Chào mọi người!
Hôm nay mình vừa vô tình biết đến một plugin rất là hay phục vụ cho việc bảo mật WordPress thông qua cách bảo mật tài khoản của admin để tránh bị dòm ngó bởi các phần mềm gián điệp. Với cách này bạn có thể đăng nhập vào WordPress nhanh chóng mà không cần phải gõ trực tiếp tài khoản vào vì có thể nhiều phần mềm gián điệp có thể lưu lại thông tin mà bạn gõ vào. Cái mà mình muốn giới thiệu với mọi người đó là công nghệ quét màn hình thông minh có trên các smartphone sử dụng công cụ Clef mà bạn có thể dùng trên các điện thoại sử dụng Android hoặc iOS.
Mình đã thử nghiệm trên điện thoại như Sony Xperia Z, Sony Xperia L, Samsung Galaxy 4 thì nó hoạt động rất tốt trên Android. Còn iPhone 5 trên iOS cũng hoạt động rất tốt. Nhưng Android thì camera nó nhạy đến mức không ngờ.
Thực sự mình không rành lắm về điện thoại nên không biết diễn đạt thế nào cho phải. Nhưng cách hoạt động của Clef cũng tương tự như quét mã vạch. Tức là bạn thay vì phải nhập username và mật khẩu thì chỉ bật ứng dụng Clef ở điện thoại lên và rê mặt camera nó vào màn hình để nó quét dữ liệu, và bạn sẽ được tự động đăng nhập vào website luôn và ngay. Khi muốn logout ra, bạn có thể tự logout ngay trên điện thoại ở bất cứ nơi nào, miễn là có Internet.
Ưu điểm của Clef là nó quét khá thông minh, tức là dù camera điện thoại của bạn có cùi bắp đến đâu thì nó vẫn có thể nhận diện ngay lập tức, thậm chí không cần để camera sát vào màn hình mà chỉ lướt sơ cái thôi cũng được.
Ngoài sử dụng với WordPress, Clef còn có thể sử dụng ở rất nhiều website khác, bạn có thể xem thêm tại đây.
Lợi ích thứ nhất khi bạn dùng tính năng độc đáo này là bạn có thể tự động login trên tất cả các website WordPress của bạn nếu bạn dùng chung 1 email trùng với email của tài khoản Clef.
Mỗi lần bạn login, nó sẽ tự tạo cho bạn một key tên là RSA-key để sử dụng cho lần đăng nhập đó và nó chỉ mất khi bạn ấn Logout ở điện thoại. Nghĩa là sẽ không có bất cứ mật khẩu nào được lưu trên server của bạn và server của Clef nên bạn không thể bị hack hay giải mã vào. Bảo mật toàn diện chưa?
Lưu ý: Không hoạt động trên localhost.
Đầu tiên bạn cần tải ứng dụng Clef về máy điện thoại của bạn.
Sau đó bạn mở ứng dụng lên thì sẽ thấy màn hình Welcome như thế này.
Bạn cứ chuyển slide cho đến bước tạo account, bạn điền tên và email như thế này rồi ấn nút create account.
Lưu ý: Email bạn nhập vào phải trùng với email thành viên của bạn trong tài khoản WordPress ở website của bạn nhé.
Sau đó nó sẽ kêu bạn tạo mã Pin gồm 4 số. Bạn nhập mã Pin cần tạo vào và nhớ nó nhé vì bạn sẽ cần nhập Pin khi đăng nhập.
Sau khi tạo Pin xong, bạn mở mail ra và xác nhận đăng ký mà họ đã gửi cho bạn qua mail.
Sau đó quay lại điện thoại và ấn vào nút Confirmed.
Okay, bây giờ Clef của bạn đã sẵn sàng để sử dụng rồi. Nhưng để nó hoạt động thì ta cần phải cài nó vào WordPress nữa chứ nhỉ.
Quay trở lại WordPress, bạn cài thêm một plugin tên Clef. Sau khi cài xong và kích hoạt, bạn vào Settings -> Clef và thấy như sau:
Bạn ấn vào nút Confirm để nó tiến hành tạo App ID và Secret Key cho website bạn. Lúc này nó sẽ tự Log Out ra và bạn sẽ thấy màn hình đăng nhập xuất hiện thêm nút Login in your phone. Vậy là chúc mừng, site bạn đã cài Clef thành công.
Để đăng nhập, bạn ấn vào nút Login in your phone. Lúc này nó sẽ hiện lên cái hình nhảy lên nhảy xuống và hướng dẫn scan.
Bây giờ bạn mở ứng dụng Clef trên điện thoại và nhập PIN nếu có yêu cầu. Sau đó bạn rê màn hình điện thoại đến ngay vị trí hình nhảy lên nhảy xuống đó để nó quét (giữ tầm 2, 3 giây).
Nếu lần đầu tiên sử dụng, nó sẽ hiện lên bảng yêu cầu cấp quyền cho tài khoản Clef của bạn, bạn cứ nhấn Ok là xong. Còn bình thường thì nó sẽ tự đưa vào trang admin luôn.
Sau đó bạn có thể tắt app ở điện thoại đi mà không cần ấn Logout Now vì như thế nó sẽ bắt bạn login lại ngay. Bình thường khoảng 1 tiếng là nó sẽ bắt bạn login lại 1 lần nếu bạn vào đăng nhập (bạn có thể tăng thời gian này lên). Trường hợp nếu bạn không ấn Logout ở điện thoại thì khi bạn logout trên WordPress, thì bạn có thể đăng nhập lại với tính năng này mà không cần quét lại mã.
Nếu bạn còn lăn tăn về tính bảo mật vì bạn vẫn có thể login với tài khoản như thông thường thì bạn vào Settings -> Clef và đánh dấu vào Disable password login for Clef users. Như vậy, dù hacker có cố tính scan mật khẩu đến 10 năm sau thì cũng không login vào được trang admin. Nhưng chống chỉ định dùng trên các website có nhiều thành viên đăng nhập nhé vì không phải ai cũng dùng Android hay iOS .
Ngoài Clef ra thì còn có một công nghệ khác tương tự tên là LaunchKey, bạn có thể dùng thử.
Hy vọng với công nghệ này, bạn sẽ càng yên tâm hơn với tính bảo mật của website mình. Hiện blog mình có nhiều author nên không dùng tính năng này được. Nhưng mình đã liên hệ với họ và kêu thêm tính năng chọn nhóm thành viên cần sử dụng nữa là ngon, lúc đó chỉ cần bắt Admin mới dùng thôi là được.
Chúc bạn làm thành công!
Tham khảo thêm: Các cách bảo mật WordPress toàn diện.