Nâng cao bảo mật cho WordPress với xác thực hai lớp bằng Google Authenticator

Nếu bạn chưa thấy bảo mật quan trọng như thế nào, hãy xem câu chuyện về cuộc sống của một nhà báo làm việc cho Wired.com đã bị hủy hoại như thế nào để thấy được một phần sự quan trọng của nó. Đọc câu chuyện đó, chúng tôi đã nâng cấp tài khoản Google và rất nhiều các tài khoản cá nhân khác lên mức bảo mật 2 lớp. Sau khi thực hiện một vài từ khóa tìm kiếm, chúng tôi đã có thể bật kích hoạt xác thực 2 bước trong WordPress bằng cách sử dụng Google Authenticator. Nếu bạn coi trọng bảo mật như chúng tôi, bạn rất nên làm theo bài viết này để cải thiện khả năng bảo mật cho blog WordPress của mình.

Lưu ý : Google Authenticator chỉ hoạt động trên các thiết bị iOS, Android, Windows Phone, webOS, PalmOS và BlackBerry. Nói cách khác, bạn cần  sử dụng điện thoại thông minh của mình mỗi khi đăng nhập vào trang web.

Google Authenticator hoạt động như thế nào?

Thông thường, tất cả mật khẩu đều có thể bị bẻ khóa. Nếu bạn đang sử dụng cùng một mật khẩu trên nhiều trang web, chỉ một website bị rò rỉ thông tin cũng khiến các tài khoản khác của bạn gặp nguy hiểm. Hầu hết mọi người thường lười đến mức không thay đổi mật khẩu kể cả khi họ nhận được email về một vụ tấn công vào dịch vụ nào đó họ đang dùng.

Xác thực 2 bước là cứu cánh cho trường hợp này. Ngay cả khi tin tặc biết tên người dùng và mật khẩu WordPress của bạn, họ sẽ không thể đăng nhập vào website trừ khi họ có mã bảo mật ngẫu nhiên từ điện thoại của bạn (do Google Authenticator cung cấp và chỉ có giá trị trong một khoảng thời gian nhất định).

Vì blog của bạn được kết nối trực tiếp với thiết bị di động, bạn sẽ là người duy nhất có quyền xem mã bảo mật từ Google Authenticator cho mỗi lần đăng nhập. Mã này sẽ hết hạn trong một khoảng thời gian ngắn cũng vì mục đích bảo mật.

Đến cuối hướng dẫn này, trên trang đăng nhập WordPress của bạn sẽ xuất hiện thêm một ô Google Authenticator code như thế này:

Cách tích hợp Google Authenticator vào WordPress

Điều đầu tiên bạn cần làm là cài đặt ứng dụng Google Authenticator trên điện thoại.

Chúng tôi sẽ sử dụng thuật ngữ cho iOS trong bài hướng dẫn này. Tuy nhiên, bài hướng dẫn này cũng có thể áp dụng tương tự đối với các thiết bị khác.

Đầu tiên bạn cần cài đặt ứng dụng Google Authenticator từ App Store (iOS), Play Store (Android) hoặc cửa hàng ứng dụng mà điện thoại của bạn hỗ trợ.

Sau đó, truy cập bảng điều khiển WordPress admin, chúng ta sẽ quay lại với ứng dụng trên điện thoại ở phần cuối bài viết.

Hãy cài đặt và kích hoạt plugin Google Authenticator trên WordPress. Nếu bạn chưa biết làm điều này như thế nào, hãy tham khảo bài hướng dẫn chi tiết cách cài đặt plugin cho WordPress của chúng tôi.

Trong menu WordPress, nhấp vào Users » Your Profile. Bạn sẽ thấy Cài đặt Google Authenticator ở đó.

Active – Bạn sẽ chọn hộp này sau khi hoàn thành các thiết lập để kích hoạt Google Authenticator cho blog.

Relaxed Mode – Thông thường mã xác thực Google của bạn hết hạn sau mỗi 1 phút. Sử dụng Relaxed Mode sẽ kéo dài thời gian này ra thành 4 phút. Bạn không nên bật tùy chọn này trừ khi bạn thao tác cực kỳ chậm. Một mã xác nhận chỉ dài 6 ký tự . Do đó, chúng tôi khá chắc chắn bạn có thể điền nó hoàn chỉnh trong 1 phút.

Description and Secret Key – Cái tên đã tự giải thích cho ý nghĩa của tùy chọn này. Description sẽ đóng vai trò như tên tài khoản của ban trong ứng dụng Google Authenticator. Secret Key là thứ cần thiết khi bạn không sử dụng mã QR. Lưu ý : Khi sử dụng iPhone, Description của bạn không được chứa khoảng trắng. Nếu có khoảng trắng, mã QR sẽ không thể hoạt động. Bạn sẽ phải sử dụng Secet Key này để điền vào ứng dụng bằng tay.

Enable App Password – Bạn chỉ cần bật tùy chọn này nếu bạn đang sử dụng XML-RPC (xuất bản từ xa) trên blog của mình. Một vài ví dụ là ứng dụng WordPress cho iOS hoặc Windows Live Writer. Hãy nhớ rằng, cho phép App Password sẽ làm giảm khả năng bảo mật tổng thể, nhưng nếu bạn thực sự thích sử dụng XML-RPC thì hãy bật nó lên.

Bây giờ chúng ta đã cấu hình phần WordPress, hãy quay lại ứng dụng Google Authenticator trên iPhone. Nhấp vào biểu tượng ứng dụng Google Authenticator và sau đó nhấp vào biểu tượng + để thêm tài khoản mới.

Bạn sẽ được yêu cầu quét mã QR hoặc nhập khóa Secret Key được cung cấp. Cả hai cài đặt này bạn đều đã thực hiện ở phần trên.

Ngay khi bạn quét mã vạch hoặc nhập khóa Secret Key, description bạn thiết lập cho WordPress sẽ xuất hiện trong Google Authenticator. Nó sẽ hiển thị cho bạn một chuỗi ngẫu nhiên gồm 6 chữ số với bộ đếm ngược trong vòng 1 phút bên cạnh.

Bây giờ mỗi khi đăng nhập, bạn sẽ thấy trường xác minh hai bước yêu cầu mã Google Authenticator.

Bài viết này cũng có thể áp dụng cho các blog có nhiều người viết bài. Mỗi người viết bài có khóa bí mật của riêng họ. Bạn còn chờ gì nữa? Sử dụng xác minh 2 bước trên blog để cải thiện bảo mật cho WordPress ngay thôi.

Cuối cùng, chúng tôi khuyên tất cả mọi người nên bật xác minh 2 bước trên tài khoản Google của họ. Bạn cũng có thể thiết lập xác minh với Google Authenticator như các thao tác trong hướng dẫn này .

Nếu thích bài viết này, hãy đăng ký Kênh YouTube của chúng tôi để xem video hướng dẫn nhé. Bạn cũng có thể tìm thấy chúng tôi trên TwitterFacebook để cập nhật các thông tin mới nhất từ CunghocWP.