Heb je wel eens een actiefilm gezien waarbij een hacker ergens probeert in te loggen door een speciaal programma te laten draaien dat duizenden wachtwoorden per seconde probeert, net zo lang tot hij erin komt? Dat heet een ‘brute force attack‘. Om jezelf te beschermen tegen dit soort aanvallen, heb je bij steeds meer accounts de mogelijkheid om een ’tweefactorauthenticatie’ (2FA) in te schakelen. Ik leg je hier even kort uit hoe je dit op je WordPress site kunt doen.
Wat is 2FA?
2FA is is een extra beveiligingsstap die ervoor zorgt dat iemand die jouw gebruikersnaam en wachtwoord correct raadt, alsnog tegengehouden wordt.
Dat iemand jouw wachtwoord kan raden, is misschien makkelijker dan je denkt. Naast de computergestuurde aanval (de brute force attack) zijn sommige wachtwoorden ook veel te makkelijk te raden door een persoon (bijvoorbeeld een kwaadwillende concurrent of oud-medewerker).
Veel mensen vervangen de standaard gebruikersnaam van een platform niet (bij WordPress is dit ‘admin’), of gebruiken een voor de hand liggende gebruikersnaam en wachtwoord. Je voornaam als gebruikersnaam is vaak geen veilige keuze en we hebben waarschijnlijk allemaal wel eens geprobeerd die irritante veiligheidseisen voor het instellen van een wachtwoord te omzeilen door van de eerste letter een hoofdletter te maken en er een 1 of een uitroepteken achter te plakken 😉
Ook hebben veel mensen de neiging om op verschillende sites hetzelfde wachtwoord te gebruiken. Dat is makkelijk te onthouden, maar als een van die sites een beveiligingslek heeft, komt jouw wachtwoord mogelijk in de verkeerde handen terecht!
Ik maak gebruik van 2FA via de Google Authenticator. Dat is een app die je gratis kunt downloaden en op je telefoon kunt installeren. De app genereert een code die je nodig hebt bij het inloggen. Via de plugin Wordfence kun je deze extra beveiliging instellen.
Wist je dat er computerprogramma’s zijn die meer dan 1 miljoen wachtwoorden per seconde kunnen proberen?
2FA installeren
Ik ga er in dit artikel even vanuit dat je de (gratis) plugin Wordfence al op je site hebt staan. Als dat niet zo is, ga dan nog even naar het tabblad ‘Plugins’ van je site en installeer en activeer Wordfence.
Onder het lijstje met de stappen zie je een screenshot van het Wordfence scherm dat je op je computer voor je moet hebben. De nummers in de afbeelding komen overeen met de stappen in het lijstje.
Stap 1
Log in op je website (op de computer, niet op je telefoon) en ga naar ‘Wordfence > Login security > Two-factor Authentication’
Stap 2
Stap 3
Stap 4
Selecteer de optie om de QR code te scannen.
Stap 5
Richt de camera van je telefoon nu op de QR code die je op je computerscherm ziet. (Kan jouw telefoon dit niet? Dan zie je als alternatief een lange code onder het QR vierkant die je handmatig in kunt voeren. Op je telefoon moet je in stap 4 dan niet kiezen voor de optie om de QR code te scannen, maar voor de optie daaronder)
Stap 6
Download de recovery codes en bewaar ze op een veilige plek. Deze codes kun je gebruiken als je je telefoon kwijtraakt of als hij kapot gaat. Zo kun je altijd nog in je site.
Stap 7
Als het goed is zie je op je telefoon nu een 6-cijferige code. Deze vul je in in het vakje op je computerscherm waar je ‘123456’ ziet staan.
Stap 8
Je telefoon is nu gekoppeld! De volgende keer dat je inlogt, moet je de code in de app invoeren (zoals je in stap 7 hebt gedaan).
Nog wat snelle tips om het inloggen veiliger te maken
Check onder het tabblad 'Gebruikers' of je een gebruiker met de inlognaam 'Admin' hebt. Zo ja, pas deze naam aan naar iets wat minder voor de hand ligt.
Alleen jouw voornaam is vaak geen veilige inlognaam. Zet er wat cijfers achter of gebruik een e-mailadres (maar niet het adres dat je als contactadres op je site hebt staan)
Sla wachtwoorden alleen op een veilige plek op. Bijvoorbeeld in de browser Google Chrome of in Lastpass. Offline opslaan (in een schriftje) kan natuurlijk ook, maar leg het schriftje dan niet naast de computer.
(kijk even hier voor meer over Lastpass)
Verander je wachtwoorden regelmatig. Je kunt bijvoorbeeld ieder kwartaal een 'administratiedagje' pakken waarin je je BTW aangifte doet en meteen een greep andere saaie klusjes meeneemt. En jezelf daarna natuurlijk even belonen met iets leuks 😉
Beëindig je een samenwerking met een freelancer die dit misschien niet helemaal zag aankomen? Verander voor de zekerheid even de wachtwoorden die je met hem/haar gedeeld had. Better safe than sorry!
Kom je er niet uit? Laat het me weten, ik kijk graag even met je mee!