Wachtwoorden alleen zijn niet meer voldoende om je WordPress website te beschermen. Hackers gebruiken brute force aanvallen, gestolen wachtwoordlijsten en phishing om toegang te krijgen. Tweefactorauthenticatie (2FA) voegt een extra beveiligingslaag toe die je account beschermt, zelfs als je wachtwoord uitlekt.

Wat is tweefactorauthenticatie?

Tweefactorauthenticatie vereist twee verschillende vormen van identificatie om in te loggen:

  • Iets dat je weet: je wachtwoord
  • Iets dat je hebt: je telefoon met een authenticator app

Zonder beide factoren is inloggen onmogelijk. Een hacker met je wachtwoord kan nog steeds niet inloggen zonder ook je telefoon te hebben.

Waarom 2FA essentieel is voor WordPress

WordPress is het meest gebruikte CMS ter wereld, wat het ook het grootste doelwit voor hackers maakt. Dagelijks worden miljoenen brute force aanvallen uitgevoerd op WordPress loginpaginas. Met 2FA ingeschakeld zijn deze aanvallen zinloos, want zelfs het juiste wachtwoord is niet voldoende.

Daarnaast beschermt 2FA je tegen:

  • Wachtwoorden die via een datalek zijn uitgelekt
  • Keyloggers die je wachtwoord opvangen
  • Phishing-aanvallen waarbij je je wachtwoord onbedoeld weggeeft
  • Medewerkers met toegang tot gedeelde wachtwoorden

De beste 2FA plugins vergeleken

Er zijn verschillende plugins om 2FA in WordPress te implementeren. Dit zijn de meest betrouwbare opties:

Wordfence Security

Als je Wordfence al gebruikt voor firewall en malwarescanning, is de ingebouwde 2FA-functie de logische keuze. Het is volledig gratis (ook in de gratis versie) en werkt met elke TOTP-authenticator app. Lees onze uitgebreide Wordfence handleiding voor installatie-instructies.

Voordelen van Wordfence 2FA:

  • Volledig gratis
  • Geïntegreerd met firewall en login beveiliging
  • Ondersteunt alle standaard TOTP apps
  • Backup codes automatisch gegenereerd

WP 2FA

WP 2FA is een dedicated tweefactorauthenticatie plugin die meer geavanceerde opties biedt. De gratis versie ondersteunt TOTP authenticator apps, terwijl de premium versie ook SMS en e-mail codes aanbiedt.

Voordelen van WP 2FA:

  • Gedetailleerde beleidsinstellingen per gebruikersrol
  • Verplicht 2FA voor specifieke rollen (bijv. alleen admins)
  • Grace period voor gebruikers om 2FA in te stellen
  • Whitelabeling voor professionals

Google Authenticator plugin

Een lichtgewicht optie als je alleen 2FA wilt zonder extra functies. Werkt uitsluitend met Google Authenticator of compatibele apps.

Stap-voor-stap setup met Wordfence

We lopen door de installatie met Wordfence, de meest complete gratis optie:

1. Wordfence installeren

Ga naar Plugins > Nieuwe plugin en zoek op "Wordfence". Installeer en activeer "Wordfence Security - Firewall, Malware Scan, and Login Security".

2. 2FA activeren

Ga naar Wordfence > Login Security in je WordPress admin. Je ziet nu de 2FA setup pagina.

3. Authenticator app voorbereiden

Download een authenticator app op je telefoon. Aanbevolen opties:

  • Google Authenticator (Android/iOS) - eenvoudig en betrouwbaar
  • Microsoft Authenticator (Android/iOS) - met cloud backup
  • Authy (Android/iOS/Desktop) - synchronisatie tussen apparaten

4. QR-code scannen

Open je authenticator app en scan de QR-code die Wordfence toont. Je app genereert nu elke 30 seconden een nieuwe 6-cijferige code.

5. Verificatiecode invoeren

Voer de huidige code uit je authenticator app in om te bevestigen dat alles werkt. Klik op "Activate" om 2FA in te schakelen.

6. Backup codes opslaan

Wordfence genereert automatisch recovery codes. Download of print deze codes en bewaar ze op een veilige plek (niet op dezelfde computer!). Je hebt deze nodig als je telefoon kwijtraakt of kapotgaat.

Backup codes veilig bewaren

Backup codes zijn je reddingslijn als je geen toegang meer hebt tot je authenticator app. Behandel ze als zeer vertrouwelijk:

  • Print ze uit en bewaar ze in een kluis of afgesloten la
  • Sla ze op in een wachtwoordmanager zoals Bitwarden of 1Password
  • Maak een versleutelde backup op een USB-stick die je apart bewaart
  • Bewaar ze nooit in je e-mail, op je bureaublad, of in een onbeveiligde notitie-app

Elke backup code is eenmalig bruikbaar. Nadat je er een hebt gebruikt, genereer je nieuwe codes in je WordPress admin.

2FA verplichten voor alle gebruikers

Als je meerdere gebruikers op je WordPress site hebt, kun je 2FA verplichten. In Wordfence ga je naar Login Security > Settings en schakel je "Require 2FA for all administrators" in.

Met WP 2FA heb je meer controle en kun je per gebruikersrol instellen:

  • Welke rollen verplicht 2FA moeten gebruiken
  • Een grace period waarin gebruikers 2FA moeten instellen
  • Wat er gebeurt als de grace period verloopt

Veelgestelde vragen

Wat als ik mijn telefoon kwijtraak?

Gebruik een van je backup codes om in te loggen. Ga daarna direct naar Login Security en stel 2FA opnieuw in met je nieuwe telefoon. Genereer nieuwe backup codes.

Kan ik 2FA uitschakelen voor bepaalde gebruikers?

Ja, in de plugin-instellingen kun je aangeven voor welke gebruikersrollen 2FA verplicht is. Wij raden aan om minimaal alle Administrator en Editor accounts te beveiligen.

Werkt 2FA met WooCommerce?

Ja, 2FA beschermt de WordPress login. Dit geldt ook voor gebruikers die via WooCommerce inloggen. Je kunt 2FA optioneel maken voor klanten en verplicht voor beheerders.

Hoe log ik in als de codes niet werken?

Controleer of de tijd op je telefoon correct is ingesteld (automatische tijd). Als de codes niet werken en je geen backup codes hebt, kun je 2FA uitschakelen via de database of door de plugin te deactiveren via FTP. Neem contact op met support als je hierbij hulp nodig hebt.

Extra beveiligingstips

2FA is een belangrijke stap, maar combineer het met andere beveiligingsmaatregelen:

  • Gebruik sterke, unieke wachtwoorden voor elk account
  • Houd WordPress, plugins en themas up-to-date
  • Maak regelmatig backups met UpdraftPlus
  • Beperk het aantal admin accounts tot het minimum
  • Overweeg de wp-admin URL te wijzigen

Bij Theory7 nemen we beveiliging serieus. Al onze hostingpakketten bevatten Patchman malwarescanning en onze support medewerkers staan klaar om je te helpen met het beveiligen van je WordPress website.