Bảo mật 2 lớp WordPress bằng SMS và Authenticator

Bảo mật 2 lớp WordPress ít người nghĩ đến nhưng đó lại là cách bảo mật tốt nhất mà mình biết. WordPress có sẵn rất nhiều plugin hỗ trợ bạn bật xác minh 2 bước WordPress, chúng ta chỉ cần chọn đúng để dùng thôi. Bài viết này Lucid Gen sẽ hướng dẫn bạn bảo mật 2 lớp WordPress bằng tin nhắn SMS và Google Authenticator.

Tham khảo thêm

Hậu quả của việc không bảo mật WordPress

• Web bị nhiễm virus, bị cài mã độc đánh cắp thông tin người dùng vào web, hay chèn backlink tùm lum.
• Bị chữ tàu khi xuất hiện trên Google.
• Google Chrome sẽ ngăn không cho người dùng truy cập web của bạn.
• Mất quyền kiểm soát web, thậm chí phá nát cả dữ liệu của hosting.

Lợi ích của bảo mật 2 lớp WordPress

Lợi ích mà bạn không thể ngờ tới khi bật bảo mật 2 lớp WordPress…

• Web khoẻ tâm an.
• Yên tâm trong giấc ngủ.
• Dành trọn niềm tin từ khách hàng.
• Vững vàng đi làm web dạo.

Nói chung là để tăng cường bảo mật trang web WordPress của bạn và của khách hàng thôi.

Bảo mật 2 lớp WordPress bằng Google Authenticator

Google Authenticator là ứng dụng xác minh 2 bước được sử dụng rất phổ biến, nhiều nền tảng khác đều dùng ké anh Google cho nhanh gọn. Thay vì chờ nhận tin nhắn, bạn sẽ mở ứng dụng Google Authenticator trên điện thoại lên là có mã xác minh 2 bước. Đặc biệt là bạn không cần online vẫn nhận mã được nha.

Trong giao diện quản trị trang WordPress, bạn nhấp vào Plugin trên menu và chọn Cài mới. Sau đó tìm plugin Two-Factor để cài đặt.

Sau khi cài đặt và kích hoạt plugin Two-Factor, bạn vào phần Hồ sơ của bạn. Cuộn xuống phía dưới sẽ thấy Tùy chọn Two-Factor, bạn cấu hình như mình hướng dẫn nhé.

1. Bật 2 nút ở phần Mật khẩu một lần dựa trên thời gian (Google Authenticator).
2. Dùng điện thoại mở ứng dụng Google Authenticator, nhấp dấu cộng trong ứng dụng và chọn quét mã. Quét vào màn hình máy tính cả bạn sau đó nhập mã xác thực được tạo ra từ ứng dụng Google Authenticator. Xong thì bấm gửi.

Bạn cũng có thể sử dụng Google Authenticator trên máy tính thay vì điện thoại.

Sau khi lưu xong cài đặt xác minh 2 bước WordPress, sau này khi đăng nhập xong mật khẩu chính thì bạn sẽ thấy có một yêu cầu xác minh 2 bước. Lúc đó cứ mở ứng dụng ra lấy mã để nhập là được.

Rất nhanh và đơn giản phải không, tính năng 2FA cũng có sẵn trên plugin Wordfence bạn có thể tham khảo hướng dẫn sử dụng Wordfence nhé. Tuy nhiên nếu bạn chỉ thích bảo mật 2 lớp WordPress bằng SMS thì hãy xem cách bên dưới.

Bảo mật 2 lớp WordPress bằng SMS của Jetpack

Hiện tại chỉ có WordPress.com là hỗ trợ đăng nhập 2 lớp bằng SMS thôi. Chúng ta không xây dựng web trên WordPress.com nhưng có thể dùng ké tính năng này thông qua plugin Jetpack của WordPress.com hỗ trợ. Bên cạnh đó Jetpack cũng giúp chống lại tấn công đăng nhập (brute attack) cho bạn nữa đấy.

Nếu bạn mới biết WordPress.com, hãy nhấp vào wordpress.com/start/user và tạo cho bạn một tài khoản nhé.

Đăng nhập vào tài khoản WordPress.com của bạn, nhấp vào Bảo mật trên menu bên trái, chọn Xác nhận 2 bước ở bên phải, rồi nhấp Hãy Bắt Đầu.

(Bạn có thể mở nhanh bằng wordpress.com/me/security/two-step).

Nhập số điện thoại của bạn và nhấp vào ô Xác minh qua SMS để nhận tin nhắn xác minh. Lưu ý: bỏ số 0 phía trước số của bạn là được.

Điền mã xác minh 2 bước nhận trong tin nhắn điện thoại của bạn rồi nhấp Kích hoạt.

Tích vào ô Tôi đã lưu trữ mã dự phòng và Hoàn tất. Mấy cái mã dự phòng bạn có thể lưu lại phòng trước hợp điện thoại không nhận được tin nhắn.

(Nhưng khỏi cũng chẳng sao, nếu điện thoại không thể nhận được tin nhắn bạn cứ vào hosting tìm thư mục plugin để xóa Jetpack đi là đăng nhập bình thường).

Trở lại giao diện quản trị trang WordPress của bạn, chọn Plugin trên menu và Cài mới. Tìm plugin Jetpack để cài đặt và kích hoạt.

Lần đầu tiên sử dụng Jetpack, bạn cần nhấp vào nút Set up Jetpack để bắt đầu kết nối với tài khoản WordPress.com.

Khi nãy chúng ta đã đăng nhập WordPress.com rồi nên bây giờ chỉ cần nhấp vào nút Chấp nhận là được.

Sau đó, bạn hãy bỏ qua các bảng giá, chúng ta cuộn xuống bên dưới sẽ thấy nút Start with free để sử dụng miễn phí.

Khi được chuyển đến giao diện trang quản trị của WordPress.com. Bạn nhấp vào Quản lý trên menu bên trái và chọn Cài đặt. Ở phía bên phải bạn bật 2 tùy chọn như trong hình là được, còn nếu muốn tên đăng nhập phải là email thì bật cả 3.

Mình giải thích các tùy chọn bật bảo mật 2 lớp WordPress của Jetpack như sau:

• Allow users to log in to this site using WordPress.com accounts: cho phép đăng nhập trang web của bạn bằng tài khoản WordPress.com
• Match accounts using email addresses: chỉ chấp nhận tên đăng nhập là email.
• Require accounts to use WordPress.com Two-Step Authentication: bắt buộc phải xác minh 2 bước để đăng nhập.

Sau khi bật xong thì hệ thống sẽ tự lưu, bạn chỉ cần nhấp vào Trang quản trị trên menu để quay trở lại quản trị web WordPress.

Sau này nếu bạn muốn thay đổi tùy chọn, bạn không cần thiết phải mò vào trong WordPress.com, chỉ cần vào Jetpack và chọn Cài đặt trên menu là được nha. Như bên dưới nè.

Sau đó bạn chèn thêm đoạn code này vào file functions.php của giao diện để gỡ bỏ ô đăng nhập mặc định, thay vào đó sẽ là đăng nhập bằng tài khoản WordPress.com. Bạn có 2 lựa chọn như sau:

Chỉ xóa ô đăng nhập mặc định, để lại nút đăng nhập với WordPress.com

/*Chỉ xóa ô đăng nhập mặc định*/
add_filter( 'jetpack_remove_login_form', '__return_true' );

Di chuyển thẳng qua WordPress.com khi truy cập trang đăng nhập

/*Di chuyển thẳng qua WordPress.com*/
add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' );
add_filter( 'jetpack_sso_new_user_override', '__return_true' );
add_filter( 'jetpack_sso_match_by_email', '__return_false' );
add_filter( 'jetpack_remove_login_form', '__return_true' );
add_filter( 'jetpack_sso_require_two_step', '__return_true' );

Đây là kết quả khi bạn truy cập trang đăng nhập, không còn ô đăng nhập thường thấy nữa. Từ giờ, bạn chỉ cần nhấp vào nút Log in with WordPress.com và đăng nhập bằng tài khoản WordPress.com của bạn thôi.

Khi nhập đúng mật khẩu thì bạn sẽ lập tức nhận được tin nhắn qua điện thoại. Nhập mã xác minh 2 bước WordPress vào rồi nhấp Continue để đăng nhập.

Hiện tại Lucid Gen cũng sử dụng cách đăng nhập 2 bước bằng SMS của Jetpack. Mình thấy tin nhắn rất nhanh, rất OK. Nhưng bạn nên đọc tiếp nội dung bên dưới để biết thêm cách tăng bảo mật cho web của bạn nhé.

Cách bảo mật Wodpress đơn giản mà hiệu quả

Thiệt sự là “đơn giản” các bạn à. Không phải là gì ghê gớm đâu, chỉ cần nhớ các lưu ý dưới đây và kết hợp với bảo mật 2 lớp là bạn có thể yên tâm rồi.

Ghi nhớ 4 không để bảo mật trang web của bạn

• không cài Plugin lậu.
• không cài nhiều tiện ích lạ chrome.
• không đưa đăng nhập cho nhiều người.
• không xem fim “thoáng mát”.

Tăng cường bảo mật ở khâu đăng nhập

• Đăng nhập quản trị hosting và đăng nhập WordPress.
• Đổi link đăng nhập trang web thành đuôi khác.
• Cài SSL cho website và chuyển HTTP sang HTTPS để tránh tăng cường bảo mật.

Lời kết

Bài viết này có giúp tăng bảo mật cho website bạn không? Hãy để lại bình luận của bạn bên dưới để chia sẻ ý kiến của bạn nhé. Hãy tham khảo thêm các viết khác về WordPress trên LucidGen.com biết đâu có gì đó hay với bạn.