Kể từ khi máy tính cá nhân ra đời, mật khẩu là yêu cầu bảo mật cơ bản cho hầu hết mọi thứ, từ email cá nhân đến tài khoản ngân hàng của công ty. Tuy nhiên, ngày nay, tội phạm mạng có một kho công cụ đa năng có thể thực hiện các cuộc tấn công brute-force và đánh bại phần lớn mật khẩu. Đây là lý do tại sao mật khẩu được tăng cường bởi các tính năng bảo mật bổ sung giúp tăng cường quá trình đăng nhập của người dùng. Một tính năng quan trọng trong danh sách này là xác thực hai yếu tố của WordPress
Xác thực hai yếu tố là gì?
Không giống như mật khẩu, xác thực hai yếu tố [2FA] là quy trình gồm hai bước, yêu cầu hai hoặc ba bằng chứng nhận dạng trước khi cấp quyền truy cập. Việc triển khai xác thực hai yếu tố sử dụng thứ bạn biết [mật khẩu] và thứ bạn có/sở hữu [chẳng hạn như điện thoại thông minh, tài khoản e-mail hoặc khóa phần cứng, v.v. ]
An ninh mệt mỏi. Cảm thấy choáng ngợp?
Hãy thử Cloudways để tăng cường bảo mật cho trang web WordPress của bạn
WordPress cung cấp xác thực hai yếu tố thông qua plugin. Các plugin này yêu cầu các yếu tố nhận dạng bổ sung bao gồm
- Mật khẩu duy nhất [OTP] được gửi qua SMS/e-mail
- Một cuộc điện thoại
- Mã QR
- Trình xác thực
- Thông báo đẩy
- Trình tạo khóa dựa trên phần cứng như YubiKey, SolidPass, v.v.
Dưới đây là các plugin WordPress hàng đầu triển khai và quản lý 2FA trên trang web của bạn
1. Lá chắn bảo mật WordPress
Shield WordPress Security [trước đây là Simple Firewall] cung cấp hai cách xác thực kết nối hai yếu tố, bằng e-mail và bằng YubiKey. Xác thực e-mail của nó cung cấp hai phương thức [địa chỉ IP và cookie] cho phép người dùng chọn phương thức ưa thích của họ
Ví dụ: kiểm tra dựa trên IP có thể được chọn nếu địa chỉ IP không thay đổi thường xuyên và bạn muốn tạo nhiều phiên đăng nhập WordPress từ một vị trí mạng hoặc với nhiều trình duyệt trên cùng một máy tính
Ưu điểm của plugin này là xác thực hai yếu tố bằng OTP được gửi qua e-mail và YubiKey, địa chỉ IP và cookie. Tuy nhiên, plugin này không hỗ trợ xác thực qua Google Authenticator, SMS, cuộc gọi điện thoại, thông báo đẩy hoặc mã QR
2. Google Authenticator – Xác thực hai yếu tố [2FA]
Google Authenticator – Xác thực hai yếu tố [2FA] là plugin xác thực hai yếu tố tiên tiến nhất của WordPress. Nó thực hiện các bước chủ động chống lại các mối đe dọa tiềm ẩn và cung cấp nhiều giải pháp dự phòng để giúp người dùng trong các cuộc tấn công nghiêm trọng
Với plugin này, quản trị viên và người dùng có thể kích hoạt dịch vụ kết nối hai yếu tố, định cấu hình tùy chọn kết nối của riêng họ và có thể kết nối với trang web WordPress bằng tên người dùng + mật khẩu + xác thực hai yếu tố hoặc tên người dùng + xác thực hai yếu tố
Ưu điểm của plugin này là xác thực hai yếu tố qua SMS, OTP được gửi qua e-mail, khóa phần mềm, mã QR, thông báo đẩy, mã ngắn cho các trang đăng nhập tùy chỉnh và nhận dạng thiết bị để tránh các lần thử lặp lại. Tuy nhiên, plugin này không hỗ trợ WordPress multisite, xác thực qua cuộc gọi điện thoại và YubiKey
3. Xác thực hai yếu tố kép
Để sử dụng Xác thực hai yếu tố Duo, chỉ cần cài đặt plugin và đăng ký dịch vụ để bạn có thể bắt đầu đăng nhập mà không cần mật khẩu. Ý tưởng là tạo một thông tin đăng nhập 2FA đơn giản trên trang web của bạn, dễ sử dụng và đủ mạnh để đánh bại những kẻ tấn công
Xác thực hai yếu tố Duo cung cấp cho bạn toàn quyền kiểm soát những người dùng có thể sử dụng 2FA. Nó hỗ trợ nhiều phương thức xác thực người dùng, chẳng hạn như ID một chạm, mật khẩu duy nhất do ứng dụng tạo, mật khẩu duy nhất [OTP] được gửi qua SMS, cuộc gọi điện thoại hoặc khóa phần cứng như YubiKey, SolidPass, v.v.
Ưu điểm của plugin này là nhiều tùy chọn 2FA bao gồm phím cứng, SMS và cuộc gọi điện thoại. Tuy nhiên, plugin này không hỗ trợ WordPress multisite, xác thực qua Google Authenticator, mã QR, mã ngắn để dễ dàng tích hợp các tính năng xác thực hai yếu tố vào một trang/widget
4. Xác thực hai yếu tố
Plugin Xác thực hai yếu tố cho phép bạn bật 2FA dựa trên vai trò của người dùng. Nó có thể được bật hoặc tắt cho người dùng cá nhân và chỉ hiển thị xác thực hai yếu tố trên trang đăng nhập cho người dùng được ủy quyền. Nó cũng cho phép chỉnh sửa các tham số giao diện người dùng thông qua một mã ngắn và giúp bạn hiển thị các tham số mà không cho phép người dùng truy cập vào bảng điều khiển
Plugin Xác thực hai yếu tố hỗ trợ biểu mẫu đăng nhập WooC Commerce và plugin Chủ đề Đăng nhập của tôi cho phép bạn tùy chỉnh các trang đăng nhập với xác thực hai yếu tố cho người dùng
Phiên bản cao cấp cung cấp nhiều tính năng hơn như bố cục tùy chỉnh, mã dự phòng khẩn cấp, kiểm soát quản trị tốt hơn, mã người dùng, v.v.
Plugin xác thực hai yếu tố sử dụng giao thức TOTP & HOTP và mã QR nên khá an toàn.
Ngoài ra, không giống như các plugin khác, nó hỗ trợ nhiều trang WordPress. Điều này có nghĩa là giờ đây bạn có thể chạy mạng nhiều trang WordPress mà không phải lo lắng về tham số bảo mật. Và tại Cloudways, chúng tôi cung cấp dịch vụ lưu trữ nhiều trang WordPress đáng tin cậy để tối ưu hóa mạng và nâng cao hiệu suất của bạn
Ngoài ra, plugin còn hỗ trợ Google Authenticator, Authy và nhiều hệ thống khác. Nhược điểm duy nhất là nó không cung cấp xác thực qua SMS, cuộc gọi điện thoại, OTP bằng e-mail, shortcode và YubiKey
5. Xác thực hai yếu tố Rublon
Xác thực hai yếu tố Rublon cho phép quá trình tải xuống và kích hoạt chỉ bằng một cú nhấp chuột, cho phép bạn nhanh chóng thiết lập bảo mật hai yếu tố trên blog hoặc trang web WordPress của mình. Nó miễn phí cho một người dùng
Xác thực hai yếu tố Rublon cung cấp e-mail và ứng dụng điện thoại thông minh của nó để kiểm tra những người dùng đang cố gắng kết nối. Không cần kiến thức đặc biệt để kết hợp hoặc sử dụng tính năng xác thực hai yếu tố
Hơn nữa, bạn không cần sao chép/dán mật khẩu duy nhất từ hộp thư đến của mình. Chỉ cần nhấp vào liên kết trong email để xác nhận rằng bạn là chủ tài khoản
Ưu điểm của plugin này là xác thực hai yếu tố qua e-mail hoặc ứng dụng di động và ngăn bạn xác minh danh tính của mình hai lần từ cùng một thiết bị. Tuy nhiên, plugin này không hỗ trợ xác thực qua Google Authenticator, SMS, cuộc gọi điện thoại, thông báo đẩy, mã ngắn hoặc mã thông báo phần cứng
Hơn nữa…
Như bạn có thể nhận thấy, tôi chỉ nói về các plugin chỉ có một tính năng, đó là xác thực hai yếu tố. Tuy nhiên, có một số plugin bảo mật toàn diện hơn, bao gồm 2FA. Trong số đó, Wordfence Security và iTheme Security Pro là plugin phổ biến nhất với hàng triệu lượt cài đặt đang hoạt động
6. An ninh hàng rào
Wordfence Security là một plugin bảo mật tích hợp nhiều tính năng [như tường lửa, chặn quốc gia và nhật ký] để bảo mật trang web WordPress của bạn và nội dung của nó. Nó cũng thực hiện kiểm tra thường xuyên để đảm bảo rằng trang web của bạn không bị ảnh hưởng bởi bất kỳ cuộc tấn công nào
Theo mô tả plugin, xác thực hai yếu tố cho WordPress được bao gồm và yêu cầu sử dụng điện thoại thông minh, điều này khác biệt với quy trình kết nối tiêu chuẩn. Tuy nhiên, xác thực hai yếu tố chỉ khả dụng cho phiên bản cao cấp
7. iTheme Security Pro
iThemes Security Pro [trước đây là Better WP Security], phiên bản trả phí của plugin iThemes Security, bao gồm hơn 30 tính năng bảo mật bổ sung bao gồm xác thực hai yếu tố hoạt động với Google Authenticator hoặc Authy. Bạn phải cài đặt ứng dụng này trên điện thoại của mình để định cấu hình ứng dụng với trang web của bạn
Bạn đăng nhập bằng tên người dùng và mật khẩu của mình và được nhắc nhập mã xác minh mà Google Authenticator tự động tạo. Mã này chỉ hoạt động cho một kết nối và thay đổi sau vài giây
Lời cuối
Cho dù bạn có một blog mà bạn quản lý một mình hay cộng tác với một nhóm các nhà văn và biên tập viên hoặc bạn xây dựng trang web cho khách hàng, plugin xác thực hai yếu tố cho WordPress sẽ giúp bạn bảo vệ trang web của mình tốt hơn
Từ danh sách trên, plugin yêu thích của tôi là Shield Security, vì hệ thống xác thực duy nhất của nó khiến nó trở thành hệ thống bảo mật hạng nhất. Nếu bạn có một mục yêu thích khác, hãy để lại nhận xét và cho người đọc biết lý do bạn thích plugin này