Twee factor authenticatie WordPress instellen in 10 minuten
Twee factor authenticatie WordPress instellen in 10 minuten: plugin-keuze, configuratie, herstelopties en valkuilen.
In dit artikel
Van alle hacks die ik in mijn ervaring heb opgelost, begon de meerderheid bij een gestolen of geraden wachtwoord. Niet bij een spectaculair zero-day-lek. Gewoon admin plus een wachtwoord uit een lekkende e-mail-database. Een sterk wachtwoord helpt, maar een tweede stap erbij sluit deze hele aanvalsroute af.
Twee factor authenticatie WordPress instellen is een van de weinige beveiligingsmaatregelen die binnen tien minuten geregeld is en daarna meteen werkt. Geen lange configuratie, geen ingewikkelde tools. Een plugin, een app, een back-upcode op papier, en je bent klaar.
Dit artikel beschrijft stap voor stap hoe je twee factor authenticatie WordPress instellen aanpakt. Welke plugin je kiest, welke app op je telefoon, hoe je herstel inricht voor als je telefoon kwijtraakt. WordPress is mijn dagelijkse omgeving, maar het principe (TOTP met een authenticator-app) werkt net zo goed bij Joomla en Drupal met hun eigen plugins.
Wat is twee factor authenticatie eigenlijk
In gewone taal: je hebt twee bewijzen nodig om in te loggen in plaats van één. Een wachtwoord, plus iets wat je hebt (meestal je telefoon). Stelen ze je wachtwoord, dan komen ze er nog niet in zonder je telefoon.
Het meest gebruikte type voor WordPress is TOTP: Time-based One-Time Password. Een app op je telefoon genereert elke 30 seconden een nieuwe zescijferige code. Bij het inloggen typ je eerst je wachtwoord, dan de actuele code uit je app. Geen sms, geen e-mail, geen wachten op een netwerk.
Andere varianten bestaan: sms-codes, e-mail-codes en hardware-keys (YubiKey). Sms en e-mail zijn afgeraden, omdat ze kwetsbaar zijn voor sim-swap-aanvallen en e-mail-overnames. Hardware-keys zijn de veiligste optie, maar overkill voor een doorsnee MKB-site. TOTP via een gratis app is de praktische sweet spot.
Welke plugin kies je
Voor WordPress zijn er een paar bruikbare opties. Ik noem er drie die ik in de praktijk gebruik.
Two Factor (van WordPress core-contributors): gratis, lichtgewicht, ondersteunt TOTP en e-mail. Geen reclame, geen upsell. Mijn standaardkeuze voor kleine sites.
WP 2FA (door Melapress): gratis basis met een betaalde Pro-versie. Wat voor een MKB-site interessant is: je kunt 2FA verplicht maken voor bepaalde rollen, met een uitstel-window voor nieuwe gebruikers.
Wordfence Login Security: ingebouwd in Wordfence (zowel Free als Premium). Logische keuze als je toch al Wordfence draait. Niet apart installeren als je dat doet.
Werk je met een security-suite zoals iThemes Security (nu Solid Security) of All-In-One Security? Die bieden ook 2FA. Allemaal goed, mits ze TOTP ondersteunen en je actief je herstelopties instelt.
Wat je niet wilt: een 2FA-plugin die alleen sms ondersteunt, of die telkens om je wachtwoord vraagt zonder TOTP-optie. Dat is geen 2FA, dat is een verkapte trage login.
Welke app op je telefoon
De plugin kiest TOTP. De app op je telefoon genereert de codes. Drie veelgebruikte opties.
Google Authenticator: simpel, gratis, doet wat het moet doen. Vroeger zonder back-up, sinds 2023 met cloud-synchronisatie naar je Google-account. Voor wie alles in Google-ecosysteem heeft.
Microsoft Authenticator: gratis, met back-up via Microsoft-account. Werkt naast TOTP ook met Microsoft-specifieke pushmeldingen. Goed als je in Office 365 of Microsoft 365 zit.
Authy (door Twilio): gratis, cross-device synchronisatie, met een eigen back-up via telefoonnummer en pincode. Mijn voorkeur voor klanten die op meerdere apparaten willen inloggen.
Alle drie genereren dezelfde TOTP-codes. Het verschil zit in back-up, synchronisatie en welk ecosysteem je gebruikt. Kies wat je in je dagelijkse leven al gebruikt. Een onbekende app vergeet je veel makkelijker te onderhouden.
Stap voor stap: twee factor authenticatie WordPress instellen
Dit gaat ervan uit dat je de plugin Two Factor of WP 2FA gebruikt. Het principe is bij andere plugins vergelijkbaar.
- Installeer de plugin. Ga in WordPress-admin naar Plugins, Nieuwe plugin, zoek op de naam, installeer en activeer.
- Open je gebruikersprofiel. Ga naar Gebruikers, Profiel. Scroll naar het kopje “Two-Factor Options” of “Two-factor authentication”.
- Schakel TOTP in. Vink de optie “Time-based One-Time Password” aan en zet hem als primaire methode.
- Scan de QR-code. Op het scherm verschijnt een QR-code. Open je authenticator-app op je telefoon, tik op “Account toevoegen” of het plus-icoon, en scan de QR-code.
- Voer de code in om te verifiëren. Je app toont nu een zescijferige code. Typ die in het veld in WordPress en sla op.
- Genereer herstelcodes. De plugin biedt vaak een set eenmalige back-upcodes (meestal tien). Genereer ze en sla ze op een veilige plek op: een wachtwoordmanager, of geprint en in een lade.
- Test door uit te loggen en weer in te loggen. Log uit, typ je wachtwoord, en dan de nieuwe TOTP-code. Werkt het, dan ben je klaar.
Wat als je telefoon kwijt is
De grootste reden waarom mensen 2FA mijden, is angst voor lock-out. Terecht. Daarom is herstel een vast onderdeel van de configuratie, geen optie achteraf.
Drie lagen herstel die ik altijd inricht:
- Back-upcodes: tien eenmalige codes, geprint of in een wachtwoordmanager. Een code uit deze set werkt als TOTP-vervanger.
- Tweede authenticator-app: voeg het account toe aan een tweede app op een tweede apparaat (bijvoorbeeld een tablet). Beide apps tonen dezelfde codes.
- Cloud-synchronisatie: Authy, Google Authenticator en Microsoft Authenticator hebben allemaal een back-up-optie. Aanzetten en testen.
Voor de echte panieksituatie waarin alles weg is: SSH- of FTP-toegang. Daar verwijder je de 2FA-plugin tijdelijk via de bestandenlijst. Site loopt weer, je logt in, je installeert opnieuw en richt het correct in. Dit is een achterdeur die elke webmaster met server-toegang heeft, dus het is geen werkelijke lock-out. Wel een goede reden om die toegang veilig te bewaren.
2FA verplicht maken voor alle admins
Een 2FA-plugin op één account beveiligt alleen dat account. Heb je meerdere admin- of editor-gebruikers, dan moet je 2FA verplicht maken.
In WP 2FA Free kun je 2FA verplicht stellen voor de rollen Administrator en Editor, met een uitstel-window van bijvoorbeeld zeven dagen waarin nieuwe gebruikers hun setup moeten doen. Dat is een fijne balans: niemand vergeet het, en niemand wordt direct buitengesloten op de eerste dag.
In Wordfence Login Security stel je dit in onder de instellingen van Login Security en kies je welke rollen verplicht zijn. Daarna zien gebruikers bij het inloggen een setup-scherm en hebben ze een aantal dagen om het te configureren.
Standaard staat 2FA in geen enkele plugin verplicht. Inschakelen is een actieve keuze. Doe dat meteen bij installatie, anders ligt het er werkloos bij.
Veelgemaakte fouten
In mijn ervaring zijn dit de patronen die mis gaan.
Geen back-upcodes opgeslagen. Klant verliest zijn telefoon, kan niet meer inloggen, belt mij voor SSH-toegang. Voorkomen door bij setup altijd de back-upcodes te genereren en op te slaan.
App-account niet gesynchroniseerd. Klant koopt nieuwe telefoon, oude is al gewist, codes zijn weg. Google Authenticator zonder cloud-sync is een klassieker. Voorkomen door cloud-sync aan te zetten of een tweede device toe te voegen.
Alleen 2FA op de eigenaar, niet op andere admins. Een editor met een zwak wachtwoord blijft een open deur. Verplicht maken voor alle admin-rollen.
2FA op een gedeeld account. Twee mensen op een gezamenlijk admin-account met één telefoon: gegarandeerd ruzie. Beter elke gebruiker zijn eigen account met zijn eigen 2FA.
E-mail als enige 2FA-methode. Wordt je e-mail gehackt, dan zijn beide factoren weg. Gebruik TOTP als primair, e-mail hoogstens als back-up.
Wanneer hulp inschakelen logisch is
Voor één gebruiker is twee factor authenticatie WordPress instellen meestal binnen tien minuten gepiept. Lastiger wordt het in een paar situaties:
- Je hebt meerdere admin- en editor-accounts en wilt een uitrol over alle gebruikers met deadline en handleiding
- Je hebt al een security-plugin draaien en wilt geen conflicten tussen meerdere 2FA-implementaties
- Je bent buitengesloten en kunt niet meer inloggen
- Je werkt met een legacy site of custom user-rollen en standaardplugins werken niet zoals verwacht
Stuur me je URL en wat je nu draait, dan kijk ik ernaar. Setup en configuratie reken ik op uurbasis tegen €70 per uur. Een vlotte 2FA-rollout voor alle admins van een MKB-site kost meestal minder dan een uur. Geen 24/7-support; spoedwerk in de avond of het weekend gaat tegen €105 per uur. Direct contact met degene die het werk uitvoert.
Meer praktische uitleg over beveiliging vind je in de categorie website beveiliging, en voor doorlopend onderhoud op de pagina diensten. Voor de bredere context van WordPress-beveiliging is de WordPress-hardening documentatie een goede vervolgstap.
Veelgestelde vragen over 2FA in WordPress
Vertraagt 2FA mijn werk niet enorm?
Niet echt. Het kost één extra handeling per login: app openen, code overtypen. Met een wachtwoordmanager die TOTP ondersteunt (zoals Bitwarden of 1Password) is het vrijwel onmerkbaar, omdat de manager de code automatisch invoegt. Twee seconden extra per login, in ruil voor een aanvalsroute die volledig dichtzit.
Kan 2FA mijn site offline halen als er iets misgaat?
In de praktijk zelden. De plugin werkt naast de standaard WordPress-login. Werkt de 2FA-plugin niet (database-fout, plugin-conflict), dan blokkeert hij je login wel maar laat hij de site verder werken voor bezoekers. Toch is een goede back-up en server-toegang altijd een vereiste, niet alleen voor 2FA.
Is sms-2FA echt zo onveilig?
Sms-codes zijn beter dan geen 2FA, maar wel kwetsbaar voor sim-swap-aanvallen, waarbij een aanvaller je telefoonnummer overneemt bij je provider. Voor een doorsnee MKB-site is dit zeldzaam, maar bij hoogwaardig doelwit (B2B met klantdata, financiële sites) raad ik TOTP of hardware-key aan. De NIST-richtlijnen adviseren sinds 2017 al om sms te vermijden waar mogelijk.
Werkt 2FA ook bij WooCommerce-klantaccounts?
Standaard niet. De meeste 2FA-plugins beveiligen alleen WordPress-rolaccounts (admin, editor, auteur). Voor klantaccounts in WooCommerce zijn er aparte oplossingen, zoals WooCommerce Two Factor Authentication of de uitbreiding via WP 2FA Premium. In de praktijk activeren weinig klanten dit zelf; voor de meeste shops is goede wachtwoord-hygiene plus 2FA voor admin-accounts de juiste prioriteit.
Wat als ik mijn telefoon verlies én geen back-upcodes heb?
Dan log je in via SSH of FTP en verwijder je de 2FA-plugin handmatig uit de plugins-map. Site logt weer normaal in met alleen wachtwoord. Daarna installeer je de plugin opnieuw en richt je het deze keer met back-upcodes in. Heb je geen FTP- of SSH-toegang? Dan vraag je je hostingpartij om toegang of belt mij. Setup-recovery duurt meestal minder dan een uur.
