Met je online leeromgeving geld verdienen? Wie wil dat niet? Steeds meer mensen kiezen ervoor om online trainingen te volgen en steeds meer kennisondernemers stappen in deze markt met een eigen online leeromgeving.
Een aantal van hen komt redelijk ‘onbeslagen ten ijs’. Met wat YouTube filmpjes, een doos vol goede bedoelingen en hopend op goed geluk hopen zij snel grote aantallen trainingen te verkopen.
Om je voor een aantal veelvoorkomende fouten te behoeden heb ik enkele maanden geleden de ‘Ultieme Handleiding om te starten met je online leeromgeving‘ geschreven. En wanneer je plannen hebt om hiermee te starten, dan zou ik deze zeker doornemen als ik jou was.
Hoe kan een online leeromgeving geld lekken?
Laten we eerlijk zijn. Tenzij je al een grote mailinglijst hebt, is het best moeilijk om je eerste cursisten naar je online cursus te krijgen. Het laatste wat je dus wilt, is dat er manieren zijn om jouw cursus te volgen zonder te betalen.
Video beveiligen
Eén goede manier om dat te voorkomen is jouw videos te beveiligen tegen ongeoorloofd delen. Wanneer je Vimeo gebruikt is dat eigenlijk best eenvoudig. En ik heb enige tijd geleden in een video laten zien, hoe je jouw Vimeo videos kan beveiligen.
Niet zo gek lang na het posten van deze video kreeg ik een vraag van een lezer hoe je op een vergelijkbare manier YouTube videos kan beveiligen.
Het antwoord op die vraag is nog veel simpeler.
Dat kan niet!
Wanneer je wilt voorkomen dat je cursusvideos gemakkelijk gedeeld kunnen worden, moet je beslist YouTube niet gebruiken. Dat is ook nooit geweest waarvoor YouTube bedoeld is!
Het is mogelijk om een video ‘Privé’ of ‘Verborgen’ te maken, maar beide mogelijkheden beveiligen je video niet.
YouTube Privé
Wanneer je een YouTube video privé maakt, dan betekent dat, dat hij alleen voor jou te zien is, wanneer je bent ingelogd. Nu kan ik ook aan andere mensen het recht toekennen deze video te zien, maar ook zij moeten zijn ingelogd in YouTube.
Kortom allemaal niet erg praktisch, omdat je de video natuurlijk vanuit je online leeromgeving wilt laten zien en niet vanuit YouTube.
YouTube Verborgen
Zet je de video op ‘verborgen’ dan zal hij niet naar voren komen in zoekopdrachten. Je moet de directe URL hebben om de video te kunnen bekijken.
Dat mag misschien een goede oplossing lijken, maar dat is het niet. En wel om twee redenen.
De eerste reden is dat iemand met een beetje kennis van HTML deze link snel zal vinden. Je hoeft maar de ‘source code’ van de pagina te bekijken en te zoeken op ‘youtube.com’. Dan zal je alle video links vinden.
Maar zelfs deze moeite is niet echt nodig. Want even makkelijk kan ik via de ingebouwde ‘share’ opties van YouTube de video delen met wie ik maar wil. Niet veel bescherming dus.
YouTube is een volkomen ongeschikte omgeving voor het hosten van de video’s in het ‘besloten’ deel van je online leeromgeving.
Het is overigens een geweldige omgeving voor het promoten van je online cursussen, maar dat is een compleet ander verhaal.
Je kan wel inloggen met mijn wachtwoord…
Een tweede manier waarop je online leeromgeving geld kan lekken kan zijn omdat meerdere mensen gebruik maken van hetzelfde account. Of dat ook werkelijk zal gebeuren is afhankelijk van het type training.
Is jouw training professionele training, met verschillende toetsen en bovendien ook aardig aan de prijs, dan zal jouw cursist niet zo snel geneigd zijn de inloggegevens met anderen te delen. Per slot van rekening heeft hij er flink voor moeten betalen. En bovendien wil de cursist natuurlijk niet dat iemand anders toetsen -met mogelijke gevolgen voor certificering- namens hem in gaat vullen.
Maar is jouw cursus een cursus die zich richt op een hobby dan is er een redelijk risico, dat een goedbedoelende cursist de inloggegevens met een hobby vriend of een hobby vriendin zal delen. Dat doe je toch als vrienden onder elkaar?
Dit wordt minder waarschijnlijk naarmate een cursus meer interactief is. Opnieuw: De aanwezigheid van toets en testen, de mogelijkheid om huiswerk in te sturen of de mogelijkheid om aan sociale interactie in de leeromgeving deel te nemen, zal de waarschijnlijkheid dat men de inloggegevens zal delen sterk verlagen.
Maar wanneer we het vrijwel onmogelijk willen maken, dat een derde partij in zal loggen, wat kunnen we dan doen om dit te voorkomen?
Een maximum aantal IP adressen waarop ingelogd kan worden
Eén van de mogelijke manieren om het risico te beperken dat wachtwoorden gedeeld zullen worden is het aantal verschillende IP’s waarop één gebruiker in mag loggen te beperken.
Dit is een methode die zo’n tien jaar geleden nog heel populair was en door vrijwel iedere ‘membership’ plugin werd ondersteund. Maar tijden veranderen en niets is zo flexibel als een IP adres. Onze apparaten zijn immers geen ‘home’ computers meer, maar flexibele laptops, handzame telefoons en tablets. En die nemen we mee. En bijna overal is WiFi, met overal nieuwe IP adressen.
Kortom, deze methode is achterhaald door de huidige techniek.
Two Factor Authentication gebruiken
Two Factor Authentication wil zeggen, dat je niet genoeg hebt aan alleen je gebruikersnaam en wachtwoord, maar ook nog een tweede bron van authenticatie moet hebben. Bijvoorbeeld een code die naar je wordt gemaild, verzonden per SMS of die je te zien krijgt in een app op je telefoon.
Toch is dit niet ideaal. Want mail kan vertraagd zijn of niet aankomen, SMS kost geld en via een app vraagt toch heel wat van je aanstaande cursist. Om jouw cursus te kunnen volgen, zal hij een aparte app moeten installeren die hij voor niets anders dan het inloggen nodig zal hebben.
Two Factor Authentication is een goede manier om extra veiligheid te bieden, voor wie dat wil, maar wanneer je TFA af gaat dwingen, zal het voor een aantal geïnteresseerden een reden zijn zich toch niet aan te melden.
Inloggen met Social Media
Een andere mogelijkheid is af te dwingen dat mensen met hun social media account in moeten loggen. Daar zijn diverse plugins voor en de meeste mensen zijn niet echt bereidt hun Facebook of Google wachtwoord aan anderen te geven.
Maar hieraan kleeft eigenlijk hetzelfde bezwaar als aan ‘TFA’. Sommige mensen zullen zich niet voor je cursus inschrijven omdat ze
- Niet vertrouwen wat jij met hun Social Media gegevens kan en zal doen.
- Niet vertrouwen wat Google of Facebook met de gegevens kan en zal doen.
- Geen Google of Facebook account hebben.
De meeste van deze ‘Social Media login’ plugins bieden ook de mogelijkheid om gewoon met emailadres en wachtwoord in te loggen… maar dat is nu precies iets wat je wilt voorkomen.
Het aantal gelijktijdige inlogs op usernaam beperken!
Wanneer je in moet loggen met een gebruikersnaam, dan is je IP adres eigenlijk helemaal niet relevant.
Indien je in Amsterdam zit te werken kan je niet gelijktijdig in Winterswijk aan de slag zijn. Dat is nogal logisch.
Er is een aantal plugins wat niet kijkt op hoeveel IP adressen je bent ingelogd, maar juist hoe vaak een bepaalde gebruikersnaam is ingelogd.
Log jij in, dan kijkt de plugin of je al voorkomt als ‘ingelogde gebruiker’ en zal op basis daarvan actie ondernemen. Er is een tweetal plugins die ik regelmatig inzet, die allebei op een net iets andere manier werken. Dus laten we eerst eens kijken, wat er nu eigenlijk gebeurd, wanneer jij inlogt in WordPress.
Hoe werkt inloggen in WordPress eigenlijk?
Wanneer je de juiste gebruikersnaam en wachtwoord combinatie opgeeft, dan krijg je van WordPress een ’toegangscode’, een ‘sessie ID’. Dit is een ID die aan jouw kant in een cookie wordt opgeslagen, aan de andere kant, bij WordPress zelf, in een tabel met open sessies.
Iedere keer wanneer jij ‘iets’ opvraagt bij WordPress, geef je die sessie ID door, WordPress zoekt in de tabel of die bestaat, en indien deze bestaat, of jij inderdaad degene bent die hoort bij die sessie. Pas dan zal WordPress een reactie geven.
Log je uit, dan verwijder je feitelijk je cookie en wanneer je opnieuw inlogt dan krijg je een nieuwe cookie.
Dat is ook de reden dat wanneer je kiest voor ‘alle cookies verwijderen’ in je browser je ineens bent uitgelogd.
WordPress vindt gelijktijdige gebruikers prima!
Log je op twee verschillende apparaten in met hetzelfde account, dan heeft WordPress hier helemaal geen moeite mee. Je kan best een heel geldige reden hebben. Je werkt op twee computers gelijktijdig, of je bent ingelogd via verschillende browsers.
Wel heeft WordPress aan iedere inlog een eigen ‘sessie cookie’ gegeven, dus WordPress kan prima het verschil zien tussen wat je doet op je telefoon en op je laptop. Maar… is er totaal niet in geïnteresseerd.
Maar de informatie is aanwezig. En we gaan twee plugins gebruiken, die allebei gebruik maken van deze informatie van welke gebruiker er via welke sessie is ingelogd.
Sessies verlopen!
Je hebt het vast wel eens gemerkt… wanneer je bent ingelogd, dan gebeurt het wel eens dat WordPress je er zomaar uit gooit met de melding dat je sessie is verlopen. De sessie ID die in de database wordt opgeslagen krijgt namelijk een ‘vervaldatum’ mee, en wanneer die vervaldatum is verstreken dan wordt de sessie beëindigd. Een stukje extra veiligheid.
De eerste aanpak: VERBODEN TOEGANG!
De eerste aanpak is de inlogger te verbieden in te loggen, wanneer diezelfde persoon er al via een andere sessie in zit. Log ik dus in, en ben ik elders al ingelogd, dan krijg ik een bericht, dat ik niet in mag loggen.
Dit kan behoorlijk vervelend zijn wanneer ik vergeten ben uit te loggen en denk om op een andere locatie of op mijn telefoon nog fijn een aantal lessen van de cursus te kunnen volgen.
Ook is het zo dat zelfs wanneer je wel uitlogt het even duurt voor jouw sessie in de database wordt gewist, en je dus ergens anders in kan loggen. Dat heeft er alles mee te maken dat het opruimen van oude inlogsessies in de achtergrond gebeurt door middel van een WP Cron job.
De tweede aanpak: De laatste mag blijven
De tweede aanpak is in mijn ogen te prefereren. Wanneer je inlogt log je automatisch -zonder enige waarschuwing- alle andere sessies van diezelfde gebruiker uit.
Dus geen waarschuwing, maar gewoon direct ‘Poof’. Je bent uitgelogd. Dat is natuurlijk niet erg vriendelijk, maar dat is er juist het mooie van.
Want waarom wilde je de functie ook al weer implementeren?
Juist! Om te voorkomen dat mensen hun wachtwoord met anderen delen.
Stel nu, dat ik mijn wachtwoord met mijn zus gedeeld zou hebben. Want we willen allebei de cursus volgen en we hebben hem gewoon samen, 50/50 gekocht. Dat was natuurlijk niet de bedoeling van de maker van de cursus.
En mijn zus is net met les 1 begonnen. Ik wil ook aan de cursus beginnen en log in.
Poof! Met een cryptische melding dat de sessie is verlopen wordt zij uit de cursus gegooid. Zij logt dus weer in.
Poof! Nu is het mijn beurt om uit de cursus gegooid te worden! En wanneer we samen zo blijven inloggen en er uitgegooid blijven worden, kunnen we geen van beiden echt de cursus volgen, tenzij we dit wel heel goed samen gaan coördineren.
En de legitieme gebruiker? Die merkt nergens wat van. Ben ik thuis vergeten uit te loggen? Geen probleem, ik kan onderweg gewoon inloggen. Tijdens het inloggen worden oude sessies vanzelf uitgelogd.
Of met andere woorden, dit is eigenlijk de werkwijze die mij prima past om te voorkomen dat mijn online leeromgeving geld gaat lekken.
De plugin
En natuurlijk willen we een plugin die ons daarbij kan ondersteunen. De plugin ‘LoggedIn‘
Na het installeren is de plugin zeer eenvoudig te configureren.
Als eerste wordt gevraagd hoe vaak een gebruiker ingelogd mag zijn. Persoonlijk zou ik hier aangeven, dat dit maar 1x mag zijn. Bedenk hier overigens wel bij, dat dit ook voor jou geldt! Heb je de gewoonte om met twee verschillende browsers te werken, of met een ‘gewoon’ venster en een incognito venster, dan kan het een goed idee zijn om de waarde op 2 te zetten.
In het tweede veld geef je aan of -indien het maximum aantal inlogs is bereikt- iemand geblokkeerd moet worden, of gewoon ‘doorgelaten’, daarbij de ingelogde gebruikers er uit gooiend.
Zoals je eerder in het artikel hebt gelezen heeft de ‘Allow’ optie mijn voorkeur.
En als laatste kan je een specifieke gebruiker eruit gooien door de ID (dat kan je terug vinden in de Gebruikerslijst) van de gebruiker in te geven. Dat is handig, wanneer een cursist van zijn vakantieadres belt, dat hij de cursus niet kan volgen, omdat hij thuis nog ingelogd staat.
Daar heb je natuurlijk alleen maar last van, wanneer je tegen mijn advies in gekozen hebt voor ‘Block’ in plaats van ‘Allow’.
Een online leeromgeving
Sinds 2012 help ik ondernemers bij het opzetten en ontwikkelen van online leeromgevingen. Ben jij op zoek naar een eigen online leeromgeving, kijk dan eens naar het aanbod van WordXPression en neem contact op.
Heb jij ideeën voor het ontwikkelen van een online cursus, maar wil je een keer met mij sparren over je mogelijkheden en de beste manier om dit aan te pakken, dan kan je ook een afspraak maken voor een video consult.
Tenslotte wijs ik je graag op een tweetal online livetrainingen die regelmatig worden gegeven: