10 Tips Luar Biasa untuk Melindungi Area Admin WordPress
Diterbitkan: 2022-07-12Di antara 8.000 situs web yang terinfeksi yang diketahui oleh Sucuri, 74% di antaranya berbasis WordPress, menurut Laporan Situs Web yang Diretas untuk 2016. Statistik serius ini sebagian membantu Anda menyadari perhatian yang terus-menerus dan berkelanjutan terhadap keamanan web di situs Anda.
Pihak ketiga yang berbahaya menggunakan berbagai metode untuk menyerang situs WordPress Anda. Dasbor admin akan menjadi target yang paling rentan. Ini seperti pusat situs Anda yang berisi data penting. Setelah membobol dasbor admin Anda, mereka mengambil tindakan berbahaya yang secara signifikan akan merusak situs Anda.
Untuk mencegah serangan mencurigakan secara efektif, Anda perlu melindungi admin WordPress. Artikel kami hari ini berpusat pada 10 cara untuk memperketat area login Anda. Sebelum menggali lebih dalam, izinkan kami menjelaskan secara singkat beberapa alasan untuk mengamankan login admin Anda.
Mengapa Mengamankan Admin WordPress
Ketika berbicara tentang eksploitasi situs web, kami pasti memikirkan peretas yang membobol server Anda menggunakan sistem komputer yang canggih.
Padahal, prosesnya jauh lebih mudah dari itu. Mereka hanya dapat memperoleh akses ke backend situs web Anda dan mengontrolnya. Kemudian, Anda menderita konsekuensi kehilangan data, menghadapi masalah hukum, dan menghabiskan uang untuk membersihkan situs web.
Dalam kebanyakan kasus, peretas meninggalkan perangkat lunak perusak di situs Anda untuk mencuri data kredensial pelanggan seperti nomor telepon atau detail kartu kredit. Setelah informasi pribadi ini dicuri, pelanggan Anda tidak hanya kehilangan uang dan terganggu, tetapi juga merusak reputasi merek Anda.
Pembeli tidak akan pernah kembali ke toko online Anda untuk membeli karena mereka tidak yakin apakah informasi mereka sepenuhnya aman. Anda mungkin terseret ke dalam litigasi karena tidak melindungi data pelanggan dengan hati-hati juga.
Plus, membersihkan situs web karena serangan siber itu mahal. Anda harus menyewa layanan pemeliharaan WordPress untuk menangani hal ini.
Ada beberapa teknik yang dapat Anda terapkan untuk melindungi admin WordPress. Di bawah ini adalah 10 solusi termudah untuk pemilik situs mana pun, mulai dari orang non-teknisi hingga orang yang paham teknologi.
#1 Ubah Nama Pengguna Admin Default
WordPress menetapkan admin untuk semua nama pengguna default situs web. Dan penjahat dunia maya tahu ini, pasti. Mereka dengan mudah menebak kata sandi Anda untuk masuk ke situs Anda. Mereka bisa mendapatkannya di suatu tempat atau mencoba melakukan serangan brute force.
Anda harus mengambil nama pengguna lain daripada admin untuk mengamankan login admin. Untungnya, mengubah nama pengguna di WordPress adalah hal yang mudah.
- Kunjungi Pengguna di menu admin situs web Anda
- Pilih Semua Pengguna dan buka profil admin
- Perbarui nama pengguna dan kata sandi
- Simpan perubahan Anda
#2 Gunakan Kata Sandi yang Kuat untuk Melindungi Admin WordPress
Diperkirakan 8% situs WordPress yang diretas berasal dari kata sandi yang lemah. Jadi ingatlah untuk menggunakan kata sandi yang kuat untuk akun Anda. Kata sandi harus mengandung minimal 8 karakter, menggabungkan huruf, angka, dan karakter khusus. Anda dapat memasukkan kata sandi baru tepat di halaman Pengguna tempat Anda mengubah nama pengguna.
Pembuat kata sandi sangat membantu Anda dalam membuat kata sandi yang acak dan kuat. Cukup pilih elemen yang ingin Anda sertakan dalam kata sandi dan biarkan alat menangani pekerjaan itu.
Namun, mengingat semua kata sandi Anda menyakitkan karena Anda memiliki banyak kata sandi dan akun untuk dikelola. Untungnya, Anda memiliki aplikasi pengelola kata sandi, mendukung Anda untuk menyimpan kata sandi Anda dengan aman tanpa khawatir diretas.
#3 Buat URL Login Kustom
Selain nama pengguna, WordPress juga memberi Anda tautan masuk default dengan menambahkan /wp-login.php ke domain situs web. Misalnya, www.example.com/wp-login.php . Jika Anda tetap menggunakan URL login dan nama pengguna default, peretas sudah setengah jalan mendapatkan akses ke admin situs Anda.
Meskipun Anda dapat membuat URL login admin khusus dengan mengedit file wp-login.php, kami sangat menyarankan untuk menggunakan plugin. Anda tidak perlu menyentuh server atau membuat perubahan pada file dan folder yang dapat merusak situs web.
Pertimbangkan WPS Hide Login saat memilih plugin untuk menyesuaikan tautan login WordPress. Plugin ini mendapatkan kepercayaan dari lebih dari 1 juta pengguna di seluruh dunia dan membuktikan solusi paling populer di ceruk ini sejauh ini.
Ikuti 4 langkah di bawah ini untuk memulai dengan plugin.
- Instal dan aktifkan WPS Hide Login di situs Anda
- Buka Pengaturan di menu admin
- Pilih WPS Sembunyikan Login
- Masukkan tautan masuk baru ke dalam kotak URL Masuk
Ingatlah untuk menyimpan perubahan Anda. Setelah selesai, hanya pengguna dengan tautan masuk baru dan detail akun yang benar yang dapat mencapai halaman admin Anda.
#4 Password Protect Folder wp-admin
Folder wp-admin terdiri dari file administratif penting, yang terletak di direktori root. Anda dapat membuat lapisan keamanan tambahan untuk admin Anda dengan melindungi folder wp-admin ini dengan kata sandi.
- Masuk ke cPannel hosting Anda atau hubungkan dengan klien FTP
- Tekan Password Protect Directory atau Directory Privacy
- Temukan folder wp-admin di bawah direktori /public_html/
- Aktifkan opsi Kata sandi melindungi direktori ini
- Berikan nama pengguna dan kata sandi
- Klik Simpan
Inilah yang dilihat pengguna kapan saja mencoba mendapatkan halaman admin WordPress Anda. Mereka harus memasukkan Nama Pengguna dan Kata Sandi yang tepat untuk melewati lapisan otentikasi pertama sebelum mengirimkan data kredensial admin.
#5 Atur Ulang Kata Sandi untuk Semua Pengguna
Cara lain untuk melindungi admin WordPress datang dengan memaksa setiap pengguna untuk mengatur ulang kata sandi mereka, terutama di situs web multi-pengguna. Untuk mencapai ini dengan cepat, Anda memerlukan bantuan dari plugin Reset Kata Sandi Darurat.
Setelah aktivasi, itu akan memungkinkan admin untuk mengatur ulang kata sandi dan mengirim email kepada mereka tautan reset secara otomatis hanya dengan satu klik. Ambil langkah-langkah di bawah ini:
- Instal plugin Reset Kata Sandi Darurat
- Buka Pengguna → Reset Kata Sandi Darurat
- Tekan tombol Reset semua kata sandi
Itu dia!
#6 Batasi Upaya Masuk
WordPress mengizinkan pengguna untuk memasukkan informasi login sebanyak yang mereka suka sampai mereka berhasil mendapatkan akses ke area admin Anda. Namun, opsi ini memberi peretas kesempatan untuk secara brutal menyerang situs Anda.
Pengguna yang bermaksud buruk ini sering kali memiliki pustaka kata sandi yang paling umum. Peretas akan menggunakan skrip otomatis dan menelusuri ribuan kata sandi potensial.
Untuk mengurangi risiko, Anda dapat membatasi upaya login dengan plugin Wordfence Security. Ini lebih dari sekedar plugin untuk mencegah serangan brute force, yang bertanggung jawab atas keamanan situs dan firewall WordPress. Kami akan membahas kegunaan plugin ini di bagian mendatang.
- Instal dan aktifkan plugin Keamanan Wordfence untuk situs Anda
- Buka Wordfence dan pilih Semua Opsi
- Aktifkan Aktifkan perlindungan brute force di bawah Opsi Firewall
- Masukkan waktu yang diizinkan pengguna untuk mengirimkan informasi login yang gagal
Jika mereka dapat masuk meskipun telah mencapai jumlah maksimum upaya, plugin akan segera memblokir alamat IP mereka.
#7 Batasi Akses Masuk berdasarkan Alamat IP
Metode ini menguntungkan jika Anda memiliki beberapa pengguna yang memerlukan akses ke area admin Anda. Ini mengharuskan Anda untuk mengedit file .htaccess melalui File Transfer Protocol (FTP) atau pengelola file host web Anda.
Tambahkan kode di bawah ini ke file:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Kontrol Akses Admin WordPress" AuthType Dasar <BATAS DAPATKAN> perintah tolak, izinkan tolak dari semua # alamat IP daftar putih izinkan dari xx.xx.xx.xxx </LIMIT>
Ganti xx.xx.xx.xxx dengan alamat IP asli.
Memodifikasi file .htaccess sangat berbahaya. Ingatlah untuk membuat cadangan situs Anda sebelum mengedit file .htaccess. Dengan cara itu, Anda dapat membalikkan versi sebelumnya jika terjadi kesalahan pada situs.
#8 Siapkan Otentikasi Dua Faktor
Otentikasi Dua Faktor (2FA) memungkinkan Anda menambahkan lapisan keamanan ekstra ke admin WordPress Anda. Misalnya, masukkan kode keamanan yang dikirim ke perangkat seluler Anda, atau gunakan ID wajah Anda.
Jika Anda telah menginstal plugin Wordfence yang kami perkenalkan di atas, Anda dapat menggunakan fungsi ini tanpa bantuan solusi tambahan apa pun.
- Kunjungi Wordfence dan buka bagian Keamanan Masuk
- Pindai kode QR dengan aplikasi autentikator Anda
#9 Nonaktifkan Petunjuk Masuk
Ketika pengguna gagal masuk ke dasbor admin, WordPress akan menampilkan pesan kesalahan yang memberi tahu mereka apakah nama pengguna atau kata sandi mereka salah. Ini memberikan petunjuk kepada pengguna tentang kredensial login.
Ambil contoh hacker yang menggunakan username dan password secara acak untuk mengakses halaman admin. Jika mereka mengetahui salah satu detailnya, mereka hanya perlu mencari yang lain yang benar.
Anda dapat menghentikan ini dengan mengedit file functions.php tema Anda. Buka Appearance → Theme Editor → functions.php di backend WordPress. Kemudian, masukkan kode berikut ke dalam file functions.php Anda.
fungsi no_wordpress_errors(){ return 'Ada yang salah!'; } add_filter('login_errors', 'no_wordpress_errors');
#10 Gunakan Firewall Aplikasi Situs Web
Firewall tidak pernah menjadi solusi lama untuk mengamankan admin WordPress Anda. Ini memonitor lalu lintas situs dan memblokir permintaan jahat dari mengakses situs Anda. Beberapa plugin populer yang dapat Anda coba termasuk Wordfence, iThemes Security, dan Sucuri.
Mereka tidak hanya menjauhkan pengguna yang mencurigakan, tetapi plugin ini juga memindai malware. Ada banyak opsi perlindungan login untuk dipilih, mulai dari pencegahan serangan brute force, otentikasi dua faktor, CAPTCHA, dll.
Saatnya Melindungi Admin WordPress
Konsekuensi dari eksploitasi WordPress sangat menghancurkan. Anda akan kehilangan pelanggan, reputasi merek, dan uang karena kejahatan dunia maya login admin.
Mencegah selalu lebih baik daripada mengobati. Anda telah melalui 10 tips terbaik untuk mengamankan area admin WordPress Anda dengan dan tanpa plugin.
Anda hanya perlu beberapa klik untuk mengubah nama pengguna dan kata sandi admin. Anda dapat menginstal plugin untuk membuat URL login khusus, membatasi upaya login, menyiapkan 2FA, dan menerapkan firewall. Anda harus menggunakan kode untuk melindungi folder wp-admin dengan kata sandi, membatasi login berdasarkan alamat IP, dan menonaktifkan petunjuk login.
Berapa banyak dari metode ini yang telah Anda terapkan? Bagikan dengan kami di bagian komentar di bawah.