Cara Mengamankan Situs WordPress Anda

Diterbitkan: 2020-09-25

Layanan hosting WordPress yang dikelola (seperti Pressidium) biasanya memberikan penekanan yang signifikan pada keamanan platform hosting mereka. Serangkaian fitur dikerahkan untuk membantu menjaga situs web WordPress yang dihosting di sistem ini tetap aman.

Namun hanya ada begitu banyak yang dapat dilakukan oleh host WordPress untuk memastikan keamanan situs web WordPress. Pemilik situs web memiliki peran mereka sendiri untuk memastikan situs web mereka tetap aman. Pada artikel ini kita akan melihat langkah-langkah yang dapat Anda ambil untuk mengamankan situs WordPress Anda.

Menjaga Keamanan Situs Web Anda – Gambaran Umum

Banyak peretasan situs web terjadi sebagai akibat langsung dari tindakan (atau kelambanan) yang diambil oleh pemilik situs web. Hal-hal seperti gagal memperbarui plugin ke versi terbaru atau menggunakan kata sandi yang lemah semuanya menghasilkan kelemahan yang dapat dieksploitasi di situs Anda yang akan ditargetkan oleh peretas. Kabar baiknya adalah ada beberapa langkah sederhana yang dapat Anda ambil untuk membantu menjaga situs web WordPress Anda tetap aman. Ini termasuk:

  • Pastikan Anda dan pengguna situs web lain menggunakan kata sandi yang kuat
  • Gunakan mekanisme Captcha
  • Gunakan Otentikasi Dua Faktor (2FA)
  • Hapus pengguna yang tidak aktif
  • Gunakan sistem 'batas upaya masuk'
  • Selalu perbarui file inti, plugin, dan tema Anda ke versi terbarunya
  • Ubah URL login default Anda
  • Hindari menggunakan tema dan plugin nulled

Mari kita lihat lebih dekat beberapa langkah ini dan cari tahu bagaimana Anda dapat menerapkannya ke situs web Anda.

Pastikan bahwa pengguna Anda menggunakan kata sandi yang kuat

Tidak ada firewall sisi server atau sistem keamanan hosting lainnya yang dapat melindungi situs WordPress Anda dari kata sandi yang lemah. Terlepas dari masalah yang diketahui dengan menggunakan kata sandi yang lemah, statistik menunjukkan bahwa 35% pengguna yang menakjubkan masih menggunakan kata sandi yang lemah untuk mengamankan situs WordPress mereka meskipun diminta oleh WordPress untuk memilih kata sandi yang lebih kuat.

konfirmasi kata sandi yang lemah

Mungkin kesimpulan yang dapat diambil dari sini adalah bahwa beberapa pengguna tidak menyadari betapa rentannya situs web mereka ketika kata sandi yang lemah digunakan. Sayangnya, para peretas telah lama mencari cara untuk memanfaatkan pengguna yang memilih kata sandi yang dapat diprediksi yang mengikuti pola tertentu (seperti tanggal lahir atau nama hewan peliharaan).

Yang lain, meskipun menyadari kerentanan kata sandi yang lemah, terus menggunakannya mungkin karena ini adalah hal yang mudah untuk dilakukan. Lagi pula, mengingat kata sandi sederhana jauh lebih mudah daripada kata sandi yang lebih rumit yang dibuat dari huruf, angka, dan simbol acak.

Tanpa ragu, kata sandi Anda menawarkan garis pertahanan kritis terhadap peretas. Semakin kuat semakin baik. Idealnya kata sandi harus unik, dibuat secara acak dan diperbarui secara berkala.

Gunakan mekanisme Captcha di form login

Tujuan captcha adalah untuk membedakan manusia dari 'bot' yang merupakan aplikasi perangkat lunak yang melakukan tugas otomatis. Peretas dapat menggunakan ini untuk mencoba dan mendapatkan akses ke situs web melalui halaman login dengan menginstruksikan bot untuk melakukan upaya terus-menerus menggunakan data acak untuk mengakses situs web. Captcha dirancang untuk membantu mencegah serangan semacam ini di situs yang terjadi dengan membedakan antara manusia dan bot. Captcha telah digunakan selama tiga dekade dan masih digunakan di banyak situs web untuk membantu melindungi mereka dari aktivitas bot.

Captcha dapat ditambahkan ke situs WordPress Anda dengan tujuan memblokir upaya login bot. Cara mudah untuk melakukannya adalah dengan menginstal plugin Login no Captcha reCaptcha yang memanfaatkan sistem captcha Google.

login reCaptcha

Saat diinstal, Anda akan melihat kotak centang reCaptcha yang sudah dikenal muncul di bawah panel login. Centang ini dan Anda pergi (dengan asumsi Anda tahu nama pengguna dan kata sandi yang benar!).

Agar plugin berfungsi, Anda harus mendaftar untuk mendapatkan akun Google reCaptcha gratis yang kemudian memungkinkan Anda membuat kunci situs dan kunci rahasia.

Cara menghasilkan situs dan kunci rahasia:

  1. Masuk ke akun Google Anda (Anda harus mendaftar jika Anda belum memiliki akun). Buka halaman Google reCaptcha dan klik 'Admin Console' yang muncul di kanan atas.
  2. Klik ikon 'Plus +' yang ada lagi di kanan atas untuk mendaftarkan situs web baru. Isi informasi yang diperlukan.
  3. Tekan tombol kirim dan Anda akan melihat halaman seperti ini:
Kunci situs Google reCaptcha

Anda kemudian harus menempelkan nilai-nilai ini ke dalam kotak di pengaturan plugin seperti yang dipromosikan.

Otentikasi Dua Faktor (2FA)

Menggunakan proses otentikasi dua faktor akan menambahkan lapisan keamanan ekstra ke halaman login situs web Anda dengan mencegah apa yang dikenal sebagai serangan 'brute force'. Jenis serangan ini adalah di mana bot mencoba untuk terus masuk ke situs web Anda menggunakan kata sandi dan nama pengguna yang telah ditebak (biasanya mengikuti beberapa daftar yang telah ditentukan sebelumnya yang memanfaatkan kata sandi 'lemah' yang diketahui seperti 123password dan seterusnya. Bot akan terus mencoba dan mengakses situs Anda sampai berhasil yang merupakan berita buruk di dua sisi Pertama, jika kata sandinya benar, situs web Anda sekarang telah diretas. Kedua, upaya masuk terus-menerus ini dapat meningkatkan beban server dan dengan demikian memperlambat situs web Anda agar sah pengguna.

Untungnya, ada plugin pihak ketiga yang tersedia yang dapat membantu menghentikan ini.

Plugin Dua Faktor

Plugin Two-actor oleh Plugin Contributor adalah plugin yang berguna dan mudah digunakan yang menyediakan situs web dengan perlindungan dua faktor dengan memaksa pengguna untuk menyediakan kode otentikasi di samping kredensial login normal mereka. Kode ini dapat dikirim melalui email atau dibuat menggunakan pembuat kata sandi satu kali seperti Google Authenticator.

Plugin Dua Faktor

Plugin Google Authenticator

Plugin Google Authenticator adalah plugin 2FA populer lainnya yang dapat digunakan untuk melindungi situs WordPress Anda. Plugin yang sepenuhnya gratis ini menyediakan serangkaian opsi otentikasi 2FA termasuk SMS dan tentu saja dengan menggunakan aplikasi Google Authenticator. Pengaturan ini cukup cepat dan mudah. Cukup ikuti petunjuknya saat Anda mengaktifkan plugin.

Plugin Google Authenticator

Hapus Pengguna Tidak Aktif

Sasaran empuk penyerang lainnya adalah akun pengguna situs web yang sudah lama tidak digunakan. Akibatnya, kata sandi sering kali lebih lemah daripada yang mungkin terjadi jika pengguna baru saja membuat akun atau secara teratur masuk ke situs web. Karena itu, ada baiknya menghapus akun yang tidak aktif secara berkala.

Anda dapat menggunakan plugin untuk dengan mudah mendeteksi pengguna tidak aktif ini seperti plugin When Last Login.

Setelah diaktifkan, itu hanya menambahkan kolom khusus ke tabel daftar pengguna admin Anda yang menampilkan stempel waktu tanggal dan waktu login terakhir pengguna tersebut. Anda dapat mengurutkan kolom ini sehingga sekilas dapat mengidentifikasi pengguna yang tidak aktif yang berarti Anda dapat menghapusnya jika perlu.

Kapan Terakhir Masuk

Kemudian pada Pengguna -> Semua pengguna mengurutkan berdasarkan kolom "Login Terakhir" yang ditambahkan:

Kapan Terakhir Login kolom login terakhir

Batasi Upaya Masuk

Cara lain Anda dapat menambahkan lapisan keamanan ekstra ke situs WordPress Anda adalah dengan membatasi jumlah upaya login yang diizinkan dalam jangka waktu tertentu. Teknik ini menggagalkan bot yang membuat tebakan login terus-menerus. Selain itu, beberapa plugin yang menyediakan fungsionalitas ini juga dapat memblokir alamat IP dari mana upaya login berasal dan dengan demikian menghentikan bot tertentu yang beroperasi dari alamat IP tersebut agar tidak mencoba serangan berulang di situs Anda di masa mendatang.

Plugin bagus yang menawarkan fungsi ini adalah plugin Limit Login Attempts Reloaded gratis.

Batasi Upaya Masuk Plugin yang dimuat ulang

Dengan 1+ juta pemasangan pada saat penulisan, Anda dapat yakin bahwa plugin berfungsi dengan baik.

Setelah Anda menginstal dan mengaktifkannya, buka menu Pengaturan dan kemudian klik 'Batasi Upaya Masuk'. Anda akan dapat mengubah berbagai parameter termasuk jumlah percobaan ulang yang diizinkan sebelum pengguna dikunci dari situs web.

Batasi pengaturan Upaya Masuk

Membatasi upaya login adalah cara yang sangat efektif untuk melindungi situs web Anda, itulah sebabnya kami mengaktifkan ini sebagai default di semua situs web yang dihosting Pressidium.

Catatan: Jika Anda menggunakan Jetpack, rilis fitur terbaru yang disebut 'Modul Proteksi' menyertakan sistem upaya login batas sebagai default. Sistem ini juga memberikan informasi tentang upaya login yang diblokir dan opsi untuk memasukkan IP ke daftar putih. Jika Anda menggunakan plugin ini maka tidak perlu menginstal plugin 'batas masuk' yang terpisah.

Perbarui file inti, plugin, dan tema Anda ke versi terbaru

Di antara banyak manfaat lainnya, memperbarui inti, tema, dan plugin WordPress Anda sangat penting untuk keamanan situs web Anda. Statistik menunjukkan bahwa versi, tema, dan plugin yang kedaluwarsa adalah cara paling populer bagi peretas untuk mendapatkan akses ke situs web, menjadikan ini sebagai prioritas utama.

Di Pressidium, kami secara otomatis memperbarui inti WordPress ke versi terbaru setelah terlebih dahulu mengujinya untuk memastikan tidak ada masalah utama yang akan menyebabkan klien kami bermasalah dengan situs web mereka. Karena pembaruan ini dilakukan secara otomatis, Anda dapat yakin mengetahui bahwa situs web Anda selalu menjalankan WordPress versi terbaru.

Host situs web Anda dengan Pressidium

GARANSI UANG KEMBALI 60 HARI

LIHAT RENCANA KAMI

Selain itu, kami membuat pembaruan plugin di situs web yang dihosting bersama kami semudah mungkin dengan menyediakan fasilitas pembaruan plugin yang dapat diakses melalui dasbor Pressidium. Ini memungkinkan klien kami untuk melihat sekilas jika plugin situs web mereka perlu diperbarui. Jika demikian, pembaruan dapat dilakukan dengan beberapa klik dari dalam dasbor Pressidium. Kami juga secara teratur memindai situs web yang dihosting bersama kami untuk mencari plugin yang diketahui memiliki kerentanan dan akan memberi tahu pemilik situs web tentang kerentanan ini melalui email. Dalam kasus di mana plugin yang kedaluwarsa menimbulkan risiko ekstrem ke situs web, kami bahkan akan secara proaktif memperbarui ini atas nama pemilik situs web.

Ubah URL login default Anda

Sekarang kita telah menjalankan cara mengamankan halaman login (yang berlaku melindungi 'pintu depan') mari kita lihat opsi untuk menyembunyikan pintu depan memastikan pencuri (atau peretas!) bahkan tidak dapat mencoba untuk mendapatkan entri .

Cara yang bagus untuk melakukannya adalah dengan mengubah lokasi URL login WordPress default dengan mengubahnya menjadi kustom. Dengan demikian Anda langsung memblokir lalu lintas dari wp-login yang pada gilirannya berarti Anda tidak akan mengalami serangan brute force di situs web Anda.

Salah satu plugin yang memungkinkan Anda mengubah lokasi halaman login dengan cepat adalah WPS Hide Login.

WPS Sembunyikan Login

Hindari menggunakan tema dan plugin nulled

Tema atau plugin nulled adalah yang biasanya berisi malware atau kode yang dimodifikasi yang dirancang untuk membahayakan. Mereka sering tersedia 'dengan harga murah' itulah sebabnya mereka menarik bagi orang-orang. Lagi pula, tidak ada yang benar-benar suka menghabiskan uang untuk tema dan plugin premium. Dengan beberapa tema dan plugin nulled yang tersedia untuk sebagian kecil dari biaya versi 'asli', Anda dapat melihat mengapa mereka tergoda untuk digunakan.

Pada kenyataannya, 'penghematan' yang Anda lakukan dengan menggunakan versi null sering kali dibayangi oleh biaya yang dikeluarkan karena situs web Anda terinfeksi malware. Bahkan jika mereka tidak mengandung kode berbahaya, mereka akan sering memiliki iklan dan popup yang mengganggu yang dapat merusak pengalaman plugin atau tema. Selain itu, mereka tentu saja tidak didukung oleh pengembang asli yang berarti tidak ada orang yang dapat dihubungi jika terjadi kesalahan.

Singkatnya, jangan gunakan tema atau plugin nulled… itu benar-benar tidak layak!

Kesimpulan

Situs web yang diretas bukanlah kepentingan siapa pun (selain tentu saja peretas). Meskipun hosting WordPress yang dikelola dan berkualitas tinggi dapat secara signifikan meningkatkan keamanan situs web Anda, penting juga untuk diingat bahwa Anda, sebagai pemilik situs web, juga berperan dalam mengamankan situs web Anda.

Mengikuti beberapa langkah sederhana yang diuraikan di atas benar-benar dapat membantu meningkatkan keamanan situs web Anda dan layak untuk diterapkan.