Hướng dẫn thêm xác thực hai yếu tố miễn phí cho WordPress

Nếu để ý bạn có thể thấy các trang web lớn như Facebook và Google cung cấp cho bạn khả năng xác thực hai yếu tốt để cài thiện bảo mật cho tài khoản của bạn. Nếu muốn bạn cũng có thể thêm xác thực hai yếu tố để tăng cường bảo mật tối đa cho blog/website của mình. Trong bài viết này tôi sẽ chia sẽ cách thêm xác thực hai yếu tốt cho WordPress bằng cả Google Authenticator và tin nhắn SMS.

Tại sao cần phải thêm xác thực hai yếu tố cho WordPress Login?

Một trong những thủ đoạn mà tin tặc thường dùng để tân công website của bạn là Brute Force Attacks. Bằng cách sử dụng các tập lệnh tự động, tin tặc có gắng đoán username và password để đăng nhập vào WordPress site của bạn.

Nếu tin tặc ăn cắp hoặc đoán chính xác mật khẩu của bạn, website của bạn có thể sẽ bị lây nhiễm mã độc.

Một trong những cách đơn giản nhất để chống ăn trộm mật khẩu cho website WordPress là thêm xác thực hai yếu tố. Bằng cách này ngay cả khi mật khẩu của bạn bị đánh cắp, họ sẽ cần phải nhập mã bảo mật từ điện thoại của bạn để có quyền truy cập.

Có hai cách để cài đặt xác thực hai yếu tố trong WordPress:

  1. SMS Verification: Bạn sẽ nhận được mã xác minh qua tin nhắn.
  2. Google Authenticator App: Tùy chọn dự phòng, bạn sẽ nhận được mã xác minh qua tin nhắn.

Chúng ta hãy cùng tìm hiểu chi tiết cách thêm xác thực hai yếu tố trong màn hình đăng nhập WordPress.

Thêm 2-Step SMS Verification vào màn hình đăng nhập WordPress

Phương pháp này thêm 2-Step SMS Verification vào màn hình đăng nhập WordPress của bạn. Sau khi nhập username và password, bạn sẽ nhận được tin nhắn SMS có chứa mã xác nhận trên điện thoại của mình.

Đầu tiên bạn cần cài đặt plugin Two FactorTwo Factor SMS. Nếu bạn chưa biết cách cài đặt plugin, có thể xem lại bài viết này.

Plugin Two Factor cung cấp các cách dùng để thiết lập 2-Step SMS Verification trong WordPress. Plugin Two Factor SMS là một tính năng mở rộng của plugin đầu tiên. Nó thêm hỗ trợ cho 2-Step SMS Verification. Bạn cần cài đặt và kích hoạt cả hai plugin này.

Sau khi kích hoạt, bạn truy cập vào trang Users » Your Profile và cuộn xuống phần Two Factor Options.

two-factor options in wordpress

Bạn cần kích chọn cả hộp kiểm và radio button SMS (Twillio) để chọn nó làm phương thức xác minh chính của mình.

Sau đó cuộn xuống phần Twillio như hình bên dưới:

twillio

Bạn sẽ được yêu cầu nhập thông tin tài khoản Twillio.

Twillio là dịch vụ trực tuyến cung cấp dịch vụ điện thoại, tin nhắn thoại và SMS để sử dụng với các ứng dụng riêng của bạn. Nó cũng có một gói miễn phí giới hạn tính năng đủ cho mục đích sử dụng của chúng ta trong bài viết này.

Bạn hãy truy cập vào trang chủ của Twillio và tạo cho mình một tài khoản miễn phí.

Trên trang đăng ký, bạn được yêu cầu nhập thông tin cá nhân. Sau đó bạn sẽ được hỏi sản phẩm nào bạn muốn sử dụng trước.

chon san pham su dung truoc

Bạn cần chọn WHICH PRODUCT DO YOU PLAN TO USE FIRST? là SMS, WHAT ARE YOU BUILDING? là Two Factor Authentication; CHOOSE YOUR LANGUAGE là PHP. Sau đó nhấp vào nút Get Started.

Twillio sẽ yêu cầu bạn nhập số điện thoại, sau đó họ sẽ gửi mã xác minh vào điện thoại của bạn. Bạn dùng mã này để xác nhận.

Sau khi xác minh, bạn cần tạo một Project mới. Sau khi tạo Project mới bạn sẽ được đưa đến trang Twillio Dashboard.

twillio dashboard

Nó sẽ hiển thị một cửa sổ popup hiển thị số điện thoại ở Hoa Kỳ. Sao chép vào lưu lại số này sau đó nhấp vào nút “Choose this number”.

your first twillio phone number

Giờ bạn có thể thoát khỏi trình hướng dẫn và truy cập vào trang Settings » Geo Permissions.

Tại đây bạn cần chọn quốc gia mà bạn sẽ gửi tin nhắn. Vì bạn đang sử dụng dịch vụ để nhận SMS cho chính mình, bạn có thể chọn tên quốc gia là Việt Nam hoặc là quốc gia mà bạn sẽ đến.

twillio settings geo permissions

Tiếp theo bạn cần truy cập vào Console Dashboard để sao chép Account SID và Auth Token.

twillio console dashboard

Giờ bạn đã có tất cả các thông tin cần thiết rồi.

Tiếp theo bạn cần truy cập vào trang User »  Your Profile và nhập tài khoản Twillio Account SID, Auth Token và số điện thoại của người gửi.

Thêm số điện thoại của bạn vào trường “Receiver Phone Number”.

Đừng quên nhấp vào nút “Update Profile” để lưu lại các thiết lập của bạn.

Giờ bạn có thể đăng xuất khỏi WordPress site của mình để kiểm tra cách thức hoạt động của plugin.

Ở màn hình đăng nhập, đầu tiên bạn sẽ được yêu cập nhập username và password như thông thường. Sau đó bạn sẽ nhận được thông báo SMS trên điện thoại của mình và bạn sẽ được yêu cầu nhập mã mà mình vừa nhận được.

nhap sms code truoc khi dang nhap wordpress

Sau khi nhập mã đã được nhận qua SMS, bạn sẽ có thể truy cập vào khu vực quản trị WordPress của mình.

Lưu ý: Phương pháp này hoạt động tốt nhưng nếu bạn đang đi du lịch và không thể nhận được tin nhắn qua điện thoại của mình thì phải làm thế nào? Chúng ta hãy giải quyết vấn đề này bằng cách thêm một tùy chọn dự phòng

Dùng Google Authenticator để thêm xác thực hai yếu tố trong WordPress

Như là một phương án dự phòng, chúng ta sẽ dùng Google Authenticator để thêm xác thực hai yếu tố cho WordPress.

Xác minh qua tin nhắn SMS vẫn là phương thức xác minh chính của bạn. Trong trường hợp bạn không thể nhận được tin nhắn, bạn vẫn có thể đăng nhập bằng ứng dụng Google Authenticator trên điện thoại của mình.

Truy cập vào trang Users » Your Profile sau đó truy cập vào phần Two-Factor Options.

add google authenticator options in wordpress

Kích chọn hộp kiểm Time Based One-Time Password (Google Authenticator), sau đó nhấp vào liên kết “View Options” để bắt đầu thiết lập Google Authenticator.

google authenticator view options

Giờ bạn sẽ nhìn thấy mã QR của mình, bạn cần quét nó bằng ứng dụng Google Authenticator.

Truy cập vào trang này để biết cách cài đặt ứng dụng Google Authenticator trên điện thoại của bạn.

Sau khi đã cài đặt ứng dụng, bạn hãy mở nó lên và sử dụng camera của điện thoại để quét mã QR hiển thị trong trang cài đặt của plugin.

Ứng dụng này sẽ phát hiện và thêm website của bạn. Nó cũng sẽ hiển thị một mã gồm 6 chữ số. Nhập mã này vào trường Authentication Code là xong.

Đừng quên nhấp vào nút “Update Profile” để lưu lại các thiết lập của bạn.

Giờ bạn có thể đăng xuất khỏi WordPress site của mình để kiểm tra cách thức hoạt động của plugin.

Ở màn hình đăng nhập, đầu tiên bạn sẽ được yêu cập nhập username và password như thông thường. Sau đó bạn sẽ nhận được thông báo SMS trên điện thoại của mình.

Nếu bạn không thể nhận được mã xác nhận qua SMS, bạn có thể nhấp vào liên kết “Use backup method: Time Based One-Time Password (Google Authenticator)” mà nhập vào mã được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.

google authenticator two factor

Tôi hy vọng bài viết này sẽ giúp bạn biết cách thêm xác thực hai yếu tố cho WordPress site của mình. Bạn cũng có thể tìm hiểu thêm các thủ thuật khác để tăng cường tối đa bảo mật cho WordPress site của mình tại đây.

Nếu bạn thấy thích bài viết đừng quên Like và Share!

Hẹn gặp lại bạn trong bài viết tiếp theo./.

Đăng ký nhận bài viết mới nhất

Hãy đăng ký nhận tin để nhận được những nội dung thú vị và tuyệt vời!

Để lại bình luận