3 Cara Mengamankan Situs WordPress Anda dari Serangan

Diterbitkan: 2017-12-27

Saat ini, setiap situs web perlu memperhatikan keamanan dengan serius. Ini terutama benar jika menggunakan Content Management System (CMS) seperti WordPress. Jenis platform ini biasanya menyimpan banyak informasi sensitif, yang menjadikannya target. Jika seseorang membobol situs web Anda, Anda harus meluangkan waktu yang berharga untuk mencari tahu bagaimana mereka masuk dan memperbaiki kerusakan.

Kabar baiknya adalah WordPress sangat fleksibel dalam hal meningkatkan langkah-langkah keamanan situs web Anda. Misalnya, ada beberapa cara untuk melindungi halaman login Anda dari serangan dan menyembunyikannya dari orang yang tidak Anda kenal. Dengan beberapa penyesuaian di sana-sini, situs web Anda dapat dengan cepat menjadi benteng.

Pada artikel ini, kita akan membahas pentingnya keamanan WordPress. Kemudian kami akan memperkenalkan tiga metode yang dapat Anda gunakan untuk membuat situs web Anda lebih aman. Mari kita lakukan!

Mengapa Keamanan WordPress Penting

Untuk memperjelas, WordPress sudah menjadi platform yang sangat aman di luar kotak. Namun, ini juga merupakan perangkat lunak besar dengan jutaan pengguna, dan ribuan opsi plugin dan tema. Dengan begitu banyak hal yang terjadi, wajar saja jika beberapa pengguna akhirnya harus berurusan dengan masalah keamanan. Dalam kebanyakan kasus, Anda dapat melacak masalah ini kembali ke kredensial yang mudah diretas, kegagalan untuk memperbarui secara konsisten, dan kesalahan pengguna lainnya.

Di sisi lain, Anda akan jauh lebih aman jika Anda adalah tipe orang yang selalu mengikuti perkembangan WordPress versi terbaru dan memantau semua plugin dan tema yang Anda gunakan. Menjaga keamanan situs Anda mungkin terdengar seperti banyak pekerjaan, tetapi berhati-hati adalah tindakan terbaik. Inilah alasannya:

  • WordPress adalah target serangan. Popularitas Content Management System (CMS) membuatnya menjadi favorit penyerang online. Lagi pula, menemukan kerentanan dalam satu plugin atau tema dapat membantu mereka mendapatkan akses ke ribuan situs web.
  • Anda perlu melindungi informasi pengguna yang sensitif. Bahkan jika Anda tidak berurusan dengan nomor kartu kredit apa pun melalui situs web Anda, itu tidak berarti Anda tidak harus melindungi privasi pengguna Anda.
  • Pembajak dapat menyebarkan malware melalui situs web Anda. Saat ini, merupakan praktik umum bagi penyerang untuk menggunakan situs yang diretas untuk menyajikan malware kepada pengunjung mereka. Tak perlu dikatakan, Anda tidak ingin perangkat pengguna Anda terinfeksi karena praktik keamanan yang lemah di pihak Anda.

Untungnya, ada banyak hal yang dapat Anda lakukan untuk melindungi situs WordPress Anda terlebih dahulu. Misalnya, menggunakan tema yang dikodekan dengan baik yang menerima pembaruan konstan selalu merupakan ide yang cerdas. Tema Uncode kami sendiri memiliki peringkat dan fitur keamanan yang sangat baik, misalnya, dan kami selalu siap menjawab pertanyaan apa pun yang mungkin Anda miliki tentang cara melindungi situs web Anda lebih lanjut. Setelah tema Anda disortir, ada beberapa langkah sederhana lainnya yang dapat Anda ambil.

3 Cara Mengamankan Situs WordPress Anda dari Serangan

Di bagian ini, kami akan mengajari Anda tiga cara untuk mengamankan situs WordPress Anda dari serangan, baik dengan maupun tanpa plugin. Karena Anda akan membuat beberapa perubahan yang cukup signifikan pada fungsionalitas situs web Anda, Anda harus membuat cadangan sebelum memulai. Dengan begitu, jika terjadi kesalahan (yang seharusnya tidak terjadi!), Anda dapat memulihkan situs dalam beberapa menit dan mencoba lagi.

1. Gunakan Otentikasi Dua Faktor (2FA)

Biasanya, yang diperlukan untuk masuk ke situs web adalah nama pengguna dan kata sandi Anda. Namun, beberapa situs mengambil satu langkah lebih jauh, dan meminta Anda memasukkan kode satu kali yang dikirim ke email atau ponsel cerdas Anda. Ini dikenal sebagai Otentikasi Dua Faktor (2FA). Dengan menggunakan metode ini, meskipun seseorang mendapatkan kredensial Anda, mereka tetap tidak dapat mengakses akun Anda.

WordPress tidak mendukung 2FA di luar kotak. Namun, Anda dapat menerapkannya menggunakan alat yang tepat. Ada banyak plugin 2FA luar biasa yang tersedia, tetapi kami tidak menyukai Otentikasi Dua Faktor miniOrange karena semua fitur yang ditawarkannya:

Plugin Otentikasi Dua Faktor miniOrange.

Untuk memulai teknik ini, Anda harus menginstal dan mengaktifkan plugin terlebih dahulu. Kemudian, Anda akan dapat mengakses tab MiniOrange 2-Factor baru dari dasbor Anda. Pertama kali Anda mengkliknya, Anda harus mengisi beberapa kolom untuk mendaftarkan akun miniOrange:

Mendaftarkan akun miniOrange.

Setelah itu, Anda akan menerima kode satu kali melalui email atau pesan teks, yang dapat Anda gunakan untuk mengaktifkan plugin.

Setelah selesai, Anda dapat melompat ke tab Setup Two-Factor di bagian atas layar, dan memilih jenis 2FA yang dapat digunakan pengunjung Anda. Untuk memberikan opsi terbanyak kepada pengguna, sebaiknya gunakan Verifikasi Email sebagai metode default Anda:

Memilih verifikasi email sebagai metode 2FA Anda.

Setelah memilih metode yang Anda inginkan, Anda dapat keluar. Saat berikutnya Anda mencoba mengakses dasbor, Anda akan melihat opsi untuk mengaktifkan 2FA untuk akun Anda. Sekarang, semua pengguna situs Anda akan dapat ikut serta dalam 2FA. Situs WordPress Anda akan lebih aman karenanya!

2. Daftar Putih Alamat IP yang Dapat Mengakses Dasbor Anda

Dasbor WordPress adalah tempat sebagian besar keajaiban terjadi. Dengan demikian, Anda tidak ingin sembarang orang memiliki akses. Hanya anggota tim tepercaya yang dapat masuk ke dasbor situs Anda dan memanfaatkan fitur utamanya.

Halaman login Anda adalah garis pertahanan utama Anda terhadap gangguan yang tidak diinginkan. Namun, terkadang penyerang bisa mendapatkan akses ke salah satu kredensial anggota tim Anda. Jika itu terjadi, Anda memerlukan garis pertahanan kedua untuk menghentikan mereka. Di situlah file .htaccess Anda masuk.

File ini memungkinkan Anda untuk memberikan instruksi khusus ke server Anda. Misalnya, Anda dapat memerintahkannya untuk memblokir akses ke dasbor Anda bagi siapa saja yang IP-nya tidak ada dalam daftar yang telah disetujui sebelumnya. Saat Anda menambahkan alamat IP ke daftar itu, Anda 'memasukkannya ke daftar putih'. Metode ini membutuhkan sedikit kerja awal, tetapi dapat mengubah situs web Anda menjadi benteng.

Pertama, Anda harus mengetahui alamat IP semua rekan kerja Anda. Untuk hasil terbaik, Anda juga ingin memastikan bahwa IP tersebut statis. Anggota tim dapat menggunakan situs seperti What is My IP untuk mengetahui alamat mereka, dan menghubungi penyedia internet mereka sehingga mereka dapat diberi alamat statis jika mereka belum memilikinya.

Mencari tahu apa alamat IP Anda.

Sebaiknya selesaikan tugas ini terlebih dahulu, sehingga Anda dapat memasukkan semua IP yang masuk daftar putih sekaligus. Jika daftar alamat sudah siap, Anda harus mencari dan mengakses file .htaccess situs Anda. Untuk melakukannya, kami sarankan menggunakan File Transfer Protocol (FTP) dan alat seperti FileZilla.

Cukup masuk ke situs web Anda menggunakan kredensial FTP Anda, dan akses folder public_html Anda. Kemudian, cari file .htaccess di dalam:

File htaccess Anda.

Sekarang, klik kanan pada file dan pilih opsi Lihat/Edit . Melakukan ini akan membuka file di komputer Anda menggunakan editor teks default Anda. Seharusnya sudah ada beberapa baris kode di dalamnya, yang tidak ingin Anda ubah. Sebagai gantinya, gulir ke bagian bawah file dan cari baris #END WordPress .

Anda harus menempelkan cuplikan berikut tepat sebelum baris itu:

 <IfModule mod_rewrite.c>
Menulis ulang mesin pada
Penulisan Ulang %{REQUEST_URI} ^(.*)?wp-admin$
Tulis Ulang %{REMOTE_ADDR} !^190.46.268.21$
Tulis Ulang %{REMOTE_ADDR} !^190.45.281.27$
Aturan Penulisan Ulang ^(.*)$ - [R=403,L]
</JikaModul>

Lima baris kode ini memberi tahu WordPress untuk memeriksa alamat IP siapa pun yang mencoba mengakses dasbor Anda. Jika alamat mereka tidak cocok dengan salah satu yang ada di daftar putih Anda (ada dua dalam contoh di atas), mereka akan mendapatkan kesalahan 403:

Contoh kesalahan 403.

Anda dapat menambahkan alamat sebanyak yang Anda inginkan menggunakan format yang sama, dan memblokir halaman lain juga. Misalnya, jika Anda ingin memblokir halaman login Anda untuk siapa pun kecuali yang ada di daftar putih Anda, yang harus Anda lakukan adalah menambahkan satu baris kode tambahan:

 <IfModule mod_rewrite.c>
Menulis ulang mesin pada
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [ATAU]
Penulisan Ulang %{REQUEST_URI} ^(.*)?wp-admin$
Tulis Ulang %{REMOTE_ADDR} !^190.46.268.21$
Tulis Ulang %{REMOTE_ADDR} !^190.45.281.27$
Aturan Penulisan Ulang ^(.*)$ - [R=403,L]
</JikaModul>

Setelah selesai membuat perubahan pada .htaccess , simpan file dan tutup editor teks Anda. Anda masih dapat mengakses dasbor dan halaman login seperti biasa, kecuali jika Anda lupa memasukkan alamat IP Anda ke daftar putih!

3. Gunakan Plugin Keamanan WordPress yang Komprehensif

Jika Anda memilih untuk mengambil hanya satu tindakan untuk melindungi situs WordPress Anda, menggunakan plugin keamanan dapat memberi Anda jarak tempuh paling banyak. Ada banyak sekali plugin keamanan populer yang tersedia, dan banyak yang mampu melindungi situs web Anda dari sebagian besar jenis serangan.

Salah satu favorit kami disebut All In One WP Security & Firewall. Ini menawarkan berbagai fitur dan antarmuka yang ramah pengguna:

Semua dalam Satu plugin WP Security Firewall.

Sejauh ini, kami telah berbicara banyak tentang mengamankan halaman login dan dasbor WordPress Anda. Plugin ini memungkinkan Anda melakukan keduanya, menggunakan fungsionalitas bawaan yang dapat Anda aktifkan dengan beberapa klik. Misalnya, Anda dapat membatasi jumlah upaya login yang dapat dilakukan seseorang sebelum terkunci sementara dari situs. Fitur ini tersedia dari WP Security > tab User Login :

Mengonfigurasi jumlah maksimum upaya login.

Anda juga dapat mengonfigurasi plugin untuk memberi tahu Anda ketika seseorang terkunci dari halaman login, dan memblokir alamat IP sama sekali. All In One WP Security & Firewall juga menyertakan firewall komprehensif, yang dapat Anda konfigurasikan dari tab WP Security > Firewall :

Mengaktifkan firewall untuk situs web Anda.

Segera setelah Anda mengaktifkan plugin, langkah pertama Anda adalah melihat dokumentasinya. Ada banyak pengaturan yang perlu Anda pelajari cara menggunakannya, tetapi kursus kilat cepat akan memberi tahu Anda semua yang perlu Anda ketahui untuk mengamankan situs web Anda.

Last but not least Kinsta memiliki beberapa wawasan hebat untuk mengunci situs Anda, periksa jika Anda memerlukan lebih banyak tip tentang keamanan WordPress.

Kesimpulan

Keamanan WordPress adalah sesuatu yang Anda ingin proaktif. Sedikit upaya yang dihabiskan untuk melindungi situs web Anda dari awal akan menghemat banyak sakit kepala di kemudian hari. Jika Anda beruntung, Anda tidak akan pernah harus berurusan dengan dampak gangguan yang tidak diinginkan ke situs web Anda, dan Anda akan dapat fokus untuk meningkatkannya.

Kabar baiknya adalah ada banyak cara mudah untuk mengamankan situs web Anda. Sekali lagi, inilah tiga favorit kami:

  1. Gunakan 2FA di halaman login Anda.
  2. Daftar putih alamat IP anggota tim Anda.
  3. Gunakan plugin keamanan WordPress yang komprehensif.

Apakah Anda memiliki pertanyaan tentang cara melindungi situs WordPress Anda? Tanyakan di bagian komentar di bawah!