Cho phép xác thực nhiều yếu tố để bảo vệ WordPress Website của bạn - xác nhận

Xác thực là hành động xác nhận danh tính của người đang cố gắng đăng nhập và truy cập vào cài đặt WordPress của bạn - giống như khi bạn đăng nhập vào trang web WordPress bằng cách sử dụng tên người dùng và mật khẩu. Ý tưởng cho việc xác thực đa yếu xuất phát từ ý tưởng rằng chỉ một mật khẩu không đủ để bảo đảm truy cập vào bất kỳ môi trường nào.

Xác thực đa nhân tố còn được gọi là xác thực mạnh và, khi sử dụng, nó đòi hỏi nhiều hơn một phương pháp chứng thực người dùng. WordPress, theo mặc định, chỉ cần một yêu cầu: tên người dùng có mật khẩu. Xác thực nhiều yếu tố cho biết thêm lớp của các biện pháp xác thực để tăng cường bảo mật cho người dùng đăng nhập.

Để sử dụng xác thực đa yếu tố, bạn có thể sử dụng plugin miễn phí có tên là Google Authenticator. Nó cung cấp chứng thực người dùng hai yếu tố thông qua việc sử dụng ứng dụng trên thiết bị di động hoặc máy tính bảng của bạn (iPhone, iPad, Droid, v.v.). Để plugin này hoạt động, bạn cần:

• Ứng dụng Xác thực của Google: Tìm nó tại Apple App Store dành cho thiết bị iOS hoặc Cửa hàng Google Play dành cho thiết bị Android.

• Plugin của Google Authenticator: Bạn có thể tìm thấy điều này trong Thư mục Plugin.

Khi bạn hoàn thành cả hai nhiệm vụ đó, bạn có thể định cấu hình plugin để sử dụng trên trang web của bạn. Thực hiện theo các bước sau để định cấu hình plugin cho từng người dùng trên trang web của bạn:

1. Nhấp vào liên kết Tất cả người dùng trên menu Người dùng trên Trang tổng quan của bạn.

   Trang Người dùng mở ra.

2. Chọn tiểu sử người dùng bạn muốn chỉnh sửa bằng cách nhấp vào liên kết Chỉnh sửa bên dưới tên của họ trong danh sách Người dùng.

   Trang Chỉnh sửa Người dùng mở ra.

3. Chọn hộp kiểm Hoạt động trong phần Cài đặt Xác thực Google.

4. Nhập mô tả vào hộp văn bản Mô tả.

   Đây là mô tả bạn có thể thấy trong ứng dụng Google Authenticator trên thiết bị di động của bạn.

   Nếu bạn đang sử dụng iPhone hoặc iPad làm thiết bị xác thực của mình, trường mô tả không được có bất kỳ dấu cách nào. Vào thời điểm viết bài này, một lỗi trong ứng dụng của Apple ngăn không cho nó hoạt động nếu có bất kỳ dấu cách nào trong mô tả.

   

5. Nhấp vào nút Hiển thị / Ẩn mã QR.

   Điều này hiển thị mã QR trên trang. Mã QR là mã vạch có thể quét được, có thể đọc được bằng thiết bị di động hoặc máy tính bảng sử dụng máy ảnh.

6. Mở ứng dụng Google Authenticator trên thiết bị di động hoặc máy tính bảng của bạn.

7. Trên trang tổng quan của trang WordPress của bạn, hãy nhấp vào nút Tạo mới bí mật.

   Thao tác này làm mới mã bí mật và mã QR cần thiết để kết nối thiết bị di động hoặc máy tính bảng của bạn.

8. Trong ứng dụng Google Authenticator trên thiết bị di động hoặc máy tính bảng của bạn, hãy nhấp vào nút Quét mã vạch.

   Máy ảnh trên điện thoại của bạn sẽ bắt đầu.

9. Quét mã vạch được hiển thị trên trang Google Authenticator trên WordPress Dashboard bằng cách chụp ảnh bằng thiết bị của bạn.

   Trỏ máy ảnh trên màn hình máy tính của bạn và xếp mã QR bên trong khung máy ảnh của điện thoại di động của bạn. Ứng dụng tự động đọc mã QR ngay khi nó được căn chỉnh chính xác và hiển thị mã 6 chữ số xác định blog của bạn.

   Mã 6 chữ số sẽ làm mới theo khoảng thời gian. Sau khi quét mã QR, người dùng sẽ nhận được một tin nhắn trên điện thoại di động của cô ấy có chứa một mã số duy nhất.

10. Nhấp vào nút Cập nhật Hồ sơ ở cuối màn hình Chỉnh sửa Người dùng trong Bảng điều khiển của bạn.

    Thao tác này làm mới trang Chỉnh sửa Người dùng với một thông báo ở đầu trang cho biết rằng cài đặt Google Authenticator đã được lưu thành công.

Giờ đây, với plugin Google Authenticator tại chỗ, bất cứ khi nào ai đó đăng nhập vào Bảng điều khiển WordPress của bạn, cô ấy phải điền tên người dùng và mật khẩu của mình, như thường lệ; tuy nhiên, với xác thực đa yếu tố tại chỗ, người dùng cũng cần phải nhập mã xác thực đã được gửi đến thiết bị di động của mình trong Bước 9. Nếu không có mã duy nhất này, người dùng không thể đăng nhập vào Bảng điều khiển WordPress.

Với các bước trước đã hoàn thành, bạn đã bật một hình thức chứng thực đa yếu tố, vào Bảng điều khiển WordPress của mình.

Mã xác minh ứng dụng Google Authenticator là dựa trên thời gian, vì vậy điều quan trọng là điện thoại di động và blog WordPress của bạn được đặt ở cùng một múi giờ.

Nếu bạn nhận được thông báo rằng mã xác minh Google Authentication bạn đang sử dụng là không hợp lệ hoặc đã hết hạn, bạn cần phải xoá plugin rồi chuyển sang cài đặt WordPress Dashboard của bạn và đảm bảo rằng múi giờ được đặt cùng một lúc là thiết bị di động hoặc máy tính bảng của bạn.

Các bước sau đây chỉ cho bạn cách thực hiện xác thực đa yếu tố trên blog của bạn:

1. Đăng xuất khỏi Bảng điều khiển WordPress của bạn.

   Bước này sẽ ghi lại hoàn toàn và hiển thị trang đăng nhập.

   

2. Nhập tên người dùng của bạn vào trường Tên đăng nhập.

3. Nhập mật khẩu vào trường Mật khẩu.

   Do không nhấn vào nút Đăng nhập.

4. Mở ứng dụng Google Authenticator trên thiết bị di động hoặc máy tính bảng của bạn và tìm mã số 6 chữ số được chỉ định cho blog của bạn.

   Mã số 6 chữ số này làm mới mỗi 60 giây. Nếu bạn có nhiều blog sử dụng ứng dụng, hãy tìm mã tương ứng với mô tả bạn đã gán cho trang từ Bước 4 trong danh sách trước đó.

5. Nhập mã xác minh số 6 chữ số vào trường mã Google Authenticator.

6. Nhấp vào nút Đăng nhập.

   Bây giờ bạn đã đăng nhập thành công vào Bảng điều khiển WordPress sử dụng phương pháp xác thực hai nhân tố.

Sự thiếu sót lớn nhất với plugin này là không thể buộc tất cả người dùng phải định cấu hình theo mặc định. Đây là lý do tại sao điều quan trọng là phải sử dụng nguyên tắc về đặc quyền ít nhất trên trang web của bạn - chỉ cho phép truy cập vào những người dùng hoàn toàn yêu cầu. Tuy nhiên, trong thế giới lý tưởng, mỗi một tài khoản người dùng của bạn sẽ yêu cầu xác thực hai yếu tố để đăng nhập vào tài khoản của họ trên trang web của bạn.

Nếu bạn không có quyền truy cập vào một thiết bị di động, WordPress có một vài plugins mà bạn có thể sử dụng, bao gồm cả hai:

• Perfect Paper Passwords

• Yubikey Plugin