Amankan Situs WordPress Anda di 2019: Berikut 24 Tips Sederhana

Diposting pada

Tips Mengamankan Situs WordPress

Amankan Situs WordPress Anda di 2019: Berikut 24 Tips Sederhana – Saya pernah mendengar banyak pemilik situs web mengeluh tentang keamanan WordPress. Pikirannya adalah bahwa skrip open source rentan terhadap segala jenis serangan. Apakah itu fakta? Dan jika demikian, bagaimana Anda mengamankan situs web WordPress Anda?

Untungnya, ini sebagian besar tidak benar. Bahkan, terkadang sebaliknya. Oke, katakan saja itu sebagian benar. Tetapi meskipun demikian kesalahan tidak seharusnya jatuh pada WordPress.

Kenapa? Karena biasanya kesalahan pengguna bahwa situs mereka diretas. Ada beberapa tanggung jawab yang harus Anda tangani sebagai pemilik situs web. Jadi pertanyaan kuncinya iyalah, apa yang Anda lakukan untuk menyelamatkan situs Anda dari peretasan?

Hari ini, saya berencana untuk membahas beberapa tips sederhana yang dapat membantu Anda mengamankan situs WordPress Anda. Setelah menerapkan taktik ini dan menindaklanjuti dengan pemeriksaan keamanan berkelanjutan, Anda akan berada di jalur aman untuk mengamankan situs web WordPress Anda untuk selamanya.

Amankan situs web WordPress Anda dengan melindungi halaman login dan mencegah serangan brute force

Semua orang tahu URL halaman login standar WordPress. Backend dari situs web diakses dari sana, dan itulah alasan mengapa orang mencoba dengan kasar memaksa masuk. Cukup tambahkan /wp-login.php atau / wp-admin / di akhir nama domain Anda dan mulai lagi.

Yang saya rekomendasikan adalah menyesuaikan URL halaman login dan bahkan interaksi halaman. Itu hal pertama yang saya lakukan ketika mulai mengamankan situs web saya.

Berikut adalah beberapa saran untuk mengamankan halaman login situs WordPress Anda:

24 Tips Sederhana untuk Mengamankan Halaman Login Situs WordPress

1. Siapkan fitur penguncian situs web dan larangan pengguna

Fitur penguncian untuk upaya login yang gagal dapat memecahkan masalah besar upaya brute force terus menerus. Setiap kali ada upaya peretasan dengan kata sandi yang salah berulang, situs terkunci, dan Anda diberitahu tentang kegiatan yang tidak sah ini.

Saya mengetahui bahwa plugin iThemes Security merupakan salah satu plugin terbaik di luar sana, dan saya sudah menggunakannya cukup lama. Plugin ini memiliki banyak hal yang ditawarkan dalam hal ini. Seiring dengan lebih dari 30 langkah keamanan luar biasa lainnya, Anda dapat menentukan sejumlah upaya login yang gagal sebelum plugin melarang alamat IP penyerang.

DETAIL DOWNLOAD

2. Gunakan otentikasi 2-faktor

Memperkenalkan modul otentikasi 2-faktor (2FA) pada halaman login adalah langkah pengamanan yang baik. Dalam hal ini, pengguna memberikan detail login untuk dua komponen yang berbeda. Pemilik situs web memutuskan apa keduanya. Ini bisa berupa kata sandi reguler yang diikuti oleh pertanyaan rahasia, kode rahasia, serangkaian karakter, atau lebih populer, aplikasi Google Authenticator, yang mengirimkan kode rahasia ke telepon Anda. Dengan cara ini, hanya orang dengan ponsel Anda (Anda) yang dapat masuk ke situs Anda.

Saya lebih suka menggunakan kode rahasia saat menggunakan 2FA di situs web saya mana pun. Plugin Google Authenticator membantu saya dengan hanya dalam beberapa klik.

DETAIL – DOWNLOAD

3. Gunakan email Anda untuk masuk

Secara default, Anda harus memasukkan nama pengguna untuk masuk ke WordPress. Menggunakan ID email sebagai ganti nama pengguna adalah pendekatan yang lebih aman. Alasannya cukup jelas. Nama pengguna mudah diprediksi, sedangkan ID email tidak. Selain itu, akun pengguna WordPress apa pun dibuat dengan alamat email unik, menjadikannya pengenal yang valid untuk masuk.

Beberapa plugin keamanan memungkinkan Anda untuk mengatur halaman login sehingga semua pengguna harus menggunakan alamat email mereka untuk login.

4. Ganti nama URL login Anda untuk mengamankan situs web WordPress Anda

Mengubah URL masuk adalah hal yang mudah dilakukan. Secara default, halaman login WordPress dapat diakses dengan mudah melalui wp-login.php atau wp-admin ditambahkan ke URL utama situs.

Ketika peretas mengetahui URL langsung dari halaman login Anda, mereka dapat mencoba secara paksa masuk. Mereka mencoba masuk dengan GWDb (Guess Work Database, i.e. a database of guessed usernames and passwords; e.g. username: admin and password: p@ssword … with millions of such combinations).

Pada titik ini, kami telah membatasi upaya login pengguna dan menukar nama pengguna untuk ID email. Sekarang kita dapat mengganti URL login dan menyingkirkan 99% serangan brute force langsung.

Trik kecil ini membatasi entitas yang tidak sah dari mengakses halaman login. Hanya seseorang dengan URL yang tepat yang dapat melakukannya. Sekali lagi, plugin iThemes Security dapat membantu Anda mengubah URL login Anda. Seperti itu:

  • Ganti wp-login.php dengan nama yang unik; contoh. my_new_login
  • Ganti /wp-admin/ dengan nama yang unik; contoh. my_new_admin
  • Ganti /wp-login.php?action=register dengan nama yang unik; contoh. my_new_registeration

5. Sesuaikan kata sandi Anda

Bermain-main dengan kata sandi Anda dan ubah secara teratur untuk mengamankan situs web WordPress Anda. Tingkatkan kekuatan mereka dengan menambahkan huruf besar dan kecil, angka, dan karakter khusus. Banyak orang memilih kata sandi yang panjang karena ini hampir tidak mungkin diprediksi oleh peretas, tetapi lebih mudah diingat daripada banyak angka dan huruf acak.

LastPass iyalah salah satu cara termudah untuk mendapatkan kata sandi Anda. Ini tidak hanya menghasilkan kata sandi aman untuk Anda, tetapi kemudian menyimpannya di dalam add-on browser, yang akan menghemat kerumitan karena harus mengingatnya.

6. Secara otomatis log siaga pengguna dari situs Anda

Pengguna meninggalkan situs WordPress Anda terbuka pada layar mereka dapat menimbulkan ancaman keamanan yang serius. Lewat apapun dapat mengubah informasi di situs web Anda, mengubah account pengguna seseorang, atau bahkan menghancurkan situs Anda sama sekali. Anda dapat menghindari ini dengan memastikan bahwa situs Anda mencatat orang setelah mereka menganggur selama periode waktu tertentu.

Anda dapat mengatur ini dengan menggunakan plugin seperti BulletProof security. Plugin ini memungkinkan Anda untuk menetapkan batas waktu khusus untuk pengguna yang menganggur, setelah itu mereka akan secara otomatis keluar.

DETAIL – DOWNLOAD

7. Lindungi direktori wp-admin

Direktori wp-admin yakni jantung dari setiap situs web WordPress. Karena itu, jika bagian situs Anda ini dilanggar, maka seluruh situs dapat rusak.

Salah satu cara yang mungkin untuk mencegah hal ini iyalah dengan melindungi direktori wp-admin dengan kata sandi. Dengan tindakan pengamanan seperti itu, pemilik situs web dapat mengakses dasbor dengan mengirimkan dua kata sandi. Satu melindungi halaman login, dan yang lainnya mengamankan area admin WordPress. Jika pengguna situs web diharuskan mendapatkan akses ke beberapa bagian tertentu dari admin-wp, Anda dapat membuka blokir bagian-bagian itu saat mengunci sisanya.

Anda dapat menggunakan plugin AskApache Password Protect untuk mengamankan area admin. Secara otomatis menghasilkan file .htpasswd, mengenkripsi kata sandi dan mengkonfigurasi izin file yang ditingkatkan keamanan yang benar.

DETAIL – DOWNLOAD

8. Gunakan SSL untuk mengenkripsi data

Menerapkan sertifikat SSL (Lapisan Soket Aman) adalah satu langkah cerdas untuk mengamankan panel admin. SSL memastikan transfer data yang aman antara browser pengguna dan server, sehingga sulit bagi peretas untuk melanggar koneksi atau menipu informasi Anda.

Mendapatkan sertifikat SSL untuk situs web WordPress Anda sederhana. Anda dapat membeli satu dari perusahaan pihak ketiga atau memeriksa untuk melihat apakah perusahaan hosting Anda menyediakannya secara gratis.

Sertifikat SSL juga memengaruhi peringkat Google situs web Anda. Google cenderung membuat peringkat situs dengan SSL lebih tinggi daripada yang tanpa SSL. Itu berarti lebih banyak lalu lintas. Sekarang siapa yang tidak menginginkan itu?

9. Tambahkan akun pengguna dengan hati-hati

Jika Anda menjalankan blog WordPress, atau lebih tepatnya blog multi-penulis, maka Anda perlu berurusan dengan banyak orang yang mengakses panel admin Anda. Ini bisa membuat situs web Anda lebih rentan terhadap ancaman keamanan.

Anda dapat menggunakan plugin seperti Force Strong Passwords jika Anda ingin memastikan bahwa kata sandi apa pun yang dibuat pengguna aman. Ini hanya tindakan pencegahan, tetapi lebih baik daripada memiliki beberapa pengguna dengan kata sandi yang lemah.

DETAIL – DOWNLOAD

10. Ubah nama pengguna admin

Selama instalasi WordPress Anda, Anda tidak boleh memilih ‘admin’ sebagai nama pengguna untuk akun administrator utama Anda. Nama pengguna yang mudah ditebak seperti itu dapat didekati oleh peretas. Yang mereka butuhkan untuk mencari tahu adalah kata sandi, lalu seluruh situs Anda masuk ke tangan yang salah.

Saya tidak dapat memberi tahu Anda berapa kali saya menggulir log situs web saya, dan menemukan upaya login dengan nama pengguna ‘admin’.

Plugin iThemes Security dapat menghentikan upaya tersebut dengan segera melarang alamat IP yang mencoba masuk dengan nama pengguna itu.

11. Monitor file Anda

Jika Anda menginginkan beberapa keamanan tambahan, pantau perubahan pada file situs web Anda melalui plugin seperti Wordfence, atau iThemes Security.

DETAIL – DOWNLOAD

12. Ubah database table prefix WordPress Anda

Jika Anda pernah menginstal WordPress maka Anda terbiasa dengan awalan wp-table yang digunakan oleh database WordPress. Saya sarankan Anda mengubahnya ke sesuatu yang unik.

Menggunakan awalan default membuat basis data situs Anda rentan terhadap serangan injeksi SQL. Serangan semacam itu dapat dicegah dengan mengubah wp- ke beberapa istilah lain. Misalnya, Anda dapat membuatnya menjadi mywp- atau wpnew-.

Jika Anda telah menginstal situs web WordPress Anda dengan awalan default, maka Anda dapat menggunakan beberapa plugin untuk mengubahnya. Plugin seperti WP-DBManager atau iThemes Security dapat membantu Anda melakukan pekerjaan hanya dengan mengklik satu tombol. (Pastikan Anda mencadangkan situs Anda sebelum melakukan apa pun ke basis data).

DETAIL – DOWNLOAD

13. Buat cadangan secara teratur untuk mengamankan situs web WordPress Anda

Tidak peduli seberapa aman situs web WordPress Anda, selalu ada ruang untuk perbaikan. Tetapi pada akhirnya, menyimpan cadangan di luar lokasi di suatu tempat mungkin merupakan penangkal terbaik apa pun yang terjadi.

Jika Anda memiliki cadangan, Anda dapat memulihkan situs web WordPress Anda ke status berfungsi kapan pun Anda mau. Ada beberapa plugin yang dapat membantu Anda dalam hal ini.

Jika Anda mencari solusi premium maka saya merekomendasikan VaultPress oleh Automattic, yang sangat bagus. Saya sudah mengaturnya sehingga membuat cadangan setiap minggu. Dan jika ada hal buruk yang terjadi, saya dapat dengan mudah mengembalikan situs hanya dengan satu klik.

Saya tahu beberapa situs web yang lebih besar menjalankan pencadangan setiap jam, tetapi bagi sebagian besar organisasi, ini adalah pembunuhan total. Belum lagi, Anda perlu memastikan bahwa sebagian besar cadangan itu dihapus setelah yang baru dibuat karena setiap file cadangan memakan ruang di drive Anda. Karena itu, saya akan merekomendasikan cadangan mingguan atau bulanan untuk sebagian besar organisasi.

Di atas cadangan, VaultPress juga memeriksa situs saya apakah ada malware dan memberi tahu saya jika ada sesuatu yang sedang terjadi.

14. Tetapkan Kata Sandi yang Kuat untuk Database Anda

Kata sandi yang kuat untuk pengguna database utama iyalah suatu keharusan karena kata sandi ini yakni yang digunakan WordPress untuk mengakses database.

Seperti biasa, gunakan huruf besar, huruf kecil, angka, dan karakter khusus untuk kata sandi. Frasa sandi juga sangat baik. Saya sekali lagi merekomendasikan LastPass untuk pembuatan dan penyimpanan kata sandi acak. Alat gratis dan cepat untuk membuat kata sandi yang kuat adalah Secure Password Generator.

15. Monitor log audit Anda

Saat Anda menjalankan WordPress multisite, atau menangani situs web multi-penulis, penting untuk memahami jenis aktivitas pengguna yang sedang terjadi. Penulis dan kontributor Anda mungkin mengubah kata sandi, tetapi ada hal-hal lain yang mungkin tidak Anda inginkan terjadi. Misalnya, perubahan tema dan widget jelas hanya diperuntukkan bagi admin. Ketika Anda memeriksa log audit, Anda dapat memastikan bahwa admin dan kontributor Anda tidak mencoba mengubah sesuatu di situs Anda tanpa persetujuan.

Plugin WP Security Audit Log menyediakan daftar lengkap untuk kegiatan ini, bersama dengan pemberitahuan dan laporan email. Paling sederhana, log audit dapat membantu Anda melihat bahwa penulis mengalami masalah saat masuk. Tetapi plugin juga dapat mengungkapkan aktivitas berbahaya dari salah satu pengguna Anda.

DETAIL – DOWNLOAD

16. Lindungi file wp-config.php

File wp-config.php menyimpan informasi penting tentang instalasi WordPress Anda, dan itu file yang paling penting di direktori root situs Anda. Melindunginya berarti mengamankan inti dari blog WordPress Anda.

Taktik ini mempersulit peretas untuk melanggar keamanan situs Anda, karena file wp-config.php menjadi tidak dapat diakses oleh mereka.

Sebagai bonus, proses perlindungannya sangat mudah. Ambil saja file wp-config.php Anda dan pindahkan ke level yang lebih tinggi daripada direktori root Anda.

Sekarang, pertanyaannya adalah, jika Anda menyimpannya di tempat lain, bagaimana server mengaksesnya? Dalam arsitektur WordPress saat ini, pengaturan file konfigurasi diatur ke tertinggi pada daftar prioritas. Jadi, bahkan jika disimpan satu folder di atas direktori root, WordPress masih bisa melihatnya.

17. Larang Mengedit File

Jika pengguna memiliki akses admin ke dashboard WordPress Anda, mereka dapat mengedit file apa pun yang merupakan bagian dari instalasi WordPress Anda. Ini termasuk semua plugin dan tema.

Jika Anda melarang pengeditan file, tidak seorang pun akan dapat memodifikasi file mana pun – bahkan jika seorang hacker mendapatkan akses admin ke dasbor WordPress Anda.

Untuk membuatnya berfungsi, tambahkan berikut ini ke file wp-config.php (di bagian paling akhir):

define('DISALLOW_FILE_EDIT', true);

18. Hubungkan Server dengan Benar

Saat menyiapkan situs Anda, hubungkan saja server melalui SFTP atau SSH. SFTP selalu lebih disukai daripada FTP tradisional karena fitur keamanannya, tentu saja, tidak dikaitkan dengan FTP.

Menghubungkan server dengan cara ini memastikan transfer semua file aman. Banyak penyedia hosting menawarkan layanan ini sebagai bagian dari paket mereka. Jika tidak – Anda dapat melakukannya secara manual menggunakan tutorial ini.

19. Tetapkan Izin Direktori dengan Cermat

Izin direktori yang salah bisa berakibat fatal, terutama jika Anda bekerja di lingkungan hosting bersama.

Dalam kasus seperti itu, mengubah file dan izin direktori adalah langkah yang baik untuk mengamankan situs web di tingkat hosting. Mengatur izin direktori ke ‘755’ dan file ke ‘644’ melindungi seluruh sistem file – direktori, subdirektori, dan file individual.

Ini dapat dilakukan secara manual melalui Manajer File di dalam panel kontrol hosting Anda, atau melalui terminal (terhubung dengan SSH) – gunakan perintah ‘chmod’.

Untuk selengkapnya, Anda dapat membaca tentang skema izin yang benar untuk WordPress atau menginstal plugin iThemes Security untuk memeriksa pengaturan izin Anda saat ini.

20. Nonaktifkan daftar direktori dengan .htaccess

Jika Anda membuat direktori baru sebagai bagian dari situs web Anda dan tidak memasukkan file index.html di dalamnya, Anda mungkin terkejut mengetahui bahwa pengunjung Anda bisa mendapatkan daftar direktori lengkap dari segala sesuatu yang ada di direktori itu.

Misalnya, jika Anda membuat direktori yang disebut ‘data’, Anda dapat melihat semua yang ada di direktori itu hanya dengan mengetikkan http://www.example.com/data/ di browser Anda. Tidak perlu kata sandi atau apa pun.

Anda dapat mencegah hal ini dengan menambahkan baris kode berikut di file .htaccess Anda:

Options All -Indexes

21. Blokir Semua Hotlinking

Katakanlah Anda menemukan gambar daring dan ingin membagikannya di situs web Anda. Pertama-tama, Anda memerlukan izin atau membayar untuk gambar itu, jika tidak, ada kemungkinan besar itu ilegal untuk melakukannya. Tetapi jika Anda mendapatkan izin, Anda dapat langsung menarik URL gambar dan menggunakannya untuk menempatkan foto di pos Anda. Masalah utama di sini adalah bahwa gambar ditampilkan di situs Anda, tetapi di-host di server situs lain.

Dari perspektif ini, Anda tidak memiliki kendali atas apakah foto tetap ada di server atau tidak. Tetapi penting juga untuk menyadari bahwa orang mungkin melakukan ini pada situs web Anda.

Jika Anda mencoba mengamankan situs WordPress Anda, hotlinking pada dasarnya adalah orang lain mengambil foto Anda dan mencuri bandwidth server Anda untuk menampilkan gambar di situs web mereka sendiri. Pada akhirnya, Anda akan melihat kecepatan pemuatan yang lebih lambat dan potensi biaya server yang tinggi.

Meskipun ada beberapa teknik manual untuk mencegah hotlinking, metode termudah adalah menemukan plugin keamanan untuk pekerjaan itu. Misalnya, plugin All in One WP Security dan Firewall menyertakan alat bawaan untuk memblokir semua hotlinking.

DETAIL – DOWNLOAD

22. Memahami, dan melindungi, terhadap serangan DDoS

Serangan DDoS adalah jenis serangan umum terhadap bandwidth server Anda, di mana penyerang menggunakan beberapa program dan sistem untuk membebani server Anda. Meskipun serangan seperti ini tidak membahayakan file situs Anda, itu dimaksudkan untuk menghancurkan situs Anda untuk jangka waktu yang lama jika tidak diselesaikan. Biasanya, Anda hanya mendengar tentang serangan DDoS ketika itu terjadi pada perusahaan besar seperti GitHub atau Target. Mereka dilakukan oleh apa yang banyak orang sebut sebagai teroris-dunia maya, sehingga motifnya mungkin hanya untuk mendatangkan malapetaka.

Yang mengatakan, Anda tidak perlu menjadi perusahaan Fortune 500 untuk berisiko.

Jika ini membuat Anda khawatir, sebaiknya mendaftar untuk paket premium Sucuri atau Cloudflare. Solusi ini memiliki firewall aplikasi web untuk menganalisis bandwidth yang digunakan dan memblokir serangan DDoS sepenuhnya.

23. Perbarui Secara Teratur

Setiap produk perangkat lunak yang baik didukung oleh pengembangnya dan diperbarui sekarang dan kemudian. Pembaruan ini dimaksudkan untuk memperbaiki bug dan terkadang memiliki tambalan keamanan penting. WordPress, dan plugin-nya, tidak berbeda.

Tidak memperbarui tema dan plugin Anda dapat berarti masalah. Banyak peretas hanya mengandalkan fakta bahwa orang tidak dapat diganggu untuk memperbarui plugin dan tema mereka. Lebih sering daripada tidak, para peretas itu mengeksploitasi bug yang telah diperbaiki.

Jadi, jika Anda menggunakan produk WordPress apa pun, perbarui secara teratur. Plugin, tema, semuanya. Berita baiknya adalah WordPress secara otomatis meluncurkan pembaruan untuk penggunanya, sehingga Anda akan menerima email yang memberi tahu Anda tentang pembaruan dan informasi tentang perbaikan di dasbor Anda.

Adapun plugin, ini harus diperbarui secara manual dengan masuk ke Plugin di dasbor Anda. Ketika sebuah plugin memiliki versi baru, itu memberi tahu Anda dan menyediakan tautan untuk memperbarui sekarang.

Sebagai alternatif, Anda dapat memilih paket hosting WordPress yang dikelola. Seiring dengan banyak fitur lain dan peningkatan keamanan Anda, hosting yang dikelola dengan kualitas menawarkan pembaruan otomatis untuk semua elemen situs WordPress Anda.

Beberapa penyedia hosting terkelola termasuk Kinsta, SiteGround, dan Flywheel.

24. Hapus Nomor Versi WordPress Anda

Nomor versi WordPress Anda saat ini dapat ditemukan dengan sangat mudah. Itu pada dasarnya ada di sana di tampilan sumber situs Anda. Anda juga dapat melihatnya di bagian bawah dasbor Anda (tetapi ini tidak masalah ketika mencoba mengamankan situs WordPress Anda).

Inilah masalahnya: jika peretas mengetahui versi WordPress yang Anda gunakan, lebih mudah bagi mereka untuk menyesuaikan serangan yang sempurna.

Anda dapat menyembunyikan nomor versi Anda dengan hampir setiap plugin keamanan yang saya sebutkan di atas.

Untuk pendekatan yang lebih manual (dan juga menghapus nomor versi dari umpan RSS), pertimbangkan untuk menambahkan fungsi berikut ke file functions.php Anda:

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

Jika Anda seorang pemula maka itu banyak untuk diterima. Namun, semua yang saya sebutkan di artikel ini adalah langkah ke arah yang benar. Semakin Anda peduli tentang keamanan situs WordPress Anda, semakin sulit bagi peretas untuk menerobos masuk.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *