Bật tính năng bảo mật 2 bước cho website WordPress

Tích hợp tính năng bảo mật 2 bước (two factor authentication) cho website WordPress.

Trong các bài viết trước đây, tôi đã từng hướng dẫn cho các bạn cách đổi link đăng nhập WordPress và giới hạn số lần đăng nhập thất bại để chống brute force attack rồi phải không nào? Tuy nhiên, sẽ thế nào nếu hacker đoán ra cả link lẫn mật khẩu đăng nhập của bạn? Chốt chặn cuối cùng có thể giúp bạn ngăn chặn họ truy cập vào WordPress Admin chính là bảo mật 2 bước hay còn được gọi là two factor authentication.

Tham khảo thêm:

• Bật tính năng bảo mật 2 bước cho DirectAdmin
• Hướng dẫn bật bảo mật 2 bước cho cPanel của hosting

Bảo mật 2 bước là gì?

Hiểu một cách đơn giản thì bảo mật 2 bước hay xác minh 2 bước (xác thực 2 yếu tố, two factor authentication) là một phương thức bảo mật mà trong đó người ta sử dụng 2 lớp xác thực trước khi cho phép ai đó đăng nhập vào tài khoản của mình:

• Lớp 1: chính là tên đăng nhập và mật khẩu mà bạn đã đặt lúc đăng ký tài khoản.
• Lớp 2: một đoạn mã ngẫu nhiên và thường có thời gian sử dụng, được lấy từ ứng dụng (Google Authenticator, Microsoft Authenticator, Authy…), email hoặc tin nhắn SMS.

Vì tính chất ngẫu nhiên và thay đổi liên tục nên đoạn mã này rất khó bị đoán ra. Nhờ đó, tài khoản của bạn cũng sẽ bảo mật hơn rất nhiều lần. Kể cả khi tên đăng nhập và mật khẩu bị lộ thì người khác cũng không thể đăng nhập được.

Tích hợp bảo mật 2 bước cho website WordPress

Trong WordPress, các bạn có thể làm mọi thứ một cách dễ dàng nhờ sự trợ giúp của các plugin.

Sử dụng plugin WPCB Secure Shield

Nếu website của bạn đã được chúng tôi cài đặt sẵn plugin WPCB Secure Shield, hãy kiểm tra xem nó đã được cập nhật lên phiên bản mới nhất chưa?

Nếu chưa, hãy click vào nút Check for updates tương ứng với plugin WPCB Secure Shield trong trang danh sách plugin để kiểm tra và cập nhật phiên bản mới.

1. Nếu rồi, hãy truy cập Cài đặt => Secure Shield => Cài đặt chung => kéo xuống phần Bảo mật đăng nhập và tick vào mục Xác thực hai yếu tố (2FA) rồi lưu lại.

2. Truy cập Thành viên => Hồ sơ => tìm phần Xác thực hai yếu tố, các bạn sẽ thấy giao diện trông như thế này:

Hãy click vào nút Cập nhật hồ sơ.

3. Quay trở lại phần Xác thực hai yếu tố, các bạn sẽ thấy xuất hiện mã QR. Hãy sử dụng ứng dụng Google Authenticator trên điện thoại để quét mã. Sau khi quét thành công, hãy nhập mã 6 số từ ứng dụng vào khung rồi click nút Cập nhật hồ sơ.

4. Trạng thái 2FA chuyển sang Đã bật nghĩa là các bạn đã kích hoạt tính năng bảo mật 2 bước thành công. Plugin cũng sẽ tự động tạo ra 8 mã dự phòng. Hãy copy và lưu trữ chúng ở nơi an toàn. Những mã dự phòng này có thể được sử dụng để thay cho mã 6 số từ ứng dụng Google Authenticator. Mỗi mã chỉ có thể sử dụng 1 lần duy nhất.

5. Bây giờ, hãy thử đăng nhập trên trình duyệt ẩn danh và kiểm tra kết quả nhé. Kết quả bạn nhận được sẽ trông giống như thế này:

Sử dụng plugin Defender Security

Đây là plugin mà chúng tôi thường cài đặt sẵn trên website của các khách hàng trước đây. Tuy nhiên, chúng đang dần được thay thế bởi WPCB Secure Shield vì hiệu năng vượt trội.

1. Nếu bạn cũng đang sử dụng plugin này, hãy truy cập vào Defender => 2FA => click vào nút Activate để kích hoạt tính năng bảo mật 2 bước.

2. Sau khi kích hoạt, bạn sẽ thấy giao diện tương tự như hình bên dưới:

Trong đó:

• User Roles: lựa chọn các vai trò (role) người dùng mà bạn muốn kích hoạt tính năng two factor authentication.
• Lost Phone: bật tính năng này để bạn có thể nhận mã đăng nhập qua email trong trường hợp điện thoại bị mất (không lấy mã từ ứng dụng được).
• Force Authentication: bắt buộc những người dùng khác phải sử dụng tính năng two factor authentication.
• App Title: đặt tên cho mã trong ứng dụng (để phân biệt với các mã khác).
• Emails: tùy biến nội dung email nhận mã. Các bạn có thể để mặc định.
• App Download: lựa chọn ứng dụng mà bạn muốn dùng để tạo mã đăng nhập. Ví dụ ở đây tôi chọn Google Authenticator.
• Active Users: xem danh sách những người dùng đã kích hoạt two factor authentication.
• Deactivate: tắt tính năng two factor authentication.

Sau khi thiết lập xong, click vào nút Save Changes để lưu lại.

3. Truy cập vào Users => Profile => kéo xuống dưới và tìm mục Two Factor Authentication rồi click vào nút Enable.

4. Sử dụng ứng dụng Google Authenticator để quét mã QR hiển thị trên màn hình => lấy mã sinh ra từ ứng dụng và điền vào khung Enter passcode => click nút Verify để xác nhận.

4. Nếu xác nhận thành công, các bạn sẽ nhận được thông báo như hình bên dưới:

5. Đăng xuất khỏi tài khoản của bạn và tiến hành đăng nhập lại. Bạn sẽ thấy yêu cầu điền mã bảo mật 2 bước trông giống như thế này:

Hãy lấy mã được tạo từ ứng dụng Google Authenticator để tiến hành đăng nhập nhé. Thật đơn giản phải không nào? Chúc các bạn thành công!

Một số plugin khác

Ngoại ra, các bạn còn có thể tham khảo thêm một số plugin sau đây với tính năng hoàn toàn tương tự:

• Two Factor Authentication (download).
• 2FAS Prime – Two Factor Authentication (download).
• WP 2FA – Two-factor authentication for WordPress (download).
• miniOrange’s Google Authenticator (download).

Bạn có đang sử dụng tính năng bảo mật 2 bước cho website WordPress của mình hay không? Bạn đã sử dụng phương pháp nào để làm điều đó? Hãy chia sẻ nó với chúng tôi thông qua khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)