2 cách thêm xác thực hai yếu tố trong WordPress miễn phí

nexsoft.vn 20/01/2024
2 cách thêm xác thực hai yếu tố trong WordPress miễn phí

Nhiều trang web phổ biến như Facebook và Google khuyên nên thêm xác thực hai yếu tố để tăng cường bảo mật. Giờ đây, bạn cũng có thể thêm tính năng này vào trang web WordPress của mình, cung cấp password tối đa cho cả trang web và người dùng. Để hiểu rõ hơn, Vietnix sẽ hướng dẫn bạn cách kích hoạt xác thực hai yếu tố trên WordPress bằng cách sử dụng plugin và ứng dụng xác thực.

Tại sao cần thêm xác thực hai yếu tố trong WordPress?

Một trong những thủ thuật phổ biến nhất mà hacker sử dụng được gọi là Brute Force. Trong những cuộc tấn công này, chúng sử dụng các tập lệnh tự động cố gắng đoán đúng username và password để có thể đăng nhập vào trang web WordPress.

Tại sao cần thêm xác thực hai yếu tố trong WordPress?
Tại sao cần thêm xác thực hai yếu tố trong WordPress?

Một cuộc Brute Force thành công có thể cung cấp cho hacker quyền truy cập vào admin area trang web. Họ có thể cài đặt phần mềm độc hại, đánh cắp thông tin người dùng và xóa mọi thứ trên trang web.

Một trong những cách dễ nhất để bảo vệ trang web WordPress khỏi bị đánh cắp mật khẩu là thêm xác thực hai yếu tố (2FA). Với cài đặt này, bạn sẽ cần nhập cả password và code phụ (từ ứng dụng, email hoặc tin nhắn văn bản) để đăng nhập vào trang web của mình. Bằng cách này, ngay cả khi ai đó đánh cắp password, họ vẫn cần nhập code bảo mật từ điện thoại để có quyền truy cập.

Ứng dụng Authenticator là gì?

Có nhiều cách để thiết lập đăng nhập 2 bước trong WordPress. Tuy nhiên, phương pháp an toàn và dễ dàng nhất là sử dụng ứng dụng Authenticator. Đây là một ứng dụng dành cho điện thoại thông minh tạo password tạm thời dùng một lần cho các tài khoản bạn lưu trong đó. Về cơ bản, ứng dụng sử dụng khóa bí mật để mã hóa thông tin và tạo code sử dụng một lần để bạn có thể sử dụng làm lớp bảo vệ thứ hai.

Có rất nhiều ứng dụng miễn phí như:

  • Ứng dụng phổ biến nhất là Google Authenticator, nhưng đây không phải là lựa chọn tốt nhất. Đó là vì khi bị mất điện thoại, sẽ không có cách nào khôi phục tài khoản trừ khi bạn tạo trước một bản sao lưu.
  • Vietnix khuyên bạn nên sử dụng Authy vì đây là một ứng dụng dễ sử dụng và miễn phí, đồng thời cho phép lưu tài khoản của mình trên đám mây ở định dạng được code hóa. Bằng cách này, nếu bị mất điện thoại, bạn chỉ cần nhập password chính để khôi phục tất cả tài khoản của mình.
  • Các trình quản lý password khác như LastPass và 1Password đều có phiên bản xác thực riêng. ĐIều này hoàn toàn tốt hơn Google Authenticator vì cho phép bạn khôi phục khóa.

Trong bài hướng dẫn này sẽ sử dụng Authy, bạn có thể làm theo hướng dẫn của Vietnix bằng cách sử dụng một ứng dụng khác nếu muốn vì tất cả chúng đều hoạt động theo cùng một cách.

Cách 1: Thêm xác thực hai yếu tố bằng WP 2FA

Trước tiên, bạn cần cài đặt và kích hoạt plugin WP 2FA. Để biết thêm chi tiết, hãy xem hướng dẫn từng bước của Vietnix về cách cài đặt plugin WordPress.

Hướng dẫn cài đặt plugin WordPress

Sau khi kích hoạt, trình hướng dẫn thiết lập WPA 2FA sẽ tự động khởi chạy. Nếu không, bạn có thể truy cập trang Users > Your Profile và cuộn xuống phần “WP 2FA Settings”. Nhấp vào button “Configure Two-factor authentication (2FA)” sẽ khởi chạy trình hướng dẫn thiết lập.

The WP 2FA Setup Wizard. Hãy nhấp vào button “Let’s Get Started!” để bắt đầu định cấu hình plugin.

Trên trang tiếp theo, bạn sẽ được yêu cầu chọn phương thức xác thực.

Có hai lựa chọn:

  • One-time code via 2FA App (được khuyến nghị).
  • One-time code via email.

Vietnix khuyên bạn nên chọn xác thực thông qua cách 2FA app vì phương pháp này an toàn và đáng tin cậy hơn. Sau khi chọn xong, nhấp vào button “Continue Setup” để chuyển đến trang tiếp theo của trình hướng dẫn thiết lập.

Nếu phương pháp 2FA chính không thành công, chẳng hạn như khi người dùng mất điện thoại, bạn sẽ được yêu cầu chọn phương pháp 2FA thay thế. Trên gói miễn phí, chỉ có phương thức code dự phòng khả dụng. Nếu bạn muốn có nhiều phương pháp 2FA thay thế hơn thì nâng cấp lên WP 2FA Premium.

Chỉ cần nhấp vào button “Continue Setup” để chuyển sang trang tiếp theo.

Trên trang này, bạn có thể bắt buộc đăng nhập hai yếu tố đối với một số hoặc tất cả người dùng. Vietnix khuyên bạn nên làm điều này, nếu như đang điều hành một trang web WordPress nhiều người dùng như trang web membership.

Nếu muốn bắt buộc 2FA cho tất cả người dùng trên trang web của mình, bạn chỉ cần chọn tùy chọn “All users” và nhấp vào “Continue Setup”.

Bây giờ tất cả người dùng sẽ được yêu cầu sử dụng 2FA. Tuy nhiên, có thể có một số người dùng trên trang web mà bạn không muốn ép buộc họ sử dụng 2FA. Trang tiếp theo cho phép nhập username hoặc user role của các thành viên trong nhóm đó.

Sau khi đã hoàn tất việc đó, việc nhấp vào button “Continue Setup” sẽ đưa đến trang nơi bạn có thể quyết định thời gian người dùng cần bắt đầu sử dụng 2FA. Bạn có thể yêu cầu người dùng bắt đầu ngay hoặc chuẩn bị. Chọn tùy chọn trên trang web, có thể tùy chỉnh số giờ và ngày. Mặc định là 3 ngày sẽ phù hợp với hầu hết các trang web.

Ngoài ra còn có các tùy chọn về những việc cần làm sau khi thời gian kết thúc nếu một số người dùng chưa thiết lập 2FA. Bạn có thể cho phép họ đăng nhập nhưng không cho phép họ truy cập vào dashboard hoặc chặn họ không thể đăng nhập. Đối với hầu hết các trang web, tùy chọn đầu tiên sẽ là tốt nhất.

Sau khi hoàn tất các lựa chọn, nhấp vào “All done” để thoát khỏi trình hướng dẫn thiết lập. Lúc này, bạn sẽ thấy màn hình Setup Finish kèm theo thông báo chúc mừng và một button cho phép thiết lập 2FA cho tài khoản người dùng, sau đó nhấp vào button “Configure 2FA Now”.

Ngoài nội dung trên, bạn cũng có thể quan tâm:

Định cấu hình xác thực hai yếu tố cho tài khoản người dùng

Trình hướng dẫn mới bắt đầu thiết lập xác thực hai yếu tố cho tài khoản và nhắc nhở người dùng khác trên trang web làm tương tự. Quyết định phương pháp 2FA bạn muốn sử dụng là điều quan trọng nhất. Tùy chọn “One-time code via 2FA app” sẽ hiển thị, cùng với các tùy chọn khác phụ thuộc vào quá trình thiết lập. Chỉ cần chọn tùy chọn “One-time code via 2FA app” rồi nhấp vào button “Next Step”.

Plugin bây giờ sẽ hiển thị cho bạn code QR và code văn bản. Bạn sẽ cần quét code QR app xác thực. Ngoài ra, có thể nhập code văn bản vào app theo cách thủ công.

Bây giờ bạn sẽ cần đến thiết bị di động của mình lên và mở ứng dụng xác thực. Các ảnh chụp màn hình bên dưới đang sử dụng Authy, nhưng các ứng dụng khác cũng hoạt động theo cách tương tự. Trước tiên, hãy nhấp vào button “+” hoặc “Add Account” trong ứng dụng xác thực.

Sau đó, ứng dụng sẽ yêu cầu quyền truy cập vào camera trên điện thoại. Tiếp theo, nhấn vào button “Scan QR Code” để có thể quét code QR được hiển thị trên trang cài đặt của plugin trên máy tính.

Sau khi ứng dụng nhận ra code QR, chúng sẽ tự động bắt đầu lưu tài khoản. Tiếp theo, bạn có thể chỉnh sửa logo và nickname cho tài khoản và nhấn vào button “Save”.

Ứng dụng xác thực bây giờ sẽ lưu tài khoản trang web và bắt đầu hiển thị password sử dụng 1 lần. Bạn sẽ cần nhập cái này vào cài đặt plugin trên máy tính.

Bây giờ bạn cần quay trở lại máy tính của mình. Trong trình hướng dẫn thiết lập của plugin, hãy nhấp vào button “I’m Ready” để tiếp tục. Ngoài ra, bạn cũng có thể tham khảo thêm các bài viết khác tại Vietnix:

Plugin bây giờ sẽ yêu cầu bạn xác minh password sử dụng 1 lần của mình. Chỉ cần nhập code từ ứng dụng di động vào “Authentication Code” trước khi code hết hạn. Sau đó, nhấp vào button “Validate & Save” để hoàn tất thiết lập.

Tiếp theo, bạn sẽ được cung cấp tùy chọn tạo và lưu danh sách code dự phòng. Những code này có thể được sử dụng trong trường hợp bạn không có quyền truy cập vào điện thoại của mình. Tiếp theo, nhấp vào button “Generate List of Backup Codes”.

Code dự phòng sẽ được tạo và hiển thị, bạn có thể tải các code dự phòng này xuống một vị trí an toàn trên máy tính của mình. Giữ chúng ở nơi có thể lấy được nếu không có điện thoại.

Sau đó, bạn có thể nhấp vào button “I’m Ready, Close the Wizard” để thoát khỏi trình hướng dẫn thiết lập.

Sử dụng xác thực hai yếu tố khi đăng nhập

Lần tới khi người dùng đăng nhập, họ sẽ thấy thông báo rằng họ cần thiết lập xác thực 2 yếu tố, cùng với ngày hết hạn khi kết thúc thời gian gia hạn. Họ có thể chọn giữa nhấp vào button “Configure 2FA now” hoặc chọn “Remind me on next login“.

Khi họ nhấp vào button “Configure 2FA now”, họ sẽ được thực hiện các bước tương tự như khi bạn thiết lập 2FA cho tài khoản người dùng của chính mình trong phần trước.

Khi họ đăng nhập sau khi thiết lập xác thực hai yếu tố, họ sẽ thấy màn hình đăng nhập WordPress như bình thường. Tuy nhiên, khi nhập username và password, coden hình thứ hai sẽ được hiển thị, yêu cầu code từ ứng dụng xác thực của họ.

Họ sẽ cần nhập code từ ứng dụng trên điện thoại trước khi có thể đăng nhập. Ngoài ra, họ có thể nhập code dự phòng nếu không mang theo điện thoại.

Đây là 1 trong những phương pháp làm cho trang web an toàn hơn. Nếu hacker biết được username và password của user thì họ sẽ không thể đăng nhập trừ khi họ cũng có quyền truy cập vào điện thoại của mình.

Cách 2: Thêm xác thực hai yếu tố bằng plugin Two-Factor

Phương pháp này kém linh hoạt hơn bởi vì không cho phép bạn thực thi thông tin đăng nhập hai yếu tố cho tất cả người dùng. Mỗi người dùng sẽ phải tự thiết lập và có thể vô hiệu hóa chúng khỏi hồ sơ của họ. Tuy nhiên, đây là một phương pháp nhanh chóng và dễ dàng nếu bạn chỉ muốn thiết lập 2FA cho tài khoản của riêng mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Two-Factor. Sau khi kích hoạt, truy cập trang Users > Profile và cuộn xuống phần “Two-Factor Options“.

Từ đây, bạn cần chọn tùy chọn đăng nhập hai yếu tố. Plugin cho phép sử dụng email, ứng dụng xác thực và các phương pháp Khóa bảo mật FIDO U2F. Vietnix khuyên bạn nên sử dụng phương pháp ứng dụng xác thực. Chỉ cần quét code QR trên coden hình bằng ứng dụng xác thực như Google Authenticator, Authy hoặc LastPass Authenticator.

Khi quét code QR, ứng dụng sẽ hiển thị code xác minh bạn cần nhập vào các tùy chọn plugin và nhấp vào button “Submit“. Plugin bây giờ sẽ đặt khóa bí mật. Bạn có thể đặt lại khóa này bất kỳ lúc nào từ trang cài đặt để quét lại code QR.

Đừng quên nhấp vào button “Update Profile” ở cuối trang để lưu cài đặt. Bây giờ mỗi khi đăng nhập vào trang web WordPress của mình, bạn sẽ được yêu cầu nhập code xác thực do ứng dụng trên điện thoại tạo ra.

Nếu bạn đang tìm kiếm một dịch vụ hosting chuyên nghiệp và hiệu quả cao cho việc phát triển website hoặc blog cá nhân sử dụng WordPress, Vietnix tự hào giới thiệu dịch vụ WordPress Hosting của mình, được thiết kế để đáp ứng nhu cầu đa dạng với các tính năng nổi bật.

Dịch vụ WordPress Hosting từ Vietnix, với thiết kế đặc biệt tối ưu cho WordPress, mang lại nhiều lợi ích đáng giá, hỗ trợ bạn trong việc nâng cao hiệu suất và đảm bảo an toàn cho trang web của bạn, bao gồm:

  • Tải trang nhanh chóng, chỉ dưới 1 giây, nhờ ổ cứng NVMe cực nhanh và công nghệ LiteSpeed Enterprise.
  • Hỗ trợ tư vấn tăng tốc độ trang web bởi các chuyên gia WordPress 24/7.
  • An toàn dữ liệu đảm bảo với hệ thống backup tự động 4 lần mỗi ngày và khả năng phục hồi nhanh.
  • Sự ổn định của website được bảo đảm bởi cơ sở hạ tầng tiên tiến và công nghệ Firewall anti DDoS do Vietnix phát triển.
  • Tạo website WordPress dễ dàng chỉ với một cú click chuột qua WordPress Toolkit.
  • Tặng kèm bộ sưu tập theme và plugin WordPress cao cấp, với giá trị lên đến 26.000.000 VND/Năm, bao gồm WP Rocket, Rank Math SEO Pro, Elementor Pro, WP Astra Growth Bundle, Divi,…

Để biết thêm thông tin và lựa chọn gói WordPress Hosting phù hợp, hãy liên hệ Vietnix ngay hôm nay!

  • Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
  • Hotline: 1800 1093.
  • Email: sales@vietnix.com.vn.

Lời kết

Vietnix hy vọng bài viết này đã giúp bạn thêm xác minh 2 yếu tố để đăng nhập WordPress. Bạn cũng có thể xem qua hướng dẫn về các plugin bảo mật WordPress tốt nhất để áp dụng vào website của mình. Vietnix chúc bạn thành công!