Bảo mật wordpress bằng điện thoại – WP Blog Securiry

bảo mật wordpress blog sử dụng mã xác nhận qua điện thoại, giúp bạn tránh khỏi sự tấn công của hacker. Hôm nay mình sẽ hướng dẫn cách bảo vệ tài khoản wordpress blog trên wordpress.com với Google Authenticator. Trước tiên tải 2 ứng dụng trên Google Play Store.

• Google Authenticator: bạn sẽ nhận mã code bí mật trên phần mềm này, wordpress blog sẽ yêu cầu thông tin này trong quá trình đăng nhập vào hệ thống wordpress.com
• Barcode Scanner: ứng dụng này sử dụng trong quá trình cài đặt mật khẩu bí mật cho tài khoản wordpress.com của bạn. Ứng dụng Google Authenticator có kết nối với phần mềm Barcode Scanner đã cài trong điện thoại trước đó, sau đó nó quyét mã vạch (barcode) mà wordpress blog cung cấp, để nói với wordpress.com rằng mật khẩu bí mật thứ hai sẽ xuất hiện trên phần mềm Google Authenticator đó.

Tiến hành đăng nhập wordpress.com sử dụng tài khoản của bạn. Sau đó truy cập vào địa chỉ:
https://wordpress.com/settings/security/

• Mục Mobile Phone Country chọn mã vùng điện thoại di động của quốc gia. Lựa chọn Vietnam (+84)
• Mục Mobile Phone Number: điền số điện thoại di động.

Điền thông tin xong, nhấn Next Step.

Vì sử dụng phần mềm google authenticator để xác nhận code nên Bỏ qua bước này.

Nhấn vào liên kết Verify the code now, chuyển sang màn hình quét mã vạch . Làm theo như chỉ dẫn.

Một mã vạch hiện ra, trên điện thoại android của bạn mở ứng dụng Google Authenticator.

Nhấn tiếp vào Scan a barcode, để mở trương trình barcode scanner. Điều chỉnh camera điện thoại nhắm đúng vào giữa hình có vã vạch trên website.

Mã bí mật của blog hiện ra, mã số hết hạn sao 30 giây, bạn nhập mã số này vào ô Type the generated code trước khi mã được nạp lại mới. Bưới cuối cùng nhấn vào Verify code.

Danh sách backup code chưa được sử dụng trong quá trình verify barcode ở bước trên, nhớ lại 1 mã, tiếp tục nhấn vào Next Step. Điền mã backup code đó, ô dưới nhập chữ “printed” rồi nhấn Next Step.

Ok, đã hoàn tất các bước bảo mật cho tài khoản wordpress.com. Có 2 thứ quan trọng là số điện thoại và phần mềm xác nhận ( Google Authenticator). Hoàn tất quá trình đăng nhập wordpress.com sử dụng một trong hai cái này.

Chúng ta thử đăng nhập vào wordpress.com và xem kết quả nhé. Điền thông tin username/email + password như bình thường, nếu thành công bạn được chuyển sang màn hình nhập mã xác thực.

Mở lại ứng dụng Google Authenticator trên điện thoại đã sử dụng để thiết lập bảo vệ tài khoản wordpress ở trên. Trương hình hiển thị mã số xác nhận của wordpress blog, bây giờ nhập mã số này vào ô Verification Code. Cuối cùng nhấn login. Nếu bỏ qua bước này trong vòng 30 ngày ->chọn vào Remembers about 30 days.

Không bắt buộc phải có điện thoại smartphone chạy phần mềm Google Authenticator mới đăng nhập được tài khoản wp blog. Sử dụng cách thứ 2 gửi mã qua tin nhắn SMS, đảm bảo bật điện thoại có SIM mà bạn cung cấp khi cài đặt mã bảo mật. Nhấn vào Send recovery code via SMS và đợi vài giây một tin nhắn kèm mã số được gửi vào điện thoại của bạn. Điền mã số này và nhấn Login.

Backup Codes

Sử dụng backup codes, giúp bạn truy cập vào tài khoản wordpress blog nếu dữ liệu Google Authenticator trên điện thoại bị xóa đi hay bị mất điện thoại hoặc smartphone. Trường hợp mất cả Backup Codes thì coi như bạn đã tiêu đời. Xem lại bước trước đó, backup lại danh sách backup codes vào đâu đó như lưu trong máy tính, viết ra tờ giấy để dùng vào việc khôi phục tài khoản sau này. Đăng nhập vào tài khoản wordpress.com, chọn settings->security tab và nhấn vào Generate Backup Codes như hình dưới.


Một popup hiện ra chứa bảng các mã backup codes và cùng lúc đó hộp thoại in xuất hiện, bạn có thể sử dụng máy tin để in ra giấy và lưu lại.

Xóa 2 bước xác minh tài khoản (Two Step Authentication)

Wordpress có nói “We don’t recommend disabling Two Step Authentication”, họ không khuyến khích xóa 2 bước xác minh tài khoản không thể phủ nhận lợi ích bảo vệ tài khoản mà nó mang lại. Việc xóa xác minh bằng điện thoại sẽ gia tăng hacker tấn công vào tài khoản wordpress của bạn, ngay cả mật khẩu có khó đoán đến mấy. Nhưng nếu bạn muốn hủy tính năng này, có thể vào Settings->Security. Status = ON thể hiện trạng thái tài khoản đang được bảo vệ bởi 2 step authentication, để hủy bảo vệ Nhấn vào Disable. Một popup prompt hiện ra phía dưới yêu cầu điền mã authentication code. Nếu bạn sử dụng phần mềm Google Authenticator thì hãy mở nó ra và điền mã số bí mật vào đây. Nếu bạn có điện thoại nhận SMS đã đăng ký với wordpress thì vào trang đăng nhập wordpress (lưu ý: mở trình duyệt khác vì trình duyệt hiện tại đã có phiên user) và nhấn vào liên kết để gửi mã số qua sms sử dụng mã số này để điền vào. Ngoài ra có thể nhấn vào generate backup codes để lấy lại mã số backup codes, nhập một trong các mã số đó sau đó nhấn Disable.

Chú ý: nếu kích hoạt lại tính năng này, bạn phải backup lại codes. Vì Danh sách backup codes cũ không còn được sử dụng nữa.

Bảo mật Google Authenticator cho wordpress site

Nếu bạn không sử dụng wordpress blog trên wordpress.com, bạn cũng không nên mất hi vọng vì tính năng bảo mật thông qua điện thoại này đã có trên wordpress site. Trước tiên bạn cần plugin Google Authenticator, tải và kích hoạt plugin này cho website bạn muốn bảo mật.

Chuyển vào trang đăng nhập bạn sẽ thấy xuất hiện trường “Google Authenticator code”:

Tuy nhiên bạn vẫn đăng nhập bình thường mà không cần sử dụng trường Google Authenticator code. Trước tiên để có thể sử dụng được tính năng này, bạn phải kích hoạt và cấu hình cho nó.

Các bước cài đặt Google Authenticator

Bước 1:
Truy cập vào Users->Your Profile.

Check vào Active để kích hoạt plugin. Điền mô tả cho website wordpress của bạn, thông tin này sẽ hiển thị trên ứng dụng google Authenticator chạy trên mobile của bạn.

Bước 2:
Trên điện thoại smartphone mở ứng dụng Google Authenticator ra.
Chú ý:

• mỗi một phần mềm Google Authenticator chạy trên một smartphone chỉ sử dụng cho một tài khoản, do vậy sau khi thiết lập xong bạn không được xóa ứng dụng này đi.
• Nếu google authenticator đã sử dụng cho website wordpress/wordpress blog trước đó thì hãy xem xét xóa dữ liệu cũ. Để xóa dữ liệu của google authenticator trên điện thoại, trên phần mềm Authenticator chạm vào mã số và dữ một lúc, bạn sẽ thấy menu xuất hiện bạn ->chọn vào remove, mã số bí mật của website sẽ bị xóa. Hoặc cách khác mở settings trong điện thoại->Applications->manage applications->chọn ứng dụng Authenticator->Nhấn force stop và nút Clear data. Như vậy toàn bộ dữ liệu cũ bảo mật cho tài khoản trước đó đã bị xóa.

Trên trang cấu hình ở trên, nhấn vào nút Show/Hide QR code mã vạch barcode được hiện ra, mở lại ứng dụng Authenticator trên smartphone và quyét mã barcode này. Sau khi quyét thành công trên điện thoại xuất hiện những mã số bí mật trong vòng 30s. Hãy chép lại một trong các mã số bí mật đó, bạn sẽ sử dụng để đăng nhập vào wordpress admin.

Đừng quên nhấn update profile.

Ok, bây giờ chúng ta tiến hành test. Truy cập vào trang đăng nhập wordpress, nhập đầy đù thông tin username và password.
Trường hợp 1: để trống trường “Google Authenticator code” hoặc điền bất kỳ ký tự nào. Nhấn login bạn sẽ nhận được thông báo lỗi “ERROR: The Google Authenticator code is incorrect or has expired.”. Như vậy wordpress của bạn đã được bảo mật rồi.

Trường hợp 2: nhập thêm con số bí mật bạn đã ghi lại ở trên vào ô “Google Authenticator code” rồi nhấn Login. Thật tuyệt vời, đăng nhập wordpress đã thành công.

Chúng ta có thể sử lý cách thức đăng nhập khác đi, lúc đầu sẽ cho ẩn trường “Google Authenticator Code” khi người dùng vào trang đăng nhập, nếu nhập đúng username và password thì chuyển qua màn hình thứ 2 yêu cầu nhập mã Google Authenticator code. Cách sử lý này có vẻ hay hơn.

Bạn sẽ cần thêm plugin “Google Authenticator – Per User Prompt”, được người dùng phát triển trên wordpress plugins store , plugin này có nhiệm vụ hoạt động cùng plugin Google Authenticator và bạn nhận được kết quả sau:

Xóa Google Authenticator cho wordpress site

Nếu bạn không muốn sử dụng tính năng bảo mật này nữa khác với wordpress.com, vì chúng ta sử dụng plugin Google Authenticator do đó cách duy nhất là disable plugin Google Authenticator.

Lưu ý:
* Nếu bạn quên mã số bí mật mà lưu lại ở bước cài đặt, thì cũng đừng lo lắng quá vì bạn sẽ tìm thấy mã số tiếp theo khi mở lại ứng dụng Authenticator trên điện thoại. Những mã số đã dùng để đăng nhập trước đó sẽ vô hiệu lực cho lần sau, điều này áp dụng cho cả wordpress site (wordpress.org) và wordpress site (wordpress.com) do đó mỗi lần đăng nhập hãy mở lại phần mềm Authenticator nhé.
* Còn nếu trường hợp xấu nhất là mất điện thoại, thì cách cuối cùng là deactived plugin sử dụng phpmyadmin.

Chuyển authenticator sang điện thoại mới

Nếu bạn mua điện thoại mới và sử dụng điện thoại này để authenticate với tài khoản wordpress. Bạn có thể loại bỏ bước xác nhận trên điện thoại cũ và chuyển tính năng này sang điện thoại mới.

Nếu bạn bạn đang sử dụng ứng dụng google Authenticator để lấy mã verification codes, thì thực hiện các bước sau:

• 1. In mã backup codes. Chú ý: đừng bỏ qua bước này.
• 2. Hủy cài đặt Google Authenticator ở điện thoại cũ.
• 3. Trên điện thoại smartphone mới, tiến hành cài đặt Google Authenticator.
• 4. Disable tính năng Two Step Authenticator đã liên kết với điện thoại cũ.
• 5. Sử dụng các bước cài đặt authenticator trên điện thoại mới với phần mềm Google Authenticator như trình bầy ở trên.

Nếu bạn sử dụng wordpress.com và sử dụng sms để nhận mã authentication codes, có thể chuyển sang số điện thoại mới bằng cách sửa lại số điện thoại ở trang security.

Chúc bạn thành công.

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook