15

Bảo mật website WordPress – thêm chức năng xác minh hai lớp với Google Authenticator

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Chào các bạn, đây là bài thứ hai trong loạt bài viết về bảo mật website mà mình muốn chia sẻ với mọi người. Trong bài viết trước, mình đã nói về việc hạn chế số lần đăng nhập sai tối đa khi có ai đó cố tình đăng nhập vào trang web của bạn nhiều lần với ý đồ đánh cắp mật khẩu. Trong bài viết này mình xin giới thiệu với các bạn một cách khác nữa để tăng độ bảo mật cho website của bạn, đó là chúng ta sẽ thêm chức năng xác minh hai lớp (two-fator authentication) với Google Authenticator.

Xác minh hai lớp là gì?

Thông thường, để đăng nhập vào website của bạn, bạn sẽ phải cung cấp tên đăng nhập và mật khẩu, nhưng người dùng chúng ta thường có xu hướng dùng một mật khẩu cho rất nhiều tài khoản khác nhau. Điều này có thể gây nguy hiểm nếu như một trong những tài khoản của chúng ta bị lộ mật khẩu, thì các tài khoản khác cũng có nguy cơ bị tấn công luôn. Do đó, xác minh hai lớp tăng thêm độ bảo mật cho tài khoản bằng cách người dùng không chỉ phải cung cấp tên đăng nhập và mật khẩu, mà còn phải nhập thêm một dãy số được tạo ra từ một thiết bị khác, cụ thể ở đây là điện thoại di động của bạn. Có nghĩa là nếu bạn áp dụng tính năng này, thì sau này mỗi lần đăng nhập vào trang web của mình, bạn phải có bên mình chiếc điện thoại di động. Nghe có vẻ phức tạp nhưng các bạn hãy nhớ câu này của ông bà ta nhé – phòng bệnh hơn chữa bệnh.

Google Authenticator là gì?

Đó là một app do Google cung cấp, khi bạn tải app này về trên appstore (nếu bạn dùng iPhone), hoặc trên Google Play (nếu bạn dùng điện thoại Android), qua một bước cài đặt mà mình sẽ nói sau đây, chúng ta sẽ nhận được một dãy các con số gồm 6 chữ số, con số này được tạo ra một cách ngẫu nhiên và thay đổi cứ sau một phút. Và bạn sẽ dùng con số này để đăng nhập vào website của mình.

Màn hình chính của app Google Authenticator trên iPhone

Màn hình chính của app Google Authenticator trên iPhone

Làm thế nào để thêm chức năng này vào trang web của tôi?

Đây là phần chính và cũng là quan trọng nhất mà mình muốn chia sẻ với các bạn.

Bước 1 – Bạn sẽ cài đặt app có tên là Google Authenticator trên điện thoại của mình

Bước 2 – Trên trang web WordPress của mình, bạn cài thêm một plugin có tên là Google Authenticator, sau khi cài đặt xong, bạn vào trang quản trị của mình, tìm đến mục Thành viên >>> Hồ sơ của bạn. Bạn sẽ thấy màn hình có nội dung như sau

Màn hình thiết lập các thông số cho Google Authenticator trên website

Màn hình thiết lập các thông số cho Google Authenticator trên website

Active – Bấm chọn vào đây để kích hoạt tính năng xác minh hai lớp

Relax Mode – Thông thường dãy số mà Google Authenticator sinh ra sẽ hết hạn sau một phút, nếu bạn chọn tính năng này, thì sẽ kéo dài thời gian hết hạn đó ra (có thể lên tới 4 phút), chức năng này có thể hữu ích cho những ai gõ bàn phím chậm 🙂 Nhưng mình khuyến cáo là bạn đừng nên chọn vào đây

Description – Những gì bạn nhập vào trong khung này, nó sẽ hiển thị trên điện thoại của bạn

Secret – Khóa này dùng để nhập vào app Google Authenticator trên điện thoại, đây là chìa khóa nối kết app trên điện thoại với website của bạn. Phía dưới phần Secret bạn có thể thấy đó là một barcode, bạn dùng điện thoại để quét cái barcode này để gắn kết giữa trang webb của bạn và Google Authenticator app. Cách gắn kết thế nào mình sẽ hướng dẫn ở bước 3 bên dưới.

Enable App Password – Trong trường hợp bạn muốn đăng bài viết lên website của mình thông qua điện thoại di động, bạn sẽ chọn vào ô này

Tiếp theo bạn nhớ cuộn đến cuối màn hình và nhấn vào nút Lưu thay đổi nhé.

Bước 3 – Cấu hình trên điện thoại

Bạn vào app Google Authenticator đã cài đặt trước đó, màn hình lúc đầu tiên sẽ như thế này

Màn hình app Google Authenticator khi lần đầu tiên chạy

Màn hình app Google Authenticator khi lần đầu tiên chạy

Bạn chọn vào Begin Setup, tiếp theo bạn có thể chọn Scan barcode để quét mã barcode mà ở bước 2 các bạn thấy, hoặc chọn vào Manual entry để nhập cái khóa vào bằng tay. Ở đây mình sẽ chọn Manual entry, màn hình tiếp theo bạn sẽ thấy như sau

 

Cài đặt Google Authenticator dùng barcode hoặc nhập bằng tay

Cài đặt Google Authenticator dùng barcode hoặc nhập bằng tay

Thêm tài khoản mới trên Google Authenticator

Thêm tài khoản mới trên Google Authenticator

Account – bạn nhập giống như những gì bạn đã nhập vào ô Description ở bước 2

Key – chính là cái khóa mà bạn thấy trong ô Secret ở bước 2, bạn nhập nó vào đây

Sau đó chọn vào dấu tick ở góc trên bên phải là xong.

Màn hình lúc này sẽ hiện lên cho bạn một dãy số gồm 6 chữ số, và dãy số này sẽ thay đổi sau mỗi phút. Đây chính là con số mà bạn dùng để nhập vào trong màn hình đăng nhập.

Màn hình chính của app Google Authenticator trên iPhone

Màn hình chính của app Google Authenticator trên iPhone

Bây giờ bạn thử đăng xuất ra khỏi trang web và đăng nhập lại, bạn sẽ thấy màn hình đăng nhập lúc này có thêm một ô để nhập ngoài tên đăng nhập và mật khẩu ra, đó chính là cái số mình mô tả ở trên. Bạn đăng nhập vào và hưởng thụ thành quả thôi 🙂

Màn hình đăng nhập khi thêm Google Authenticator

Màn hình đăng nhập khi thêm Google Authenticator

Lưu ý quan trọng

Bạn phải hoàn tất xong các bước cài đặt trên điện thoại và thấy được dãy 6 chữ số trên điện thoại hoạt động rồi thì mới đăng xuất ra nhé.

Cảm ơn các bạn đã theo dõi bài viết, chúc các bạn một ngày mới tràn đầy năng lượng và hẹn gặp lại trong những bài viết tiếp theo nhé.

— Phạm Hữu Hiền


  •  
  •  
  •  
  •  
  •  
  •  
  •  

Phạm Hữu Hiền

Lập trình viên, đam mê ca hát và chia sẻ kiến thức cho mọi người với phương châm Gieo Kiến Thức - Gặt Niềm Vui. Rất vui được kết nối với mọi người!

15 Comments

    • Cảm ơn anh vì câu hỏi rất hay. Dạ mình chỉ cần lấy Secret key trên trang web và cấu hình Google Authenticator cho điện thoại mới như trong bước 3 là được thôi anh. Cái Secret key ở đây đóng vai trò như một cầu nối giữa website của anh và thiết bị di động.
      Thân!

  1. Phương pháp bảo mật website này rất hữu ích. Có những lưu ý gì khi có sử dụng và khi hacker xâm nhập không ah

    • Chào bạn, cảm ơn câu hỏi của bạn. Thật ra thì có rất nhiều cách để bảo mật website. Khi sử dụng Google Authenticator thì bạn lưu ý một điều là tuyệt đối không chia sẻ scret key lúc Google Authenticator tạo ra cho bất cứ ai nhé. Và hãy luôn tạo mật khẩu quản trị của mình làm sao càng phức tạp càng tốt. Đó là cách đầu tiên và dễ làm nhất để có thể giữ cho website của mình được an toàn.
      — Thân!

    • Thật tuyệt vời! Cách này hiệu quả mọi người ai cũng nên áp dụng.

  2. Xin hỏi là áp dụng với admin ok rồi nhưng với user khác thì làm như thế nào ạ?

  3. Cảm ơn anh Hiền đã chia sẻ, lúc trước web của em nị hack hết một lần giờ thì có cái này thì yên tâm hơn rồi hihi.

  4. Cách xác minh 2 lớp này an toàn quá, hữu dụng vì em hay vào tài khoản mà quên thoát

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *