Bảo mật cho website là một trong những ưu tiên hàng đầu của việc xây dựng website, một website có thể bị tấn công bởi nhiều cách nhưng cách đơn giản nhất mà tỉ lệ thành công cao là tấn công vào trang đăng nhập wordpress và dò mật khẩu.
Và cũng có những cách khác như là tấn công vào trang quản trị đăng nhập hosting hay là tấn công vào email của người quản trị nếu bị rò rỉ,…. Tại Siêu tốc việt, các email doanh nghiệp hay là hosting đều được trang bị chức năng bảo mật website mạnh nhất, chống mọi cuộc xâm nhập của tin tặc và lọc mail virus, bảo vệ website bạn một cách an toàn.
Hôm nay Siêu Tốc việt sẽ hướng dẫn các bạn kích hoạt Bảo mật 2 lớp cho website WordPress để tăng cường bảo mật website, tránh bị các cuộc tấn công dò tìm và đánh cắp password.
Bảo mật 2 lớp website wordpress là gì?
Bảo mật 2 lớp hay cách gọi khác là bảo mật 2 yếu tố (2FA/2-factor authentication). Là thêm một bước vào hoạt động đăng nhập của người sử dụng. Sau khi nhập mật khẩu quản trị, người dùng phải thêm một bước nhập mã xác thực nữa thì mới được đăng nhập vào trang quản trị wordpress. Nếu ai đó muốn đăng nhập được vào tài khoản của bạn phải có mã xác thực này. Hiện nay, phương thức này áp dụng rộng rãi như Google, facebook hay các website ngân hàng.
Đối với wordpress việc này cũng cần thiết. vậy cách cài đặt như thế nào? cùng đến với siêu tốc việt tìm hiểu cách cài đặt và sử dụng nhé !!!
Hiện nay, có rất nhiều ứng dụng, plugin hỗ trợ việc xác minh 2 bước cho website WordPress. Trong bài viết hôm nay, Siêu tốc việt sẽ hướng dẫn các bạn sử dụng chức năng Bảo mật 2 lớp với plugin rất hay đó là: Wordfence Security – Firewall & Malware Scan.
Sở dĩ nó được sử dụng nhiều như vậy là do có kèm theo nhiều tính năng bảo mật cực kỳ tốt, có thể hạn chế được nhiều hình thức tấn công phổ biến như Local Hack, XSS, SQL Injection, tự động quét mã độc trên host và có cả chức năng mật khẩu hai lớp mà chúng ta đang quan tâm.
Hướng dẫn cài đặt bảo mật 2 lớp cho website wordpress
1. cài đặt plugin và ứng dụng trên điện thoại
Đầu tiên, các bạn cần cài đặt plugin Wordfence Security bằng cách tải lên file nén hoặc tìm ở mục plugin trong trang quản trị wordpress và cài đặt ứng dụng (App) Google Authenticator trên điện thoại cá nhân của mình:
- Android: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=vi
- iOS: https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8
Ứng dụng này dùng để scan mã QR và kích hoạt xác thực 2 bước trên mỗi user được chúng ta thiết lập.
Sau khi thiết lập, chúng ta cần lấy mã xác minh 6 chữ số khi truy cập tài khoản WordPress bằng ứng dụng này, mã bảo mật được tạo tự động mỗi 30 giây ở trên điện thoại đã cài đặt ứng dụng.
2. Cài đặt ban đầu cho Xác minh 2 bước (2FA) trên Plugin Wordfence:
Sau khi cài đặt thành công Wordfence, bạn hãy vào mục Login Security (1), tiếp đó vào Setting (2). Ở giao diện này, chúng ta có thể tùy chọn các cấp User (Admin sẽ mặc định được chọn) cần được xác thực 2 bước khi đăng nhập (3).
(4) Yêu cầu 2FA cho tất cả quản trị viên: Nếu chọn vào mục này thì tất cả các tài khoản quản trị viên sẽ được yêu cầu Bật xác minh 2 bước.
(5) Ghi nhớ truy cập: Nếu được bật, người dùng đã bật 2FA chỉ cần nhập mã một lần sau mỗi 30 ngày cho mỗi thiết bị.
Các mục còn lại bạn có thể bỏ qua, nếu bạn muốn tìm hiểu thêm có thể xem Document của nhà phát triển Plugin WordFence nhé.
3. Active 2FA cho các User đã được thiết lập:
Tiếp theo bạn sẽ vào mục Two-Factor Authentication, sử dụng ứng dụng Google Authenticator đã cài đặt trên điện thoại ở bước số 2 để scan mã QR ở mục (1).
Sau khi Scan, App trên điện thoại sẽ tự động tạo ra mã 2FA mỗi 30 giây. Chúng ta sử dụng mã này để dán vào mục (2), cuối cùng Active (3) để kích hoạt 2FA cho User.
Bạn cũng có thể Download mã dự phòng ở mục (4) để nhập vào ô xác thực 2 bước khi truy cập.
Dưới đây là hình ảnh sau khi đã Active 2FA thành công, chúng ta sẽ có button Deactivate (hủy kích hoạt xác minh 2 bước).
Và Generate new codes là để tạo mới bộ mã dự phòng, sử dụng nó khi bạn không có điện thoại trong tay.
Ở trên là trình tạo mã tự động mỗi 30 giây trên App Google Authenticator.
5. Cách đăng nhập WordPress sau khi đã kích hoạt 2FA:
Sau khi bạn đăng nhập đúng User và Password, bạn sẽ được yêu cầu nhập mã xác thực.
Mã này được lấy ở ứng dụng Google Authenticator ở điện thoại, hoặc bạn cũng có thể sử dụng Mã dự phòng đã download từ trước.
Bạn sẽ không thể truy cập được cho đến khi bạn nhập đúng Authenticatort Code.
Lưu ý: Mã này chỉ có hiệu lực trong một khoảng thời gian ngắn (30s) và được sinh ta từ điện thoại bạn đã active 2FA bằng mã QR.
Một số câu hỏi được đặt ra là:
Không có smartphone thì có cài bảo mật 2 lớp như trên được không?
Nếu bạn không có smartphone thì bạn hãy truy cập website gauth.apps.gbraad.nl. Sau đó tạo mã bảo mật bằng cách nhập mã Secret ở bên dưới mã QR, Và bạn phải nhớ lưu mã Secret đó để lần sau lại tạo mã bảo mật để đăng nhập từ trang web này.
Smartphone hỏng hoặc không lấy mã Google Authentication Code được thì làm thế nào?
– Trường hợp này nếu bạn có lưu mã secret hoặc mã QR code thì bạn dùng smartphone khác để tạo mã hoặc dùng cách tạo mã trên trang web gauth.apps.gbraad.nl bên trên để lấy mã bảo mật.
– Còn trường hợp bạn không có mã secret hay QR code thì bạn phải đăng nhập vào trình quản lý file trên hosting. Sau đó xóa hoặc đổi tên plugin WordFence trong thư mục plugin WordPress là lại có thể đăng nhập lại bình thường.
Xem thêm các cách bảo mật cho wordpress khác tại cài https cùng really simple ssl
Hi vọng với bài viết Hướng dẫn cài đặt bảo mật 2 lớp trên WordPress vừa rồi của chúng tôi, các bạn có thể dễ dàng thực hiện. Sau khi cài đặt thành công, chúng ta sẽ an tâm hơn về việc bảo mật website của mình hơn. Hãy chia sẻ nó tới bạn bè để cùng cài đặt nhé!
Lê Trương Tấn Lộc
Với hơn 3 năm kinh nghiệm CODE/CSS/JS, 2 năm kinh nghiệm trong quản trị website tư vấn giải pháp SEO, Marketing tối ưu nhất cho doanh nghiệp.
Hiện đang là nhân viên kinh doanh tại Siêu tốc việt