2FA là gì?
2FA (Two-Factor Authentication) hay còn gọi là Xác thực hai yếu tố là một lớp bảo mật bổ sung giúp bảo vệ tài khoản của bạn bằng cách yêu cầu thêm một bước xác minh ngoài mật khẩu. Khi bật 2FA, bạn sẽ cần:
- Mật khẩu
- Mã xác minh từ thiết bị khác
Ví dụ: sau khi nhập đúng mật khẩu đăng nhập WordPress, bạn sẽ được yêu cầu nhập một mã xác thực được gửi tới điện thoại của bạn thông qua ứng dụng hoặc tin nhắn, tùy theo phương thức mà bạn chọn khi thiết lập.
Tại sao nên sử dụng 2FA cho WordPress?
WordPress là nền tảng phổ biến, đồng nghĩa với việc nó là mục tiêu thường xuyên của Hacker. Dưới đây là một số lý do bạn nên bật 2FA:
- Tăng cường bảo mật: Ngay cả khi mật khẩu bị rò rỉ, kẻ xấu cũng không thể đăng nhập được nếu không có mã xác thực.
- Giảm rủi ro tấn công brute-force: 2FA ngăn chặn các cuộc tấn công đăng nhập tự động.
- Yên tâm hơn: Bạn có thể an tâm rằng website được bảo vệ tốt hơn khỏi truy cập trái phép.
Hướng dẫn cấu hình 2FA trên WordPress
A. Cài đặt Ứng dụng (App) Google Authenticator trên điện thoại cá nhân
Ứng dụng này sẽ dùng để scan mã QR và kích hoạt xác thực 2 bước trên mỗi user được chúng ta thiết lập. Sau khi thiết lập, chúng ta cần lấy mã xác minh 6 chữ số khi truy cập tài khoản WordPress bằng ứng dụng này, mã bảo mật được tạo tự động mỗi 30 giây ở trên điện thoại đã cài đặt ứng dụng.
Bên dưới là quy trình hoạt động 2FA
B. Bật 2FA trên PLugin
Do mặc định WordPress không tích hợp sẵn 2FA, nên các bạn có thể cài đặt 2FA thông qua Plugin nhé. Ở bài viết này mình sẽ hướng dẫn các bạn cấu hình trên Plugin Wordfence Security.
Tại sao mình lại khuyến nghị các bạn sử dụng Plugin này, vì Plugin này gần như là Plugin quốc dân. Nó vừa có tính năng scan mã độc, lại vừa hỗ trợ nhiều tùy chỉnh bảo mật khác nhau giúp bảo về website tốt hơn. Nếu bạn chưa biết cách cài đặt, bạn có thể xem lại bài viết Bảo vệ website WordPress với Plugin Wordfence Security của mình.
Ở bài viết này, mình chỉ tập trung vào tính năng 2FA, nên các bạn hãy truy cập vào Wordfence >> Bảo mật đăng nhập và cấu hình theo các bước sau:
Bước 1: Mở App Google Authenticator và scan mã QR trên Wordfence Security
Đầu tiên các bạn mở App Google Authenticator trên điện thoại và chọn Quét mã QR (1) , tiếp đó bạn hãy scan mã QR trên Plugin Wordfence Security (2).
Lúc này bạn sẽ nhận được một mã xác thực gồm 6 chữ số hiển thị tại App Google Authenticator. Bạn tiếp tục thực hiện bước 2.
Bước 2: Nhập mã xác thực vào Plugin Wordfence Security
Sau khi đã có mã xác thực, bạn thực hiện nhập mã xác thực vào Wordfence Security (1) và nhấn Kích hoạt (2) để hoàn tất thiết lập.
Khi vừa nhấn Kích hoạt, sẽ có một popup hiện lên hỏi bạn có muốn tải “Mã khôi phục” về máy tính hay không, các bạn hãy nhấn Tải xuống nhé. Mã này khá quan trọng và nó sẽ dùng để khôi phục nếu trường hợp thiết bị của bạn bị mất hoặc hư hại gì đó. Nên các bạn hãy lưu trữ cẩn thận phòng trường hợp cần sử dụng sau này.
Bước 3: Chọn User áp dụng 2FA
Nếu trên website của bạn có nhiều User với các quyền hạn khác nhau, và bạn chỉ muốn bật 2FA cho từng User cụ thể bạn có thể tùy chỉnh như sau:
Bạn vào tab Cài đặt (1) >> Chọn quyền User và tùy chỉnh 2FA bạn muốn (2) >> Tick chọn nếu bạn muốn bỏ qua xác thực 2FA trên thiết bị đó trong 30 ngày (3)>> nhấn Save (4) để lưu cấu hình.
Bước 4: Kiểm tra hoạt động của 2FA
Sau khi cấu hình xong, bạn hãy thử vào trình duyệt khách và truy cập admin website để kiểm tra. Sau khi đăng nhập User/Pass xong, nếu hiển thị bước nhập 2FA như bên dưới là bạn đã cấu hình thành công. Bây giờ bạn chỉ cần mở App Google Authenticator lên, và nhập mã xác thực vào là được nhé.
Kết luận
Bật xác thực hai yếu tố (2FA) là một bước quan trọng trong việc tăng cường bảo mật cho website WordPress của bạn. Với việc sử dụng 2FA, bạn có thể ngăn chặn hầu hết các cuộc tấn công đăng nhập trái phép, bảo vệ website và dữ liệu người dùng một cách hiệu quả.
Chúc các bạn thực hiện thành công.!
