2FA of tweestapsverificatie – extra beveiliging voor je website

Om de risico’s van hacking te verkleinen is het mogelijk je website te beveiligen met 2FA, 2 Factor Authenticatie. Een begrip dat je misschien wel kent van je digiD of van je bank app. Het wordt ook tweestapsverificatie genoemd. Er zijn voor jouw website 2 admins, jij als website-eigenaar en ik als je website-bouwer. Ikzelf heb de 2FA al in gebruik genomen om in te loggen in jouw website, maar ik kan dat niet voor jou instellen, omdat je het instellen moet doen via een app op je eigen smartphone.

Neem 2FA snel in gebruik

Omdat ik het erg belangrijk vind dat je website goed beveiligd is – lees hier waarom! – raad ik je aan om 2FA zo spoedig mogelijk te gaan gebruiken. Je kunt hieronder lezen wat je ervoor nodig hebt, en hoe je 2FA in gebruik neemt.

Wat heb je nodig voor 2FA

Als eerste moet je een authenticator app kiezen die je gaat gebruiken. Wellicht heb je er al een in gebruik op je smartphone of tablet. Er zijn veel verschillende apps beschikbaar voor iOS, Android, en andere platforms, bijvoorbeeld:
  • Google Authenticator
  • Sophos Mobile Security
  • FreeOTP Authenticator
  • 1Password (mobile and desktop versions) See: 1Password help
  • LastPass Authenticator
  • Microsoft Authenticator
  • Authy 2-Factor Authentication
  • Elke andere authenticator app die Time-based One-Time Passwords (TOTP) ondersteunt
2FA beveiliging website

2FA instellen in je WordPress website

Om tweestapsverificatie in te schakelen:

 1.  Ga naar de Login Security pagina onder het WordFence menu in je website
WordFence Login Security in backend menu
 2.  Open je authenticator app op je smartphone.
authenticator app
en voeg een nieuwe entry toe; de meeste apps hebben hiervoor een plus-teken of een kleine QR code.
plus knop authenticator app
 3.  Scan de QR code op de Login Security pagina in je website. (Je authenticator app toont dan een 6-cijferige code die je zometeen nodig hebt).
Wordfence 2FA QR code stap 1
Indien je in je site bent ingelogd met je telefoon of een tablet kun je uiteraard niet de QR code scannen op datzelfde toestel. In dat geval kun je de lange regel met letters en cijfers kopieëren die onder de QR code staat en deze plakken in de app, via de ‘manuele’ setup optie.

 4.  In de rechter sectie klik je op de Download knop.
Recovery codes kunnen worden gebruikt als je onverhoopt je gsm of tablet kwijtraakt. Sla deze codes op of print ze uit en bewaar ze op een veilige plaats waar je ze kunt terugvinden.

 5.  Kijk nu in je app. Daar verschijnt een 6-cijferige code. Deze code verandert elke 30 seconden.
2FA code authenticator app
Voer de code in op je website in het vakje onderaan.
 6.  Klik op de “Activate” knop

Wordfence 2FA QR code stap 4
Dat is het! Als dit de eerste keer is dat je 2FA instelt in een website, test dan voordat je uitlogt eerst in een andere browser of in een privé of incognito browservenster of het goed gegaan is en er geen problemen zijn.
Wordfence 2FA geactiveerd

Inloggen met 2FA

Wanneer 2FA eenmaal is geactiveerd voor je website, dan kun je als volgt inloggen:

 1. De loginpagina van je website bereik je door /wp-admin/ achter de URL te typen in de adresbalk van je browser.
 2. Voer je gebruikersnaam en wachtwoord in en klik op de “Log in” knop, zoals altijd.
Mocht je je gebruikersnaam niet meer weten, dan kun je die aan mij vragen.
Indien je je wachtwoord niet meer weet, gebruik dan de link “Wachtwoord vergeten” die er meteen onder staat. Je ontvangt dan een e-mail om je wachtwoord te resetten.
Wordpress website login stap 1 met 2FA
 3. Als de 2FA Code wordt gevraagd open je je authenticator app. Deze toont een code die elke 30 seconden verandert.
2FA code authenticator app
 4. Voer de code in op je website-login-pagina. Klik op de “Log in” knop
Wordpress website login stap 2 met 2FA
Mocht je incompatibele plugins hebben waardoor je de 2FA Code prompt niet kunt zien, of als je een iets sneller manier wilt, dan kun je de 2FA code ook meteen na je wachtwoord intypen, in hetzelfde vakje. Dit zonder spaties of iets dergelijks, aan elkaar vast. Je voert dus je gebruikersnaam en wachtwoord in en klikt nog niet op de “Log in” knop, maar voert achter je wachtwoord meteen de code van je authenticatie app in. Daarna klik je op de “Log in” knop.

Als je een recovery code moet gebruiken

De recovery codes die je opgeslagen hebt of uitgeprint tijdens het instellen kun je gebruiken als je ooit het toestel kwijt raakt waarop je authenticator app staat of als je de app of de code per ongeluk verwijderd hebt. Zorg daarom dat je de codes op een veilige plek bewaart. Omdat recovery codes niet verlopen zijn ze langer dan de normale codes – 16 letters en cijfers in plaats van 6 cijfers – maar elke code kan maar één keer gebruikt worden. Een voorbeeld van een recovery code: 5199 5c24 77dc 0ed7.

Het login proces is hetzelfde als met een code van de authenticator app:
  • Voer je gebruikersnaam en wachtwoord in en klik op de “Log in” knop, zoals gebruikelijk
  • Als de 2FA Code prompt verschijnt voer je een recovery code in (denk eraan dat deze langer zijn dan gewone 2FA codes)
  • Klik nu op de “Log in” knop

Elke recovery code kan maar éénmaal gebruikt worden. Je kunt nieuwe recovery codes genereren op de Login Security pagina onder het WordFence menu van je website. Dit is nuttig als je bijna al je recovery codes hebt gebruikt, of als je de eerder gegenereerde codes kwijt bent. Door nieuwe recoverycodes te genereren worden de oude onbruikbaar.

Hoe schakel je de tweestapsverificatie uit

Je kunt de 2FA desgewenst uitschakelen met een paar klikken. Dit is handig als je wilt overstappen naar een andere smartphone of tablet, naar een andere authenticator app, of als je een andere gebruiker moet helpen die niet kan inloggen. Zorg wel dat je zeker weet dat die andere gebruiker is wij hij/zij zegt te zijn!

Als je 2FA moet uitschakelen op je eigen account:
  • Log in op je website en ga naar de Login Security pagina onder het WordFence menu
  • Klik op de “Deactivate” knop
Als je 2FA moet uitschakelen voor een andere gebruiker:
  • Ga naar de Gebruiker > Alle gebruikers in het dashboard-menu van je website
  • Beweeg je muis over de naam van de betrokken gebruiker en klik de 2FA-link onder de gebruikersnaam
  • Hierdoor kom je op de Login Security pagina. Bovenaan de pagina zie je “Editing user: their_username” of “Gebruiker bewerken: de_gebruikersnaam”
  • Klik op de “Deactivate” knop

Als het instellen van 2FA niet lukt

Mocht je problemen hebben bij het instellen van 2FA, kijk dan of de servertijd correct is. Als je bent ingelogd in je website zie je onderaan de 2FA pagina (in het WordFence menu) de servertijd en de browsertijd staan. De accuraatheid van de servertijd is belangrijk voor TOTP authenticator apps. Browsertijd wordt erbij getoond als vergelijking. WordFence Login Security probeert de tijd te corrigeren door een service genaamd “NTP” te gebruiken indien mogelijk, maar niet alle hosts staan NTP connecties toe.
Uiteraard kun je bij problemen met het instellen van 2FA contact met me opnemen. Ik help je graag!

Contact

  • Telefoon

    0115-78 51 47
  • E-mail

    info@studio-vici.nl