Cara Mengamankan Admin WordPress Anda (Wp-Admin)

Diterbitkan: 2022-08-27

Keamanan WordPress cukup vital dalam ekosistem WordPress. Salah satu pendekatan keamanan yang harus dilakukan adalah mengamankan Wp-admin Anda. Ini karena Wp-admin kemungkinan akan menjadi titik pertama yang akan digunakan penyerang untuk mencoba dan mendapatkan akses ke situs Anda.

Secara default, file administrasi WordPress disimpan di dalam folder Wp-admin. Meskipun WordPress memiliki berbagai langkah keamanan untuk melindungi folder, fakta bahwa admin WordPress default diketahui secara luas, maka ini menjadikannya sasaran empuk bagi peretas. Oleh karena itu, penting untuk mengurangi risiko serangan web yang dipicu dari admin WordPress.

Dalam artikel ini, kita akan melihat beberapa pendekatan yang dapat Anda gunakan untuk mengamankan admin WordPress Anda.

Daftar isi

Pendekatan untuk Mengamankan Wp-admin Anda

  • Hindari menggunakan Nama Pengguna "admin" default
  • Membuat Kata Sandi yang Kuat
  • Kata sandi-Lindungi area Wp-admin
  • Buat URL Login Khusus
  • Menggabungkan Otentikasi/Verifikasi Dua Faktor
  • Aktifkan logout otomatis
  • Batasi jumlah upaya Login
  • Terapkan pembatasan IP
  • Nonaktifkan Kesalahan pada halaman Login
  • Menggunakan Plugin Keamanan
  • Perbarui WordPress ke versi terbaru

Kesimpulan

Pendekatan untuk Mengamankan Wp-admin Anda

Ada berbagai cara yang bisa Anda manfaatkan untuk mengamankan area admin WordPress. Di bawah ini adalah daftar singkat tentang praktik keamanan ini.

1. Hindari menggunakan Nama Pengguna “admin” default

Pada instalasi WordPress baru, akun pertama yang dibuat adalah akun administrator. "admin" ditetapkan sebagai nama pengguna default dalam instalasi semacam itu. Ini sebenarnya pengetahuan publik.

Salah satu cara peretas dapat dengan mudah mengetahui apakah "admin" adalah nama pengguna Anda adalah dengan mengakses URL login situs Anda dan mencoba nama pengguna "admin". Jika "admin" sebenarnya adalah nama pengguna di dalam situs, mereka akan memiliki pesan kesalahan seperti itu di layar masuk; “ Kesalahan: Kata sandi yang Anda masukkan untuk nama pengguna admin salah. Kehilangan kata sandi Anda ? ”

Pesan kesalahan seperti itu akan berfungsi sebagai konfirmasi kepada peretas bahwa ada nama pengguna "admin" di dalam situs.

Pada tahap ini seorang peretas sudah memiliki dua informasi terkait situs Anda. Ini adalah nama pengguna dan URL login. Yang dibutuhkan peretas hanyalah kata sandi situs.

Seorang peretas pada saat ini akan mencoba melakukan serangan hanya dengan menjalankan kata sandi terhadap nama pengguna itu untuk mendapatkan akses ke situs. Ini dapat dilakukan secara manual atau bahkan melalui bot.

Pendekatan lain yang dapat digunakan peretas adalah dengan menambahkan kueri “?author=1/” ke URL sehingga terbaca sebagai domainanda/?author=1/. Jika Anda memiliki nama pengguna dengan admin pengguna, maka URL akan mengembalikan kiriman dari pengguna atau tidak sama sekali jika tidak ada kiriman yang terkait dengannya. Di bawah ini adalah contoh ilustrasi:

Dalam salah satu kasus, selama kesalahan 404 tidak dikembalikan, ini akan berfungsi sebagai konfirmasi bahwa pasti ada nama pengguna dengan nama pengguna "admin".

Berdasarkan skenario di atas, jika Anda memiliki nama pengguna default “admin”, sangat penting bagi Anda untuk membuat akun administrator baru dari bagian Pengguna > Tambah Baru di dasbor WordPress Anda.

Setelah ini selesai, pastikan Anda menghapus akun "admin" sebelumnya.

2. Membuat Kata Sandi yang Kuat

Kata sandi yang kuat sangat penting untuk situs WordPress mana pun di luar sana. Kata Sandi yang Lemah di sisi lain memudahkan peretas untuk mendapatkan akses ke situs WordPress Anda.

Beberapa langkah keamanan kata sandi yang dapat Anda sertakan meliputi:

  • Pastikan password cukup panjang (minimal 10 karakter)
  • Kata sandi setidaknya harus mengandung karakter alfanumerik, spasi, dan karakter khusus
  • Pastikan kata sandi diubah atau diperbarui secara berkala
  • Pastikan Anda tidak menggunakan kembali kata sandi
  • Kata sandi tidak boleh berupa kata-kata kamus
  • Simpan kata sandi menggunakan Pengelola kata sandi
  • Pastikan bahwa pengguna yang mendaftar ke situs mengisi kata sandi yang kuat

Kata sandi juga tidak boleh ditebak karena ini akan kembali menimbulkan ancaman keamanan.

3. Kata Sandi-Lindungi area Wp-admin

WordPress memang menawarkan tingkat keamanan ke Wp-admin dengan memungkinkan pengguna untuk mengisi nama pengguna dan kata sandi mereka untuk masuk. Namun, ini mungkin tidak cukup karena peretas sebenarnya dapat melakukan serangan web saat mengakses Wp-admin. Oleh karena itu, disarankan untuk menambahkan lapisan keamanan ekstra ke Wp-admin. Ini dapat dilakukan baik melalui:

i) cPanel

ii) .htaccess

Melalui cPanel

Untuk melindungi Wp-admin dengan kata sandi melalui cPanel, Anda harus melakukan hal berikut:

Pertama akses dasbor cPanel Anda dan klik "Privasi Direktori".

Selanjutnya, akses folder public_html.

Di dalamnya, klik tombol "Edit" di dalam direktori wp-admin.

Di layar berikutnya, aktifkan opsi "Kata sandi melindungi direktori ini" dan di dalam bidang "Masukkan nama untuk direktori yang dilindungi", isi nama preferensi Anda dan simpan perubahan Anda.

Setelah ini selesai, mundur selangkah dan buat pengguna baru dengan detail yang Anda inginkan (nama pengguna dan kata sandi).

Dengan dilakukan di atas, jika pengguna mencoba mengakses folder wp-admin, dia akan diminta untuk mengisi nama pengguna dan kata sandi yang baru dibuat sebelum diarahkan ke layar di mana dia harus mengisi admin WordPress-nya kredensial.

Melalui .htaccess

File .htaccess adalah file konfigurasi yang digunakan oleh Apache yang berfungsi untuk melakukan perubahan pada direktori. Anda dapat mempelajari lebih lanjut tentang file dalam artikel ini.

Di bagian ini, kita akan melihat cara menggunakan file .htaccess untuk membatasi folder wp-admin. Untuk melakukannya, kita perlu membuat dua file (.htaccess dan .htpasswd) dengan melakukan hal berikut:

i) Buat file .htaccess

Menggunakan editor teks pilihan Anda, buat file baru bernama .htaccess .

Tambahkan konten berikut ke file:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

Dalam kode di atas, Anda perlu mengubah jalur “AuthUserFile” yang ditentukan (/home/user/public_html/mydomain.com/wp-admin/) dengan jalur direktori wp-admin Anda yang akan diunggah file .htpasswd . Selain itu, Anda juga perlu mengubah "usernamedetail" di baris "require user", dengan nama pengguna yang Anda inginkan.

ii) Buat file .htpasswd

Masih menggunakan editor teks pilihan Anda, buat file baru bernama .htpasswd.

Akses generator wtools.io.

Isi nama pengguna dan kata sandi Anda di bidang khusus dalam Formulir Htpasswd dan klik tombol "Hasilkan".

Setelah selesai, salin hasilnya ke file .htpasswd Anda dan simpan perubahan Anda.

iii) Unggah file melalui FTP

Untuk mengunggah file melalui FTP, Anda harus menggunakan alat seperti Filezilla.

Untuk memulainya, Anda perlu mengunggah file .htaccess Anda ke direktori wp-admin situs Anda diikuti dengan file .htpasswd.

Setelah pengguna mencoba mengakses /wp-admin, dia akan disajikan dengan layar login yang mirip dengan yang terlihat di bawah ini:

4. Buat URL Login Kustom

URL login WordPress diakses dengan menambahkan wp-admin atau wp-login.php? ke domain Anda. Fakta bahwa ini adalah titik akhir login WordPress default berarti selama peretas memiliki akses ke domain, ia dapat dengan mudah mengakses URL login Anda.

Jika Anda juga menggunakan nama pengguna "admin" default, maka itu berarti peretas hanya perlu mengetahui satu informasi, yaitu "kata sandi".

Oleh karena itu, penting untuk memiliki URL login khusus untuk situs Anda. Salah satu cara untuk mencapai ini adalah Anda perlu menginstal plugin WPS Hide Login.

Setelah menginstal plugin, navigasikan ke bagian Pengaturan > WPS Sembunyikan Login dan tentukan URL login yang Anda inginkan dan URL pengalihan yang akan diakses ketika pengguna yang tidak login mencoba mengakses Wp-login.php atau Wp-admin .

Setelah ini selesai, simpan perubahan Anda.

Ini akan mempersulit siapa pun yang mencoba mengakses login situs web Anda, sehingga mengurangi tugas potensial.

5. Menggabungkan Otentikasi/Verifikasi Dua Faktor

Otentikasi Dua Faktor adalah mekanisme keamanan di mana lapisan keamanan tambahan disediakan dengan menambahkan persyaratan otentikasi tambahan.

Untuk menerapkan Otentikasi Dua Faktor dalam situs WordPress Anda, Anda dapat menggunakan plugin pihak ketiga pilihan Anda. Dalam panduan ini, kami menyarankan untuk menggunakan WP 2FA – Otentikasi dua faktor untuk plugin WordPress karena kemudahan penggunaannya.

Untuk menggunakan plugin, navigasikan ke bagian Plugins > Add New di dashboard WordPress dan cari WP 2FA.

Instal dan aktifkan plugin.

Setelah ini selesai, navigasikan ke bagian Users > Profile dan klik tombol "Configure 2FA".

Pada layar berikutnya, pilih metode 2FA yang Anda inginkan. Dalam kasus kami di sini, kami akan memilih opsi "Kode satu kali dibuat dengan aplikasi pilihan Anda".

Setelah memilih, lanjutkan ke langkah berikutnya. Di sini, pilih aplikasi yang Anda inginkan untuk otentikasi dari daftar ikon yang disediakan. Mengklik ikon akan mengarahkan ke panduan tentang cara mengatur aplikasi.

Dalam kasus kami di sini, kami akan menggunakan aplikasi "Google Authenticator". Oleh karena itu, Anda dapat memulai dengan menginstal aplikasi Google Authenticator terlebih dahulu di perangkat yang Anda inginkan seperti di ponsel.

Setelah ini selesai, buka aplikasi dan ketuk ikon "+" mengambang di wilayah kanan bawah pada aplikasi.

Selanjutnya, Anda akan diminta untuk memindai kode QR dalam tangkapan layar yang diilustrasikan di atas.

Setelah melakukannya, Anda akan diarahkan ke layar dengan akun yang baru ditambahkan, di samping kode 2FA.

Selanjutnya, kembali ke situs Anda dan isi kode 2FA Anda, validasi dan simpan konfigurasi. Di bawah ini adalah contoh ilustrasi:

Setelah ini selesai, Anda sekarang akan memiliki pesan sukses dan Anda kemudian dapat melakukan pencadangan ke kode Anda.

Untuk ilustrasi terperinci tentang cara melakukannya, Anda dapat melihat panduannya di sini.

Setelah pengguna sekarang mencoba masuk ke situs, bahkan dengan melewati login pertama, dia akan disajikan dengan lapisan otentikasi tambahan di mana dia akan diminta untuk mengisi kode otentikasi.

6. Aktifkan logout otomatis

Setelah masuk ke situs web dan pengguna tidak menutup jendela browser mereka, sesi tidak dihentikan untuk beberapa waktu. Ini membuat situs web semacam itu rentan terhadap peretas melalui pembajakan cookie. Ini adalah teknik dimana seorang hacker berada dalam posisi untuk mengkompromikan sesi dengan mencuri atau mengakses cookie dalam browser pengguna.

Sebagai mekanisme keamanan, maka penting untuk secara otomatis keluar dari pengguna yang tidak aktif di dalam situs web. Untuk mencapai ini, Anda dapat menggunakan plugin seperti plugin Logout Tidak Aktif.

Plugin dapat diinstal dari bagian Plugins > Add New dengan terlebih dahulu mencarinya, menginstalnya, dan mengaktifkannya.

Setelah aktivasi plugin, navigasikan ke bagian Settings > Inactive Logout, atur “Idle Timeout” dan simpan perubahan Anda.

Anda dapat mengatur nilai sesuai keinginan Anda, tetapi 5 menit adalah waktu yang ideal.

7. Batasi jumlah percobaan Login

Secara default WordPress tidak menawarkan batasan jumlah upaya login dalam sebuah situs web. Ini memungkinkan peretas untuk menjalankan skrip yang berisi detail login pengguna umum untuk mencoba dan menembus situs web. Jika jumlah percobaan terlalu banyak, mereka dapat menyebabkan kelebihan beban pada server Anda dan pada akhirnya kemungkinan ada waktu henti di situs web. Dalam kasus di mana Anda menggunakan data login umum, peretas kemungkinan juga akan berhasil mengakses situs.

Oleh karena itu, penting untuk membatasi jumlah upaya login dalam sebuah situs web. Untuk implementasi ini, Anda dapat menggunakan plugin seperti Login Lockdown.

Serupa dengan instalasi plugin lainnya di wordpress.org, Anda dapat menginstal plugin Login Lockdown dari bagian Plugins > Add New. Di dalam bagian, cari plugin, instal, dan aktifkan.

Setelah aktivasi, navigasikan ke Pengaturan > Penguncian Masuk dan tentukan pengaturan penguncian yang Anda inginkan seperti Percobaan Masuk Maks, Pembatasan Jangka Waktu Coba Ulang, Panjang Penguncian dan banyak lagi berdasarkan preferensi Anda.

8. Terapkan pembatasan IP

Pembatasan IP adalah pendekatan yang juga dapat Anda terapkan untuk menolak akses ke Wp-admin. Namun metode ini disarankan jika Anda menggunakan IP statis.

Untuk menerapkan pembatasan IP, Anda perlu membuat file .htaccess di dalam direktori wp-admin jika Anda belum memilikinya, dan tambahkan kode berikut ke file:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Setelah selesai, Anda harus mengganti xx.xx.xx.xxx dalam kode dengan alamat IP yang ingin Anda berikan akses.

Jika Anda juga mengubah jaringan Anda, Anda perlu mengakses file situs Anda dan menambahkan IP baru agar dapat masuk ke situs.

Jika sekarang pengguna yang IP-nya tidak diizinkan untuk mengakses wp-admin mencoba mengaksesnya, ia akan menemukan pesan kesalahan Terlarang yang mirip dengan ilustrasi di bawah ini.

9. Nonaktifkan Kesalahan pada halaman Login

WordPress secara default akan membuat kesalahan pada halaman login jika pengguna mencoba login ke situs menggunakan kredensial yang salah. Beberapa contoh pesan kesalahan ini adalah:

  • KESALAHAN: Nama pengguna tidak valid. Kehilangan password?
  • KESALAHAN: Kata sandi salah. Kehilangan password?

Dengan pesan seperti itu diberikan, mereka sebenarnya memberikan petunjuk tentang detail login yang salah dan itu berarti bahwa seorang peretas hanya akan memiliki satu detail untuk diketahui. Misalnya pesan kedua adalah petunjuk bahwa kata sandinya salah. Oleh karena itu, peretas hanya perlu mengetahui kata sandi untuk mendapatkan akses ke situs.

Untuk menonaktifkan pesan kesalahan ini, Anda perlu menambahkan kode berikut di dalam file functions.php dalam tema:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Jika pengguna sekarang mencoba masuk ke situs dengan kredensial yang salah, tidak akan ada pesan kesalahan yang ditampilkan. Di bawah ini adalah contoh ilustrasi tentang ini:

10. Menggunakan Plugin Keamanan

Plugin keamanan WordPress membantu mengurangi ancaman keamanan dalam situs web Anda. Beberapa plugin keamanan ini menawarkan fitur seperti penambahan reCaptcha, pembatasan IP dan banyak lagi.

Oleh karena itu, penting bagi Anda untuk mempertimbangkan menggunakan plugin keamanan untuk mengurangi kemungkinan serangan di dalam Wp-admin. Beberapa contoh plugin keamanan yang dapat Anda pertimbangkan untuk digunakan adalah: WordFence dan Malcare.

11. Perbarui WordPress ke versi terbaru

WordPress adalah Perangkat Lunak yang diperbarui secara berkala. Beberapa pembaruan memang menyertakan perbaikan keamanan. Jika misalnya ada rilis keamanan yang menargetkan Wp-admin, dan dalam kasus Anda, Anda gagal memperbarui versi WordPress Anda, maka itu berarti Wp-admin Anda rentan terhadap serangan.

Oleh karena itu, penting untuk memperbarui versi WordPress Anda secara teratur untuk mengurangi risiko eksploitasi di situs web Anda.

Kesimpulan

Admin WordPress adalah target utama peretas agar mereka mendapatkan kendali penuh atas situs web Anda. Karenanya penting bagi Anda untuk melindungi bagian admin WordPress di situs web Anda.

Dalam artikel ini, kami telah melihat beberapa cara yang dapat Anda gunakan untuk mengamankan admin WordPress Anda. Kami berharap artikel ini informatif dan bermanfaat. Jika Anda memiliki pertanyaan atau saran, jangan ragu untuk menggunakan bagian komentar di bawah.