Cara Mengamankan Situs WordPress Anda: Tips Keamanan Bekerja
Diterbitkan: 2021-11-30
Diskon 20% untuk WPMU Dev
Untuk artikel ini, kami akan menggunakan hosting dan alat WPMU DEV. Anda bisa mendapatkan diskon 20% untuk WPMU DEV untuk keanggotaan.
Keamanan WordPress adalah topik besar. Ada beberapa hal yang dapat Anda lakukan untuk mengamankan situs WordPress Anda dan mencegah peretas dan kerentanan merusak situs e-niaga atau blog Anda.
Meskipun perangkat lunak inti WordPress cukup aman, dan sering ditinjau oleh ratusan insinyur, masih banyak yang dapat Anda lakukan untuk menjaga keamanan situs Anda.
Anda tidak ingin bangun suatu pagi untuk menemukan situs web Anda berantakan. Jadi, hari ini, kami akan membahas berbagai metode, taktik, dan pendekatan yang dapat Anda manfaatkan untuk meningkatkan keamanan WordPress dan tetap aman.
Mengapa Keamanan Situs Web Penting?
Situs web WordPress apa pun yang disusupi dapat secara signifikan merusak arus kas dan kredibilitas Anda. Penyerang dapat memperoleh data pelanggan, kata sandi, menyuntikkan program jahat, atau bahkan menginfeksi pengguna Anda dengan malware.
Skenario kasus yang mengerikan, perusahaan dapat dibuat untuk menghabiskan ransomware ke penyerang untuk memulihkan akses ke situs web. Lebih dari 50 juta pengguna situs web telah diperingatkan bahwa halaman web yang mereka kunjungi mungkin berisi malware atau mencuri data, menurut Google.
Ini adalah situs statistik langsung yang diretas dalam sehari.
Selain itu, setiap minggu, Google membuat daftar hitam sekitar 20.000 situs web untuk malware dan sekitar 50.000 situs web untuk phishing. Jika Anda menjalankan halaman perusahaan, Anda harus mengutamakan keamanan Situs Web.
Memang tugas Anda, sebagai pemilik bisnis online, untuk mengamankan situs web bisnis Anda dengan cara yang sama seperti tanggung jawab Anda untuk melindungi fasilitas toko Anda yang sebenarnya.
Apakah WordPress platform yang aman?
Apakah WordPress aman?
Itu mungkin pertanyaan pertama yang ada di benak Anda. Ya, sebagian besar.
WordPress aman selama pemilik situs web memperhatikan keamanan dengan serius dan mematuhi praktik yang direkomendasikan. Menggunakan plugin dan tema yang aman, mempertahankan proses login yang bertanggung jawab, menggunakan plugin keamanan untuk memantau situs Anda, dan memperbarui secara berkala adalah praktik yang baik.
WordPress, di sisi lain, memiliki reputasi rentan terhadap kelemahan keamanan dan dengan demikian tidak menjadi platform yang aman untuk digunakan untuk bisnis. Sebagian besar waktu, ini karena pengguna terus mengikuti praktik terburuk keamanan yang terbukti di industri.
Peretas tetap berada di puncak permainan kejahatan dunia maya mereka dengan menggunakan perangkat lunak WordPress lama, plugin yang dibatalkan, administrasi sistem yang buruk, manajemen kredensial, dan kurangnya keahlian Web dan keamanan yang diperlukan di antara pengguna WordPress non-teknisi. Bahkan praktik terbaik pun tidak selalu diikuti oleh para pemimpin industri. Karena mereka menggunakan WordPress versi lama, Reuters diretas.
Ini bukan untuk menyatakan bahwa kerentanan tidak ada. WordPress terus mendominasi situs web yang terinfeksi Sucuri, bisnis keamanan multi-platform, yang dikerjakan dalam survei Q3 2017 (pada 83 persen). Angka ini meningkat dibandingkan tahun sebelumnya sebesar 74%.
Dengan WordPress mendukung lebih dari 42% dari semua situs web di internet dan ratusan ribu kombinasi tema dan plugin untuk dipilih, tidak mengherankan bahwa kerentanan ada dan terus diidentifikasi. Namun, ada komunitas kuat di sekitar platform WordPress, yang memastikan bahwa masalah ini ditangani sesegera mungkin. Pada tahun 2021, tim keamanan WordPress terdiri dari sekitar 50 spesialis, termasuk pengembang utama dan peneliti keamanan (naik dari 25 pada tahun 2017); sekitar setengahnya adalah karyawan Automattic, dan beberapa bekerja di area keamanan web.
Mulailah dengan Hosting yang Tepat
Menggunakan host yang memberikan keamanan berlapis adalah cara termudah untuk menjaga keamanan situs web Anda.
Menyimpan uang di hosting situs web berarti Anda dapat membelanjakan uang itu di tempat lain dalam organisasi Anda, sehingga Anda mungkin tergoda untuk mendaftar dengan penyedia hosting murah. Tetapi Anda harus menahan godaan ini.
Tuan rumah yang murah dapat menyebabkan sakit kepala di masa depan. Data yang terkait dengan URL Anda dapat dihapus sepenuhnya dan URL Anda dapat mulai dialihkan ke tempat lain. Hanya beberapa contoh, ada beberapa alasan lagi mengapa Anda harus menghindari memilih hosting murah yang tidak layak untuk bisnis Anda.
Keamanan ekstra yang disediakan oleh host berkualitas secara otomatis dikaitkan ke situs web Anda jika Anda membayar lebih sedikit. Selanjutnya, Anda dapat meningkatkan kinerja situs WordPress Anda dengan menggunakan layanan hosting WordPress yang baik.
Buat cadangan Situs
Untuk memulai, buat cadangan cadangan WordPress Anda sebelum melakukan modifikasi apa pun ke situs web Anda.
Ada banyak plugin cadangan WordPress yang tersedia yang dapat digunakan untuk mencapai tujuan yang sama.
Ada yang gratis dan berbayar yang dapat diakses. namun, hanya beberapa yang disarankan yang gratis.
- UpdraftPlus
- KembaliWPup
Saya berasumsi Anda telah menginstal dan menggunakan salah satu plugin WordPress cadangan. Sekarang Anda siap untuk melanjutkan ke langkah berikutnya.
Saya menyarankan agar pencadangan dijadwalkan setelah setiap posting diterbitkan. Setelah melakukan modifikasi pada posting atau database blog.
Buat Kata Sandi yang Kuat
Anda dapat melakukan banyak hal untuk melindungi situs WordPress Anda, tetapi hanya sedikit orang yang memperhatikan dasar-dasarnya.
Membuat kata sandi yang aman adalah sesuatu yang harus Anda lakukan untuk semua situs media sosial dan akun email Anda.
Demikian pula, karena situs WordPress diretas seperti yang lainnya, sangat penting untuk menerapkan tindakan pencegahan yang sama untuk situs WordPress Anda. Tidak lagi penting seberapa besar blog Anda. Semua menggelitik rasa ingin tahu para hacker. TERTAWA TERBAHAK-BAHAK!
Menggunakan kata sandi yang kuat berarti tidak menggunakan apa pun yang bersifat pribadi bagi Anda. Hampir semuanya harus dihindari, termasuk nama Anda, tanggal lahir, ID karyawan, nama pacar, dan hal lain yang mungkin bisa ditebak.
Waktu yang dibutuhkan untuk memecahkan kata sandi
Apakah Anda mengalami masalah dengan ide kata sandi yang kreatif? Untuk membuat kata sandi yang aman, Anda selalu dapat menggunakan alat pembuat kata sandi online apa pun. Saya menggunakan Pembuat Kata Sandi LastPass.
Ubah WP-Login URL
“situsanda.com/wp-admin” adalah URL default untuk masuk ke WordPress.
Jika Anda membiarkannya apa adanya, Anda berisiko menjadi korban serangan brutal yang ditujukan untuk memecahkan kombinasi nama pengguna/kata sandi Anda.
Anda mungkin menerima sejumlah besar pendaftaran spam jika Anda mengizinkan pengguna untuk mendaftar akun langganan. Ubah URL login admin atau tambahkan pertanyaan keamanan ke halaman register dan login untuk menghindari hal ini.
Anda dapat menginstal plugin seperti URL Login kustom atau WPS Hide Login untuk mengubah URL wp-login.
Ubah nama pengguna WordPress
Saat Anda membuat blog, Anda akan diberikan pilihan untuk memasukkan nama pengguna, yang akan digunakan untuk masuk ke blog atau situs web Anda.
Sebagian besar orang membiarkannya sebagai " admin " secara default dan lupa untuk mengubahnya setelahnya.
Pertimbangkan betapa sederhananya bahkan bagi peretas yang buruk untuk memprediksi hal itu. ha ha! Aku melihat seringai di wajahmu.
Anda harus membuatnya unik dan tidak mungkin ditebak. Jika Anda tidak yakin bagaimana melakukannya, saya telah memasang tutorial sederhana tentang mengubah nama pengguna WordPress Anda.
Otentikasi dua faktor
Pernahkah Anda menggunakan otentikasi dua faktor untuk akun Gmail Anda sebelumnya? Jika Anda sudah familiar dengan itu, Anda mungkin sudah tahu apa yang saya bicarakan.
Otentikasi dua faktor adalah teknik sederhana untuk menjaga situs WordPress Anda aman dari peretas.
Anda akan menerima OTP saat masuk jika Anda menghubungkan blog Anda ke ponsel Anda untuk otentikasi dua faktor. Anda akan dapat masuk dengan memasukkan nomor itu.
Ini membawa keamanan ke tingkat yang baru dan menambahkan lapisan lain ke dalam campuran. Pelajaran singkat tentang Otentikasi Dua Faktor WordPress dapat ditemukan di sini.
Password Protect WordPress Admin dan Halaman Login
Umumnya, peretas memiliki akses tidak terbatas ke folder wp-admin dan halaman login Anda. Ini memberi mereka kesempatan untuk menguji keterampilan peretasan mereka atau meluncurkan serangan DDoS.
Di sisi server, Anda dapat menerapkan perlindungan kata sandi lebih lanjut, yang pada dasarnya akan menghentikan permintaan tersebut.
Ikuti langkah-langkah kami untuk mengamankan wp-admin WordPress Anda dengan kata sandi.
Batasi Upaya Masuk
Di WordPress, secara default, pengguna diizinkan untuk mencoba login sebanyak yang mereka suka. Jika Anda sering lupa huruf mana yang kapital, ini mungkin membantu, tetapi juga membuka Anda terhadap serangan brute force.
Anda dapat membatasi jumlah upaya login hingga pengguna diblokir sementara. Ini mengurangi kemungkinan Anda diserang oleh kekerasan karena peretas dikunci sebelum serangan mereka selesai.
Menggunakan plugin upaya batas login WordPress, Anda dapat dengan mudah mengaktifkan fitur ini.
Menggunakan Pengaturan > Upaya Batas Masuk, Anda dapat mengubah jumlah upaya masuk setelah Anda memasang plugin.
Logout Pengguna Idle di WordPress
Pengguna yang masuk kadang-kadang dapat menyimpang dari layar mereka, menimbulkan risiko keamanan. Seseorang dapat mengendalikan sesi mereka, mengubah kata sandi mereka, dan memodifikasi akun mereka.
Inilah sebabnya mengapa banyak situs web perbankan dan keuangan mengunci pengguna yang tidak aktif secara otomatis. Fungsi serupa juga dapat diterapkan di situs WordPress Anda.
Plugin Logout Tidak Aktif harus diinstal dan diaktifkan. Untuk mengonfigurasi pengaturan plugin, klik Pengaturan » Logout Tidak Aktif setelah aktivasi.
Atur timer dan pesan logout dan selesai. Jangan lupa untuk menyimpan perubahan Anda dengan mengklik tombol Simpan Perubahan.
Tambahkan Pertanyaan keamanan di Layar Login WordPress
Menambahkan pertanyaan keamanan ke layar login WordPress Anda membuat akses tidak sah menjadi jauh lebih sulit.
Menginstal plugin WP Security Questions akan memungkinkan Anda untuk menambahkan pertanyaan keamanan. Untuk mengonfigurasi pengaturan plugin, buka Pengaturan » Pertanyaan Keamanan setelah diaktifkan.
Lihat tutorial kami tentang cara menambahkan pertanyaan keamanan ke WordPress untuk informasi lebih lanjut.
Nonaktifkan penjelajahan Direktori
Tahap lain yang diperiksa oleh webmaster adalah ini. Ketika datang ke keamanan situs web, ini adalah fakta yang sedikit diketahui.
Namun, jika penelusuran direktori root Anda diaktifkan. File-file seperti tema, plugin, gambar, dan banyak lagi dapat diakses oleh pembaca, pengunjung, atau peretas.
Berikut cara mencegah penjelajahan direktori di WordPress menggunakan file .htaccess.
Nonaktifkan Pengeditan File
Di dasbor WordPress Anda, ada alat editor kode yang memungkinkan Anda mengubah tema dan plugin saat Anda menyiapkan situs.
Penampilan> Editor adalah tempat Anda akan menemukannya. Anda juga dapat mengakses editor plugin dengan menuju ke Plugins> Editor.
Kami menyarankan Anda menonaktifkan fungsi ini setelah situs Anda online. Peretas dapat memasukkan kode halus dan berbahaya ke dalam tema dan plugin Anda jika mereka mendapatkan akses ke panel admin WordPress Anda.
Pengkodean seringkali sangat halus sehingga Anda tidak akan menyadari ada yang salah sampai semuanya terlambat.
Cukup masukkan kode berikut ke dalam file wp-config.php Anda.
define('DISALLOW_FILE_EDIT', true);Proses ini akan membantu Anda mencegah kemampuan untuk mengubah plugin dan file tema dari dasbor.
Nonaktifkan XML-RPC di WordPress
Sejak WordPress 3.5, XML-RPC telah diaktifkan secara default untuk membantu Anda menghubungkan situs WordPress Anda dengan aplikasi seluler dan layanan web.
Serangan brute force dapat diperkuat secara signifikan oleh XML-RPC karena sifatnya yang kuat.
Di masa lalu, jika seorang peretas ingin mencoba 500 kata sandi berbeda di situs Anda, mereka harus masuk sebanyak 500 kali. Plugin penguncian login akan menangkap dan memblokir upaya ini.
Namun, dengan XML-RPC, seorang peretas dapat menggunakan fungsi system.multicall untuk mencoba ribuan kata sandi hanya dengan 20 atau 50 permintaan.
Oleh karena itu, jika Anda tidak menggunakan XML-RPC, maka Anda harus menonaktifkannya. Ini dapat ditangani oleh firewall jika Anda menggunakan firewall aplikasi web yang disebutkan di atas.
Sembunyikan file wp-config.php dan .htaccess
Meskipun menyembunyikan file .htaccess dan wp-config.php situs Anda untuk mencegah peretas mengaksesnya adalah metode canggih untuk meningkatkan keamanan situs Anda, ini adalah praktik cerdas jika Anda serius dengan keamanan Anda.
Kami sangat menyarankan pengembang berpengalaman untuk mengadopsi opsi ini, karena sangat penting untuk membuat cadangan situs Anda terlebih dahulu dan melanjutkan dengan hati-hati. Kesalahan apa pun dapat membuat situs web Anda tidak tersedia.
Setelah Anda membuat cadangan, ada dua hal yang perlu Anda lakukan untuk menyembunyikan file:
Untuk memulai, tambahkan kode berikut ke file wp-config.php Anda:
<Files wp-config.php> order allow,deny deny from all </Files>Anda akan menambahkan kode berikut ke file .htaccess Anda dengan cara yang sama.
<Files .htaccess> order allow,deny deny from all </Files>Meskipun prosedurnya mudah, Anda harus memastikan bahwa Anda memiliki cadangan jika terjadi kesalahan.
Hapus versi WP
Kami sebelumnya telah membahas peningkatan WordPress. Sekarang juga logis untuk menyembunyikan versi WordPress Anda dari peretas.
Saya ingin tahu bagaimana mereka dapat melihat versi WordPress yang Anda gunakan, mengingat Anda memiliki kredensial login.
Peretas dapat dengan mudah memeriksa versi WordPress dengan melihat halaman sumber. Yang harus mereka lakukan sekarang adalah
CTRL F – klik kanan (pada halaman web) – Lihat Sumber Halaman (Cari Versi). Ini akan menyerupai tag yang terlihat di bawah ini.
Aktifkan Firewall Aplikasi Web
Anda mungkin mengetahui konsep firewall, yaitu program yang membantu melindungi komputer Anda dari berbagai jenis serangan berbahaya. Anda hampir pasti memiliki firewall yang terpasang di PC Anda.
Web Application Firewall (WAF) adalah jenis firewall yang dirancang khusus untuk melindungi situs web. Server, situs web tertentu, atau grup besar situs web semuanya dapat dilindungi.
Firewall aplikasi web (WAF) di situs WordPress Anda akan bertindak sebagai firewall antara situs Anda dan seluruh internet. Firewall mengawasi perilaku yang mencurigakan, mendeteksi serangan, virus, dan kejadian tidak diinginkan lainnya, dan memblokir apa pun yang dianggap berbahaya.
Instal Sertifikat SSL
SSL, atau Secure Sockets Layer, sekarang banyak digunakan untuk semua jenis situs web. Awalnya, SSL diperlukan untuk membuat situs web aman untuk proses tertentu, seperti pemrosesan pembayaran. Namun, hari ini, Google telah menyadari signifikansinya dan memberi situs web berkemampuan SSL peringkat yang lebih tinggi dalam hasil pencariannya.
SSL diperlukan untuk setiap situs yang menangani data sensitif, seperti kata sandi atau nomor kartu kredit. Semua data antara browser web pengguna dan server web Anda ditransfer dalam teks biasa jika Anda tidak memiliki sertifikat SSL.
Hacker mungkin bisa membaca ini. Menggunakan SSL mengenkripsi informasi penting sebelum dikirim antara browser mereka dan server Anda, membuatnya lebih sulit untuk dibaca dan meningkatkan keamanan situs Anda.
Harga SSL rata-rata untuk situs web yang menerima informasi sensitif adalah sekitar $70-$199 per tahun. Anda tidak perlu membayar untuk sertifikat SSL jika Anda tidak menerima data sensitif apa pun. Hampir setiap penyedia hosting menyediakan sertifikat SSL Let's Encrypt gratis yang dapat Anda gunakan untuk mengamankan situs web Anda.
Katakan Tidak pada Tema Nulled
Tema WordPress premium terlihat lebih profesional dan menawarkan lebih banyak opsi penyesuaian daripada tema gratis. Terlepas dari itu, sulit untuk membantah bahwa Anda mendapatkan apa yang Anda bayar dengan tema gratis.
Semua tema premium dirancang oleh pengembang yang sangat berpengalaman dan diuji sebelum dipublikasikan. Jika ada yang salah dengan situs Anda, Anda bisa mendapatkan dukungan penuh. Tidak ada batasan untuk menyesuaikan tema. Selanjutnya, memperbarui tema secara teratur.
Ada beberapa situs yang menawarkan tema nulled atau crack juga. Tema nulled adalah versi tema premium yang telah diretas, dan tersedia secara ilegal. Ini dapat membahayakan situs Anda. Kode berbahaya yang tersembunyi di dalam tema-tema ini dapat merusak situs web dan basis data Anda atau mencuri kredensial masuk Anda.
Meskipun seseorang mungkin dapat menghemat sedikit uang, penting bagi pemilik situs web mana pun untuk menghindari penggunaan tema WordPress yang dibatalkan itu.
Pembaruan Reguler Versi WordPress
Cara paling efektif untuk menjaga keamanan situs WordPress Anda adalah dengan tetap memperbaruinya. Beberapa perubahan sering dilakukan pada setiap pembaruan, termasuk pembaruan keamanan. Memperbarui perangkat lunak Anda secara teratur dapat mencegah Anda menjadi target eksploitasi dan celah yang diketahui dimanfaatkan oleh peretas untuk mendapatkan akses ke situs Anda.
Alasan yang sama berlaku untuk memperbarui plugin dan tema.
Pembaruan kecil secara otomatis diunduh oleh WordPress secara default. Namun, pembaruan yang memerlukan perubahan besar harus dilakukan langsung melalui dasbor admin WordPress Anda.
Ubah Awalan Tabel Database
Anda mungkin telah memperhatikan jendela dialog yang meminta awalan tertentu untuk memulai sesuatu seperti wp_ saat menginstal WordPress di server Anda. Itulah yang tersirat. Ini adalah database untuk situs WordPress Anda. Nama foldernya adalah wp_.
Tidak mengherankan bahwa apa pun yang umum dapat disimpulkan oleh apa yang disebut peretas. Ini juga merupakan ide yang baik untuk memodifikasi awalan dari apa pun yang telah Anda buat. Apa pun yang terjadi di mywpsite_, friendswp_, dan sebagainya.
Saya hanya dapat mencapai ini dengan mengakses database situs web Anda. Namun, jika Anda tidak terbiasa dengan semua detail teknis, plugin selalu tersedia.
Instal Plugin Keamanan WordPress Terbaik
Ada beberapa plugin keamanan untuk WordPress, baik gratis maupun premium. Dan itu adalah pilihan yang bagus untuk menginstal salah satu plugin untuk situs WordPress Anda.
Dalam panduan ini, kita akan melihat bagaimana kita dapat menciptakan lingkungan keamanan yang kokoh di sekitar situs WordPress kita melalui Defender Pro yang dibuat oleh WPMU DEV.
Fitur sorotan Defender Pro
Hambatan keamanan WordPress yang kuat dari Defender dan teknologi penyelubungan terhadap peretas, pelaku kekerasan, dan bot berbahaya.
- Pemeriksaan keamanan secara berkala
- Penguncian IP geolokasi
- Masking dan pengamanan login
- Pencatatan Audit
- Otentikasi menggunakan dua faktor
- Pemantauan Daftar Blok
- Laporan tentang kerentanan
- Memulihkan dan memperbaiki file yang diubah
Instal plugin Defender Pro WordPress
Setelah menginstal Defender Pro, Anda akan menemukan opsi yang dikategorikan tersedia, yang mudah dipahami bahkan untuk pemula.
Dasbor, Rekomendasi, Pemindaian Malware, Audit Logging, Firewall, WAF, Alat 2FA, Pengaturan, Tutorial.
Setelah Anda menyelesaikan pemindaian, Anda akan melihat layar seperti ini di Defender Pro Dashboard.
Ketika situs menemukan masalah keamanan, plugin memberikan saran tentang cara melanjutkan perbaikan. Itu menarik.
Defender Pro mengambil langkah lebih jauh dengan memberikan saran yang menyeluruh dan dapat ditindaklanjuti yang disesuaikan dengan situs dan mengatasi risiko saat ini dan masa depan.
Apa yang membuat saran ini menonjol adalah Anda dapat menyempurnakan tindakan yang Anda ambil.
Jika Anda secara tidak sengaja mengaktifkan " perbarui kunci keamanan lama ," Anda masih dapat menonaktifkan atau mengubah frekuensi pengingat. Ini menjaga situs tetap aman dan up to date.
Kesimpulan – Keamanan WordPress
Metode untuk mengamankan situs WordPress Anda mungkin membutuhkan waktu, tetapi pada akhirnya akan sia-sia. Alih-alih berakhir dengan mengatakan situs web WordPress saya diretas.
Saya telah menunjukkan kepada Anda metode untuk pengguna DIY dan juga plugin. Apa pun yang Anda pilih, keamanan situs web WordPress sangat penting bagi setiap pengguna.
Diskon 20% untuk WPMU Dev
Defender Pro adalah plugin keamanan yang fantastis untuk melindungi situs WordPress Anda. Anda bisa mendapatkan diskon 20% untuk WPMU DEV untuk keanggotaan.