หากจะพูดถึง CMS ที่ได้รับความนิยมกันในปัจจุบันนี้ คงจะหนีไม่พ้น WordPress ซึ่งมี Plugin ลูกเล่นต่างๆ ให้มากมาย แต่การใช้งาน Free CMS เช่นนี้มักจะถูกแฮกเกอร์ทำการแฮกเข้ามาได้ ในวันนี้เราจะมาแนะนำหนึ่งในวิธีป้องกันการถูกแฮกด้วย Two-Factor Authentication
Two-factor authentication หรือ 2FA คือ กระบวนการในการยืนยันตนเอง 2 ขั้นตอนในการเข้าใช้งาน
- Username และ Password ของผู้ใช้งาน
- ระบบจะสุ่มรหัสขึ้นมา (รหัสจะหมดอายุหลังจากระยะเวลาที่กำหนด) ที่เรียกว่า One-Time Password (OTP)
ขั้นตอนการติดตั้ง
ขั้นตอนที่ 1 – ติดตั้งโปรแกรม One-Time Password (OTP) บน SmartPhone หรือ Tablet ในที่นี่เราขอแนะนำ application เป็นตัวเลือก 2 ตัวนี้
- Google Authenticator
สำหรับ Android: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
สำหรับ iOS: https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8
- FreeOTP Authenticator
สำหรับ Android: https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
สำหรับ iOS : https://itunes.apple.com/us/app/freeotp/id872559395
ขั้นตอนที่ 2 – ติดตั้ง Google Authenticator Plugin
- ทำการ Login เข้าหน้าจัดการของ WordPress
- จากหน้า Dashboard ไปที่ Plugins เลือก Add New
- ในช่อง Search Plugins หาคำว่า google authenticator
- เลือกติดตั้ง Plugin ชื่อ Google Authenticator by Henrik Schack
- เมื่อติดตั้งเสร็จสมบูรณ์ให้กด Activate Plugin
ขั้นตอนที่ 3 – ทำการ Activate ตัว Plugin
- จากหน้า Dashboard ไปที่ Users เลือก Your Profile
- ตั้งค่าในส่วนของ Google Authenticator Settings ดังนี้
- Active : ติ๊กเลือก สำหรับการ Activate ตัว Plugin
- Relaxed : เป็นการกำหนดระยะเวลาตั้งแต่ 10 วินาทีถึง 4 นาที สำหรับการป้อนรหัสผ่าน OTP ติ๊กเลือกเปิดใช้งานนี้ ถ้ามีปัญหาในการคัดลอก OTP ในเวลาที่กำหนด
- Description : ใส่ชื่อ Blogs (ค่านี้จะปรากฏใน Application บน SmartPhone หรือ Tablet)
- Show/Hide QR Code : คลิ๊กที่ปุ่มเพื่อแสดงรหัส QR code
- เชื่อมต่อกับ Application (ขอยกตัวอย่างเป็น Application ชื่อ Google Authenticator)
- เข้า Application แล้วกดเลือก Scan a barcode
-
- Application จะสุ่มรหัสขึ้นมา (รหัสจะหมดอายุหลังจากระยะเวลาที่กำหนด)
ขั้นตอนที่ 4 – ทดสอบ Login เข้าใช้งาน
Log out ออกจาก WordPress ก่อน แล้วทำการ Login ใหม่อีกครั้ง จะพบกล่องข้อมูลใส่ค่าเพิ่มขึ้นมา คือ Google Authenticator code
เปิด Application บน SmartPhone หรือ Tablet รหัสจะถูกสุ่มขึ้นมาเรื่อยๆ ตามระยะเวลาที่กำหนด
เปิดใช้งาน Two-Factor Authentication สำหรับ User อื่นๆ
แนะนำให้เปิดการใช้งาน Two-Factor Authentication สำหรับ User อื่นๆ ที่สามารถเข้าหน้าจัดการของ WordPress และตรวจสอบ User ว่าจะต้องมีการติดตั้งโปรแกรม One-Time Password (OTP) บน SmartPhone หรือ Tablet แล้ว ถึงทำการตั้งค่าได้ตามข้างต้น
วิธีปิดการใช้งาน Two-Factor Authentication
หากกรณีลบ Application ออกและได้ทำการ Log out จากหน้าจัดการของ WordPress แล้ว จึงทำให้ไม่สามารถกดรับ One-Time Password (OTP) ได้ สำหรับวิธีการแก้ไขสามารถดำเนินการได้ดังนี้
- ทำการ Login เข้าระบบ cPanel เลือกเมนู File Manage
- ไปที่ Path ที่ได้ติดตั้ง WordPress ไว้ ตัวอย่างเช่น /home/usename/public_html/wp-content/plugins
- เปลี่ยนชื่อโฟลเดอร์เป็นชื่ออื่น ตัวอย่างเช่น google-authenticator เป็น google-authenticator-old (การดำเนินการนี้จะยกเลิกการใช้งาน Plugin WordPress เพราะจะไม่สามารถที่จะหาไดเรกทอรีการทำงานของ Plugin ได้)
- ทำการ Login ใหม่อีกครั้ง จะไม่พบกล่องข้อมูลใส่ค่าเพิ่ม Google Authenticator code ขึ้นมาอีก
- เมื่อ Login เข้าหน้าจัดการ WordPress ได้แล้วให้ทำการเปลี่ยนชื่อโฟลเดอร์กลับเป็นชื่อเดิม ตัวอย่างเช่น google-authenticator-old เป็น google-authenticator
- ทำตามขั้นตอนที่ 2 และ 3 อีกครั้ง
ข้อสรุป
การเปิดการใช้งาน Two-Factor Authentication เป็นการรักษาความปลอดภัยสำหรับเว็บไซต์ WordPress ไม่ให้ถูกโจมตีเข้ามาขโมยข้อมูลได้ ถึงแม้ว่า Username และ PassWord หลุด แต่หากไม่มี One-Time Password (OTP) ก็จะไม่สามารถเข้าใช้งานได้นั้นเอง
