Tăng cường bảo mật website

Khi sử dụng chung hệ thống, sử dụng chung mã nguồn mở thì trang quản trị của website sẽ bị người khác “dòm ngó”. Đừng lo lắng! Hệ thống website tại TuTaoWeb.club cung cấp cho bạn một số công cụ mở rộng, giúp tăng tính bảo mật cho trang đăng nhập, cũng như tránh spam.

Bảo mật 2 lớp với bằng mật khẩu sử dụng 1 lần:

Hiện nay, phương thức bảo mật 2 lớp đang được áp dụng rộng rãi cho các tài khoản quan trọng như tài khoản Google, Facebook hay tài khoản ngân hàng. Và giờ bạn tăng cường bảo vệ cho trang đăng nhập với việc thiết lập bảo mật 2 lớp cho tài khoản đăng nhập thì dù bạn có bị lộ mật khẩu hay hacker có dò được mật khẩu thì cũng khó có thể đăng nhập được vì còn cần phải có điện thoại di động để vượt qua 1 lớp bảo mật nữa.

Mặc định, tính năng này sẽ được tắt đi, để sừ dụng tính năng này, bạn vào mục “Gói mở rộng” -> click vào “Kích hoạt” bên dưới tính năng “Google Authenticator” để kích hoạt.

  • Sau khi kích hoạt xong bạn truy cập menu Thành viên -> Hồ sơ của bạn và kéo xuống phần Google Authenticator Settings sẽ thấy như sau:

  • Ở đây bạn sẽ có các mục cài đặt như sau:
    • Active: Tích vào để kích hoạt bảo mật 2 lớp với plugin Google Authenticator
    • Relaxed mode: Tích vào để thay đổi thời gian mã có hiệu lực. Phần này theo mình nên bỏ trống
    • Description: Nhập vào mô tả để bạn biết mã nào dành cho web của bạn trên ứng dụng Google Authenticator trên điện thoại.
    • Secret: Bạn có thể lấy mã secret để nhập thủ công trên ứng dụng hoặc click vào Show/Hide QR code để hiện mã QR code để quét bằng camera cho nhanh.
    • Enable App password: Kích hoạt mật khẩu cho ứng dụng. Ở đây mình bỏ qua còn bạn có thể tự tìm hiểu thêm.

Cách sử dụng Google Authenticator để lấy mã trên điện thoại:

Trước tiên bạn cần cài đặt ứng dụng Google Authenticator trên điện thoại theo link sau:

Sau khi cài ứng dụng, bạn mở ứng dụng lên, lần đầu tiên nó sẽ yêu cầu bạn thiết lập thông tin. Bạn click vào Bắt đầu thiết lập để thiết lập bảo mật 2 lớp cho trang web. Bạn sẽ có 2 lựa chọn là quét mã QR code hoặc là nhập thủ công

Nếu bạn nhập đúng thông tin thì ứng dụng sẽ tự tạo ra mã bảo mật cho bạn như sau:

Bây giờ để kiểm tra mã bảo mật 2 lớp đã hoạt động chưa? Bạn hãy đăng xuất tài khoản trên web. Bạn sẽ thấy khung đăng nhập mới sẽ có thêm mục mới là Google Authenticator code. Tại mục này bạn nhập vào mã bảo mật lấy trên ứng dụng Google Authenticator. Nhớ là mỗi mã chỉ có hiệu lực trong vòng 30s thôi nên hãy nhập nhanh.

Lưu ý: 

  • Không có smartphone thì có cài bảo mật 2 lớp như trên được không? Nếu bạn không có smartphone thì bạn truy cập web gauth.apps.gbraad.nl. Sau đó tạo mã bảo mật bằng cách nhập mã Secret bên trên vào là sẽ lấy được mã Google Authentication Code. Và bạn phải nhớ lưu mã secret đó để lần sau lại tạo mã bảo mật để đăng nhập. (Không khuyến kích sử dụng phương pháp này để tạo mã Google Authentication)
  • Smartphone hỏng hoặc không lấy mã Google Authentication Code được thì làm thế nào? 
    • Trường hợp này nếu bạn có lưu mã secret hoặc mã QR code thì bạn dùng smartphone khác để tạo mã hoặc dùng cách tạo mã trên trang web bên trên để lấy mã bảo mật.
    • Còn trường hợp bạn không có mã secret hay QR code, vui lòng gửi hỗ trợ cho chúng tôi qua form này. Chúng tôi sẽ hỗ trợ bạn tắt đi tính năng này bằng cách can thiệp sâu vào hệ thống.

Chống spam bằng Google Captcha

Website cho phép người dùng gửi bình luận, gửi dữ liệu hoặc đơn giản là gửi form liên hệ thì việc sử dụng Captcha là cần thiết. Hãy tưởng tượng nếu không có Captcha, người dùng có thể gửi liên hệ liên tục làm email nhận liên hệ của bạn quá tải hoặc người dùng cũng có thể gửi bình luận liên tục lên server (spam) làm database bị phình lên nhanh chóng, khi đó sẽ dẫn đến website của bạn bị hệ thống lock lại.

Captcha cho đăng nhập, đăng ký thành viên, bình luận:

Trước tiên, bạn vào liên kết sau để tạo Keys của ứng dụng Google reCAPTCHA: https://www.google.com/recaptcha/admin

Kéo xuống tới vùng “Register a new site” để đăng ký:

Sau khi đăng ký xong, bạn sẽ nhận được Site keySecret key:

Vào mục “Google Captcha” -> “Setting” và điền 2 key này vào -> click “Save Changes”

Captcha cho form liên hệ:

Vào “Gói mở rộng” -> Kích hoạt plugin “Really Simple CAPTCHA”.

Sau khi kích hoạt xong, bạn vào mục “Form liên hệ” -> “Tích hợp” -> click vào nút “Cấu hình key”

Nhập 2 key đã được tạo ở các bước trên vào -> “Lưu”

Trong mỗi form liên hệ tạo ra, bạn nhớ thêm vào trường “reCAPTCHA” vào nội dung form

Lời kết:

Trên đây là hai cách đơn giản để tăng cường bảo mật cho website. Hệ thống TuTaoWeb.club cũng được cài đặt sẵn plugin iThemes. Đây là một gói mở rộng bảo mật WordPress tốt nhất hiện nay. Ngoài ra, chúng tôi thường xuyên cập nhật mã nguồn, plugins, giao diện lên phiên bản mới nhất để vá các lỗi bảo mật. Do đó, bạn hãy yên tâm với website của mình nhé!

Chúc bạn thành công!