Pengerasan WordPress: Cara Menjaga Situs WordPress Anda Tetap Aman

Jika Anda pernah diretas, Anda tahu betapa mimpi buruknya itu. Mungkin sulit untuk memahami langkah keamanan WordPress mana yang akan membantu menjaga situs web WordPress Anda tetap aman.

Teruslah membaca untuk mempelajari cara menjaga keamanan situs WordPress Anda. Pelajari langkah-langkah yang tepat untuk pengerasan WordPress, dan dapatkan daftar periksa keamanan situs web WordPress.

Apa itu Pengerasan WordPress?

WordPress membuat sekitar 40% dari semua situs web. Karena itu, orang yang tahu cara mengeksploitasi WordPress dapat dengan mudah menemukan banyak target. Untungnya, ada banyak hal yang dapat Anda lakukan untuk membuat pekerjaan lebih sulit bagi mereka. Ini dikenal sebagai pengerasan WordPress.

Mengapa Keamanan WordPress Penting

Tidak hanya diretas yang memalukan, tetapi juga dapat menyebabkan downtime, kehilangan data, dan kebocoran informasi. Hal ini dapat menyebabkan hilangnya penjualan dan reputasi merek yang buruk. Selain itu, dibutuhkan banyak pekerjaan untuk mengembalikan semuanya dan berjalan kembali.

Pengerasan WordPress: 10 Langkah Keamanan WordPress yang Harus Dilakukan

Ada empat cara utama peretas dapat memperoleh akses untuk meretas situs Wordpress Anda:

• Mendapatkan kata sandi atau sesi Anda dan masuk.
• Melalui akses tidak langsung seperti FTP, SSH, atau database.
• Dengan menemukan informasi di root web Anda.
• Melalui kerentanan dalam kode atau plugin WordPress.

Cara termudah untuk mendapatkan akses ke situs Anda adalah dengan masuk. Berikut adalah beberapa cara untuk memperkuat WordPress dari pencuri kata sandi.

1. Amankan Mesin yang Anda Sambungkan

Satu hal penting yang mudah diabaikan adalah komputer yang Anda sambungkan. Jika tidak aman, maka itu bisa membuat server Anda rentan juga. Inilah sebabnya mengapa sangat penting untuk memiliki pemindai virus dan firewall, untuk menjaga komputer Anda tetap mutakhir, dan mempraktikkan kebiasaan menjelajah yang aman.

2. Amankan Koneksi ke Server

Bahkan jika komputer Anda aman, kata sandi atau sesi Anda masih dapat dicuri dalam perjalanan ke server. Untuk mencegah hal ini, penting untuk memastikan Anda menggunakan HTTPS saat masuk ke backend WordPress Anda.

Bacaan terkait: Panduan Pemula untuk Pengoptimalan Kinerja WordPress >>

Lebih baik untuk selalu terhubung ke server Anda menggunakan koneksi kabel rumah atau bisnis Anda atau koneksi Wi-Fi yang menggunakan kata sandi Wi-Fi acak yang panjang. Jika Anda harus terhubung menggunakan hotspot publik, maka Anda pasti ingin berinvestasi dalam VPN.

3. Mencegah Orang Menebak Kata Sandi Anda

Ketika penyerang menggunakan skrip untuk mencoba kombinasi nama pengguna dan kata sandi yang berbeda dengan cepat sampai mereka menebak yang benar, ini disebut serangan brute force. Untuk mencegah serangan brute force, gunakan kata sandi panjang yang berisi angka huruf besar dan kecil serta karakter khusus.

Untuk membuat teknik ini semakin sulit, Anda bisa mendapatkan plugin yang akan membantu. Cari plugin autentikasi dua faktor, plugin yang menambahkan captcha ke formulir login, dan plugin yang membatasi jumlah upaya salah yang dapat Anda lakukan.

4. Jangan Gunakan Admin

Cara lain untuk mencegah serangan brute force dan metode lain untuk mencuri kata sandi adalah dengan memberi nama lain pada akun admin Anda. Jika mereka tidak dapat menebak nama pengguna Anda, maka mereka tidak dapat menebak kata sandi Anda. Setiap akun administrator tambahan harus dihapus ketika tidak lagi diperlukan. Setiap akun baru yang Anda buat seharusnya hanya memiliki akses sebanyak yang mereka butuhkan.

Jika peretas tidak dapat mengakses akun administrator Anda secara langsung, mereka mungkin dapat mengakses situs Anda secara tidak langsung melalui SSH, FTP, atau database. Semua yang disebutkan tentang menjaga keamanan PC lokal Anda, memilih kata sandi yang aman, dan menggunakan VPN saat menggunakan internet publik juga berlaku untuk SSH, FTP, dan koneksi ke database, tetapi berikut adalah beberapa pertimbangan tambahan.

5. Gunakan SFTP atau FTPS

FTP mengirimkan data dan kata sandi Anda melalui internet dalam bentuk teks biasa, artinya siapa pun yang dapat mencegat data Anda dapat melihat kata sandi dan data Anda. SFTP dan FTPS mengenkripsi data Anda.

6. Tutup atau Batasi Akses ke Port

Umumnya, jika database dan situs web Anda berada di server yang sama, Anda tidak perlu membuka port database untuk umum. Jika Anda dapat mengelola database Anda melalui portal atau dari dalam server, ini umumnya merupakan pilihan yang lebih baik karena memberikan penyerang satu cara lebih sedikit untuk mengeksploitasi situs web Anda.

Bacaan terkait: Saat WordPress Membutuhkan Peningkatan: Tips, Alat, & Strategi Penyetelan >>

Begitu juga dengan FTP, jika Anda dapat menggunakan SFTP untuk terhubung ke server, tidak perlu membuka port FTP. Jika Anda perlu menggunakan salah satu port ini untuk terhubung ke server Anda, mungkin ide yang baik untuk membatasi port hanya ke alamat IP Anda.

Jika alamat IP Anda banyak berubah, akan merepotkan jika harus menelepon untuk mendapatkan akses ke server Anda setiap kali alamat IP Anda berubah. Salah satu caranya adalah dengan menggunakan VPN. VPN tidak hanya mengenkripsi koneksi antara Anda dan server, tetapi membuatnya agar Anda dapat menggunakan alamat IP statis yang dapat Anda tambahkan ke firewall Anda untuk mencegah orang lain mengakses port.

Satu kesalahan yang dilakukan banyak orang adalah menyimpan file dan dump database di root web. Ingatlah bahwa apa pun di root web Anda dapat diakses oleh siapa saja di internet dan tidak boleh memiliki apa pun yang Anda tidak ingin orang lain miliki.

7. Hapus Apa Pun yang Tidak Perlu Dari Root Web Anda

Sebaiknya periksa root web Anda dan pastikan tidak ada yang tidak perlu agar situs Anda berfungsi tersimpan di dalamnya.

Misalnya, akan lebih mudah untuk membuang database ke webroot sehingga Anda dapat mengunduhnya nanti. Tetapi ingat bahwa basis data Anda berisi hash kata sandi Anda dan dapat berisi informasi lain yang tidak ingin Anda publikasikan.

Ide yang lebih baik adalah membuang database di tempat lain dan menggunakan SFTP untuk mengunduhnya. Jika Anda ingin menyimpannya di server sebagai cadangan, Anda cukup memindahkannya satu tingkat atau meletakkannya di mana saja kecuali root web.

Demikian juga, salinan kode situs web yang di-zip dapat digunakan untuk mempelajari kode Anda dan dapat diunduh oleh siapa saja di internet. Praktik umum lainnya adalah membuat cadangan file seperti .htaccess atau file kode sebelum memodifikasinya.

Ini tentu merupakan ide yang baik untuk membuat cadangan file Anda sebelum memodifikasinya, tetapi jika Anda berencana untuk menyimpannya di root web, Anda harus mengubah izinnya sehingga tidak dapat diakses.

Bacaan terkait: Membongkar Mitos Keamanan Hosting WordPress >>

Misalnya, Anda dapat mengetik chmod 000 .htaccess. Terakhir, bahkan file README atau apa pun yang dapat mengekspos nomor versi harus aman untuk dihapus — dan menghapusnya dapat meningkatkan keamanan.

Hal terakhir yang perlu dipertimbangkan adalah kode itu sendiri. Keamanan kode aplikasi web adalah topik yang sangat kompleks dengan seluruh buku yang ditulis tentang topik tersebut. Karena Anda menggunakan WordPress, tugas besar menjaga kode tetap aman dilakukan untuk Anda, yang harus Anda lakukan adalah menginstal tambalan.

Jika Anda menghosting dengan Nexcess, kami akan memperbarui WordPress inti untuk Anda, tetapi tema dan plugin juga dapat mengandung kerentanan.

8. Hapus Kode yang Tidak Digunakan

Cara mudah untuk menjaga keamanan situs WordPress Anda adalah dengan menghapus apa pun yang tidak Anda gunakan. Lihat semua plugin Anda dan hapus jika tidak menambahkan nilai apa pun ke situs Anda.

Bacaan terkait: Panduan Penting untuk Plugin WordPress >>

Ini tidak hanya meningkatkan keamanan, tetapi juga dapat mempercepat WordPress dan meningkatkan stabilitas situs Anda. Ingatlah bahwa dalam beberapa kasus, bahkan plugin yang dinonaktifkan dapat menimbulkan bug atau memberikan permukaan serangan kepada peretas.

Jika Anda memiliki tema WordPress yang tidak digunakan, Anda juga harus mencopotnya — meskipun Anda mungkin ingin mempertimbangkan untuk membiarkan tema WordPress default terbaru untuk pemecahan masalah nanti.

Terakhir, sangat penting untuk menghapus instalasi lama yang tidak Anda gunakan. Jika Anda memiliki seluruh subdirektori dengan blog lama atau situs web versi lama yang tidak lagi Anda gunakan, sangat penting untuk menghapusnya dari root web. Jika Anda ingin menyimpannya sebagai cadangan, itu dapat disimpan dengan aman di atas root web.

9. Pastikan Semua Plugin dan Tema Anda Aktif Dikelola

Kerentanan baru ditemukan setiap hari dan begitu diketahui, mereka dapat dengan cepat dieksploitasi oleh skrip secara massal di seluruh internet. Itulah mengapa penting untuk memastikan Anda memiliki pemrogram berpengetahuan luas yang secara aktif menanggapi setiap kekurangan yang ditemukan dalam kode mereka dan secara teratur merilis tambalan untuk menutup kerentanan.

10. Terapkan Patch

Karena kerentanan ditemukan di WordPress sepanjang waktu dan karena kerentanan WordPress begitu cepat dan dieksploitasi secara menyeluruh, sangat penting untuk menerapkan tambalan segera setelah tersedia. Hal ini sangat penting untuk dilakukan untuk menghindari downtime.

Namun, ada beberapa risiko bahwa salah satu tambalan tidak akan kompatibel dengan sisa kode Anda, jadi cara terbaik untuk melakukannya adalah dengan membuat cadangan secara teratur kemudian menerapkan tambalan secara manual kemudian menguji situs Anda.

Jika Anda menemukan sesuatu yang tidak berfungsi, Anda dapat memulihkan cadangan dan mengembalikan situs Anda dengan cepat. Jika Anda memiliki sumber daya, metode yang lebih baik adalah menyimpan salinan situs web Anda dan menerapkan semua tambalan pada salinan terlebih dahulu. Ini mencegah waktu henti dan memungkinkan Anda untuk memecahkan masalah apa pun sebelum tambalan diterapkan ke situs langsung.

Daftar Periksa Keamanan Situs WordPress

• Amankan PC Anda
• Gunakan protokol yang aman
• Gunakan kata sandi yang kuat
• Gunakan plugin untuk membuatnya lebih sulit untuk menebak kata sandi Anda
• Ganti nama akun admin
• Tutup atau batasi akses ke port di firewall Anda
• Bersihkan dump basis data, cadangan, dan terutama kode lama dari root web Anda
• Pilih plugin dan tema dengan hati-hati dan hapus yang tidak Anda gunakan
• Yang terpenting, tetap perbarui

Necess Menjaga Situs WordPress Anda Aman

Mendapatkan situs Anda diretas bisa menjadi bencana. Tidak hanya membuat Anda terlihat buruk, tetapi juga dapat menyebabkan waktu henti yang lama atau bahkan kehilangan pesanan.

Hosting WordPress dengan Nexcess adalah langkah besar pertama untuk menjaga keamanan situs WordPress Anda.

Nexcess menyediakan platform aman untuk meng-host situs web WordPress Anda. Dengan Nexcess, Anda mendapatkan pemantauan keamanan yang selalu aktif, pencadangan harian gratis, sertifikat SSL, dan IThemes Security Pro.

Dan dengan tim pakar WordPress dan profesional dukungan yang tersedia sepanjang waktu untuk membantu dengan pertanyaan apa pun yang Anda miliki, Anda akan selalu memiliki sumber daya yang Anda butuhkan 24/7.

Jelajahi paket hosting WordPress kami yang terkelola sepenuhnya untuk memulai hari ini.