Xác thực hai yếu tố cho WordPress là cách rất hữu ích để bảo mật trang web của bạn. Nó có thể ngăn người dùng trái phép độc hại truy cập vào trang web WordPress của bạn.
Xác thực hai yếu tố cho WordPress về cơ bản có nghĩa là bạn thêm một lớp xác thực bổ sung trước khi đăng nhập.
Trong bài viết này, chúng tôi sẽ giới thiệu với bạn những điều cơ bản về xác thực hai yếu tố cho WordPress cũng như các plugin hữu ích để làm chúng hoạt động trên trang web của bạn.
Giới thiệu Xác thực hai yếu tố cho WordPress
Như đã thảo luận, xác thực hai yếu tố cho WordPress là việc thêm một lớp bảo mật bổ sung cho trang web của bạn.
Bạn tạo một mật khẩu rất mạnh cho tài khoản quản trị viên WordPress của bạn. Bạn làm theo tất cả các quy trình bảo mật: luôn cập nhật WordPress cũng như các chủ đề và plugin, thay đổi mật khẩu thường xuyên, tránh các plugin hoặc chủ đề không an toàn, v.v.
Tuy nhiên, một người dùng độc hại tìm ra mật khẩu của bạn. Có thể đó là một bot liên tục truy cập trang đăng nhập của bạn cho đến khi nó có quyền truy cập vào tài khoản của bạn.
Chuyện gì xảy ra tiếp theo? Tài khoản quản trị viên WordPress của bạn bị xâm phạm do tin tặc độc hại đã truy cập được. Trang web của bạn đã bị hack.
Bây giờ hãy tưởng tượng, nếu có một lớp bảo mật khác thì sao? Điều gì sẽ xảy ra nếu sau khi nhập đúng mật khẩu, WordPress sẽ gửi cho bạn email hoặc SMS để xác minh danh tính của bạn? Trong trường hợp đó, nếu bất kỳ ai có được quyền truy cập vào mật khẩu của bạn, họ vẫn không thể truy cập tài khoản WordPress của bạn.
Đây là những gì xác thực hai yếu tố cho WordPress làm. Khi bạn nhập thông tin đăng nhập chính xác, bạn sẽ được gửi một khóa hoặc mã bí mật qua tin nhắn văn bản, cuộc gọi điện thoại hoặc thậm chí email. Sau đó, bạn nhập mã bí mật đó thì bạn mới được đăng nhập.
Ngoài ra, hãy nhớ rằng xác thực hai yếu tố không chỉ là một khái niệm duy nhất cho WordPress. Nhiều nhà cung cấp email phổ biến, như Google, Outlook và Yandex, cung cấp xác thực hai yếu tố với cùng một cơ chế như được mô tả ở trên. Như vậy, nó là một thủ tục bảo mật đã được chứng minh.
Vì vậy, bây giờ bạn cần thiết lập xác thực hai yếu tố là gì và làm thế nào để thực hiện nó trên các trang web WordPress của bạn? Có rất nhiều plugin giúp bạn làm điều đó.
Dưới đây là một số plugin để triển khai xác thực hai yếu tố cho WordPress
Clef Two Factor
Clef Two Factor là một plugin rất phổ biến với hơn 900.000 người dùng hoạt động. Plugin này thêm xác thực hai yếu tố cho WordPress trong vòng vài phút và giảm sự phụ thuộc vào mật khẩu.
Về cơ bản, nó không có mật khẩu và yêu cầu bạn đăng nhập bằng mã một lần. Thay vì lưu trữ mã của bạn trên một máy chủ từ xa, nó sử dụng điện thoại thông minh của riêng bạn để lưu trữ khóa riêng. Do đó, bạn có thể đăng nhập không phải bằng mật khẩu đơn giản, mà bằng cách sử dụng điện thoại của bạn kèm theo dấu vân tay hoặc mã PIN.
Bạn có thể chọn vai trò người dùng hoặc tài khoản yêu cầu xác thực hai yếu tố. Bằng cách này, đối với các cấp tài khoản đơn giản như Cộng tác viên, bạn có thể giữ lại cơ chế đăng nhập dựa trên mật khẩu thường xuyên.
Xác thực hai yếu tố
Xác thực hai yếu tố cho phép bạn thêm xác thực hai yếu tố bằng điện thoại di động hoặc mã thông báo phần cứng.
Plugin này cung cấp các phương pháp khác nhau để xác định người dùng. Ví dụ: bạn có thể sử dụng ứng dụng di động Duo để nhận dạng chính mình, tạo mã sử dụng một lần, có mã được gửi qua SMS, nhận cuộc gọi điện thoại với mã đăng nhập (cũng hoạt động với điện thoại cố định) hoặc dựa vào mã thông báo phần cứng qua oAuth. Nếu bạn đang tìm kiếm một giải pháp đơn giản để thực hiện xác thực hai yếu tố trên WordPress, thì plugin này là lựa chọn phù hợp cho bạn.
Shield WordPress Sesurity
Shield WordPress Security không chỉ là một plugin để xác thực hai yếu tố. Nó giống như một bộ bảo mật, có thể so sánh với Wordfence Security. Nó có thể chặn các yêu cầu truy cập độc hại, spam bots và cung cấp tường lửa cho trang web của bạn.
Tuy nhiên, không giống như các plugin bảo mật khác, Shield WordPress Security cung cấp xác thực hai yếu tố trong phiên bản miễn phí. Bạn có thể ngăn chặn các cuộc tấn công và xác minh danh tính người dùng bằng cách bật xác thực hai yếu tố.
Lưu ý rằng Shield WordPress Security chỉ cung cấp xác thực hai yếu tố dựa trên email (không có cuộc gọi điện thoại hoặc SMS) hoặc qua Google Authenticator.
Xác thực hai yếu tố Rublon
Xác thực hai yếu tố Rublon cho phép bạn thêm xác thực hai yếu tố vào trang web WordPress của mình bằng hai cách khác nhau. Đầu tiên, bạn có thể có một liên kết được gửi cho bạn qua email mà bạn cần nhấp để đăng nhập. Thứ hai, bạn có thể quét mã bằng ứng dụng Rublon.
Bạn có thể sử dụng xác thực hai yếu tố cho một tài khoản quản trị viên trên mỗi trang web bằng phiên bản miễn phí. Nếu bạn muốn thêm nó cho nhiều tài khoản hơn, bạn sẽ phải nâng cấp lên phiên bản cao cấp. Điều đó nói rằng, Rublon khá đơn giản và dễ sử dụng. Ngoài ra, bạn có thể lập danh sách trắng cho thiết bị của mình để nó không yêu cầu bạn quét bất kỳ mã nào hoặc xác minh liên kết email trên máy tính của bạn, nhưng đối với mọi thiết bị công cộng hoặc từ xa mà bạn sử dụng.
Google Authenticator
Google Authenticator là một plugin WordPress bảo mật trang web của bạn bằng cách cho phép bạn thêm xác thực hai yếu tố bằng Google Authenticator.
Quá trình này rất đơn giản: bạn đăng nhập thông qua tên người dùng và mật khẩu của mình, sau đó thêm khóa xác thực được gửi qua ứng dụng Google Authenticator. Plugin này cũng hỗ trợ xác thực qua các kênh khác, nhưng phiên bản miễn phí cho phép bạn chỉ thêm cơ chế cho một tài khoản người dùng trên mỗi trang.
Có một số plugin khác để triển khai Google Authenticator trên các trang web WordPress. Tuy nhiên, không phải tất cả chúng đều được cập nhật trong những ngày gần đây và không phải tất cả chúng đều rất phổ biến (ứng dụng này có hơn 3000 người dùng hoạt động, so với những người thích của Clef, là một con số rất thấp).
Phần kết luận
Xác thực hai yếu tố không bao giờ là một cơ chế hoàn hảo tuyệt đối và phải luôn được sử dụng đồng bộ với các biện pháp bảo mật khác cho WordPress . Ngoài ra, hãy chắc chắn có một cơ chế an toàn như mã khẩn cấp hoặc tuyến đường tránh, và chúng nên được áp dụng trong trường hợp bạn mất quyền truy cập vào tài khoản email hoặc điện thoại di động.
