Hướng dẫn cơ bản kích hoạt xác thực 2 yếu tố – 2FA cho WordPress

  • Monday 11/10/2021

Hướng dẫn cơ bản kích hoạt xác thực 2 yếu tố – 2FA cho WordPress

Trong hướng dẫn bên dưới, chúng tôi sẽ chỉ cho bạn cách dễ dàng thêm xác thực 2 yếu tố – 2FA cho WordPress. Với xác thực 2 yếu tố, bạn có thể thêm một lớp bảo mật bổ sung cho trang web của mình bằng cách gửi một đoạn mã bí mật đến điện thoại để xác minh. Điều này giúp bạn ngăn chặn các cuộc tấn công brute force và đánh cắp password trên trang web của bạn.Nhưng trước tiên, chúng ta hãy tìm hiểu xác thực 2 yếu tố là gì.

1. Xác thực 2 yếu tố là gì và tại sao bạn cần nó?

Một trong những cuộc tấn công phổ biến nhất trên các trang web WordPress là các cuộc tấn công brute force. Hacker sẽ tạo bot để thử hàng nghìn tổ hợp tên người dùng và mật khẩu để đăng nhập vào trang web của bạn. Bằng cách sử dụng xác thực 2 yếu tố (2 factor authentication) , bất kỳ ai cố gắng đăng nhập sẽ cần mật khẩu dùng một lần (OTP) được tạo trong thời gian thực cùng với thông tin đăng nhập của họ.
Xác thực hai yếu tố OTP này có thể được gửi đến người dùng thông qua SMS, email, của ứng dụng xác thực. Tất cả những gì  cần làm tiếp theo là điền mã này vào trang web và đăng nhập sẽ thành công. Vì vậy, điều này bổ sung thêm hai cấp độ bảo vệ cho trang đăng nhập của bạn.
Và vì nó được tạo trong thời gian thực nên hacker sẽ không thể đăng nhập trừ khi họ tìm được cách xâm nhập vào thiết bị di động của bạn.
Như ta đã biết, Google, Facebook, Twitter và nhiều trang web phổ biến khác sử dụng biện pháp bảo mật này. Bạn cũng có thể sử dụng điều này cho trang WordPress của mình và tăng cường bảo mật website. Cách dễ nhất để thêm xác minh 2 bước vào trang web của bạn là sử dụng plugin bảo mật. Bạn sẽ không phải thêm bất kỳ mã nào hoặc sửa đổi bất kỳ tệp WordPress nào.
Trong hướng dẫn bên dưới, chúng tôi sẽ chỉ cho bạn cách thiết lập nó chỉ trong một vài cú nhấp chuột.

2. Thêm 2FA cho WordPress bằng Wordfence

Hiện nay, có rất nhiều ứng dụng, plugin hỗ trợ việc xác minh 2 bước cho website WordPress. Trong bài viết này chúng tôi sẽ hướng dẫn các bạn sử dụng plugin Wordfence. Wordfence Security là một trong những plugin bảo mật WordPress đầy đủ tính năng nhất. Nó cho phép người dùng quản lý bảo mật website toàn diện và cả tự động hóa. Wordfence cung cấp cho bạn nhiều tính năng tuyệt vời và đi kèm với tài liệu hướng dẫn đầy đủ, chi tiết.

Các tính năng chính:

  • Cho phép bạn quét trang web WordPress để tìm lỗ hổng.
  • Cảnh báo bạn qua email nếu có bất kỳ mối đe dọa nào xuất hiện.
  • Hỗ trợ các biện pháp bảo mật đăng nhập nâng cao.
  • Có thể tự động chặn IP tùy thuộc vào hoạt động đáng ngờ.

Ưu điểm:

  • Phiên bản miễn phí của plugin chứa tất cả các tính năng bạn cần để bảo mật trang web của bạn.
  • Hỗ trợ cảnh báo tự động cho các mối đe dọa bảo mật.
  • Hoàn toàn là mã nguồn mở.

Nhược điểm:

  • Chỉ phiên bản trả phí mới cho phép người dùng lên lịch và tự động quét bảo mật.
Chỉ với một vài cú nhấp chuột, bạn có thể bảo vệ trang web của mình khỏi hacker mà không cần thêm bất kỳ dòng code nào. Vì vậy, hãy bắt đầu thôi!

Bước 1: Tải xuống và cài đặt ứng dụng Authenticator

Cách dễ nhất để tạo mã thời gian thực là sử dụng ứng dụng xác thực. Các ứng dụng này tạo mã mới sau mỗi 30-60 giây. Điều này có nghĩa là bạn sẽ không phải thiết lập SMS hay email được gửi đến người dùng.

Hiện có nhiều ứng dụng xác thực như Google Authenticator, Authy, LastPass Authenticator, v.v. Wordfence cung cấp tùy chọn xác thực 2 yếu tố với Google Authenticator, vì vậy chúng tôi sẽ sử dụng tùy chọn này cho hướng dẫn của mình. Sau khi cài đặt ứng dụng Google Authenticator trên điện thoại, bạn có thể thiết lập xác thực 2 yếu tố cho trang web WordPress của mình.

Bước 2: Cài đặt plugin Wordfence

Bạn có thể cài đặt plugin bằng cách tải lên file nén tại đây hoặc tìm ở mục plugin trong trang quản trị WordPress

 

Bước 3: Thiết lập 2FA cho WordPress trên plugin Wordfence

Sau khi cài đặt thành công Wordfence, bạn hãy vào mục Login Security , tiếp đó vào Setting.

Ở giao diện này, chúng ta có thể tùy chọn các loại người dùng ứng với 2FA Roles cần được xác thực 2 bước khi đăng nhập.

: kể từ khi cấu hình 2FA thì trong vòng x ngày các tài khoản phải thiết lập 2FA cho mình , nếu không sẽ không thể truy cập được. Mặc định là 10 ngày.

Allow remembering device for 30 days : Nếu được bật, người dùng đã bật 2FA chỉ cần nhập mã một lần sau mỗi 30 ngày cho mỗi thiết bị.

Các mục còn lại bạn có thể bỏ qua, nếu bạn muốn tìm hiểu thêm có thể xem thêm tài liệu của nhà phát triển.

Bước 4: Kích hoạt 2FA cho các tài khoản đã được thiết lập

Tiếp theo bạn sẽ vào mục Two-Factor Authentication, sử dụng ứng dụng Google Authenticator đã cài đặt trên điện thoại ở bước số 1 để scan mã QR ở mục 1 .

Sau khi Scan, App trên điện thoại sẽ tự động tạo ra mã 2FA mỗi 30 giây. Chúng ta sử dụng mã này để dán vào mục 2, cuối cùng Active để kích hoạt 2FA cho User.

Bạn cũng có thể tải về Recovery Codes ở mục 2 để nhập vào ô xác thực 2 bước khi truy cập nếu không có sẵn điện thoại của mình.


Khi đã kích hoạt 2FA thành công thì giao diện sẽ như dưới , trường hợp cần hủy kích hoạt xác minh 2 bước, chọn nút Deactivate.

Generate new codes là để tạo mới bộ mã dự phòng, sử dụng nó khi bạn không có điện thoại trong tay.

Bước 5: Đăng nhập quản trị WordPress sau khi đã kích hoạt 2FA

Sau khi bạn đăng nhập đúng User và Password, bạn sẽ được yêu cầu nhập mã xác thực.

Mã này được lấy ở ứng dụng Google Authenticator ở điện thoại, hoặc bạn cũng có thể sử dụng Recovery Codes đã tải về từ trước.

Bạn sẽ không thể truy cập được cho đến khi bạn nhập đúng code trong Authenticator.

Lưu ý: Mã này chỉ có hiệu lực trong một khoảng thời gian ngắn (30s) và được sinh ta từ điện thoại bạn đã kích hoạt 2FA bằng mã QR.

 

Trường hợp điện thoại hỏng hoặc không lấy mã Authentication Code được thì làm thế nào?

– Trường hợp này nếu bạn có lưu mã QR code hoặc đoạn key dưới mã QR thì bạn dùng smartphone khác để tạo mã để lấy mã bảo mật.

– Còn trường hợp bạn không có đoạn key hay QR code thì bạn phải đăng nhập vào trình quản lý file trên hosting. Sau đó xóa hoặc đổi tên plugin WordFence trong thư mục plugins của wordpress là lại có thể đăng nhập lại bình thường.

3. Tổng kết

Hi vọng với bài viết trên đây của chúng tôi các bạn có thể dễ dàng thực hiện kích hoạt 2FA cho wordpress của mình. Sau khi cài đặt thành công, chúng ta sẽ an tâm hơn về việc bảo mật website.

Ngoài ra các bạn có thể xem thêm các bài viết khác của chúng tôi tại đây.

P.A Việt Nam cung cấp đa dạng các Plan Hosting WordPress đáp ứng yêu cầu của khách hàng
WordPress Hosting phổ thông
WordPress Hosting chất lượng cao
WordPress VIP

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/