Bảo mật 2 lớp WordPress bằng SMS và Authenticator

Rate this post
13 bình luận
Bảo mật 2 lớp WordPress bằng SMS và Authenticator - How to enable two factor authentication for wordpress

Bảo mật 2 lớp WordPress ít người nghĩ đến nhưng đó lại là cách bảo mật tốt nhất mà mình biết. WordPress có sẵn rất nhiều plugin hỗ trợ bạn bật xác minh 2 bước WordPress, chúng ta chỉ cần chọn đúng để dùng thôi. Bài viết này Lucid Gen sẽ hướng dẫn bạn bảo mật 2 lớp WordPress bằng tin nhắn SMS và Google Authenticator.

Hậu quả của việc không bảo mật WordPress

  • Web bị nhiễm virus, bị cài mã độc đánh cắp thông tin người dùng vào web, hay chèn backlink tùm lum.
  • Bị chữ tàu khi xuất hiện trên Google.
  • Google Chrome sẽ ngăn không cho người dùng truy cập web của bạn.
  • Mất quyền kiểm soát web, thậm chí phá nát cả dữ liệu của hosting.

Lợi ích của bảo mật 2 lớp WordPress

Lợi ích mà bạn không thể ngờ tới khi bật bảo mật 2 lớp WordPress…

  • Web khoẻ tâm an.
  • Yên tâm trong giấc ngủ.
  • Dành trọn niềm tin từ khách hàng.
  • Vững vàng đi làm web dạo.

Nói chung là để tăng cường bảo mật trang web WordPress của bạn và của khách hàng thôi.

Bảo mật 2 lớp WordPress bằng Google Authenticator

Google Authenticator là ứng dụng xác minh 2 bước được sử dụng rất phổ biến, nhiều nền tảng khác đều dùng ké anh Google cho nhanh gọn. Thay vì chờ nhận tin nhắn, bạn sẽ mở ứng dụng Google Authenticator trên điện thoại lên là có mã xác minh 2 bước. Đặc biệt là bạn không cần online vẫn nhận mã được nha.

Trong giao diện quản trị trang WordPress, bạn nhấp vào Plugin trên menu và chọn Cài mới. Sau đó tìm plugin Two-Factor để cài đặt.

Two-Factor
Tìm plugin Two-Factor (bảo mật 2 lớp wordpress và xác minh 2 bước wordpress)
Tìm plugin Two-Factor

Sau khi cài đặt và kích hoạt plugin Two-Factor, bạn vào phần Hồ sơ của bạn. Cuộn xuống phía dưới sẽ thấy Tùy chọn Two-Factor, bạn cấu hình như mình hướng dẫn nhé.

  1. Bật 2 nút ở phần Mật khẩu một lần dựa trên thời gian (Google Authenticator).
  2. Dùng điện thoại mở ứng dụng Google Authenticator, nhấp dấu cộng trong ứng dụng và chọn quét mã. Quét vào màn hình máy tính cả bạn sau đó nhập mã xác thực được tạo ra từ ứng dụng Google Authenticator. Xong thì bấm gửi.
Tải cho Android
Tải cho iPhone

Bạn cũng có thể sử dụng Google Authenticator trên máy tính thay vì điện thoại.

Nhập mã xác minh trong ứng dụng Authenticator vào rồi Gửi (bảo mật 2 lớp wordpress và xác minh 2 bước wordpress)
Nhập mã xác minh trong ứng dụng Authenticator vào rồi Gửi

Sau khi lưu xong cài đặt xác minh 2 bước WordPress, sau này khi đăng nhập xong mật khẩu chính thì bạn sẽ thấy có một yêu cầu xác minh 2 bước. Lúc đó cứ mở ứng dụng ra lấy mã để nhập là được.

Bảo mật 2 lớp WordPress bằng Google Authenticator
Bảo mật 2 lớp WordPress bằng Google Authenticator

Rất nhanh và đơn giản phải không, tính năng 2FA cũng có sẵn trên plugin Wordfence bạn có thể tham khảo hướng dẫn sử dụng Wordfence nhé. Tuy nhiên nếu bạn chỉ thích bảo mật 2 lớp WordPress bằng SMS thì hãy xem cách bên dưới.

Bảo mật 2 lớp WordPress bằng SMS của Jetpack

Hiện tại chỉ có WordPress.com là hỗ trợ đăng nhập 2 lớp bằng SMS thôi. Chúng ta không xây dựng web trên WordPress.com nhưng có thể dùng ké tính năng này thông qua plugin Jetpack của WordPress.com hỗ trợ. Bên cạnh đó Jetpack cũng giúp chống lại tấn công đăng nhập (brute attack) cho bạn nữa đấy.

Jetpack – WP Security, Backup, Speed, & Growth

Nếu bạn mới biết WordPress.com, hãy nhấp vào wordpress.com/start/user và tạo cho bạn một tài khoản nhé.

Tạo tài khoản WordPress.com
Tạo tài khoản WordPress.com

Đăng nhập vào tài khoản WordPress.com của bạn, nhấp vào Bảo mật trên menu bên trái, chọn Xác nhận 2 bước ở bên phải, rồi nhấp Hãy Bắt Đầu.

(Bạn có thể mở nhanh bằng wordpress.com/me/security/two-step).

Bật xác nhận 2 bước trong WordPress.com
Bật xác nhận 2 bước trong WordPress.com

Nhập số điện thoại của bạn và nhấp vào ô Xác minh qua SMS để nhận tin nhắn xác minh. Lưu ý: bỏ số 0 phía trước số của bạn là được.

Nhập số điện thoại của bạn và nhấp vào ô Xác minh qua SMS
Nhập số điện thoại của bạn và nhấp vào ô Xác minh qua SMS

Điền mã xác minh 2 bước nhận trong tin nhắn điện thoại của bạn rồi nhấp Kích hoạt.

Điền mã xác minh trong tin nhắn rồi nhấp Kích hoạt
Điền mã xác minh trong tin nhắn rồi nhấp Kích hoạt

Tích vào ô Tôi đã lưu trữ mã dự phòngHoàn tất. Mấy cái mã dự phòng bạn có thể lưu lại phòng trước hợp điện thoại không nhận được tin nhắn.

(Nhưng khỏi cũng chẳng sao, nếu điện thoại không thể nhận được tin nhắn bạn cứ vào hosting tìm thư mục plugin để xóa Jetpack đi là đăng nhập bình thường).

Tích vào ô Tôi đã lưu trữ mã dự phòng và Hoàn tất
Tích vào ô Tôi đã lưu trữ mã dự phòng và Hoàn tất

Trở lại giao diện quản trị trang WordPress của bạn, chọn Plugin trên menu và Cài mới. Tìm plugin Jetpack để cài đặt và kích hoạt.

Tìm plugin Jetpack để cài đặt và kích hoạt
Tìm plugin Jetpack để cài đặt và kích hoạt

Lần đầu tiên sử dụng Jetpack, bạn cần nhấp vào nút Set up Jetpack để bắt đầu kết nối với tài khoản WordPress.com.

Nhấp vào nút Set up Jetpack
Nhấp vào nút Set up Jetpack

Khi nãy chúng ta đã đăng nhập WordPress.com rồi nên bây giờ chỉ cần nhấp vào nút Chấp nhận là được.

Nhấp vào nút Chấp nhận
Nhấp vào nút Chấp nhận

Sau đó, bạn hãy bỏ qua các bảng giá, chúng ta cuộn xuống bên dưới sẽ thấy nút Start with free để sử dụng miễn phí.

Cuộn xuống bên dưới sẽ thấy nút Start with free để sử dụng miễn phí
Cuộn xuống bên dưới sẽ thấy nút Start with free để sử dụng miễn phí

Khi được chuyển đến giao diện trang quản trị của WordPress.com. Bạn nhấp vào Quản lý trên menu bên trái và chọn Cài đặt. Ở phía bên phải bạn bật 2 tùy chọn như trong hình là được, còn nếu muốn tên đăng nhập phải là email thì bật cả 3.

Mình giải thích các tùy chọn bật bảo mật 2 lớp WordPress của Jetpack như sau:

  • Allow users to log in to this site using WordPress.com accounts: cho phép đăng nhập trang web của bạn bằng tài khoản WordPress.com
  • Match accounts using email addresses: chỉ chấp nhận tên đăng nhập là email.
  • Require accounts to use WordPress.com Two-Step Authentication: bắt buộc phải xác minh 2 bước để đăng nhập.
Bật bảo mật 2 lớp WordPress
Bật bảo mật 2 lớp WordPress

Sau khi bật xong thì hệ thống sẽ tự lưu, bạn chỉ cần nhấp vào Trang quản trị trên menu để quay trở lại quản trị web WordPress.

Nhấp vào Trang quản trị trên menu để quay trở lại quản trị web WordPress
Nhấp vào Trang quản trị trên menu để quay trở lại quản trị web WordPress

Sau này nếu bạn muốn thay đổi tùy chọn, bạn không cần thiết phải mò vào trong WordPress.com, chỉ cần vào Jetpack và chọn Cài đặt trên menu là được nha. Như bên dưới nè.

Có thể bật xác minh 2 bước WordPress trong cài đặt của Jetpack
Có thể bật xác minh 2 bước WordPress trong cài đặt của Jetpack

Sau đó bạn chèn thêm đoạn code này vào file functions.php của giao diện để gỡ bỏ ô đăng nhập mặc định, thay vào đó sẽ là đăng nhập bằng tài khoản WordPress.com. Bạn có 2 lựa chọn như sau:

Chỉ xóa ô đăng nhập mặc định, để lại nút đăng nhập với WordPress.com

/*Chỉ xóa ô đăng nhập mặc định*/
add_filter( 'jetpack_remove_login_form', '__return_true' );

Di chuyển thẳng qua WordPress.com khi truy cập trang đăng nhập

/*Di chuyển thẳng qua WordPress.com*/
add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' );
add_filter( 'jetpack_sso_new_user_override', '__return_true' );
add_filter( 'jetpack_sso_match_by_email', '__return_false' );
add_filter( 'jetpack_remove_login_form', '__return_true' );
add_filter( 'jetpack_sso_require_two_step', '__return_true' );
Chèn code thay đổi ô đăng nhập vào file functions.php của theme (bảo mật 2 lớp WordPress và xác minh 2 bước WordPress)
Chèn code thay đổi ô đăng nhập vào file functions.php của theme

Đây là kết quả khi bạn truy cập trang đăng nhập, không còn ô đăng nhập thường thấy nữa. Từ giờ, bạn chỉ cần nhấp vào nút Log in with WordPress.com và đăng nhập bằng tài khoản WordPress.com của bạn thôi.

Đăng nhập bằng tài khoản WordPress.com của bạn (bảo mật 2 lớp WordPress và xác minh 2 bước WordPress)
Đăng nhập bằng tài khoản WordPress.com của bạn

Khi nhập đúng mật khẩu thì bạn sẽ lập tức nhận được tin nhắn qua điện thoại. Nhập mã xác minh 2 bước WordPress vào rồi nhấp Continue để đăng nhập.

Bảo mật 2 lớp WordPress bằng SMS của Jetpack
Bảo mật 2 lớp WordPress bằng SMS của Jetpack

Hiện tại Lucid Gen cũng sử dụng cách đăng nhập 2 bước bằng SMS của Jetpack. Mình thấy tin nhắn rất nhanh, rất OK. Nhưng bạn nên đọc tiếp nội dung bên dưới để biết thêm cách tăng bảo mật cho web của bạn nhé.

Cách bảo mật Wodpress đơn giản mà hiệu quả

Thiệt sự là “đơn giản” các bạn à. Không phải là gì ghê gớm đâu, chỉ cần nhớ các lưu ý dưới đây và kết hợp với bảo mật 2 lớp là bạn có thể yên tâm rồi.

Ghi nhớ 4 không để bảo mật trang web của bạn

  • không cài Plugin lậu.
  • không cài nhiều tiện ích lạ chrome.
  • không đưa đăng nhập cho nhiều người.
  • không xem fim “thoáng mát”.

Tăng cường bảo mật ở khâu đăng nhập

Lời kết

Bài viết này có giúp tăng bảo mật cho website bạn không? Hãy để lại bình luận của bạn bên dưới để chia sẻ ý kiến của bạn nhé. Hãy tham khảo thêm các viết khác về WordPress trên LucidGen.com biết đâu có gì đó hay với bạn.

Bài viết liên quan

Trần Ngọc Minh Hiếu

Trần Ngọc Minh Hiếu

Mình hiện đang làm Data Analyst, trước đó từng làm Digital Marketing. Viết blog là một niềm vui của mình, giúp mình chia sẻ lại những kiến thức và trải nghiệm từ cuộc sống và công việc. Bạn có thể donate cho mình tại đây.

13 bình luận về “Bảo mật 2 lớp WordPress bằng SMS và Authenticator”

  1. Bữa website mình bị hack bên sql. Do đặt database quá đơn giản. Hên là khắc phục đc. Sau đó dùng Authenticator cho chắc. Z mới nói dù chuyện nhỏ nhất mà ko lưu ý có thể xảy ra sự cố nghiêm trọng. Cám ơn blog bạn tôi đã chia sẽ những điều hay. Lucid Gen

    Bình luận

    • Làm sao quên được anh Khánh ơi. Mỗi lần đăng nhập thì mã xác thực thay đổi khác nhau hết mà. Anh “đâu có quyền nhớ” đâu mà “quên” nè ^_^

    • Em bổ sung, giả sử điện thoại anh không lấy được mã xác minh. Anh vào hosting > xóa thư mục plugin Jetpack hoặc Two-factor là mất. Sau đó anh đăng nhập lại như bình thường mà không có xác minh 2 bước. Rồi anh có thể cài lại plugin như hướng dẫn ạ.

    • Hoặc vào g.co/2sv nha Khánh. Đó là trường hợp nếu bạn ko lấy mã xác thực từ điện thoại

    • điện thoại không nhận được mã xác minh, giờ làm sao vào lại được? help với.

    • Chào Ngọc, Jetpack thỉnh thoảnh nó bị như thế, mình cũng gặp.

      Nhưng mà thông thường chúng ta đăng nhập 1 lần là dùng luôn không đăng xuất nên không sao.

      Nếu bạn bị không đăng nhập vào Web được do không nhận được SMS thì bạn có thể vào hosting, vào quản lý file, đổi tên thư mục Jetpack thành tên khác bất kì. Bạn sẽ đăng nhập lại được không cần SMS. (Sau đó bạn đổi tên thư mục Jetpack lại đúng tên ban đầu để kích hoạt Plugin lại).

      Trường hợp bạn đã chèn code Jetpack vào file function.php thì bạn vào hosting, vào thư mục theme và xoá các dòng code của Jetpack trong file function.php đi là được.

    • Chào Cương, nó có thể redirect thẳng qua WP .com nhưng mà cách đó mình không thích. Bởi vì theo mình hiểu brute attack là dùng tool để đăng nhập liên tục vào 2 ô thông tin. Nên nếu vào trang login mà chúng nó không thấy 2 ô để nhập thì buộc nó phải thêm thao tác thủ công click chuột một cái.

      Để tý bổ sung thêm cho anh em nào muốn redirect thẳng ^_^

    • Bạn hiểu sai rồi. Tools nó đâu Click, nó dùng lệnh query vô chứ không có click đi đâu hết. Nếu muốn thì phải chặn truy cập trang đó hoặc xoá luôn.
      Còn nếu có thì vẫn bị dính

    • Vậy hả, mình nhật thêm cách redirect hẳn qua wp.com rồi đấy. Cảm ơn Cương chia sẻ

Viết một bình luận

Hãy thoải mái để lại bình luận của bạn, chúng tôi sẽ kiểm duyệt và phản hồi trong thời gian sớm nhất. Vui lòng sử dụng email thật để đảm bảo bình luận được duyệt và nhận thông báo khi chúng tôi trả lời. Bạn cũng có thể thêm ảnh đại diện cho email của mình.