Wil je veiliger inloggen in je WordPress? Gebruik dan multifactor authenticatie (of Two Factor Authentication). Hiermee voorkom je dat er ingelogd kan worden, behalve als de inlog actie met een tweede controlecode (door een SMS of app met code generator) wordt bevestigd.
Waarom multifactor authenticatie?
Inloggen met een wachtwoord is simpelweg niet veilig genoeg. Een wachtwoord kan achterhaald worden, bijvoorbeeld door een hack van een website waarop je toevallig hetzelfde wachtwoord gebruikt (doe dit nooit!), door een virus op je computer of doordat het makkelijk te raden was.
Om jezelf extra te beveiligen is een tweede stap nodig. Je moet kenbaar maken dat jij het bent die probeert in te loggen.
Hoe werkt multifactor authenticatie?
Na het inloggen vraagt de dienst/website waar je probeert in te loggen, in dit geval WordPress, om een code. Deze code kan gegenereerd worden door een app, of door de dienst zelf waarna deze als SMS verstuurd zal worden naar je mobiel. Na het invoeren van deze code, weet de dienst dat jij het bent, en ben je ingelogd.
Welke plugins/diensten kan je gebruiken?
Dit zijn op dit moment de meest gebruikte en meest recent bijgewerkte plugins die multifactor authenticatie mogelijk maken voor WordPress:
Duo Two-Factor Authentication
Deze plugin maakt gebruik van de diensten van Duo Security. Na registratie van een account kan je deze account gebruiken in samenwerking met de WordPress plugin.
Bekijk Duo Two-Factor Authentication op wordpress.org
Authy Two Factor Authentication
Authy is een webdienst waar je Two Factor authentication kan afnemen. Ze leveren een app waarmee inlogcodes gegenereerd worden. Deze plugin maakt gebruik van deze dienst.
Bekijk Authy Two Factor Authentication op wordpress.org
Clef Two-Factor Authentication
Clef (sleutel in het Frans) is, net als bovenstaande plugins, een webdienst. Enige verschil met andere diensten is dat je bij Clef alleen je camera (via de Clef app) gebruikt om in te loggen. Daarmee lees je een afbeelding uit wanneer je probeert in te loggen en als jouw mobiel is gekoppeld met de site, zal je automatisch ingelogd worden.
Bekijk Clef Two-Factor Authentication op wordpress.org
Als er iet mis gaat
Al deze diensten werken met een tweede apparaat, vaak je mobiel, om te authenticeren. Maar hoe log je in als je mobiel er niet is? Dan is het bij al deze webdiensten mogelijk om een nieuwe mobiel te registreren en (in geval van verlies of diefstal) de registratie van je oude telefoon ongedaan te maken.
Conclusie
Wil je extra veiligheid inbouwen voor het inloggen in WordPress, dan is het toevoegen van multifactor authenticatie aan te raden. De besproken plugins doen wat ze moeten doen en de webdiensten geven genoeg mogelijkheden om je site goed te beveiligen tegen ongeautoriseerd inloggen. Mijn voorkeur heeft Clef, omdat het zonder codes werkt en zo de extra stap bij het inloggen het minst hinderlijk maakt.