Keamanan WordPress – Tips Penting untuk Setiap Pemilik Situs

Tahukah Anda bahwa ada lebih dari 90.978 serangan di situs WordPress setiap menitnya? Untungnya, meskipun angka ini terdengar sangat besar, jika Anda mengikuti aturan keamanan dasar, Anda dapat mencegah sebagian besar potensi serangan dan membuat situs web Anda tahan terhadap serangan.

Atau setidaknya membuatnya sangat sulit untuk dibobol sehingga peretas lebih suka menargetkan salah satu dari ribuan peretas yang tidak aman. Mana yang tidak terlalu sulit untuk dilakukan, terutama jika Anda menganggap bahwa banyak serangan dilakukan setelah pemindai kerentanan otomatis menemukan jalan masuk yang potensial. Jadi, bagaimana cara meningkatkan keamanan situs WordPress Anda? Berikut adalah 6 Tips Penting.

1. Perbarui Instalasi, Tema, dan Plugin WP Anda

Sebuah no-brainer tapi yang sering diabaikan. Menurut WordPress.org , 1/3 dari semua situs WordPress belum diperbarui ke versi terbaru. Selain itu, hampir 2/3 dari semua web host menggunakan PHP yang lebih lama dari 7.0. Instalasi WordPress yang ketinggalan zaman dan kerangka kerja server menimbulkan ancaman besar bagi situs Anda dan meningkatkan risiko pelanggaran yang berhasil karena peretas akan mencoba mengakses situs web Anda menggunakan kerentanan yang tidak ditambal.

Faktanya, jika Anda selalu memperbarui semua tema, plugin, dan WordPress, Anda akan lebih aman daripada 75% dari semua situs yang sah – karena diperkirakan tiga dari empat situs berisi kerentanan yang belum ditambal. Untungnya, mendapatkan versi terbaru dari plugin WP, tema, dan WP itu sendiri cukup mudah – yang Anda butuhkan hanyalah beberapa klik tombol.

Pada saat yang sama, memastikan bahwa server Anda menjalankan versi PHP terbaru dapat memakan waktu sedikit lebih lama. Itulah mengapa yang terbaik adalah menghubungi dukungan hosting Anda dan meminta mereka untuk mengarahkan Anda ke panduan tentang bagaimana Anda dapat meningkatkannya sendiri atau bahkan meminta mereka untuk meningkatkannya untuk Anda.

2. Instal Pemindai Malware dan Firewall

Jika Anda berpikir bahwa hanya PC Anda yang dapat terkena malware, virus, dan serangan brute force, Anda salah besar. WordPress tidak hanya dapat terpengaruh, tetapi sebenarnya, CMS situs web yang paling terinfeksi , yang kemungkinan besar berkaitan dengan popularitasnya.

Berita baiknya adalah, ada banyak firewall dan pemindai malware gratis dan berbayar untuk WordPress. Salah satu yang paling populer adalah Wordfence Security , yang menawarkan pemindaian malware dan firewall, dan hadir dalam versi gratis dan berbayar.

3. Dapatkan VPS dan Ubah Menjadi Benteng

Dibandingkan dengan shared hosting, VPS memungkinkan Anda untuk mengontrol setiap aspek konfigurasinya. Berkat itu, Anda tidak hanya dapat membuat situs web Anda lebih cepat, tetapi juga memastikan bahwa lingkungan hostingnya – server – diamankan dengan benar.

Pada VPS yang tidak dikelola, terserah Anda untuk memilih OS (misalnya, CentOS dianggap lebih aman dibandingkan dengan Ubuntu), firewall dan perangkat lunak lain yang Anda instal, seperti pemindai malware (yang harus Anda instal baik di WordPress maupun di server itu sendiri).

Selain itu, dengan menginstal WordPress Anda di VPS di mana Anda memiliki akses root, mudah untuk mengubah hal-hal seperti kata sandi MySQL atau mengganti nama folder WordPress dan mengkonfigurasi ulang file-nya untuk mengurangi kemungkinan serangan potensial. Meskipun beberapa di antaranya juga dapat dilakukan dengan menggunakan plugin keamanan

Secara alami, untuk mendapatkan semua manfaat dari server pribadi virtual (kecepatan, fleksibilitas, dan skalabilitas untuk beberapa nama), Anda harus menyewa server dari perusahaan yang menawarkan paket harga berbeda yang mudah ditingkatkan jika Anda membutuhkan lebih banyak sumber daya. Anda dapat melihat contoh yang bagus dari penawaran semacam itu di sini .

4. Sembunyikan /wp-admin dan instalasi WordPress Anda

Mengapa memberi tahu dunia bahwa Anda menjalankan WordPress? Meskipun ini adalah sistem manajemen konten yang hebat, Anda tidak perlu membual tentang menjalankannya. Terutama karena memberikan informasi berharga kepada penyusup potensial. Misalnya, kecuali Anda menyembunyikan WordPress, situs web seperti Apa Tema WordPress Itu? mengungkapkan informasi tidak hanya tentang tema yang Anda gunakan tetapi juga tentang beberapa plugin. Ini seperti memberi tahu peretas , inilah cara Anda bisa masuk ke dalam:

Jadi, bagaimana Anda menyembunyikan informasi situs WP Anda dari mata penyusup potensial? Untungnya, Anda tidak memerlukan keterampilan teknis sama sekali. Di mana ada permintaan, ada plugin WordPress, yang dapat Anda gunakan untuk melakukan itu – yang paling populer adalah Hide My WP by the wave, yang dapat menyembunyikan halaman login Anda, dan membuat detail tentang situs WordPress Anda tidak terlihat (sayangnya, ada tidak ada versi gratis).

Atau, Anda bisa mendapatkan versi gratis dari iThemes Security , yang tidak memberi Anda banyak opsi persembunyian (walaupun memungkinkan Anda menyembunyikan halaman login), tetapi dilengkapi dengan banyak fasilitas keamanan lainnya.

5. Ubah Nama Pengguna WP Anda dan Tetap Tersembunyi

Sama seperti Anda tidak boleh menggunakan kata sandi sebagai kata sandi Anda yang sebenarnya, meninggalkan nama pengguna WordPress default admin dapat memiliki konsekuensi yang mengerikan. Pada akhirnya, ini mungkin hal pertama yang akan coba ditebak oleh penyusup potensial, jadi dengan menggunakannya, Anda membuatnya sangat mudah bagi mereka untuk mengetahui detail akun admin Anda.

Bagaimana cara mengubahnya? Ada dua cara yang bisa Anda lakukan. Anda dapat mencari plugin yang dapat melakukannya untuk Anda atau menggunakan cara manual. Secara pribadi, saya lebih suka yang terakhir – karena ini sama cepat dan mudahnya, dan siapa pun bisa melakukannya. Namun, karena WordPress tidak memberi Anda opsi siap pakai untuk mengubahnya, Anda perlu menggunakan solusi kecil. Pertama, masuk ke situs Anda dan buka Pengguna > Tambah Baru.

Sesampai di sana, masukkan nama pengguna akun admin baru Anda dan pastikan Anda mengatur peran pengguna ke Administrator. Setelah selesai, klik Tampilkan kata sandi dan ubah atau salin kata sandi default (aman).

Setelah pengguna dibuat, keluar dari situs, dan masuk menggunakan pengguna baru. Buka Pengguna> Semua Pengguna dan hapus akun admin WordPress lama. Tapi, itu tidak semua. Anda memerlukan akun untuk mempublikasikan posting Anda, bukan? Alih-alih mempublikasikannya menggunakan administrator yang, karena permalink, membuat nama pengguna mudah ditebak, (kecuali Anda bermain-main dengan mereka), lanjutkan dan buat akun terpisah. Kali ini, alih-alih menyetel perannya ke administrator, setel ke peran yang tidak memiliki kemampuan administrator (seperti penulis atau editor).

Setelah selesai, lanjutkan dan atur penulis semua posting yang ada ke pengguna baru (Anda dapat melakukannya di Semua Posting > Edit Cepat di bawah setiap artikel).

6. Amankan Akun Pengguna WordPress yang Ada

Apakah Anda bekerja dengan asisten virtual atau memiliki karyawan yang dapat mengakses situs WordPress Anda? Dalam hal ini, yang terbaik adalah tidak memberi mereka akses ke semua plugin dan data. Pada akhirnya, mereka mungkin tidak harus dapat mengonfigurasi semua plugin di situs Anda. Dan, kecuali mereka adalah pengembang tepercaya, mereka seharusnya tidak memiliki akses ke editor tema. Bagaimana cara membatasi akses mereka? Salah satu caranya adalah dengan membuat akun mereka dan mengatur peran mereka ke salah satu default kontributor, penulis atau editor.

Tetapi bagaimana jika Anda ingin memblokir mereka dari lebih dari batasan peran ini sambil memberi mereka akses ke bagian-bagian situs web yang tidak disediakan oleh pengaturan default? Dalam hal ini, Anda dapat menggunakan plugin gratis seperti Editor Peran Pengguna , yang memungkinkan Anda membuat peran baru, dan mengatur elemen situs web mana yang dapat diakses oleh mereka.

7. Pantau Aktivitas Melalui Log Audit

Dan bagaimana jika Anda tidak dapat membatasi pengguna untuk mengakses sebagian besar elemen rentan di situs web Anda, tetapi ingin setidaknya mengetahui siapa yang mengubah atau mengedit apa, jika terjadi kesalahan? Untuk mendapatkan gambaran umum berupa log audit yang komprehensif, Anda dapat menginstal WP Security Audit Log . Versi gratisnya lebih dari cukup untuk memberi Anda gambaran umum yang nyaman tentang aktivitas karyawan dan VA Anda:

8. Jadikan Login Lebih Aman Menggunakan Google Authenticator

Berbicara tentang pengguna, ada satu hal lagi yang dapat Anda lakukan untuk membuat situs Anda lebih aman. Bayangkan kredensial WordPress Anda (atau karyawan Anda) dicuri. Dalam hal ini, tergantung pada peran pengguna dari karyawan Anda, penyusup bisa mendapatkan akses ke seluruh situs web WP. Untuk mencegah hal itu terjadi, pertimbangkan untuk menambahkan otentikasi dua faktor saat login. Cara termudah untuk melakukannya adalah plugin Google Authenticator . Setelah selesai, meskipun seseorang mendapatkan nama pengguna dan sandi Anda, mereka tidak akan dapat masuk tanpa kode yang disediakan oleh aplikasi Google Authenticator.

Seperti yang Anda lihat, meskipun WordPress dianggap sebagai sistem manajemen konten yang paling rentan dari semua yang populer, tidak sulit untuk meminimalkan atau bahkan sepenuhnya menghilangkan risiko paling umum dan mengamankan elemen paling terancam di situs web Anda.

Jika Anda mengikuti tip di atas, tetap berhati-hati saat memberikan akses ke situs Anda kepada orang lain, dan selalu perbarui elemen situs Anda, situs web Anda, dan dengan itu, bisnis Anda akan aman dari penyusup potensial. Belum lagi seberapa banyak Anda dapat menghemat hanya mencegah pelanggaran keamanan.