หากจะพูดถึง CMS ที่ได้รับความนิยมกันในปัจจุบันนี้ คงจะหนีไม่พ้น WordPress ซึ่งมี Plugin ลูกเล่นต่างๆ ให้มากมาย แต่การใช้งาน Free CMS เช่นนี้มักจะถูกแฮกเกอร์ทำการแฮกเข้ามาได้ ในวันนี้เราจะมาแนะนำหนึ่งในวิธีป้องกันการถูกแฮกด้วย Two-Factor Authentication

Two-factor authentication หรือ 2FA คือ กระบวนการในการยืนยันตนเอง 2 ขั้นตอนในการเข้าใช้งาน

  1. Username และ Password ของผู้ใช้งาน
  2. ระบบจะสุ่มรหัสขึ้นมา (รหัสจะหมดอายุหลังจากระยะเวลาที่กำหนด) ที่เรียกว่า One-Time Password (OTP)

ขั้นตอนการติดตั้ง

ขั้นตอนที่ 1 – ติดตั้งโปรแกรม One-Time Password (OTP) บน SmartPhone หรือ Tablet ในที่นี่เราขอแนะนำ application เป็นตัวเลือก 2 ตัวนี้

  • Google Authenticator 

สำหรับ Android: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

สำหรับ iOS: https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8

  • FreeOTP Authenticator

สำหรับ Android: https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp

สำหรับ iOS : https://itunes.apple.com/us/app/freeotp/id872559395

ขั้นตอนที่ 2 – ติดตั้ง Google Authenticator Plugin

  • ทำการ Login เข้าหน้าจัดการของ WordPress
  • จากหน้า Dashboard ไปที่ Plugins เลือก Add New
  • ในช่อง Search Plugins หาคำว่า google authenticator
  • เลือกติดตั้ง Plugin ชื่อ Google Authenticator by Henrik Schack

  • เมื่อติดตั้งเสร็จสมบูรณ์ให้กด Activate Plugin

ขั้นตอนที่ 3 – ทำการ Activate ตัว Plugin

  • จากหน้า Dashboard ไปที่ Users เลือก Your Profile
  • ตั้งค่าในส่วนของ Google Authenticator Settings ดังนี้
    • Active : ติ๊กเลือก สำหรับการ Activate ตัว Plugin
    • Relaxed : เป็นการกำหนดระยะเวลาตั้งแต่ 10 วินาทีถึง 4 นาที สำหรับการป้อนรหัสผ่าน OTP ติ๊กเลือกเปิดใช้งานนี้ ถ้ามีปัญหาในการคัดลอก OTP ในเวลาที่กำหนด
    • Description : ใส่ชื่อ Blogs (ค่านี้จะปรากฏใน Application บน SmartPhone หรือ Tablet)
    • Show/Hide QR Code : คลิ๊กที่ปุ่มเพื่อแสดงรหัส QR code

  • เชื่อมต่อกับ Application (ขอยกตัวอย่างเป็น Application ชื่อ Google Authenticator)
    • เข้า Application แล้วกดเลือก Scan a barcode

    • Application จะสุ่มรหัสขึ้นมา (รหัสจะหมดอายุหลังจากระยะเวลาที่กำหนด)

ขั้นตอนที่ 4 – ทดสอบ Login เข้าใช้งาน

Log out ออกจาก WordPress ก่อน แล้วทำการ Login ใหม่อีกครั้ง จะพบกล่องข้อมูลใส่ค่าเพิ่มขึ้นมา คือ Google Authenticator code

เปิด Application บน SmartPhone หรือ Tablet รหัสจะถูกสุ่มขึ้นมาเรื่อยๆ ตามระยะเวลาที่กำหนด

เปิดใช้งาน Two-Factor Authentication สำหรับ User อื่นๆ

แนะนำให้เปิดการใช้งาน Two-Factor Authentication สำหรับ User อื่นๆ ที่สามารถเข้าหน้าจัดการของ WordPress และตรวจสอบ User ว่าจะต้องมีการติดตั้งโปรแกรม One-Time Password (OTP) บน SmartPhone หรือ Tablet แล้ว ถึงทำการตั้งค่าได้ตามข้างต้น

วิธีปิดการใช้งาน Two-Factor Authentication

หากกรณีลบ Application ออกและได้ทำการ Log out จากหน้าจัดการของ WordPress แล้ว จึงทำให้ไม่สามารถกดรับ One-Time Password (OTP)  ได้ สำหรับวิธีการแก้ไขสามารถดำเนินการได้ดังนี้

  • ทำการ Login เข้าระบบ cPanel เลือกเมนู File Manage
  • ไปที่ Path ที่ได้ติดตั้ง WordPress ไว้ ตัวอย่างเช่น /home/usename/public_html/wp-content/plugins
  • เปลี่ยนชื่อโฟลเดอร์เป็นชื่ออื่น ตัวอย่างเช่น google-authenticator เป็น google-authenticator-old (การดำเนินการนี้จะยกเลิกการใช้งาน Plugin WordPress เพราะจะไม่สามารถที่จะหาไดเรกทอรีการทำงานของ Plugin ได้)
  • ทำการ Login ใหม่อีกครั้ง จะไม่พบกล่องข้อมูลใส่ค่าเพิ่ม Google Authenticator code ขึ้นมาอีก
  • เมื่อ Login เข้าหน้าจัดการ WordPress ได้แล้วให้ทำการเปลี่ยนชื่อโฟลเดอร์กลับเป็นชื่อเดิม ตัวอย่างเช่น google-authenticator-old เป็น google-authenticator
  • ทำตามขั้นตอนที่ 2 และ 3 อีกครั้ง

ข้อสรุป

การเปิดการใช้งาน Two-Factor Authentication เป็นการรักษาความปลอดภัยสำหรับเว็บไซต์ WordPress ไม่ให้ถูกโจมตีเข้ามาขโมยข้อมูลได้ ถึงแม้ว่า Username และ PassWord หลุด แต่หากไม่มี One-Time Password (OTP) ก็จะไม่สามารถเข้าใช้งานได้นั้นเอง