Cách cài đặt bảo mật 2 lớp (WP 2FA) cho WordPress

Hướng dẫn chi tiết cách cài đặt bảo mật 2 lớp (WP 2FA) cho WordPress giúp tăng cường bảo mật website, tránh các cuộc tấn công và đánh cắp mật khẩu.

Bảo mật 2 lớp là gì?

Bảo mật 2 lớp hay bảo mật 2 yếu tố (2FA/2-factor authentication) là việc thêm một bước vào hoạt động đăng nhập thông thường, người dùng sau đăng nhập bằng mật khẩu phải nhập mã xác thực được tạo ra tự động mới có thể đăng nhập hoàn tất.

Phương thức bảo mật này rất hữu ích vì nó giúp tài khoản của bạn an toàn hơn rất nhiều. Nếu ai đó muốn đăng nhập được vào tài khoản của bạn phải có mã xác thực này. Hiện nay, phương thức này áp dụng rộng rãi như Google, facebook hay các website ngân hàng.

Còn đối với WordPress thì sao nhỉ? Chắc chắn WordPress cũng có công cụ làm việc này cho bạn rồi. Bây giờ, chúng ta cùng tìm hiểu và cài đặt nhé!

Hiện nay, có rất nhiều ứng dụng, plugin hỗ trợ việc xác minh 2 bước cho website WordPress. Trong bài viết hôm nay, Chúng tôi sẽ hướng dẫn các bạn sử dụng chức năng Bảo mật 2 lớp với plugin rất hay ho đó là: Wordfence Security – Firewall & Malware Scan.

Như chúng ta đã biết, Wordfence là một trong các plugin miễn phí chuyên về bảo mật được nhiều người sử dụng nhất (với hơn 3 triệu lượt kích hoạt).

Sở dĩ nó được sử dụng nhiều như vậy là do có kèm theo nhiều tính năng bảo mật cực kỳ tốt, có thể hạn chế được nhiều hình thức tấn công phổ biến như Local Hack, XSS, SQL Injection, tự động quét mã độc trên host và có cả chức năng mật khẩu hai lớp mà chúng ta đang quan tâm.

Đánh giá WP 2FA: Tổng quan nhanh về các tính năng

Chúng ta sẽ không đi quá sâu vào các tính năng trong phần đầu này vì bạn sẽ thấy tất cả trong phần hướng dẫn chi tiết của bài đánh giá/hướng dẫn WP 2FA.

Bạn cũng có thể tìm thấy tất cả các tính năng này trên trang web WP 2FA.

Nhưng trước khi bắt đầu, hãy cùng điểm qua các tính năng làm cho WP 2FA trở thành một trong những plugin xác thực hai lớp cho WordPress tốt nhất:

• Nhiều phương pháp hai lớp– bạn có thể chọn từ email, SMS/tin nhắn văn bản, ứng dụng xác thực (như Google Authenticator) và/hoặc thông báo đẩy (qua Authy). Ngoài ra còn có tùy chọn tạo mã dự phòng một lần.
• Giao diện thân thiện với người dùng (frontend và backend) – người dùng có thể quản lý xác thực hai lớp từ bảng điều khiển WordPress cũng như từ frontend của trang.
• Chính sách hai lớp linh hoạt – bạn có thể tạo các chính sách hai lớp tùy chỉnh, chẳng hạn như yêu cầu hai lớp đối với một số người dùng nhất định.
• Gắn nhãn trắng – bạn có thể gắn nhãn trắng tất cả các phần của giao diện WP 2FA để phù hợp với thương hiệu của mình.
• Thiết bị đáng tin cậy – bạn có thể lưu thiết bị là “đáng tin cậy” trong một khoảng thời gian nhất định để không cần thực hiện xác thực hai lớp lại trên thiết bị đó.
• Tích hợp – nó cung cấp các tích hợp sẵn cho WooCommerce và nhiều plugin thành viên.

Plugin WP 2FA đến từ WP White Security, nhóm đứng sau plugin WP Activity Log nổi tiếng – bạn có thể tìm hiểu thêm về điều đó trong bài đánh giá WP Activity Log.

Cách thiết lập xác thực hai lớp trên WordPress bằng WP 2FA

Bây giờ, hãy đi vào hướng dẫn từng bước về cách thiết lập xác thực hai lớp trên WordPress bằng WP 2FA.

Đối với hướng dẫn này, chúng tôi cài đặt phiên bản cao cấp của plugin trên trang của mình. Tuy nhiên, cũng có phiên bản miễn phí của plugin trên WordPress.org và các bước cơ bản sẽ giống nhau đối với phiên bản đó.

Bạn có thể làm theo hướng dẫn này dù đang sử dụng phiên bản miễn phí hay trả phí.

1. Cài đặt plugin và hoàn tất trình hướng dẫn cài đặt

Khi cài đặt và kích hoạt WP 2FA lần đầu tiên, plugin sẽ tự động mở trình hướng dẫn cài đặt để giúp bạn hoàn tất một số bước cấu hình cơ bản.

Bước đầu tiên, bạn sẽ chọn phương pháp xác thực hai lớp ưu tiên từ năm tùy chọn khác nhau.

Bạn có thể chọn nhiều hoặc ít tùy chọn tùy ý. Nếu cung cấp nhiều phương pháp, người dùng có thể chọn phương pháp nào để xác thực.

Một số phương pháp – chẳng hạn như gửi tin nhắn SMS qua Twilio – sẽ yêu cầu thêm một số thiết lập. Chúng tôi sẽ nói thêm về điều này sau.

Ở bước tiếp theo, bạn có thể bật các phương pháp thay thế, chẳng hạn như để người dùng tạo mã dự phòng một lần để sử dụng nếu họ mất phương pháp chính.

Tiếp theo, bạn có thể chọn chính sách 2FA của mình – hay nói cách khác, những người dùng nào cần thiết lập xác thực hai lớp. Bạn có ba tùy chọn:

• Tất cả người dùng – yêu cầu tất cả người dùng cấu hình và sử dụng xác thực hai lớp. Sau đó, bạn có thể cấu hình các cài đặt khác, chẳng hạn như khoảng thời gian ân hạn để thiết lập.
• Chỉ đối với người dùng và vai trò cụ thể – chỉ yêu cầu một số người dùng nhất định sử dụng xác thực hai lớp. Ví dụ, bạn có thể yêu cầu quản trị viên và biên tập viên sử dụng xác thực hai lớp, nhưng không yêu cầu đối với tác giả hoặc người đăng ký. Bạn cũng có thể chỉ yêu cầu với một số tên người dùng nhất định.
• Không yêu cầu bất kỳ người dùng nào – không bắt buộc bất kỳ người dùng nào sử dụng xác thực hai lớp – chỉ cung cấp như một tùy chọn nếu họ muốn bảo vệ tài khoản của mình.

Nếu chọn một trong hai tùy chọn đầu tiên, bước tiếp theo sẽ cho bạn tùy chọn loại trừ thủ công một số người dùng nhất định.

Cuối cùng, bước cuối cùng cho phép bạn cấu hình khoảng thời gian ân hạn. Điều này giúp bạn có thể cho người dùng mới một khoảng thời gian nhất định để thiết lập xác thực hai lớp.

Ví dụ, bạn có thể cho họ ba ngày trước khi bắt đầu áp dụng quy tắc.

Ngoài ra, bạn có thể chọn tùy chọn “Người dùng phải cấu hình 2FA ngay lập tức” để bắt buộc người dùng thiết lập ngay lập tức.

2. Cấu hình 2FA cho tài khoản của bạn

Sau khi hoàn tất trình hướng dẫn cài đặt, bước tiếp theo là cấu hình xác thực hai lớp cho tài khoản của bạn:

• Truy cập vào Users (Người dùng) → Profile (Hồ sơ) trong bảng điều khiển WordPress để mở hồ sơ người dùng của bạn.
• Cuộn xuống phần Two-factor authentication settings (Cài đặt xác thực hai lớp).
• Nhấp vào nút Configure 2FA (Cấu hình 2FA).

Bạn sẽ thấy một cửa sổ bật lên cho phép chọn các phương pháp xác thực hai lớp có sẵn mà bạn đã chọn trong trình hướng dẫn cài đặt.

Ví dụ, nếu bạn chọn phương pháp ứng dụng 2FA (ví dụ: Google Authenticator), bạn sẽ được yêu cầu cấu hình ứng dụng 2FA của mình bằng cách quét mã QR.

Plugin sẽ tự động thêm tên miền của trang và tài khoản người dùng của bạn vào ứng dụng hai lớp (nếu áp dụng).

Sau đó, plugin sẽ yêu cầu bạn nhập mã xác thực để xác nhận rằng bạn đã cấu hình đúng ứng dụng của mình.

Sau đó, plugin cũng sẽ nhắc bạn thiết lập một phương pháp dự phòng. Ví dụ, bạn có thể tải xuống một số mã dự phòng sử dụng một lần trong trường hợp không thể tạo mã từ ứng dụng.

Bạn có thể gửi các mã qua email, in chúng ra, hoặc sao chép chúng vào bảng tạm.

Và xong! Tài khoản quản trị WordPress của bạn giờ đã được bảo vệ bằng xác thực hai lớp.

Quá trình thiết lập sẽ tương tự đối với các người dùng khác trên trang của bạn – tôi sẽ chỉ cho bạn ví dụ sau.

3. Cấu hình thêm chính sách 2FA của bạn

Mặc dù trình hướng dẫn WP 2FA cho phép bạn thiết lập các chính sách cơ bản về xác thực hai lớp cho WordPress, khu vực cài đặt đầy đủ của plugin cung cấp cho bạn nhiều quyền kiểm soát hơn.

Để truy cập các cài đặt này, vào WP 2FA → 2FA Policies.

Tại đây, bạn có thể cấu hình các chính sách áp dụng cho toàn trang. Hoặc, bạn cũng có thể thiết lập các chính sách hoàn toàn khác nhau dựa trên các vai trò người dùng khác nhau, mà bạn có thể chọn bằng cách sử dụng menu thả xuống.

Dưới đây là một số cài đặt mới mà bạn nhận được, không phải là một phần của trình hướng dẫn cài đặt:

• Liên kết xác thực qua email – chọn thời gian hợp lệ và email mà người dùng có thể sử dụng.
• Nhớ thiết bị này – chọn có cho phép người dùng nhớ thiết bị hay không. Nếu được bật, họ sẽ không cần sử dụng xác thực hai lớp cho thiết bị đó sau lần đăng nhập đầu tiên. Bạn cũng có thể chọn thời gian nhớ thiết bị trước khi người dùng cần xác thực lại.
• Chuyển hướng sau khi thiết lập – bạn có thể chuyển hướng người dùng đến một URL nhất định sau khi họ thiết lập hai lớp.
• Trang 2FA giao diện người dùng – nếu không muốn người dùng sử dụng bảng điều khiển backend, bạn cũng có thể thiết lập một trang frontend để họ quản lý cài đặt hai lớp.

Một lần nữa, bạn có thể thiết lập một mặc định cho toàn trang nhưng sau đó cũng điều chỉnh các cài đặt này cho các vai trò người dùng khác nhau.

4. Khám phá tất cả các cài đặt của WP 2FA

Nếu muốn cấu hình plugin thêm, WP 2FA cũng cung cấp một khu vực cài đặt riêng biệt. Bạn không cần thay đổi gì ở đây, nhưng nó có một số tùy chọn hữu ích:

• Emails & Templates – tùy chỉnh các email hai lớp mà plugin gửi.
• Gắn nhãn trắng – gắn nhãn trắng tất cả các giao diện của plugin để phù hợp với trang của bạn. Bạn có thể tùy chỉnh logo, màu sắc và văn bản.
• Tích hợp – bạn có thể thiết lập tích hợp với các dịch vụ khác, bao gồm – Authy (thông báo đẩy cho hai lớp), Twilio (tin nhắn văn bản cho hai lớp), và WooCommerce.

Ví dụ, khi tùy chỉnh email, bạn sẽ có trình chỉnh sửa văn bản và một loạt thẻ trộn để cho phép bạn chèn thông tin động.

Đối với gắn nhãn trắng, bạn có thể sử dụng menu thả xuống để tùy chỉnh tất cả các khu vực khác nhau của plugin.

Và đó là tất cả cho việc cấu hình plugin!

Cách người dùng khác trên trang của bạn sẽ thiết lập xác thực hai lớp

Tôi đã chỉ cho bạn cách thiết lập xác thực hai lớp cho tài khoản của mình, nhưng còn người dùng khác thì sao?

Cách người dùng khác thiết lập hai lớp sẽ phụ thuộc vào hai biến số:

• Thời gian ân hạn – nếu bạn yêu cầu người dùng thiết lập hai lớp ngay lập tức, họ sẽ được nhắc thực hiện ngay sau khi đăng nhập lần đầu tiên. Nếu bạn cho họ thời gian ân hạn vài ngày, họ có thể chờ.
• Giao diện frontend – giao diện backend hoạt động tương tự như những gì tôi đã chỉ cho bạn ở trên. Nhưng nếu bạn bật giao diện frontend, nó sẽ trông hơi khác.

Dưới đây là một số ví dụ…

Nếu bạn không cung cấp thời gian ân hạn, người dùng sẽ tự động được chuyển đến trang hồ sơ của họ với cửa sổ bật lên cài đặt hai lớp mở sẵn (giống như giao diện mà bạn đã sử dụng để cấu hình cho tài khoản của mình).

Người dùng sẽ không thể truy cập bất kỳ phần nào của bảng điều khiển cho đến khi hoàn thành thiết lập.

Nếu bạn bật trang cài đặt hai lớp trên giao diện người dùng, bạn có thể thêm trang này ở bất kỳ đâu trên trang của bạn bằng cách sử dụng mã shortcode [wp-2fa-setup-form].

Nhấp vào nút đó sẽ mở lời nhắc cài đặt tương tự như trước – chỉ khác là mọi thứ đều diễn ra trên giao diện của trang.

Một lần nữa, bạn có thể gắn nhãn trắng tất cả văn bản này để tích hợp thêm vào trang của bạn.

Ví dụ, tại đây bạn có thể thấy rằng tôi đã tùy chỉnh văn bản của cửa sổ bật lên cho WPKube.

Khi người dùng thiết lập phương pháp hai lớp, họ sẽ thấy một số tùy chọn bổ sung để thay đổi cài đặt của mình hoặc tạo mã dự phòng.

Báo cáo xác thực hai lớp WordPress

Để giúp bạn xem những gì đang diễn ra trên trang của mình, plugin cũng bao gồm một công cụ báo cáo để nhanh chóng đánh giá mức độ sử dụng hai lớp.

Bạn có thể truy cập vào WP 2FA → Reports.

Đánh giá WP 2FA: Ưu và nhược điểm của việc sử dụng plugin này

Để tổng kết những gì chúng tôi đã thảo luận trong bài đánh giá WP 2FA, hãy xem qua một số ưu và nhược điểm của việc sử dụng plugin này.

Ưu điểm của WP 2FA

• Hỗ trợ các phương pháp phổ biến nhất – WP 2FA hỗ trợ hầu hết các phương pháp phổ biến mà mọi người sử dụng, bao gồm ứng dụng xác thực TOTP/HOTP, email, tin nhắn văn bản, thông báo đẩy và mã dự phòng.
• Chính sách hai lớp có tính cấu hình cao – bạn có rất nhiều sự linh hoạt trong việc kiểm soát các yêu cầu hai lớp trên trang của mình. Ví dụ: thiết lập các quy tắc khác nhau cho các vai trò WordPress khác nhau và cho người dùng thời gian ân hạn để thiết lập xác thực hai lớp.
• Gắn nhãn trắng hoàn toàn – bạn có thể gắn nhãn trắng từng phần của giao diện, bao gồm văn bản, email, màu sắc, logo và nhiều hơn nữa.
• Bảng điều khiển frontend – bạn có thể cho phép người dùng quản lý phương pháp hai lớp của mình từ frontend của trang (bên cạnh bảng điều khiển WordPress).
• Thiết kế trau chuốt – WP 2FA có thiết kế rất trau chuốt và chuyên nghiệp, điều này không phải lúc nào cũng có trong một số plugin xác thực hai lớp cho WordPress khác.
• Tích hợp – WP 2FA tích hợp với WooCommerce và nhiều plugin thành viên.

Nhược điểm của WP 2FA

• Không hỗ trợ FIDO U2F – WP 2FA hiện không hỗ trợ FIDO U2F làm phương pháp hai lớp, điều này có nghĩa là bạn không thể sử dụng các phương pháp phần cứng như Yubikey hoặc Google Titan.
• Mô hình tính giá theo người dùng có thể đắt cho số lượng lớn người dùng – nếu bạn có hơn 100 người dùng, mô hình tính phí của WP 2FA dựa trên số lượng người dùng kích hoạt 2FA có thể đắt hơn so với các giải pháp khác. Tuy nhiên, ưu điểm là WP 2FA có thể rẻ hơn các giải pháp khác nếu bạn chỉ có một số lượng nhỏ người dùng.

Tóm lại, WP 2FA là một giải pháp mạnh mẽ, linh hoạt và dễ sử dụng để bảo vệ trang WordPress của bạn bằng xác thực hai lớp. Với các tùy chọn xác thực đa dạng, khả năng gắn nhãn trắng và tích hợp tốt với các plugin phổ biến như WooCommerce, WP 2FA không chỉ giúp tăng cường bảo mật mà còn mang đến trải nghiệm người dùng mượt mà và chuyên nghiệp.