Hoe bescherm je je WordPress Inlogformulier met 2FA (Tweestapsvertificatie)

In dit voorbeeld maken we gebruik van de populaire plugin ‘WordFence’ (v.a. versie 7.3). Maar ook met plugins als WordPress 2FA kun je je WordPress website beter beveiligen.
Om dit in te stellen, heb je de juiste rechten nodig. Heb je die niet, vraag dan om hulp van je webmaster.

Waarom tweestapsverificatie gebruiken voor je WordPress Loginformulier?

Een van de meest voorkomende trucs die hackers gebruiken, zijn zogenaamde brute force-aanvallen. Met geautomatiseerde scripts proberen hackers de juiste gebruikersnaam en het juiste wachtwoord te raden en in te breken op een WordPress-site. Eenmaal ingelogd, kunnen ze je website infecteren met malware.

Met een plugin als WordFence is het mogelijk om het aantal inlogpogingen te minimaliseren. Zo kun je instellen dat na 10 pogingen een IP-adres (maximaal) 2 maanden geblokkeerd wordt.

Een van de gemakkelijkste manieren om je WordPress-website te beschermen tegen gestolen wachtwoorden, is 2FA. Zelfs als onverlaten jouw wachtwoord hebben gestolen, moeten ze een extra beveiligingscode invoeren die alleen op jouw telefoon wordt weergegeven.

Wat heb je nodig?

Eerder werd voor tweestapsvertificatie gebruik gemaakt van telefoonberichten zoals SMS en voicemail. Inmiddels is deze methode erg onveilig gebleken. Vandaar dat Wordfence 7.3 en hoger, gebruik maakt van een authenticator-app.

Er zijn veel authenticator-apps beschikbaar voor iOS, Android en andere platforms, zoals:

  • Microsoft Authenticator
  • Google-authenticator
  • Sophos mobiele beveiliging
  • GratisOTP-authenticator
  • 1Password (mobiele en desktopversies)
  • LastPass-authenticator
  • Authy 2-Factor Authenticatie

Hoe stel je 2FA in ?

  1. Zorg dat je je telefoon met de authenticator-app bij de hand hebt. (Mogelijk moet je eerst inloggen).
  2. Klik op de button ‘Gebruikers’->Ga met je muis over de naam van de gebruiker -> Klik vervolgens op ‘2FA’:
    Printscreen voorbeeld, 2FA instellen gebruiker
  3. Je ziet nu het volgende scherm (met links de QR code):Printscreen voorbeeld, 2FA OR code
  4. Open de authenticator-app en voeg een nieuw item toe. Bij de meeste apps moet je op een klein plusteken tikken.  De 2 voorbeelden hieronder zijn printscreens van de Microsoft authenticator-app.
    Voorbeeld Microsoft Authenticator
  5. Scan de QR-code.
    Voorbeeld Microsoft Authenticator QR scannen
  6. Je authenticator-app moet nu een zescijferige code weergeven.
    Deze code verandert elke 30 seconden. Als de code is verlopen, gebruik je gewoon de volgende code.
  7. Vul dat cijfer hier in:
    Voorbeeld code invullen
    Klik vervolgens op de knop ‘Activeren’.
    NB: Als je jouw site op een telefoon of tablet bezoekt, is het niet mogelijk om de QR-code te scannen. In dat geval kopieer je gewoon de lange regel met letters en cijfers onder de QR-code en plakt deze in de app (raadpleeg de handleiding van de betreffende app).
  8. BELANGRIJK!!!
    Klik in het gedeelte ‘Herstelcodes downloaden’ op de knop ‘Downloaden’.
  9. De herstelcodes zijn handig als je de telefoon verliest. Bewaar ze op een veilige plaats en bij voorkeur NIET op je telefoon! Onderaan lees je hoe je gebruik maakt van de herstelcodes.

OK, gelukt! En hoe kun je nu inloggen m.b.v. 2FA?

  • Zorg dat je je telefoon met de authenticator-app bij de hand hebt. (Mogelijk moet je eerst inloggen in de app).
  • Log in zoals je dat altijd doet (bv op naamvanjouwsite.nl/admin/).
  • Op je telefoon verschijnt een code die je hier moet invullen:

2FA Herstelcodes gebruiken

De herstelcodes die je bij punt 8 hebt opgeslagen, zijn nodig als je jouw authenticatieapparaat kwijtraakt of als je de app of de opgeslagen codes per ongeluk verwijdert.
Omdat ze niet verlopen, zijn herstelcodes langer dan normale codes – 16 letters en cijfers in plaats van slechts 6 cijfers. Elke code kan maar één keer worden gebruikt. Een voorbeeld van een herstelcode ziet er als volgt uit: 5339 5b64 78ec Oe5a.

*NB: ben je echt alles kwijt? Inclusief de herstelcodes? Geen nood. Vraag dan aan je webmaster om 2FA te deactiveren in de database!

Werkwijze:

  • Zorg dat je je telefoon met de authenticator-app bij de hand hebt. (Mogelijk moet je eerst inloggen in de app).
  • Log in zoals je dat altijd doet (bv op naamvanjouwsite.nl/admin/).
  • Wanneer de prompt “2FA Code” verschijnt, voer je de herstelcode in:
    In dit voorbeeld is dat dus: 5339 5b64 78ec Oe5a.

Een herstelcode kan maar één keer worden gebruikt. Je kunt nieuwe herstelcodes genereren op de WordFence Login Security-pagina van je site. Dit is handig als je de meeste van je codes hebt gebruikt, of als je de codes die je eerder hebt opgeslagen, kwijt bent. Als je nieuwe codes genereert, worden de vorige codes ongeldig.

2FA kun je altijd deactiveren.

2FA kun je altijd deactiveren. Ook is het mogelijk om de herstelcodes opnieuw op te vragen.