Đăng nhập WordPress thông qua tài khoản WordPress.com.
Trong bài viết hôm trước, tôi đã hướng dẫn cho các bạn các bước bật tính năng bảo mật 2 bước cho tài khoản WordPress.com rồi phải không nào? Mục đích chính của thủ thuật đó là để phục vụ cho bài viết hôm nay. Chúng ta sẽ “lợi dụng” tính năng bảo mật 2 bước của WordPress.com để làm cho quá trình đăng nhập WordPress self-hosted trở nên an toàn hơn, tránh được các nguy cơ liên quan đến Brute Force Attacks. Vì vậy, nếu bạn chưa sẵn sàng thì hãy tham khảo ngay những bài viết bên dưới nhé.
Tham khảo thêm:
- Bật tính năng bảo mật 2 bước cho tài khoản WordPress.com
- Top 6 plugins tạo Two Factor Authentication cho WordPress
Bạn đã chuẩn bị đầy đủ những thứ cần thiết? Chúng ta hãy bắt đầu ngay.
Đăng nhập WordPress bằng tài khoản WordPress.com
1. Trước tiên, blog/ website WordPress của bạn cần phải được cài đặt và kích hoạt plugin Đăng nhập WordPress bằng tài khoản WordPress.com. WP Căn bản đã có hẳn một serie để hướng dẫn cách sử dụng plugin này. Hãy kết nối plugin Jetpack với tài khoản WordPress.com đã được bật tính năng bảo mật 2 bước.
2. Kích hoạt module Single Sign On có trong plugin Jetpack.
3. Sau khi kích hoạt, truy cập vào link đăng nhập blog/ website WordPress của bạn, giao diện sẽ xuất hiện như thế này.
Bạn có thể lựa chọn đăng nhập bằng tài khoản WordPress.com hoặc bằng thông tin đăng nhập mặc định.
4. Để vô hiệu hóa form đăng nhập mặc định và chỉ cho phép đăng nhập bằng tài khoản WordPress.com, các bạn hãy thêm code sau đâu vào file functions.php của theme đang dùng.
Tham khảo bài viết này nếu bạn không tìm ra file funtions.php: Tạo file functions.php để chèn code tùy biến WordPress
5. Ngay lập tức, khi truy cập trang đăng nhập, các bạn sẽ được tự động chuyển hướng sang WordPress.com. Các bạn buộc phải đăng nhập bằng thông tin của tài khoản WordPress.com.
6. Và điền mã bảo mật bước 2 nếu muốn hoàn tất việc đăng nhập. Mã bảo mật sẽ được lấy từ tin nhắn SMS hoặc ứng dụng Authenticator của bạn.
7. Sau khi đăng nhập thành công, các bạn sẽ được tự động chuyển hướng trở lại trang quản trị WordPress của mình.
Rất đơn giản nhưng vô cùng tuyệt vời phải không nào? Nếu ai đó có ý định “dò thử” thông tin đăng nhập blog/ website WordPress của bạn thì chắc hẳn họ sẽ phải “khóc thét”.
Bạn đã kích hoạt tính năng đăng nhập WordPress bằng tài khoản WordPress.com cho blog/ website của mình chưa? Bạn đánh giá thế nào về tính năng này? Hãy chia sẻ với chúng tôi quan điểm và ý kiến của bạn trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Em cũng đang xài 2 bước cho email chắc cũng làm 2 bước cho WP luôn cho nó an toàn
Cái gì quan trọng thì tốt nhất cứ nên bảo mật 2 bước. :D
Chào Hiếu.
Mình bật tính năng bảo mật 2 bước wordpress.com thành công. Khi đăng nhập lại quản trị, đến phần nhập mã xác minh trong tin nhắn điện thoại, nhập đúng vẫn không vào được là sao nhỉ ?
Nó báo lỗi gì bạn? Chụp và gửi cho mình ảnh màn hình lỗi với. :P
Mã xác minh mỗi lần đăng nhập là khác nhau phải không Hiếu ?
Làm sao để hệ thống gửi mã xác minh mới khi mình đăng nhập ?
Đúng rồi. Mỗi lần một mã. Bạn đã xem link tham khảo để biết cách kích hoạt tính năng bảo mật 2 lớp cho tài khoản WordPress.com chưa? Mình có hướng dẫn cách để nhận mã qua tin nhắn và ứng dụng điện thoại rồi đấy. :P
Mình nhập mã xác minh 6 số lúc bật tính năng bảo mật 2 bước.
Hệ thống báo mã không hợp lệ à ?
Lúc bật tính năng bảo mật 2 bước, bạn chọn gửi mã xác nhận qua tin nhắn hay quét mã QR để kích hoạt trên ứng dụng? :P
Mình chọn gửi qua tin nhắn điện thoại Hiếu à
Nếu vậy thì mỗi lần đăng nhập bạn sẽ nhận được 1 mã bảo mật qua tin nhắn SMS. Bạn phải nhập chính xác mã đó thì mới đăng nhập được. :P
Làm thế nào để hệ thống biết là mình đăng nhập. Qua bước nhập tài khoản admin hay là kích hoạt log in hả Hiếu.
Mình log in từ sang nhiều lần rồi mà không thấy gửi tin nhắn à
Nếu thế thì có thể bị lỗi hệ thống tin nhắn hoặc lỗi mạng rồi. Tốt nhất bạn nên sử dụng app Authenticator để lấy mã mọi lúc mọi nơi, kể cả khi không có sóng nhé. Còn tạm thời, nếu không nhận được mã bảo mật qua tin nhắn, bạn có thể sử dụng backup code để đăng nhập. :P
backup code là mã gồm 7 chữ số, nhập ở đâu nhỉ ?
Sử dụng app Authenticator trên laptop được không, di động thì dùng phần mềm gì ?
Bạn vẫn nhập backup code vào khung Verification Code như bình thường thôi. Bạn dùng laptop thì làm sao scan được QR Code? Cái này cần điện thoại bạn nhé. Và điện thoại của bạn phải chạy hệ điều hành (Android, iOS, BlackBerry…). :P
Thế quái nào cả tuần nay không vào Wpcanban nhỉ :D
Bị lỗi peering giữa các nhà mạng chăng? Bạn dùng mạng nào? :P
Em xài Viettel thường online lúc 2h đêm :D
Giờ đó thì ngủ cho khỏe nhé. :D :P
cái này có nhận đc xác minh của gmail ko a. e bật sẵn xác minh = sms rồi (e đang nói gmail chứ ko phải wordpress.com nha). e thấy a bảo có bao nhiêu tài khoản vất hết vào trong app mà cái app này của google nên chắc là nhận đc :V e tải app về thì có dòng nhập thủ công. bên trên tài khoản. bên dưới là “khóa” , k biết khóa là nhập cái gì :v
Có thể nhận mã của WordPress.com thông qua ứng dụng Google Authenticator nhé. Mình cũng đang dùng. Bạn có thể quét mã QR để lấy mã xác nhận 6 số. :P
ý e hỏi là nhận mã xác minh 2 bước của gmail ấy a. có dùng đc app này giống như wordpress ko vì cùng 1 mẹ google mà. vì e dùng khá nhiều mail lại hay dùng trình duyệt riêng tư nữa nên mỗi lần nhận sms mail rất tốn time ?
Tất nhiên là được rồi. Trong phần thiết lập bảo mật của tài khoản Google cho phép nhận mã qua ứng dụng đấy. Ứng dụng của Google mà không dùng được cho tài khoản Google thì sinh ra để làm gì. :D :P
oke e đã xong phần nhận mã rồi. giờ đến vấn đề Jetpack :v kiểu này là vẫn ép e phải cài nó rồi đây mà :))
Mình thích Jetpack. Kể mà nó cho gỡ bỏ hoàn toàn các module không dùng đến thì tuyệt. :P
Các tài khoản CTV làm sao để đăng nhập ?
Không đăng nhập được luôn. :D Không áp dụng cho site có nhiều tác giả nhé. :P
Em đã tìm ra rồi, các email của công tác viên login trước vào, rồi hãy vào jetback kích hoạt Single On stick vào Match Email với Two fact là các công tác viên sẽ login thoải mái qua wordpress.com
Nói chung là vẫn được.
Good. Chúc mừng bạn. :P
Tuyệt, đã làm :))
Thực ra chỉ dùng 1 dòng
add_filter( ‘jetpack_sso_bypass_login_forward_wpcom’, ‘__return_true’ );
là đủ rồi mà
Đúng rồi. :D
Cách này hay nhưng hơi lằng nhằng, theo mình nghĩ nên cài thẳng plugins Google Authenticator được viết bởi Henrik Schack sau đó khi đăng nhập vào nó luôn yêu cầu đăng nhập 2 bước, không cần phải qua jetpack nữa.
Đây là hướng dẫn cho những ai đang dùng plugin Jetpack thôi bạn. :D Tận dụng được thì tội gì không tận dụng luôn. :)
Rất đơn giản nhưng vô cùng tuyệt vời phải không nào? Nếu ai đó có ý định “dò thử” thông tin đăng nhập blog/ website WordPress của bạn thì chắc hẳn họ sẽ phải “khóc thét”.
Là cao thủ sẽ dùng đường dẫn: domain.com/wp-login.php?loggedout=true để hack thông tin đăng nhập của bạn như chỗ không người.
Khắc phục lỗi này đi Hiếu ơi, web của bạn cũng chưa bảo mật lắm đâu, haha.
Bạn thử lại xem. Hehe. :D
Chia sẻ cách khắc phục đê, phát hiện lỗ hổng to đùng thế mà =D
Mình dùng code y hệt như trong bài viết thôi. Chẳng qua mới update theme nên thêm thiếu mất 1 dòng. :P
E làm theo đúng như bài hướng dẫn nhưng sao site của bác nó không có cái khung đỏ như trong hình dưới giống của e nhỉ. Làm sao để xóa cái khung đỏ đấy đi vậy bác. Vì còn cái khung này thì vẫn đăng nhập bằng acc của web bình thường. Mong bác chỉ giáo. Thanks
http://sv1.upsieutoc.com/2017/10/18/dang-nhap-wordpress-bang-wordpress-com-3.png
Mình cũng chèn code y như trong bài viết thôi. Không có gì khác cả. :P
Bác chèn đoạn code đó vào file functions.php của theme hay chèn vào file functions do plugin https://wordpress.org/plugins/functionality/ tạo ra vậy. E chèn vào file functions.php của theme nó vẫn hiện form đăng nhập mặc định như trong hình trên :(
Mình chèn vào file functions.php của child theme. :)
Thế là do số e nhọ rồi. E cũng chèn vào functions.php của child theme mà nó vẫn ko ẩn dc cái form mặc định :(
Dòng thứ 2 của cái code có tác dụng loại bỏ form đăng nhập mặc định của WordPress đấy. :P
E cũng nhận ra dc điều đó nhưng ko hiểu sao của e nó vẫn còn form mặc định. Mà bác cho e hỏi, Jetpack bác dùng là bản free hay trả phí vậy. E thấy các bài hướng dẫn của bác giao diện Jetpack khác khác, ko biết là do bản cũ hay bác dùng trả phí :D
Giao diện Jetpack cũ nhé. Dù bản trả phí hay miễn phí cũng giao diện giống nhau cả thôi. :P
Ok. Thank bác. Thôi để e tìm cách khác vậy :(