Bật xác minh 2 bước cho WordPress

Chắc bạn không lạ lẫm và đã từng nhiều lần bảo mật tài khoản Google với chiếc điện thoại smartphone thông qua xác minh 2 bước. Bài hôm nay mình bạn sẽ học cách bảo mật WordPress sử dụng 2FA.

Xác thực Two-Factor Authentication, (còn gọi là Xác minh hai bước, 2FA) là lớp bảo mật bổ sung mà bạn có thể thêm vào trang đăng nhập WordPress của mình. Với 2FA, hầu như không thể cho kẻ tấn công đăng nhập vào WordPress của bạn, ngay cả khi họ đoán mật khẩu của người dùng của bạn. Xác thực hai yếu tố cũng tốt để giúp giảm thiểu các cuộc tấn công bạo lực của WordPress.

Vậy xác minh 2 bước là gì và nó hoạt động như thế nào? Theo mặc định, WordPress không có 2FA, vì vậy bạn cần sử dụng một plugin để bật tính năng này.

Google Authenticator

Google Authenticator là plugin WordPress xác thực hai yếu tố đầu tiên mà mình đã sử dụng. Sử dụng miễn phí, đơn giản & dễ cài đặt nhất. Việc thiết lập 2FA cho WordPress của bạn không thể dễ dàng hơn. Sau khi bạn cài đặt plugin, hãy truy cập trang profile, bật cài đặt Google Authenticator và quét mã QR bằng ứng dụng Google Authenticator trên điện thoại thông minh của bạn.

Thật dễ dàng phải không, bạn chỉ cần cài ứng dụng Google Authenticator trên PlayStore và quét QR được sinh ra từ trang web WordPress của bạn. Lần sau khi bạn muốn đăng nhập vào WordPress, bạn sẽ được yêu cầu nhập tên người dùng, mật khẩu và mã từ ứng dụng Google Authenticator để đăng nhập.

Là plugin đơn giản cũng có nghĩa là nó có một vài thiếu sót:

• Người dùng chưa bật 2FA nhưng vẫn còn trường nhập Google Authenticator ở trang đăng nhập, điều này có thể gây nhầm lẫn. Hãy kiểm tra lại bạn có muốn bật lại Authenticator hoặc có thể tắt plugin nếu cần thiết.
• Không có tùy chọn kích hoạt và thực thi 2FA cho tất cả người dùng trong WordPress của bạn. Nếu bạn là quản trị viên, bạn cần bật tính năng này cho từng người dùng riêng lẻ.
• Nó không hỗ trợ mã dự phòng, vì vậy nếu bạn mất điện thoại, cách duy nhất để đăng nhập lại vào WordPress của bạn là xóa plugin thông qua FTP hoặc SSH / phpmyadmin.

Two-Factor

Two-Factor cũng là một plugin miễn phí và rất dễ cài đặt. Sau khi cài đặt, bạn vào trang cài đặt người dùng WordPress của bạn để cấu hình 2FA. Bạn có thể sử dụng một trong các cách cấu hình sau đây:

• Email (mã xác nhận được gửi qua email)
• Mật khẩu một lần dựa trên thời gian (mã được tạo thông qua ứng dụng Google Authenticator)
• Universal 2nd Factor (yêu cầu thiết bị của bên thứ ba):

Tương tự như plugin Google Authenticator, Two-Factor không có cài đặt chung để thực thi 2FA cho tất cả người dùng, và 2FA phải được bật cho từng người dùng riêng lẻ. Tuy nhiên plugin này có hỗ trợ mã dự phòng, vì vậy trong trường hợp nào đó bạn không thể tạo mã 2FA để đăng nhập vào WordPress, bạn có thể sử dụng một trong các mã dự phòng.

WordPress 2-Step Verification

WordPress 2-Step Verification là sự cải tiến với cả hai plugin được đề cập ở trên. Sử dụng plugin này miễn phí và rất dễ cài đặt; sau khi kích hoạt plugin bạn chuyển đến trang hồ sơ người dùng và cấu hình cài đặt Two-Factor. Tính năng hỗ trợ gồm:

• Mật khẩu một lần dựa trên thời gian (mã được tạo thông qua ứng dụng Google Authenticator)
• Email (mã xác nhận được gửi qua email)
  

Plugin WordPress 2-Step Verification cũng hỗ trợ mã dự phòng, nếu vì lý do nào đó bạn không thể có mã xác minh, bạn có thể sử dụng chúng để đăng nhập.

Mật khẩu ứng dụng có thể được sử dụng để tạo mật khẩu vĩnh viễn cho các ứng dụng kết nối với WordPress của bạn. Vì vậy, nếu bạn có một ứng dụng trên điện thoại kết nối với WordPress của mình, bạn vẫn có thể sử dụng nó. Mật khẩu ứng dụng là mật khẩu dài, được tạo ngẫu nhiên mà bạn chỉ phải cung cấp một lần. Nhưng mã đó cũng có thể bị thu hồi.

Sự thiếu sót duy nhất của plugin là mọi người dùng WordPress đều phải bật 2FA và với tư cách là quản trị viên, bạn không thể thực thi hộ.

Unloq Two Factor Authentication

Plugin Unloq Two Factor Authentication có lẽ là plugin 2FA miễn phí gọn gàng nhất mà mình từng thấy. Khác với các 2FA ở trên, bạn phải cài đặt ứng dụng của Unloq trên điện thoại để bắt đầu.

Để bắt đầu bạn tiến hành cài đặt plugin và kích hoạt tài khoản Unloq của bạn bằng cách thêm địa chỉ email. Khi bạn xác nhận mã một lần mà bạn nhận được qua email, bạn có thể chọn phương thức xác thực hai bước nào cần bật:

Bạn cũng có thể gửi lời mời tới tất cả người dùng WordPress của mình ở tab Users.

Sau khi người dùng nhận được lời mời, họ phải quét mã QR bằng ứng dụng Unloq dành cho điện thoại thông minh để bắt đầu. Tính năng mới và hứa hẹn trong plugin WordPress này là:

1. Nó hỗ trợ “Thông báo Notifications”, vì vậy mỗi lần bạn muốn đăng nhập vào WordPress, bạn được yêu cầu phê duyệt từ ứng dụng điện thoại thông minh.
2. Nó hỗ trợ cả OTP và email như một yếu tố thứ hai để xác thực.
3. Bạn có thể quản lý tất cả người dùng.
4. Bạn có thể sử dụng cùng một thông tin đăng nhập hoặc thiết lập cho nhiều trang web WordPress mà bạn quản lý.

Các Plugins Two-Factor Authentication phổ biến khác

Bên cạnh những plugins nổi tiếng ở trên, cũng có một vài plugins WordPress giúp bạn thực hiện đăng nhập 2 bước như:

• Rublon
• Google Authenticator – Two Factor Authentication (2FA) bởi MiniOrange

Có một số hạn chế với phiên bản miễn phí bạn sẽ không có mong chờ nhiều hơn. Ví dụ Rublon, họ giới hạn các tính năng cho phiên bản miễn phí như chỉ có một người dùng. Phiên bản Google Authenticator miễn phí của MiniOrange cũng được giới hạn cho một người dùng và cũng giới hạn số lượng mật khẩu một lần.

Bạn nên sử dụng Plugin 2FA WordPress nào ?

Với nhiều tùy chọn khác nhau, bạn sẽ cân nhắc sử dụng plugin xác minh 2 bước nào? Tất cả plugins 2FA ở trên đều tốt và chúng đều góp phần cải thiện thêm bảo mật cho WordPress khi bạn đăng nhập. Sự khác nhau về tính năng sẽ quyết định ứng dụng nào vượt trội phù hợp với nhu cầu của bạn.

Bạn đã sử dụng bất kỳ plugin WordPress đã đề cập ở trên chưa? Nếu bạn thấy bài này hữu ích hãy để lại một bình luận dưới đây và cho chúng tôi biết plugin xác thực hai yếu tố nào bạn đang sử dụng và lý do bạn thích nó.

Nếu bạn thấy bài viết này hữu ích, hãy chia sẻ với bạn bè bằng cách nhấn nút chia sẻ ở bên dưới. Theo dõi chúng tôi trên Twitter và Facebook