Cài đặt bảo mật 2 lớp cho WordPress sử dụng Google Authenticator

Tấn công để lấy username và mật khẩu là hình thức tấn công phổ biến với các trang WordPress.

Bạn có thể sử dụng nhiều cách để ngăn chặn những cuộc tấn công như vậy.

Chẳng hạn:

Bạn thay đổi đường dẫn truy cập trang admin

Bạn không sử dụng username thông dụng admin và đặt password có độ khó cao.

Bạn cài đặt plugin bảo mật phổ biến như iThemes Security.

Nhưng bạn vẫn chưa thực sự an tâm.

Hôm nay mình sẽ cung cấp cho bạn thêm một cách nữa.

Đó là sử dụng bảo mật 2 lớp của Google Authenticator. Để sử dụng tính năng bảo mật này bạn cần phải có smartphone.

Thời đại ngày nay nhà nhà người người có smartphone. Nên yêu cầu cũng không khó khăn nhỉ?

Bảo mật 2 lớp hoạt động như thế nào?

Hình thức bảo mật 2 lớp không còn xa lạ nữa. Chắc bạn đã biết đến nó thông qua các hoạt động giao dịch ngân hàng hàng ngày như chuyển tiền, thanh toán qua Internet Banking.

Tương tự như vậy, bên cạnh username và password để đăng nhập như mặc định, bạn cần phải có thêm một mã 6 số của Google Authenticator. Mã này sẽ cung cấp qua điện thoại cá nhân của bạn.

Mã này chỉ có hiệu lực trong một khoảng thời gian ngắn. Ngay khi bạn hoàn thành như hướng dẫn bên dưới, màn hình đăng nhập sẽ có thêm một trường mới như ảnh dưới:

google-authenticator-3

Cách cài Google Authenticator trong WordPress

Chúng ta cài đặt plugin Google Authenticator.

Sau khi cài đặt, bạn vào Users -> Your Profile. Kéo xuống dưới bạn sẽ nhìn thấy Google Authenticator Setting như bên dưới

google-authenticator-1

Bạn tích vào ô Active để sử dụng tính năng bảo mật 2 lớp của Google Authenticator. Sau đó bạn click vào nút Show/Hide QR Code để hiển thị QR Code. Xổ ra code này để tí nữa chúng ta quét bằng điện thoại.

Quá trình cài đặt trong WordPress chỉ có vậy. Những phần khác bạn giữ nguyên như vậy.

Relaxed Mode: Thông thường mã xác thực chỉ có thời hạn một phút. Nếu bạn cảm thấy tốc độ gõ mình quá chậm thì chọn chức năng này. Chức này sẽ kéo thời gian lên 4 phút. Nhưng cái mã 6 ký tự đơn giản mà bạn không nhập được trong vòng 1 phút nghe hơi buồn cười.

Description và Secret Key: Description chính là tên tài khoản bạn trong ứng dụng Google Authenticator. Bạn sử dụng secret nếu không muốn cài đặt thông qua Barcode như mình sẽ đề cập bên dưới. Cài đặt barcode rõ ràng đơn giản hơn nhiều, tại sao lại cần có cái secret. Lý do vì bạn không thể có phần khoảng trắng trong description khi muốn cài đặt qua barcode trên iPhone. Nếu bạn muốn có khoảng trắng bạn phải cài thủ công qua secret.

Enable App Pasword: bạn chỉ bật tính năng này khi bạn sử dụng XML-RPC trên blog. Nhìn chung điều này giảm đi độ bảo mật của màn hình login. Do vậy bạn không nên bật lựa chọn này.

Cài đặt Google Authenticator trên điện thoại

Ở đây mình chỉ có iPhone nên hướng dẫn bạn trên iPhone. Nhưng quá trình cài đặt tương tự cho các hệ điều hành smartphone khác.

Trong AppStore bạn tìm app có tên Google Authenticator và cài đặt. Cài đặt xong bạn sẽ nhìn thấy màn hình setup. Bạn chọn Scan barcode.

google authenticator 1

Scan cái barcode xổ ra bên trên. Sau khi scan thành công, bạn sẽ nhìn thấy mã đăng nhập.

google-authenticator

Bây giờ bạn logout và đăng nhập với mã này

google-authenticator-3

Lời kết

Như vậy mình đã hướng dẫn bạn cài đặt thành công Google Authenticator cho WordPress.

Giờ độ khó để hack màn hình đăng nhập vào trang quản trị đã khó lên rất nhiều.

Nếu bạn yêu thích bài viết, hãy chia sẻ cho người khác có cùng quan tâm.

Icon made by http://www.flaticon.com/authors/madebyoliver from www.flaticon.com