Keamanan WordPress: Tingkatkan Keamanan Situs Anda Dengan Langkah-Langkah Ini

Di web, jumlah situs web tertinggi yang berjalan di platform WordPress. Itu berarti WordPress menguasai web. Ini menarik perhatian elemen jahat di web. Oleh karena itu, Google melarang hampir 20 ribu situs web untuk malware dan 50 ribu situs web untuk phishing setiap tahun.

Dalam skenario suram seperti itu, keamanan situs web menjadi vital. Insiden serangan yang tercatat adalah yang tertinggi di platform WordPress karena jumlah situs web yang berjalan dengan kode WordPress lebih banyak. Oleh karena itu, hari ini saya ingin menyoroti beberapa langkah yang dapat ditindaklanjuti yang akan membantu Anda mengamankan situs WordPress Anda.

Mengamankan Masuknya Pengguna Situs WordPress Anda

Dalam kehidupan nyata, ketika kita ingin mengamankan tempat seperti rumah, kantor, atau pabrik, pertama-tama kita melihat titik akses di mana elemen jahat atau jahat dapat mencoba untuk mendapatkan entri. Strategi yang sama perlu diterapkan untuk mengamankan situs WordPress Anda.

Sekarang, mari kita evaluasi kemungkinan titik masuk melalui peretas atau pengguna yang bermaksud jahat bisa mendapatkan akses ke backend atau kode sumber Anda. Secara default, URL akses backend WordPress berakhir dengan:

/wp-login.php atau /wp-admin/

Oleh karena itu, Anda perlu mengambil langkah yang tepat untuk memblokir masuknya pengguna yang tidak diinginkan ke halaman backend WordPress Anda.

Ubah URL Masuk

Jika Anda adalah pengembang WordPress, Anda sudah tahu cara mengubah URL default backend situs, tetapi untuk pengguna yang kuat atau pengguna tipe DIY, plugin atau ekstensi keamanan lanjutan dapat memberdayakan Anda untuk melakukannya. Dengan demikian, Anda dapat mengubah

• /wp-login.php ke /Nama-Domain-Anda-login.php
• /wp-admin/atau /Nama-Domain-Anda-admin/
• /wp-login.php?action=register atau /Your-Domain-Name-registration

Dengan demikian, URL khusus semacam ini dapat sangat membantu Anda melindungi dari serangan brute force.

Ubah Nama Pengguna

Secara default, sebagian besar pengembang WordPress menetapkan kata kunci 'Admin/admin' sebagai nama pengguna. Itu membuat pekerjaan peretas dan pengguna yang tidak diinginkan mudah untuk mengakses backend situs WordPress Anda dan mereka harus menggunakan Guess Work Database (GWDb) hanya untuk menebak kata sandinya.

Jika Anda mengubah nama pengguna default Anda menjadi sesuatu yang tidak dapat diprediksi seperti alamat email Anda, Anda dapat mengurangi ancaman penyerang dan perangkat lunak mereka.

Ganti kata sandi

Sama seperti nama pengguna, kata sandi selalu terancam. Ada banyak cara untuk melindungi aktivitas menebak password. Misalnya, menggunakan kata sandi yang sangat kompleks dengan kombinasi huruf kecil, huruf besar, angka, dan simbol.

Namun, tren autentikasi dua faktor terkini adalah cara yang sangat baik dan solid untuk mengamankan akses ke backend Anda untuk semua tingkat pengguna. Ponsel/smartphone adalah perangkat yang berguna untuk mengakses OTP (One-Time Password) untuk mengotentikasi sistem 2FA.

Atur Lockdown dan Larangan

Untuk mencegah upaya paksa dan menerapkan penguncian atau larangan alamat IP itu, ada banyak plugin dan perangkat lunak yang tersedia untuk mengenali upaya login atau pendaftaran berulang kali. Plugin memungkinkan Anda mengatur sejumlah upaya yang gagal dan menyediakan fitur lain untuk mencegah backend situs web Anda dari akses yang tidak sah.

Mengamankan Dasbor Admin Situs Web WordPress Anda

Untuk pengguna backend WordPress, dasbor adalah bagian backend yang paling menarik dan paling sering digunakan. Ini menyediakan semua alat dan opsi untuk mengelola seluruh situs web langsung dari penggunaan default hingga penyesuaian. Jika ada yang berhasil meretas dasbor, itu akan membuktikan kemenangan terbesar bagi peretas dan yang paling merusak bagi pemilik situs web.

Oleh karena itu, kita harus mengambil tindakan khusus untuk dashboard admin WordPress . Berikut ini adalah langkah-langkah yang mungkin dapat kita pertimbangkan untuk selanjutnya.

Jaga Direktori 'wp-admin'

Semuanya diletakkan ke dalam direktori wp-admin yang memungkinkan Anda untuk mengelola seluruh situs web termasuk sumber daya, dan file. Oleh karena itu, mencegah akses tidak sah ke direktori berarti menghilangkan kemungkinan terburuk di muka.

Ada beberapa plugin yang dikembangkan oleh komunitas WordPress untuk membuat direktori dilindungi kata sandi. Dengan demikian, pengguna admin WordPress harus menggunakan dua kata sandi yang berbeda untuk mengakses dasbor. Satu untuk halaman login sementara yang lain untuk dashboard. Plugin tersebut secara otomatis menghasilkan file [.htpasswd] kemudian mengenkripsi kata sandi, dan mengkonfigurasi izin file.

Tambahkan Pengguna Admin dengan Cukup Perhatian

Selain admin super yang memiliki semua hak istimewa backend, pengguna lain juga memiliki akses ke backend dengan tingkat akses yang berbeda ke fitur dan fungsi backend. Akses berbasis peran ke backend dimungkinkan, dan Anda dapat memberi mereka nama pengguna yang berbeda serta kata sandi yang menurut Anda paling aman.

Pantau File Penting di Direktori Admin

Anda dapat menggunakan beberapa plugin untuk memantau aktivitas mencurigakan bagi semua pengguna admin untuk mengambil tindakan waktu nyata setiap kali ancaman keamanan terdeteksi.

Enkripsi Data

Jika Anda telah menerapkan Security Socket Certificate (SSL) yang menggunakan teknologi enkripsi terbaru untuk melindungi data yang Anda simpan dan tukarkan, Anda dapat mencegah terjadinya kesalahan di antaranya dan mengamankan seluruh area admin WP serta situs web.

Mengamankan Database Situs WordPress Anda

Platform WordPress sangat bergantung pada database karena semua aset situs web disimpan dalam database dalam sebagian besar format tabel dalam jenis database SQL, baik itu teks, gambar, kode tata letak, konten multimedia, dan apa pun di situs WordPress memiliki tempat di database.

Untuk melindungi database dari Injeksi SQL dan serangan cyber lainnya, Anda dapat melindungi database Anda dengan langkah-langkah berikut.

Setel Kata Sandi untuk Basis Data

Anda dapat mengatur kata sandi yang kuat untuk database Anda dan membatasi akses ke database hingga peran admin super sehingga merusak database atau kemungkinan kesalahan dapat diminimalkan.

Ubah Awalan WP

Jika Anda akan menginstal situs WordPress, Anda mungkin menemukan pengaturan untuk tabel database, dan itu adalah awalan tabel WP. Secara default adalah wp- dan Anda harus mengubahnya untuk mencegah SQL Injection seperti serangan database. Anda dapat mengubahnya dari wp- ke Nama-Domain-Anda seperti awalan yang disesuaikan.

Ambil Cadangan Basis Data Secara Reguler

Anda mungkin memiliki cadangan reguler seluruh situs web atau tidak, tetapi mengatur cadangan basis data dapat menyelamatkan Anda dari kehilangan data yang terjadi karena berbagai alasan yang diketahui dan tidak diketahui. Hari ini kami memiliki plugin cadangan dengan hak istimewa untuk mengambil cadangan database dengan frekuensi yang berbeda .

Mengamankan Hosting Situs WordPress Anda

Saat ini hosting situs web sangat penting untuk keberhasilannya karena mesin pencari memerlukan hosting ramah-SEO yang ideal untuk memenuhi persyaratan peringkatnya. Demikian pula, pengguna situs web termasuk pengguna backend dan pengguna frontend, pengoptimalan kinerja , pengoptimalan konversi, dan pengalaman pengguna sangat bergantung pada lingkungan hosting dan kualitas hosting secara keseluruhan.

Hari ini kami memiliki beberapa opsi hosting selain layanan hosting komunitas WordPress default seperti hosting bersama, hosting VPS, hosting khusus, dan yang terpenting, layanan hosting berbasis cloud seperti Kinsta untuk berbagai skala dan ukuran situs web.

File wp-config.php aman

Akses file wp-config.php WordPress adalah pencapaian penting bagi peretas untuk menyelesaikan niat buruk mereka dengan mudah karena berisi informasi yang sangat penting mengenai seluruh instalasi WordPress Anda.

Cara terbaik adalah memindahkan file ke level yang lebih tinggi dari direktori root. Anda dapat melakukannya dengan mudah karena WordPress dapat melihatnya meskipun berada di luar direktori root WordPress. Dengan demikian, server dapat dengan mudah menemukannya di level yang lebih tinggi.

Larangan Edit File

Di server hosting, sumber situs web Anda memiliki beberapa file dengan informasi penting dan izin untuk menjalankan situs Anda dengan lancar. Jika peretas atau elemen jahat memecahkan server dan mengakses file-file itu, mereka dapat melakukan berbagai intensitas bahaya.

Jika Anda melarang pengeditan file untuk siapa pun kecuali admin super, Anda dapat menyelamatkan dari kerugian itu dengan mudah. Anda dapat melakukannya hanya dengan menambahkan baris kode di akhir file wp-config.

Berhati-hatilah Saat Mengatur Izin Direktori

Direktori, sub-direktori, dan file di server hosting Anda adalah aspek keamanan WordPress yang penting. Jika Anda salah menetapkan izin untuk komponen situs web ini. Anda dapat meningkatkan peluang serangan setelah server berkompromi.

Oleh karena itu, Anda harus menetapkan izin 755 untuk direktori/sub-direktori dan izin 644 untuk file. Dengan menggunakan alat File Manager yang tersedia di hosting/c-Panel, Anda dapat mengatur atau mengubah izin dengan mudah. Untuk informasi lebih lanjut tentang izin file – Memahami Izin File dan Menggunakannya untuk Mengamankan Situs Anda .

Koneksi Server yang Benar

Secara tradisional, kami menggunakan protokol FTP untuk koneksi server. Tetapi SFTP atau SSH adalah cara yang lebih aman dan andal saat ini untuk membuat koneksi server.

Mengamankan Tema & Plugin Situs WordPress Anda

Sebagian besar tema dan plugin WordPress dikembangkan oleh pengembang pihak ketiga. Itu tidak sepenuhnya dapat diandalkan dari sudut pandang keamanan. Oleh karena itu, Anda harus mengambil beberapa tindakan untuk membuatnya aman. Misalnya:

Ambil Pembaruan Reguler

Sama seperti situs web WordPress Anda, pengembang/perusahaan plugin dan tema juga mengeluarkan pembaruan untuk mengimbangi versi WordPress dan memperbaiki bug dan masalah yang mereka ketahui melalui umpan balik pengguna. Jadi, cobalah untuk menginstal pembaruan mereka secara teratur melalui dasbor menggunakan plugin yang sesuai.

Sembunyikan Info Versi WordPress

Untuk penyerang, mengetahui info versi WordPress Anda seperti nomor dapat membantu mengembangkan serangan yang dibuat khusus, dan info versi tersedia dengan mudah di sumber WordPress. Jika Anda dapat menghapus info versi DIY tersebut, atau dengan bantuan pengembang WordPress khusus Anda, Anda dapat membuat kehidupan penyerang sedikit sulit.

Kesimpulan

Saya telah menulis posting di atas dengan mengingat pemula dan pengembang WordPress tingkat menengah serta pengembang plugin WordPress khusus. Oleh karena itu, penerapan tips yang dijelaskan untuk mengamankan situs WordPress Anda akan terbukti sulit tanpa bantuan plugin keamanan WordPress yang sesuai dan terbaru. Saya merekomendasikan plugin berikut untuk dipasang di situs Anda dan membuatnya lebih aman dari sebelumnya:

• Keamanan & Firewall WP Semua Dalam Satu
• Perlindungan Login Brute Force
• Keamanan Antipeluru
• Google Authenticator
• Keamanan iThemes, sebelumnya Keamanan WP yang Lebih Baik
• Plugin Sucuri Security WordPress
• KataPagar
• Perlindungan Situs Antivirus WP

Jika Anda masih memiliki kebingungan dan ingin mendapatkan bantuan dari tangan ahli. Perception System menyediakan layanan pengembangan WordPress serta fasilitas untuk menyewa pengembang WordPress untuk membantu klien yang membutuhkan agar situs mereka benar-benar aman dan terlindungi.