Panduan Tentang Cara Mengamankan Admin WordPress - MalCare

Diterbitkan: 2023-04-13

Admin WordPress Aman: Tahukah Anda bahwa lebih dari 90.000 upaya peretasan dilakukan di situs web WordPress setiap menit setiap hari? Artinya, upaya peretasan di situs web Anda akan segera terjadi terlepas dari apakah situs itu besar atau kecil. Keamanan adalah salah satu perhatian utama untuk sebuah situs web.

Peretas menggunakan berbagai teknik untuk meretas situs web WordPress dan serangan brute force adalah salah satu teknik tersebut. Ini melibatkan mencoba kombinasi nama pengguna dan kata sandi yang umum digunakan pada halaman login situs web.

Serangan brute force yang berhasil memberi Anda akses ke admin WordPress. Area admin WordPress adalah pusat administrasi situs web bertenaga WordPress. Siapapun yang memiliki akses penuh ke admin akan memiliki kontrol penuh atas situs tersebut. Karenanya, penting untuk melindungi admin WordPress Anda dari serangan brute force.

Bagaimana Cara Mengamankan Admin WordPress?

Kami telah menemukan sejumlah teknik yang akan membantu Anda mengamankan admin WordPress situs Anda dari upaya peretasan.

1. Gunakan Kata Sandi yang Kuat

Salah satu kesalahan paling umum yang dilakukan pemilik situs web adalah menggunakan kata sandi yang lemah. Selama bertahun-tahun, teknik cracking password telah matang. Kata sandi yang mudah ditebak dipecahkan dalam beberapa menit. Kata sandi yang kuat membantu mempertahankan situs Anda dari teknik peretasan kata sandi yang cerdas. Inilah artikel yang bagus tentang cara membuat kata sandi yang sangat kuat untuk situs WordPress Anda.

Namun, mengingat kata sandi yang kuat bisa menjadi masalah. Posting ini menjelaskan cara mengelola kata sandi WordPress yang kuat .

Kesalahan lain yang sangat umum dilakukan banyak orang adalah ketika mereka menggunakan kata sandi yang sama di beberapa situs. Ketika satu kata sandi disusupi, semua akun yang terkait dengan kata sandi disusupi. Karenanya, menggunakan kata sandi yang berbeda untuk akun dapat membantu menghindari situasi ini.

2. Hindari Menggunakan Nama Pengguna Umum

Mengamankan kata sandi WordPress adalah langkah penting untuk mengamankan kredensial login WordPress. Komponen kedua dari kredensial login adalah nama pengguna. Jika nama pengguna Anda mudah ditebak maka peretas hanya perlu fokus pada kata sandinya.

Salah satu nama pengguna WordPress yang paling umum adalah "admin". Hingga beberapa tahun yang lalu, WordPress secara otomatis menyarankan "admin" sebagai nama pengguna. Meskipun WordPress berhenti merekomendasikan “admin”, banyak pemilik situs masih menggunakannya. Beberapa akun pengguna baru sedang dibuat menggunakan "admin" sebagai nama pengguna. Semua situs web ini menjadikan diri mereka sasaran empuk.

Karena WordPress tidak memaksakan penggunaan nama pengguna unik, Anda perlu memastikan bahwa tidak ada pengguna Anda yang menggunakan nama pengguna umum dan tidak ada akun baru yang dibuat dengan "admin". Lihatlah daftar lengkap nama pengguna yang umum digunakan ini sehingga Anda tahu nama pengguna mana yang harus dihindari.

3. Sembunyikan Halaman Login WordPress Anda

Situs web WordPress bekerja dengan cara yang telah ditentukan sebelumnya. Contohnya, semua situs WordPress dilengkapi dengan halaman login default yang terlihat seperti ini“www.anysite.com/wp-admin”.Ini membuat pekerjaan seorang peretas lebih mudah karena mereka dapat meluncurkan serangan otomatis ke beberapa situs WordPress yang ditargetkan secara bersamaan. Tetapi jika Anda menyembunyikan halaman login dengan mengubahnya, Anda dapat mencegah jenis serangan seperti itu di situs Anda.

Ada banyak plugin yang dapat Anda gunakan untuk mengubah halaman login Anda dan menggunakan URL yang disarankan oleh plugin tersebut. Kemungkinan situs web lain yang menggunakan plugin yang sama menggunakan URL yang sama. Dan jika peretas mengetahui format URL, menyembunyikan halaman login Anda tidak akan berarti apa-apa. Karenanya, gunakan alat yang memungkinkan Anda membuat URL halaman login kustom Anda sendiri.

4. Terapkan Otentikasi HTTP

Untuk mengamankan admin WordPress, Anda dapat melindungi seluruh folder wp-admin Anda dengan kata sandi. Folder wp-admin berisi file administratif yang menjalankan dasbor WordPress. Siapa pun yang memiliki akses ke folder ini dapat mengontrol seluruh situs. Jika kata sandi Anda melindungi seluruh folder, setiap kali seseorang meminta bagian admin, server memulai proses otentikasi. Browser akan meminta kata sandi autentikasi HTTP kepada pengguna. Ada banyak alat yang dapat Anda gunakan untuk menerapkan autentikasi HTTP pada admin WordPress Anda seperti HTTP Auth , AskApache Password Protect , dll.

Amankan Admin WordPress
Otentikasi HTTP diaktifkan di halaman login WordPress kami

5. Gunakan Google Authenticator

Dengan teknik peretasan situs web yang semakin canggih akhir-akhir ini, adalah hal yang umum untuk menambahkan lapisan perlindungan masuk lainnya bersama dengan kredensial pengguna yang kuat. Teknik ini disebut autentikasi dua faktor (2FA). Metodenya melibatkan pengiriman kode yang hanya dapat Anda terima di ponsel cerdas Anda. Sebelum Anda diberikan akses ke dasbor WordPress Anda, Anda harus memasukkan kode unik di situs Anda. Keuntungan dari pendekatan ini adalah meskipun peretas berhasil meretas kredensial Anda, mereka tetap memerlukan kode yang dikirimkan secara eksklusif ke perangkat Anda.

Amankan Admin WordPress
Kami harus memasukkan kode sandi yang dikirim ke ponsel cerdas Anda untuk mengakses dasbor WordPress kami

Ada banyak plugin WordPress yang dapat Anda gunakan untuk autentikasi 2 faktor. Kami mengaktifkan 2FA di situs kami menggunakan Mini Orange untuk mengamankan admin WordPress dan menulis panduan yang sama.

6. Membatasi Jumlah Upaya Login yang Gagal

Situs web di bawah serangan brute force mengalami ratusan upaya login yang gagal. Untuk mencegah serangan tanpa henti pada admin WordPress Anda, Anda dapat membatasi jumlah upaya login yang gagal dilakukan di situs Anda. Plugin keamanan MalCare mencegah pengguna mencoba masuk setelah 3 kali gagal masuk. Mereka harus menyelesaikan CAPTCHA sebelum diizinkan mengakses halaman login WordPress lagi. Ini membantu menentukan apakah pengguna adalah manusia atau bot otomatis yang mencoba melakukan serangan brute force di situs.

Amankan Admin WordPress
Bot tidak dapat melewati CAPTCHA berbasis gambar

7. Instal Sertifikat SSL

Lihat URL situs web kami! Dapatkah Anda melihat kunci hijau dengan kata "Aman" di sampingnya? Situs kami memasang sertifikat SSL yang berarti tidak ada yang dapat mengintai dan membaca kredensial login pengguna kami. Sebuah situs web tanpa sertifikat SSL berada dalam bahaya tanpa disadari mengungkap informasi sensitif situs tersebut.

Amankan Admin WordPress
Sertifikat SSL dipasang di situs web ini

Di masa lalu, sertifikat SSL digunakan untuk halaman pembayaran atau area admin WordPress. Tapi sekarang sertifikat SSL dapat membantu mengamankan seluruh situs Anda. Dalam upayanya untuk menjadikan web sebagai tempat yang lebih aman, Google dengan jelas menyatakan bahwa sertifikat SSL adalah faktor peringkat . Anda dapat memperoleh sertifikat SSL dari penyedia seperti Comodo , Let's Encrypt , dan host web Anda akan membantu menyiapkan sertifikat di situs Anda.

8. Daftar Hitam Alamat IP Berbahaya

Setiap orang yang menggunakan internet memiliki alamat IP. Bahkan peretas yang meluncurkan serangan di situs web WordPress memiliki alamat IP. Jika Anda menyimpan catatan alamat IP ini, Anda dapat memblokirnya agar tidak dapat mengakses situs Anda. MalCare – salah satu plugin keamanan WordPress terbaik di luar sana menawarkan detail (alamat IP) dari upaya login yang gagal dilakukan di situs. Jika Anda mengamati banyak upaya gagal yang dilakukan dari IP yang sama hampir secara teratur, Anda dapat memblokir IP yang mencurigakan ini agar tidak mengakses situs web Anda hanya dengan menempatkan kode berikut di file .htaccess kami:

 perintah mengizinkan, menolak

tolak dari 192.168.20.10

izinkan dari semua

“192.168.20.10” adalah alamat IP yang ingin kami blokir di salah satu situs kami. Anda dapat menggantinya dengan IP yang ingin Anda blokir.

9. Ubah Kunci Keamanan

Anda tidak perlu memasukkan kredensial masuk Anda setiap kali Anda perlu masuk ke situs Anda. Pernah bertanya-tanya bagaimana browser Anda menyimpan kredensial ini? Setelah Anda masuk ke akun Anda, informasi login Anda disimpan dengan cara terenkripsi di cookie browser. Kunci keamanan hanyalah variabel acak yang membantu menyempurnakan enkripsi ini. Jika situs Anda diretas, mengubah kunci rahasia akan membatalkan cookie dan memaksa setiap pengguna aktif untuk keluar secara otomatis. Setelah dibuang, peretas kehilangan akses ke admin WordPress Anda.

Amankan Admin WordPress
Mengubah kunci keamanan dengan MalCare Security Service

Ke Anda

Tidak ada satu cara untuk mengamankan admin WordPress, jadi pastikan untuk menggunakan beberapa metode. Kami berbagi dengan Anda beberapa cara yang paling direkomendasikan untuk mengamankan admin WordPress. Namun sebelum menerapkan salah satu dari metode ini, Anda harus mencadangkan situs Anda . Jika terjadi kesalahan, Anda cukup memulihkan cadangan dan mengaktifkan serta menjalankan situs kami dalam waktu singkat.

Selain itu, Anda dapat mengambil beberapa langkah keamanan lainnya seperti pemblokiran IP, melindungi halaman login, mengamankan situs dengan wp-config.php, mengikuti panduan lengkap tentang keamanan WordPress ini, dan dengan menginstal plugin keamanan WordPress seperti MalCare.

MalCare akan membantu Anda menerapkan beberapa tindakan yang telah kami sebutkan di atas. Misalnya, Plugin Keamanan MalCare akan membantu Anda mengubah kunci keamanan, membatasi jumlah upaya login yang gagal, menjaga pembaruan situs web Anda, antara lain.

Coba Plugin Keamanan MalCare Sekarang Juga!