Veiligheid is een belangrijk gegeven op het internet. Zo ook bij je persoonlijke blog. Je zou toch ook niet willen dat kwaadwillige mensen plots in de admin van je blog allerlei dingen beginnen aan te passen? Het is daarom belangrijk om ook je blog goed te beveiligen. Dit kan op allerlei manieren. Eén van de eerste stappen is bv om de standaard login ‘admin‘ te veranderen in iets anders. Daarnaast kan je tegenwoordig bv. ook gebruik maken van 2 factor authenticatie. Over dit laatste gaan we nu wat dieper in.
2 Factor Authenticatie
2 Factor Authenticatie (kortweg 2FA) wordt toegepast om een extra beveiligingslaag toe te voegen aan het inlogproces. Deze manier van inloggen is gebouwd op het feit dat je iets weet, een gebruikersnaam en wachtwoord, en dat je iets hebt, bijvoorbeeld een telefoon. Als eerste vul je je gebruikersnaam en wachtwoord in, zoals altijd. Vervolgens wordt er gevraagd naar een aanvullende code. Deze kan je bijvoorbeeld verkrijgen via SMS maar kan ook gegenereerd worden via een app op je telefoon.
Telkens als je wilt inloggen je wachtwoord invoeren, je telefoon pakken en de code invullen? Het lijkt allemaal wat omslachtig. Echter, deze extra veiligheid is het zeker waard! Je maakt het hackers een heel stuk lastiger om binnen te komen met alleen een gestolen of geraden wachtwoord. Ze hebben namelijk ook de code nodig die op de telefoon van het slachtoffer staat. Bovendien zijn deze codes moeilijk te kraken met brute force, omdat ze tijdsafhankelijk zijn en daardoor vaak wisselen.
Wat heb je nodig?
Om twee-factor-authenticatie te kunnen gebruiken, heb je in de meeste gevallen een app op je telefoon nodig. De meest populaire app hiervoor is Google Authenticator, beschikbaar voor Android en iOS. Daarnaast zijn er ook alternatieven, zoals bijvoorbeeld integratie met de wachtwoordmanager Lastpass. Een app gekozen en geïnstalleerd? Dan kan je nu het in WordPress activeren! Persoonlijk werk ik met Google Authenticator, welke we dan ook gaan gebruiken voor de integratie in WordPress.
2FA voor WordPress
Om de veiligheid van je website nog verder te vergroten hebben we reeds de ‘admin‘ user aangepast. Nu zijn we op het punt gekomen om voor WordPress de 2FA te activeren. Deze manier van aanmelden is niet enkel van toepassing bij WordPress. Zo heeft Joomla het standaard ingebouwd sinds versie 3.2.0. Gebruik je Joomla dan is dit artikel een aanrader.
Voor WordPress zijn er ook nu weer verschillende plugins beschikbaar die dit mogelijk maken. Zelf gebruik ik Google Authenticator – WordPress Two Factor Authentication van miniOrange. Deze plugin is momenteel enkel nog maar beschikbaar in het Engels, maar wordt zeer regelmatig geupdate. Dit komt natuurlijk ook de veiligheid ten goede. Bovendien heb je de keuze tussen een gratis versie en een uitgebreide Premium versie. Voor een standaard WordPress-blog voldoet zeker de gratis versie. Na de installatie is deze plugin makkelijk in te stellen. Eens dat gebeurd is, dien je enkel bij het inloggen na je login/paswoord een extra getallenreeks op te geven. Deze wordt aangemaakt met bv de Google Authenticator app op je smartphone. Eens dit allemaal achter de rug is, kan je je WordPress weer gebruiken zoals voorheen.
Jezelf buitensluiten?
Je vraag je natuurlijk af of je jezelf niet kan buitensluiten uit de admin? Denk maar aan het moment dat bijvoorbeeld je telefoon het niet meer wilt doen. Daarover is gelukkig ook nagedacht. De oplossing hiervoor zijn de zogeheten eenmalige codes. Dat zijn een aantal codes die je ontvangt bij het instellen van twee-factor-authenticatie en je slechts éénmaal kan gebruiken. Zorg er dus voor dat je deze codes op een veilige plaats bewaart. Liefst offline en uitgeprint! Je weet maar nooit.
Na het installeren en activeren van deze 2FA is je blog weer wat veiliger. Zo kan je met een gerust gemoed verder bloggen. Binnenkort hebben we het over back-ups. Iets wat weinig bloggers doen, maar wat voor soms heel wat opluchting kan zorgen moest er iets mislopen met je blog.
UPDATE 28/10/19
We zijn nu een half jaartje verder en hebben ondertussen dus de 2 Factor Authentication uitvoerig kunnen testen. Zo heb ik al ondervonden dat de Google Authenticator app geen back-up functie heeft. Wat dus niet ideaal is als je bv van smartphone verwisseld. Na wat zoeken naar een andere app kwam ik bij Authy terecht. Deze app biedt naast een smartphone versie (zowel iOS als Android), ook een handige desktop app (zowel Windows als Mac) en een Chrome versie. Dankzij het back-up systeem kan je dan ook een site toevoegen in de ene app en er gebruik van maken in de andere.
Naast een nieuwe authenticatie app gebruik ook niet langer de WordPress plug-in van Orange. In de nieuwe versie van Wordfence kan je namelijk ook 2 Factor Authentication activeren. Zo heb je niet alleen bescherming tegen aanvallen op je blog maar ook tegen het ongeoorloofd inloggen in je admin. Je kan bovendien kiezen wie er gebruik van de 2FA moet maken. Wordfence biedt je een betalende versie en een gratis versie van zijn plug-in aan. Maar de 2FA kan je reeds activeren in de gratis versie. Een meerwaarde dus voor je blog.
Q: Hebben jullie al 2 Factor Authentication op jullie blogs en apps geactiveerd?
Dit artikel schreef ik voor Bloggerscafé.eu. Het origineel bericht verscheen hier op 3 maart 2019.