Thứ hai, 16/03/2015 | 00:00 GMT+7

Cách bảo vệ thông tin đăng nhập tài khoản WordPress của bạn với xác thực hai yếu tố trên Ubuntu 14.04

Bảo mật là một trong những khía cạnh quan trọng nhất của việc chạy một trang WordPress. Nhiều người trong ta thường nghĩ rằng tin tặc sẽ không làm phiền các trang web của ta , nhưng trên thực tế, các nỗ lực đăng nhập trái phép là một phần phổ biến của việc chạy một server trên Internet công cộng.

Trong hướng dẫn này, ta sẽ tìm hiểu cách thêm một lớp bảo mật bổ sung vào quá trình đăng nhập trong WordPress: xác thực hai yếu tố . Đây là một trong những bước phát triển quan trọng nhất trong lĩnh vực an ninh mạng.

Xác thực hai yếu tố hoặc “2FA” kết hợp hai bước khi đăng nhập vào một trang web hoặc hệ thống:

  1. Tên user và password của bạn
  2. Một mã được tạo ngẫu nhiên, phụ thuộc vào thời gian (nghĩa là mã hết hạn sau một khoảng thời gian cố định) được gọi là mật khẩu dùng một lần (OTP)

Có nhiều cách khác nhau để bạn có thể truy cập OTP:

  • tin nhắn
  • Gọi điện
  • E-mail
  • Offline , thông qua ứng dụng di động

Trong khi các hệ thống rủi ro cao như ngân hàng và account giao dịch sử dụng gửi SMS cho các giao dịch nhạy cảm, ta sẽ sử dụng chế độ tạo OTP offline . Sử dụng ứng dụng di động là miễn phí và đạt được sự cân bằng tối ưu giữa tính khả dụng cao, chi phí triển khai và tính dễ sử dụng.

Bàn thắng

Sau khi cài đặt và kích hoạt xác thực hai yếu tố, WordPress sẽ có quy trình đăng nhập an toàn hơn.

Ngoài việc nhập tên user và password của bạn để đăng nhập, bạn cũng cần nhập password được tạo bởi ứng dụng di động. Điều này nghĩa là ngay cả khi thông tin đăng nhập WordPress của bạn bị xâm phạm, tin tặc sẽ không thể đăng nhập vào WordPress mà không có điện thoại của bạn.

Ở phần cuối của hướng dẫn, ta cũng sẽ xem xét kỹ thuật khôi phục chống lỗi trong trường hợp bạn bị mất điện thoại. Hãy bắt đầu nào!

Yêu cầu

Ta yêu cầu cài đặt chức năng của WordPress trên DigitalOcean Server. Mặc dù bạn có thể điều chỉnh hướng dẫn này cho các cài đặt WordPess hiện có, nhưng nó đã được kiểm tra cụ thể với:

Hình ảnh 1 cú nhấp chuột trên WordPress của DigitalOcean là một tùy chọn khác như một nơi để bắt đầu.

  • Bạn cũng cần quyền truy cập vào thiết bị di động chạy iOS hoặc Android, nơi bạn có thể cài đặt ứng dụng di động FreeOTP

Bước 1 - Cài đặt Trình cắm Google Authenticator

Trong bước này, ta sẽ cài đặt plugin Google Authenticator cho trang WordPress của ta .

Cài đặt và kích hoạt Plugin Google Authenticator dành cho WordPress

Cách dễ nhất để cài đặt plugin là thông qua console WordPress. Đăng nhập vào console WordPress của bạn ngay bây giờ.

Làm theo các bước được đề cập bên dưới để cài đặt suôn sẻ:

  • Từ trang tổng quan, chuyển đến Plugins> Add New
  • Trong trường Tìm kiếm , nhập trình google authenticator
  • Thao tác này sẽ tải một vài plugin phù hợp với tên truy vấn
  • Cài đặt plugin có tên Google Authenticator của Henrik Schack
  • Sau khi cài đặt xong, hãy chọn liên kết Kích hoạt Plugin

Lưu ý: Nếu đây là lần đầu tiên bạn cài đặt plugin cho version WordPress này, bạn có thể phải nhập thông tin đăng nhập SSH của bạn . Nhập tên user và password user sudo Linux của bạn (hoặc để bảo mật hơn, hãy tải lên public key ) và chọn tùy chọn SSH2 .

(Tùy chọn) Cài đặt Plugin theo cách thủ công

Ngoài ra, bạn cũng có thể download plugin theo cách thủ công và kích hoạt nó. Ta mô tả các bước đó dưới đây.

Đăng nhập vào DigitalOcean Server và chuyển đến folder plugins của bạn:

cd /var/www/html/wp-content/plugins/ 

Lưu ý: Trong hướng dẫn này, ta đang theo dõi cài đặt từ hướng dẫn này , cài đặt WordPress trong folder /var/www/html/ . Nếu bạn đang sử dụng một cài đặt khác, hãy đảm bảo nhập đúng folder nơi WordPress được cài đặt.

Tiếp theo, ta download plugin từ repository WordPress:

wget https://downloads.wordpress.org/plugin/google-authenticator.0.47.zip 

Lưu ý: Tại thời điểm viết bài, version mới nhất của plugin Google Authenticator là version 0.47. Hãy đảm bảo bạn cài đặt phiên bản mới nhất .

Bước 2 - Download ứng dụng FreeOTP

Trong bước này, ta sẽ download và cài đặt ứng dụng FreeOTP trên thiết bị di động của bạn .

FreeOTP là một ứng dụng open-souce hỗ trợ xác thực hai yếu tố cho các hệ thống có giao thức password một lần. Nói cách khác, nó là một giải pháp thay thế cho Google Authenticator. Ta sẽ sử dụng ứng dụng này để tạo password dùng một lần để đăng nhập vào trang WordPress của ta .

Ứng dụng FreeOTP trong Cửa hàng Google Play

FreeOTP được tài trợ bởi RedHat và có ứng dụng cho Android và iOS. Đây là các liên kết để tải ứng dụng và dự án chính thức của nó.

Bước 3 - Kích hoạt Plugin Authenticator cho Hồ sơ của bạn

Trong bước này, ta sẽ kích hoạt plugin WordPress cho profile WordPress administrator và cấu hình nó hoạt động với ứng dụng FreeOTP của ta .

Trong console WordPress, hãy chuyển đến trang Hồ sơ của bạn được tìm thấy trong User > Hồ sơ của bạn . Tìm phần phụ có tên Cài đặt Google Authenticator .

Cấu hình plugin Google Authenticator

Hãy xem xét các tùy chọn cấu hình khác nhau của plugin:

  • Hoạt động: Chọn hộp này để kích hoạt plugin
  • Thư giãn: Điều này làm tăng giới hạn thời gian từ 10 giây lên 4 phút để nhập OTP. Bật tính năng này nếu bạn gặp sự cố khi sao chép OTP trong thời gian quy định
  • Mô tả: Nhập tên (tốt nhất là tên blog của bạn). Giá trị này sẽ được hiển thị trong ứng dụng FreeOTP trên thiết bị di động của bạn
  • Hiển thị / Ẩn Mã QR: Nhấp vào nút này để hiển thị mã QR

quét mã qr trong ứng dụng freeotp

Kết nối ứng dụng FreeOTP

Chạy ứng dụng FreeOTP trên điện thoại hoặc máy tính bảng của bạn.

Nhấp vào biểu tượng mã QR nhỏ trong ứng dụng. Giữ điện thoại của bạn để quét mã QR từ WordPress hiện sẽ hiển thị trên màn hình máy tính của bạn.

Bạn sẽ thấy ngay một mục trong FreeOTP được chỉ định là WordPress với văn bản bạn đã nhập trong Mô tả bên dưới nó. Điều này nghĩa là ta đã liên kết thành công trang web WordPress của bạn với ứng dụng FreeOTP.

Lưu các thay đổi: Cuối cùng, ta phải lưu các thay đổi mà ta đã thực hiện cho đến nay. Trong WordPress, cuộn xuống cuối trang và nhấp vào nút Cập nhật profile .

Bước 4 - Đăng nhập thử nghiệm

Trong bước này, ta sẽ xác minh xác thực hai yếu tố đã được bật.

Đăng xuất khỏi trang web WordPress của bạn và thử đăng nhập lại. Bạn sẽ được chào đón bằng cùng một màn hình đăng nhập, cùng với hộp nhập mã Google Authenticator .

Biểu mẫu đăng nhập WordPress được kích hoạt 2fa

Chạy ứng dụng FreeOTP trên thiết bị di động của bạn. Nhấp vào nút WordPress để tạo password một lần mới.

Nhập giá trị đó vào hộp nhập liệu. Bạn có thể đăng nhập vào WordPress.

Cài đặt xác thực hai yếu tố cho user khác

Bạn có thể (và nên) cài đặt xác thực hai yếu tố cho những user khác có quyền truy cập vào cài đặt WordPress của bạn. Đảm bảo rằng chúng tiện dụng với FreeOTP được cài đặt trên thiết bị di động của riêng chúng khi bạn cài đặt !

Khôi phục account

Nếu bạn bị mất điện thoại, thì bạn sẽ bị khóa khỏi trang web WordPress của bạn .Đó là một nhược điểm lớn của việc triển khai xác thực hai yếu tố. Rất may, ta có một cách khắc phục rất đơn giản cho tình huống như vậy.

Tất cả những gì bạn phải làm là vô hiệu hóa plugin Google Authenticator .

Chạy shell DigitalOcean Server và chuyển đến folder plugins .

cd /var/www/html/wp-content/plugins/ 

Đổi tên folder google-authenticator thành một folder khác.

mv 'google-authenticator' 'deactivate-plug-google-authenticator' 

Thao tác này sẽ hủy kích hoạt plugin vì WordPress sẽ không thể tìm thấy folder làm việc của plugin.

Tiếp theo, đăng nhập vào account WordPress của bạn như bình thường. Lần này, nó sẽ không yêu cầu thêm mã thông báo, chỉ cần password thông thường của bạn.

Sau khi bạn có quyền truy cập vào console administrator WordPress và đã khôi phục thiết bị cũ của bạn hoặc có được thiết bị mới có cài đặt FreeOTP, bạn cần phải kích hoạt quyền lợi của plugin. Từ shell của Server, hãy sử dụng lệnh sau:

mv 'deactivate-plug-google-authenticator' 'google-authenticator'

Nếu bạn đang sử dụng thiết bị cũ của bạn , đó sẽ là tất cả những gì bạn cần. Bạn có thể thực hiện lại Bước 4 để kiểm tra quá trình đăng nhập. Hoặc bạn có thể cần phải chuyển đến Control panel WP> Plugin> Plugin đã cài đặt và chạy lại plugin Google Authenticator.

Đi tới profile user của bạn, trong User > Hồ sơ của bạn và tìm phần phụ Cài đặt Google Authenticator .

Nếu bạn đang sử dụng thiết bị mới lần này, hãy nhấp vào Tạo bí mật mới . Mã QR mới được tạo và mã cũ bị vô hiệu hóa. Quét mã QR mới trên thiết bị mới của bạn. Đây cũng là điều ta đã làm khi kích hoạt xác thực hai yếu tố và kết nối ứng dụng FreeOTP như minh họa trong Bước 3 .

Ngoài ra, bạn có thể tắt xác thực hai yếu tố cho đến khi tìm thấy thiết bị của bạn . Sau khi bạn đã chọn tùy chọn thích hợp, hãy đảm bảo lưu các thay đổi bằng cách nhấp vào nút Cập nhật Hồ sơ .

Kết luận

Tích hợp xác thực hai yếu tố là một bước tuyệt vời để cải thiện bảo mật cho trang web WordPress của bạn. Như vậy, ngay cả khi kẻ tấn công lấy được thông tin đăng nhập account của bạn, chúng sẽ không thể đăng nhập vào account của bạn nếu không có mã OTP! Và kỹ thuật khôi phục sau thảm họa rất hữu ích khi bạn không thể tìm thấy điện thoại của bạn .

Administrator WordPress nên thực hiện các bước bảo mật nào khác? Chia sẻ suy nghĩ của bạn trong phần comment bên dưới!


Tags:

Các tin liên quan

Cách cài đặt Ruby on Rails với rbenv trên Ubuntu 14.04
2015-03-13
Cách thiết lập Gog trên Ubuntu 14.04
2015-03-11
Cách thiết lập hệ thống quản lý cấu hình Chef 12 trên server Ubuntu 14.04
2015-03-03
Cách cài đặt Nagios 4 và theo dõi server của bạn trên Ubuntu 14.04
2015-03-02
Cách cài đặt và cấu hình Sphinx trên Ubuntu 14.04
2015-02-18
Cách cài đặt MediaWiki trên Ubuntu 14.04
2015-02-06
Cách cài đặt phpBB trên Ubuntu 14.04
2015-02-04
Cách sử dụng puppet để quản lý chủ đề và plugin WordPress trên Ubuntu 14.04
2015-02-02
Giám sát LEMP với Monit trên Ubuntu 14.04
2015-01-26
Cách đồng bộ hóa lịch và danh bạ bằng chuẩn CardDAV và CalDAV với Baïkal trên Ubuntu 14.04
2015-01-23