord. Je hebt echter ook nog een extra stukje informatie nodig: een unieke, eenmalige code.

An example of two-factor authentication.

In de meeste gevallen zul je deze code toegestuurd krijgen via je e-mailadres of mobiele apparaat wanneer je probeert in te loggen. Je dient deze code naast je toegangsgegevens in te voeren voor je toegang krijgt tot je site. Iedere keer dat je inlogt ontvang je een andere code (meestal een reeks cijfers en/of letters).

Het is wél zo dat dit het inloggen op je site wat tijdrovender maakt en enigszins irritant kan zijn. Voor de meeste sites is het het echter wel waard. Tenslotte is het zo dat als je 2FA hebt ingesteld, niemand nog op jouw account kan inloggen tenzij ze niet alleen over de inloggegevens beschikken, maar ook toegang hebben tot je privémail of apparaat. Omdat deze kans erg klein is, is 2FA een zeer geschikte manier om je inlogpagina te beveiligen.

Je kunt dit systeem zelfs voor iedere gebruiker op je site instellen zodat iedereen die inlogt iedere keer een code nodig heeft om dat te doen. In dat geval kun je ook kiezen wie toegang mag krijgen. Op die manier kan een hacker niet inbreken, tenzij hij op de een of andere manier aan de telefoons of e-mailadressen van die mensen kan komen.

Hoe je je site met behulp van 2FA kunt beveiligen (met 2 plug-ins)

Zoals voor zoveel dingen geldt in WordPress is het gebruik van een gespecialiseerde plug-in de beste manier om 2FA te implementeren. Gelukkig bestaan er veel mogelijkheden die je kunnen helpen snel een extra beveiligingslaag aan je site toe te voegen.

In de volgende onderdelen zullen we het hebben over twee van de beste plug-ins voor WordPress als het neerkomt op het instellen van 2FA. Beide zijn een uitstekende mogelijkheid – welke je kiest hangt vooral af van je persoonlijke voorkeur. Wij stellen voor dat je eerst beide methodes doorleest voor je kiest welke je wilt gebruiken.

Methode 1: De Two Factor Authentication-plugin

Soms zijn de beste plug-ins voor WordPress degene met de meest voor de hand liggende namen. Dit geldt ook voor Two Factor Authentication, een programma dat je meteen exact laat weten wat het doet:

The Two Factor Authentication plugin.

Deze plug-in is ontworpen door de makers van UpdraftPlus – een zeer populaire beveiligingsplug-in voor WordPress. Deze laat je gemakkelijk 2FA op je site instellen en aanpassen aan de manier waarop jouw systeem werkt.

Two Factor Authentication:

  • Ondersteunt vele populaire authenticatiemethodes, zoals Google Authenticator en Authy
  • Laat je de app gemakkelijk installeren door middel van QR-codes
  • Maakt het mogelijk in te stellen voor wie 2FA is bedoeld, waaronder specifieke gebruikers en gebruikersrollen

Alle bovenstaande functies maken deel uit van de gratis versie van de plugin. Er bestaat echter ook een premiumversie met een paar extra functionaliteiten. Hieronder vallen noodcodes (in het geval dat je je gekoppelde apparaat kwijtraakt) en de mogelijkheid om administratoren de codes van andere gebruikers te laten bekijken.

Voor nu houden we het op de gratis versie van de plugin. Om te beginnen moet je hem installeren en op je WordPress-site installeren. Daarna ga je naar het nieuwe Two Factor Authentication-onderdeel op je dashboard:

The Two Factor Authentication plugin tab.

Hier kun je je eigen persoonlijke 2FA-instellingen doorvoeren. Wijzigingen die je hier aanbrengt gelden enkel voor jouw specifieke account. In de eerste plaats zul je vooral Toegestaan moeten aanvinken onder Activeer twee factor-authenticatie en daarna je wijzigingen opslaan.

Onderaan de pagina kun je ook kiezen welk algoritme er gebruikt moet worden om je eenmalige 2FA-codes te genereren:

Two Factor Authentication advanced options.

TOTP is over het algemeen de meest betrouwbare methode en degene die wij aanraden. Dit creëert codes die elk slechts 30 seconden geldig zijn (terwijl HOTP een reeks codes genereert die niet afhankelijk zijn van tijd).

Daarna kun je de QR-code op deze pagina scannen met je mobiele apparaat, waardoor je gemakkelijk een 2FA-app kunt installeren.

Als je site nog andere gebruikers heeft, wil je ook je globale 2FA-opties instellen. Om dit te doen ga je naar Instellingen > Twee factor-authentication:

Two Factor Authentication settings.

Hier kun je kiezen welke gebruikersrollen 2FA moeten kunnen gebruiken. Als je de premiumversie van de plugin hebt, kun je 2FA ook verplicht maken voor één of meerdere rollen. De rest van de instellingen op deze pagina kun je voor de meeste gebruikers het best laten voor wat ze zijn.

Zodra je je wijzigingen hebt opgeslagen, is je nieuwe 2FA-systeem klaar voor gebruik! Vergeet niet om dit aan alle gebruikers die hier de gevolgen van zullen ondervinden te laten weten. Elk moeten zij namelijk ook de QR-code van hun account inscannen en de app op hun apparaat installeren.

Methode 2: De miniOrange Authenticator-plug-in

Als je op zoek bent naar een oplossing die iets gemakkelijker en duidelijker is dan bovenstaande methode, is de miniOrange Authenticator-plugin ook het proberen waard:

The miniOrange Authenticator plugin.
Met dit programma kun je 2FA in slechts een paar minuten op je site instellen. De gratis versie van de plug-in biedt je 2FA voor één gebruiker, via één van de methodes uit een groot aanbod (waaronder Google Authenticator, Authy en LastPass).

Er is ook een premiumversie waarmee je 2FA kunt inschakelen voor meerdere gebruikers en/of gebruikersrollen. Je kunt daarmee ook de benodigde informatie voor iedere inlogpoging instellen – je kunt bijvoorbeeld om enkel een gebruikersnaam en 2FA-wachtwoord vragen.

Nadat je de plugin op je site hebt geïnstalleerd, wordt je gevraagd welke authenticatiemethode je wilt gebruiken:

The miniOrange Authenticator plugin options.

Hoewel je iedere mogelijkheid kunt kiezen, is Google Authenticator een uitstekende keuze als je niet al een sterke voorkeur hebt. Wat je ook doet, klik op Configureren om het instellingsproces van je gekozen authenticatiemethode op je mobiele apparaat te doorlopen:

Setting up the miniOrange Authenticator plugin.

Daarna wil je de Test authenticatiemethode-knop bovenaan de pagina selecteren. Deze laat je een test uitvoeren om er zeker van te zijn dat je 2FA-systeem ook echt werkt. Op dit punt is de plugin klaar voor gebruik – je hoeft verder niets in te stellen. Dit is een extreem simpele manier om 2FA aan de praat te krijgen op je WordPress-site. Je zult echter wél, zoals eerder vermeld, de premiumversie van de plug-in moeten aanschaffen als je deze inlogmethode op meerdere gebruikers wilt toepassen.

Conclusie

Veiligheid zou de voornaamste prioriteit moeten zijn voor iedere website-eigenaar of -ontwikkelaar. Hoewel WordPress een beveiligd platform is, zijn er toch altijd talloze hackers op zoek naar kwetsbaarheden om zo op zoveel mogelijk sites te kunnen inbreken.

Zoals we hebben genoemd is het voorkomen dat kwaadwillende gebruikers überhaupt kunnen inloggen één van de beste manieren om je WordPress-site te beschermen. Dit komt neer op het instellen van 2FA, zodat iedereen die toegang wil verkrijgen een gebruikersnaam, een wachtwoord en een code die naar een vooraf bepaald e-mailadres of mobiel apparaat wordt verstuurd nodig heeft. Het goede nieuws is dat je 2FA gemakkelijk kunt instellen met behulp van een plug-in zoals Two Factor Authentication of miniOrange Authenticator.

Heb je nog vragen over hoe je 2FA kunt instellen met behulp van de eerder besproken plugins? Laat het ons weten in de opmerkingen hieronder!

Auteursrecht op afbeelding: Dean Sas.

Reageer