Multifactor authenticatie in en uitschakelen in Joomla 4
In deze handleiding leg ik uit hoe jij je de inlogmodule voor de frontend en backend in Joomla 4 kunt beveiligen met Multi Factor Authenticatie. Hiervoor gebruiken we de standaard authenticator plugin van Joomla 4. Sinds Joomla 4.2. is de Google Authenticator plugin vervangen door een andere plugin.
Sinds Joomla 3 kon je via de Google Authenticator je frontend en backend beveiligen met Multi Factor Autenticatie (MFA) ook wel 2 Factor autenticatie (2FA) genoemd. MFA wordt ook gebruikt voor het beschermen van je bankaccount. DigiID is ook een voorbeeld waarbij gebruik gemaakt wordt van MFA. Met ingang van Joomla versie 4.2 is de Google Authenticator vervangen door een eigen plugin van Joomla. Indien je upgrade van Joomla 4.x naar Joomla 4.2 dan wordt de bestaande methodiek overgezet naar de nieuwe functionaliteit.
Je kunt de Google Authenticator App op je smartphone (blijven) gebruiken. Deze is te downloaden via de Google Playstore en de Apple Store (zie ook verderop in deze handleiding).
Hieronder de onderwerpen die aan bod komen in deze handleiding:
- Inleiding
- Mogelijke opties voor Multifactor authenticatie
- Meerdere authenticatiemethoden per gebruiker
- Standaard methoden
- Wat heb je nodig?
- Stappen inschakelen 2 factor authenticatie in Joomla 4
- Stappen uitschakelen 2 factor authenticatie voor de front-end in Joomla 4
Klik op de afbeeldingen voor een vergroting.
Inleiding
Je website heb je al met een SSL certificaat beveiligd, als dat nog niet het geval is lees dan mijn artikel: SSL certificaat aanvragen en instellen in Joomla 4.
Hieronder leg ik stap voor stap uit hoe je MFA instelt. Als MFA ingeschakeld is dan dien je naast je gebruikersnaam en wachtwoord ook nog een 6 cijferige code in te voeren. Deze code wordt door de Google Authenticator App gegenereert, en die app dien je op je smartphone te installeren. Elke minuut wordt de code ververst. Hierdoor wordt het inloggen door hackers bemoeilijkt.
Mocht je overigens onverhoopt je smartphone kwijtraken dan kun je een emergency code gebruiken. Standaard beveilig ik altijd de backend logins van Joomla, voor de frontend schakel ik deze optie in de meeste gevallen uit, zeker als reguliere bezoekers zonder Super Admin rechten moeten kunnen inloggen op de frontend.
Mogelijke opties van Multifactor authenticatie
In de basis (core) van Joomla zijn de volgende MFA plugins beschikbaar, deze plugins zijn standaard uitgeschakeld:
- Authenticatiecode per e-mail. De 6 cijferige code wordt per e-mail naar het opgegeven adres gezonden.
- Vaste code - NIET GEBRUIKEN voor live websites (niet veilig).
- Verificatiecode - elke minuut veranderd de 6 cijferige code in de Google Authenticator app.
- Web authenticatie - deze optie wordt ingeschakeld als je een SSL certificaat gebruikt, maar vereist een speciale USB stick
- YubiKey - hiervoor heb je een YubiKey nodig.
Lees ook het artikel: Inloggen met MFA en een YubiKey in Joomla 4
Meerdere authenticatiemethoden per gebruiker
Joomla gebruikers kunnen meerdere MFA-methoden in gebruik hebben. Eén opstelling zou kunnen bestaan uit twee WebAuthn-sleutels (hoofd- en back-up) en een klassieke zescijferige code voor gebruik in een oudere smartphone die geen WebAuthn-dongles ondersteunt. Dit maakt MFA bruikbaarder en beter bestand tegen ongelukken zoals mensen die zich van hun website uitsluiten.
MFA voor gebruikers van de website met behulp van zescijferige verificatiecodes gegenereerd door een authenticatie-app (Google Authenticator App, Authy, LastPass Authenticator, etc), een wachtwoordbeheerder (1Password, BitWarden, Keeper, KeePassXC, Strongbox, etc) of, in sommige gevallen, hun browser.
Standaardmethode
Als je meerdere authenticatiemethoden hebt, wil je niet nadenken over welke methode je vandaag zult gebruiken om te authenticeren, vooral omdat je waarschijnlijk 99% van de tijd dezelfde methode zult gebruiken. Daarom kun je een standaardmethode kiezen. Je kunt noodcodes (emergency codes) veiligstellen, die slechts eenmaal kunnen worden gebruikt, dus NIET als standaardmethode gebruiken om de kans op fouten te verkleinen!
Wat heb je nodig?
Je hebt je SuperAdmin accountgegevens nodig voor de Backend van Joomla. Daarnaast heb je een smartphone nodig en de Google Authenticator App.
Download eerst de Google Authenticator app in de App store. Klik daarvoor op een van onderstaande iconen.
Stappen inschakelen 2 factor authenticatie in Joomla 4
- Log met je SuperVisor account in via de back-end van je Joomla website, https://<jedomein.nl>/administrator/
- Klik in het Controlepaneel op de knop Systeem, (of direct op Plugins) het volgende scherm wordt geopend.
- Klik dan onder de kop Beheren op de knop Plugins, het volgende scherm wordt geopend
- Type dan in het zoekvenster meervoud in en klik op het vergrootglas om het zoeken te starten, het volgende komt dan in beeld:
- Klik op het grijze kruisje voor Meervoudige Authenticatie - Verificatiecode, om de plugin te activeren.
- Er komt een melding in beeld, Plugin ingeschakeld. De plugin is nu dus succesvol ingeschakeld!
- Klik nu aan de linkerkant op Gebruikers
- Klik dan op Beheren
- Klik dan op het betreffende gebruikersaccount waarbij je MFA wilt inschakelen en dan op het tabblad Meervoudige authenticatie
- Klik dan op de knop + Voeg een nieuwe Verificatiecode toe
- Pak nu je smartphone erbij en open de Google Authenticator App, klik in de app op het + teken, en dan op QR-code scannen, scan de QR code met je telefoon.
(De code is nu geblurred i.v.m. veiligheidsredenen). - In de Google Authenticator App is een regel toegevoegd met de nieuwe website. In het venster verschijnt elke minuut een nieuwe code.
De stappen zien er ongeveer zo uit: - In de app verschijnt een 6 cijferige code, in bovenstaand voorbeeld 786419. Ga weer naar je Joomla website.
Vul bij Voer de zescijferige verificatiecode in de code in die op je smartphone zichtbaar is. - Klik dan boven in op de knop Opslaan & Sluiten
- Klik opnieuw op het account waarvoor je net MFA ingesteld hebt. Klik dan op de link Print deze codes en bewaar ze in de portomonee.
(De codes zijn geblurred i.v.m. veiligheidsredenen). - Bewaar deze codes op een veilige plek, bijvoorbeeld in je wachtwoorden kluis (Lastpass, Keeppass etc.) en weet dat je 10 codes hebt, die je in geval van calamiteiten (bijvoorbeeld smartphone kwijt) kunt gebruiken om toegang te krijgen tot je Joomla website. Telkens als je een code gebuikt is er 1 minder beschikbaar. Je kunt wel nieuwe Back-up codes opnieuw genereren.
- Log nu uit door rechtsboven op de knop Gebruikermenu en uitloggen te klikken.
- Log vervolgens weer in met je gebruikernaam en wachtwoord, klik op Inloggen. Het volgende venster komt in beeld:
- Vul hier de zescijferige verificatiecode in en klik op de knop Bevestig. Zie print screen bij stap 18.
Je komt nu weer in de backend van Joomla uit en hebt daarmee een werkende MFA.
Mocht je meerdere MFA opties geactiveerd hebben klik dan desgewens de optie Selecteer een andere methode om een alternatieve MFA optie te kiezen om te kunnen inloggen.
Stappen uitschakelen 2 factor authenticatie voor de front-end in Joomla 4
Standaard staan de Two factor Authenticator voor zowel de back-end alsook de front-end loging ingeschakeld. Dit is niet altijd wenselijk, dit vereist extra aandacht en acties voor je eind gebruikers van je website.
- Log met je SuperVisor account in via de back-end van je Joomla website, https://<jedomein.nl>/administrator/
- Klik in het Controlepaneel op de knop Systeem, (of direct op Plugins) het volgende scherm wordt geopend.
- Klik dan onder de kop Beheren op de knop Plugins, het volgende scherm wordt geopend
- Type dan in het zoekvenster meervoud in en klik op het vergrootglas om het zoeken te starten, het volgende komt dan in beeld:
- Klik op het groene vinkje voor Meervoudige Authenticatie - Verificatiecode, om de plugin te deactiveren.
- Er komt een melding in beeld, Plugin uitgeschakeld.
Daarmee is de plugin succesvol uitgeschakeld.