10 Rekomendasi Keamanan WordPress Teratas
Diterbitkan: 2023-02-15Apa sepuluh langkah teratas yang dapat Anda ambil untuk melindungi situs WordPress Anda? Langkah-langkah penguatan keamanan apa yang akan berdampak terbesar pada keamanan situs web Anda? Keamanan selalu menjadi topik hangat di komunitas WordPress, dan pertanyaan seperti ini penting untuk alasan yang baik. WordPress menggerakkan hampir setengah dari internet, dan posisinya yang terdepan menjadikannya target prioritas tinggi bagi para peretas.
Ribuan situs web WordPress menjadi korban serangan siber setiap hari. Ini adalah penurunan dari jumlah total situs WordPress, tetapi jika itu terjadi pada Anda? Itu sangat besar. Beberapa pemilik situs menderita konsekuensi jangka panjang dari kehilangan data, pencurian data, dan penipuan karena. Kebijakan keamanan yang buruk dan manajemen risiko membuat bencana seperti ini. Apa artinya memiliki kebijakan keamanan yang solid sebagai pemilik situs WordPress? Apa risiko utamanya, dan bagaimana Anda bisa mengelolanya?
Kuncinya adalah menyiapkan fondasi yang aman dan kemudian terus membangunnya dengan praktik keamanan yang konsisten. Panduan ini akan mengajari Anda cara melakukannya dan mengamankan situs WordPress Anda hari ini.
Dalam panduan ini, kami akan mendalami keamanan WordPress. Anda akan belajar tentang serangan dunia maya paling berbahaya yang menargetkan WordPress. Anda akan belajar bagaimana meminimalkan risiko menjadi korban mereka. Kami akan memberi Anda sepuluh rekomendasi keamanan WordPress teratas kami dan menjelaskan cara menerapkannya. Kemudian Anda akan dapat mempertahankan diri dari serangan paling canggih dan berbahaya saat ini.
Apakah WordPress Aman? Ya!
Singkatnya, ya, platform inti WordPress aman.
Sebagai proyek perangkat lunak sumber terbuka berusia dua puluh tahun yang matang, WordPress adalah salah satu kerangka kerja pembuatan situs web yang paling teruji waktu dan aman.
Komunitas pengembang dan pakar keamanan memelihara inti WordPress. Selain itu, basis kode tersedia untuk umum. Itu berarti peneliti keamanan bebas menganalisisnya. Di bawah pengawasan publik, bug apa pun yang melewati fase pengujian awal rilis baru cenderung ditemukan dengan cepat. WordPress menerima pembaruan rutin dan dengan cepat menambal setiap kerentanan yang ditemukan di inti WordPress. Adaptasi konstan ini meningkatkan keamanan dan kualitas platform secara keseluruhan.
Apa yang Membuat Situs WordPress Tidak Aman?
Saat orang membangun situs dengan WordPress, keamanan mungkin tidak menjadi prioritas utama mereka. Kustomisasi yang ceroboh dikombinasikan dengan praktik keamanan yang buruk (atau tidak sama sekali) menghadirkan risiko keamanan yang signifikan ke seluruh ekosistem WordPress.
Pemilik Situs yang Tidak Menjalankan Pembaruan
Pembaruan rutin dan dukungan dari pengembang WordPress menjadikan WordPress sangat aman. Namun, popularitas WordPress banyak berhubungan dengan kemudahan menyesuaikannya dengan plugin dan tema. Pengaya pihak ketiga ini mungkin didukung dan diuji dengan baik sebagai inti WordPress. Mereka juga perlu diperbarui saat versi baru diluncurkan. Untuk situs WordPress dengan 12-24 plugin, mungkin ada beberapa update baru yang tersedia setiap minggunya. Membiarkan kerentanan yang diketahui tidak ditambal dan gagal melakukan pembaruan rutin secara signifikan meningkatkan kemungkinan situs web WordPress Anda diretas.
Inti WordPress juga menerima pembaruan sepanjang tahun. Biasanya akan ada empat rilis utama. Rilis keamanan dan pemeliharaan juga akan muncul sesuai kebutuhan. Pada tahun 2023, sekitar 60% situs WordPress menggunakan inti WordPress versi terbaru (6.1). 40% tidak, dan itu tidak baik untuk keamanan mereka. Mulai Desember 2022, WordPress versi 3.7 – 4.0 tidak lagi didukung dan mungkin tidak menerima tambalan keamanan.
Pemilik Situs dan Host yang Tidak Memperbarui PHP
Statistik yang lebih mengkhawatirkan adalah banyak situs WordPress menggunakan versi PHP lebih rendah dari 7.4. PHP adalah bagian dari lingkungan server host Anda. Ini adalah bahasa yang digunakan WordPress. Pada awal 2023, 55% dari semua situs WordPress dihosting di PHP 7.4. Itulah rilis besar terakhir dari cabang PHP 7. Ini adalah versi PHP tertinggi yang secara resmi didukung oleh WordPress saat ini, meskipun banyak host WordPress menawarkan PHP 8. Host WordPress yang dikelola dengan baik akan menjaga keamanan PHP 7, tetapi sudah mencapai akhir masa pakainya untuk dukungan resmi. Plugin WordPress akan membutuhkan PHP 8 lebih banyak dari waktu ke waktu. Situs yang tidak mengikuti pengembangan WordPress dan PHP berisiko lebih tinggi untuk diretas.
Mengapa Keamanan WordPress Penting
Masalah keamanan situs web WordPress! Sekarang selalu merupakan waktu terbaik untuk mulai menganggapnya serius jika Anda tidak memiliki praktik keamanan yang konsisten. Meningkatnya kecanggihan dan volume serangan cyber membuat keamanan website menjadi sangat penting, terutama bagi pemilik website WordPress. Penyerang tidak hanya memilih situs web mana yang akan diretas. Serangan dunia maya modern sangat otomatis, dan ribuan situs WordPress dapat ditargetkan sekaligus. Kepopuleran WordPress dan banyaknya situs yang belum diupdate menjadikannya target yang besar dan mudah.
Baik Anda menjalankan blog, situs web bisnis, atau toko online, Anda dipercayakan dengan keamanan pelanggan dan data mereka. Pelanggaran data dapat membahayakan bisnis Anda dan merusak reputasi Anda secara signifikan. Praktik keamanan yang buruk dapat mengakibatkan kerugian finansial yang serius.
Sebuah studi baru-baru ini menunjukkan bahwa sebagian besar bisnis kecil hingga menengah (UKM) menganggap mereka bukan target peretasan, tetapi mereka salah. Serangan sedang meningkat dan secara khusus menargetkan mereka. Rata-rata, perusahaan kecil yang mengalami pelanggaran keamanan digital harus membayar biaya di atas $100.000.
Lima Masalah Keamanan WordPress Paling Umum
Ancaman paling umum yang dihadapi WordPress pada tahun 2022 yang mengeksploitasi kerentanan situs internal adalah serangan cross-site scripting (XSS) dan cross-site request forgery (CSRF), serta injeksi SQL (SQLi). Muatan atau kerusakan umum yang terjadi pada situs yang diretas dan terinfeksi mencakup pintu belakang dan pengalihan berbahaya. Terakhir, serangan yang paling umum tidak melibatkan kerentanan perangkat lunak sama sekali. Ini adalah upaya login brute force, password stuffing, card skimming, carding, dan serangan denial-of-service (DDoS) terdistribusi.
Mari kita lihat ancaman ini dan gali solusi yang akan mencegahnya menembus situs WordPress Anda.
Memasukkan Kata Sandi, Login Brute Force, dan Serangan DDOS
Serangan brute force dan DDoS adalah serangan dunia maya berbasis bot yang sangat terdistribusi. Mereka mencoba masuk ke situs web atau menjadikannya offline dengan membuat server yang menghostingnya kelebihan beban dengan permintaan web. Kedua jenis serangan tersebut seringkali melibatkan jaringan bot (juga dikenal sebagai botnet) yang dikendalikan oleh penyerang.
Serangan masuk secara paksa, juga dikenal sebagai serangan menebak kata sandi, menggunakan jaringan komputer (biasanya diretas) untuk menguji ribuan kombinasi huruf, angka, dan simbol acak untuk menemukan nama masuk dan kata sandi yang valid untuk situs yang ditargetkan.
Pengisian kata sandi adalah jenis serangan brute force yang menggunakan kata sandi sebenarnya yang dicuri di tempat lain untuk mendapatkan akses ke situs Anda. Jika Anda atau pengguna situs Anda telah menggunakan kredensial masuk yang sama di situs lain yang telah disusupi, isian kata sandi mungkin berhasil di situs Anda.
Ketika seorang penyerang mencoba ribuan login per menit, itu mungkin memiliki efek serangan DDoS. DDoSes melemparkan begitu banyak permintaan ke server Anda sehingga kelebihan beban. Terkadang serangan DDoS dilakukan hanya untuk membuat situs offline dengan cara ini.
Ketika datang ke WordPress dan WooCommerce, serangan carding adalah contoh yang baik dari upaya kekerasan untuk memasukkan nomor rekening kartu kredit yang dicuri ke dalam situs e-niaga untuk melakukan pembelian curang. Serangan carding juga dapat memiliki efek DDoS.
Pembuatan Skrip Lintas Situs dan Pemalsuan Permintaan
Pembuatan skrip lintas situs dan pemalsuan permintaan lintas situs, juga dikenal sebagai XSS dan CSRF, adalah serangan dunia maya yang mencoba menjalankan skrip jahat di situs web Anda yang akan mengeksploitasi komputer pengunjung Anda. Dengan menggunakan situs Anda, serangan ini mengirimkan permintaan tidak sah darinya atas nama pengguna Anda. Tujuannya adalah untuk menipu pengunjung situs Anda dan mencuri informasi sensitif atau uang dari mereka. Pembuatan skrip lintas situs dan pemalsuan permintaan dianggap sebagai dua serangan dunia maya paling berbahaya yang menargetkan situs web WordPress.
Salah satu contoh paling menonjol dari serangan skrip lintas situs yang memengaruhi WordPress melibatkan skimmer kartu berbasis JavaScript yang disuntikkan ke toko WooCommerce. Malware pembobolan kartu yang dimuat dari situs web penyerang disuntikkan ke browser pengunjung Anda. Kode berbahaya ini akan mencoba mencuri informasi pembayaran penting dari halaman pembayaran setelah pembelian dilakukan.
Backdoors dan Web Shells
Backdoors dan web shells adalah dua jenis perangkat lunak berbahaya yang sering diunggah ke situs web yang diretas sebagai muatan dalam pelanggaran awal. Keduanya mengaktifkan tingkat kerusakan yang lebih dalam: infeksi malware. Keduanya adalah alat yang digunakan peretas jahat untuk menggali lebih dalam ke server dan aplikasi web Anda atau untuk melakukan penipuan dan serangan lebih lanjut di situs lain.
Backdoors adalah perangkat lunak yang disuntikkan ke situs web untuk memungkinkan penyerang mendapatkan akses tidak sah ke area kritisnya dengan melewati metode otentikasi normal. Shell web, pada gilirannya, adalah utilitas manajemen file berbahaya yang digunakan oleh peretas untuk mengunggah lebih banyak muatan berbahaya ke situs web yang disusupi.
Pintu belakang seringkali dapat menyelinap melewati pemilik situs web dan bahkan perangkat lunak antivirus. Pintu belakang akan memungkinkan peretas untuk kembali dan menginfeksi ulang atau mengeksploitasi lebih lanjut situs web di kemudian hari, bahkan jika semua tindakan keamanan yang diperlukan telah dilakukan. Demikian pula, jika web shell tidak dihapus, penyerang akan tetap memegang kendali atas situs web tersebut.
Pengalihan Berbahaya
Salah satu tujuan penyerang yang paling umum adalah menginfeksi pengunjung Anda dengan malware. Salah satu cara paling umum untuk mencapai tujuan ini adalah dengan mengalihkan pengguna yang tidak menaruh curiga dari situs web tepercaya yang telah dikuasai penyerang.
Peretas dapat menempatkan pengalihan berbahaya di mana saja di situs web yang diretas sehingga sulit ditemukan dan dihapus. Seringkali, pemilik situs web harus menginstal ulang WordPress (yang sederhana) atau memulihkan seluruh situs web mereka dari cadangan (yang bisa lebih menantang) untuk membersihkannya dari pengalihan berbahaya setelah mereka menambal kerentanan yang memungkinkan eksploitasi ini.
Sebagai salah satu jenis spam SEO, peretasan farmasi telah menjadi salah satu serangan paling terkenal yang memengaruhi situs web WordPress. Penyerang mengisi situs web WordPress yang disusupi dengan kata kunci spam untuk obat-obatan populer dalam upaya untuk mendapatkan peringkat tinggi di mesin pencari dan kemudian mengarahkan pengunjung ke portal penipuan yang menjual obat-obatan yang diatur. Sering kali, penyerang menempatkan pengalihan berbahaya di .htaccess file
Apache atau membuat file .ico yang tampaknya tidak berbahaya untuk tujuan ini.
Serangan Injeksi SQL
Serangan injeksi SQL, juga dikenal sebagai penyisipan SQL (SQLi), adalah jenis serangan injeksi data yang mengeksploitasi validasi input pengguna yang tidak memadai yang memungkinkan penyerang memanipulasi database situs web dengan cara jahat. Injeksi SQL dan skrip lintas situs memanfaatkan apa yang disebut kerentanan input yang dapat memengaruhi area tertentu di situs WordPress Anda. Kerentanan input muncul saat plugin menerima data atau konten yang dikirimkan pengguna tetapi tidak menyaringnya untuk kode berbahaya. Kode itu dapat menjalankan kueri di database Anda untuk mencuri data pribadi atau merusaknya.
10 Rekomendasi Keamanan WordPress Teratas
Dalam hal keamanan situs web WordPress, pendekatan yang cermat untuk mengurangi permukaan serangan adalah kuncinya. Mengetahui kerentanan WordPress yang paling umum dan jenis serangan dunia maya akan membantu Anda meningkatkan keamanan situs web secara signifikan. 10 rekomendasi keamanan WordPress terpenting berikut adalah pengetahuan inti yang Anda butuhkan untuk mengamankan situs WordPress mana pun. Sebagian besar rekomendasi ini relatif mudah diikuti dan tidak memerlukan solusi keamanan berbayar.
Lakukan Pembaruan Reguler dan Jangan Instal Perangkat Lunak Apa Pun dari Sumber yang Tidak Diverifikasi
Salah satu rekomendasi keamanan WordPress yang paling penting adalah melakukan pembaruan inti, tema, dan plugin secara teratur. Pastikan semua perangkat lunak yang Anda instal berasal dari sumber yang terverifikasi dan tepercaya. Karena WordPress ditulis dalam PHP, pastikan Anda menggunakan versi PHP yang didukung dari rilis utama terbaru. Saat ini, PHP 7.4 dengan hanya dukungan beta untuk PHP 8.
Fitur bawaan WordPress jarang memenuhi semua kebutuhan pemilik bisnis, sehingga mereka memperluas kemampuan platform dengan memasang lebih banyak plugin dan tema. Tema dan plugin pihak ketiga meningkatkan permukaan serangan, membuat situs WordPress rentan terhadap lebih banyak ancaman keamanan.
Masalah utama dapat muncul dari penggunaan plugin dan tema berbayar versi tidak resmi dan bajakan. Ini selalu datang dari sumber yang sangat dipertanyakan. Menggunakan versi usang WordPress dan gagal menambal kerentanan juga sangat berisiko.
Gunakan Plugin Keamanan Seperti iThemes Security Pro
Cara terbaik untuk menjaga keamanan situs web Anda adalah mengaktifkan pembaruan otomatis untuk inti, tema, dan plugin. iThemes Security Pro dapat dengan mudah melacak semua pembaruan perangkat lunak yang tersedia dan menginstal versi baru inti WordPress serta tema dan plugin. Jika Anda mengelola beberapa situs web WordPress, iThemes Sync Pro memungkinkan Anda melakukan semua tugas admin dari satu antarmuka dan memanfaatkan pemantauan uptime dan pelacakan metrik SEO.
Sebagian besar solusi hosting WordPress, seperti paket hosting cloud WordPress terkelola yang ditawarkan oleh Nexcess, juga menangani semua pembaruan perangkat lunak untuk Anda dan bahkan dilengkapi dengan alat bawaan seperti Perbandingan Visual untuk membantu Anda melacak potensi konflik plugin dan masalah lainnya sebelum melakukan pembaruan apa pun. Nexcess juga memberi Anda katalog solusi WordPress premium. Ini menawarkan Kadence WP sebagai tema blok bawaan dengan blok khusus untuk membantu Anda mendesain situs web impian Anda sambil memastikan keamanannya.
Buat Strategi Cadangan yang Kuat
Strategi cadangan yang kuat sangat penting untuk keamanan WordPress. Melakukan pencadangan rutin situs WordPress Anda mempersiapkan Anda untuk pemulihan yang mudah jika terjadi pelanggaran, pembaruan yang gagal, atau masalah lain apa pun yang mungkin timbul.
Yang terbaik adalah memiliki cadangan WordPress lengkap setidaknya sepuluh hari atau bahkan dua minggu yang mencakup database WordPress Anda, file situs web, dan konten terkait lainnya. Menyimpan cadangan mingguan dan bulanan bisa sangat bermanfaat selain cadangan harian dan per jam.
Pastikan untuk mengikuti prinsip redundansi data. Menyimpan salinan situs web WordPress Anda yang berfungsi di lebih dari satu tempat. Ini akan membantu Anda memulihkan informasi jika terjadi sesuatu pada satu arsip cadangan
Anda dapat menggunakan solusi cadangan yang disediakan oleh penyedia hosting Anda, termasuk cadangan cPanel dan Acronis, untuk menyimpan salinan situs web Anda dalam siklus harian, mingguan, dan bulanan. plugin cadangan WordPress dapat membantu Anda membuat jadwal pencadangan yang lebih fleksibel. BackupBuddy adalah plugin perlindungan dan pemulihan data kelas dunia untuk WordPress. Ini dapat membantu Anda membuat strategi pencadangan yang kuat, dan akses mudah ke pemulihan sekali klik kapan pun Anda membutuhkannya.
Lakukan Pemindaian Kerentanan dan Malware Secara Reguler
Pemindaian kerentanan dan pemantauan integritas file adalah salah satu alat terbaik yang dapat Anda gunakan untuk melindungi semua area penting situs web WordPress Anda. Antarmuka Kesehatan Situs WordPress bawaan adalah alat yang hebat untuk memulai. Jika Anda memerlukan lebih banyak rekomendasi keamanan WordPress yang disesuaikan dengan situs web Anda, Pemindaian Situs Pro iThemes akan memberi Anda laporan komprehensif tentang keamanan situs web WordPress Anda.
Pencegahan adalah kuncinya, begitu juga deteksi dan mitigasi serangan dini. Tujuan utama sebagian besar malware adalah untuk tetap tidak terdeteksi selama mungkin. Tidak jarang situs web WordPress diretas selama berminggu-minggu sampai pemiliknya menyadarinya. iThemes Security Pro menawarkan pemantauan perubahan file tingkat lanjut yang akan memberi tahu Anda setiap kali ada aktivitas mencurigakan yang terjadi di dalam file situs web WordPress Anda.
Melakukan pemindaian malware secara teratur akan membantu mengidentifikasi infeksi malware sejak dini. Itulah kunci untuk memblokir orang jahat dan membersihkan situs WordPress Anda sebelum terjadi kerusakan permanen. Jika Anda mencari pemindai malware gratis yang hebat, ImunifyAV oleh CloudLinux telah terbukti sangat andal dan mudah digunakan.
Amankan Izin File dan Lindungi wp-config.php
Izin file WordPress dapat sangat memengaruhi keamanan keseluruhan situs web WordPress Anda. Pengaturan izin yang salah dapat menempatkan seluruh sistem dalam risiko besar, terutama jika Anda memelihara server Anda sendiri dan menjalankan banyak situs di dalamnya. Mengonfigurasi izin file WordPress Anda dengan aman sangatlah penting.
Salah satu area paling rentan dari situs web WordPress Anda adalah file konfigurasi utamanya: wp-config.php
. Data penting yang disimpan di sana, termasuk informasi koneksi database WordPress, menjadikan wp-config.php
sebagai target prioritas tinggi untuk serangan yang mencoba merebut kendali atas situs web Anda.
Salah satu rekomendasi keamanan utama WordPress yang dapat Anda terapkan saat ini adalah mengatur izin untuk file wp-config.php
situs web Anda setidaknya 640. Jika Anda tidak yakin izin file apa yang harus dimiliki oleh file situs web lain, Pemeriksaan Izin File iThemes Security Pro alat akan membantu Anda mengetahuinya.
Kompromi lintas akun difasilitasi oleh izin file yang tidak aman dan isolasi pengguna yang buruk
Peretas secara aktif mengeksploitasi isolasi pengguna yang buruk, dikombinasikan dengan izin file yang tidak aman, untuk melakukan serangan lintas akun yang berbahaya. Ini dikenal sebagai "peretasan symlink" atau peretasan WordPress "Anonymous Fox".
Dengan menggunakan satu situs web yang diretas sebagai titik masuk, penyerang dapat membuat tautan simbolik lintas akun ke file konfigurasi situs web lain, seperti wp-config.php
, untuk mengekspos informasi sensitif dan mendapatkan kendali atas semua situs web di server tertentu. Peretasan ini hanya mungkin jika file wp-config.php
Anda dapat dibaca oleh pengguna lain di server yang sama.
Beberapa rekomendasi keamanan WordPress menyarankan untuk memindahkan wp-config.php
, yang dapat membantu, tetapi ini tidak benar-benar mengatasi semua risiko. Amankan izin file dan pastikan semua situs web diisolasi satu sama lain di server yang sama. Salah satu cara terbaik untuk mencapainya adalah dengan menggunakan CageFS, yang disediakan oleh sistem operasi CloudLinux.
Konfigurasikan Firewall Aplikasi Web
Rekomendasi keamanan utama WordPress lainnya adalah menggunakan firewall aplikasi web, atau lebih baik lagi, beberapa sistem pertahanan seperti WAF berbasis host dan berbasis cloud. Firewall aplikasi web berfungsi sebagai garis pertahanan pertama melawan semua serangan dunia maya yang diketahui, memfilter semua lalu lintas berbahaya berdasarkan aturan yang terus diperbarui.
WAF memindai semua lalu lintas web untuk setiap permintaan yang mencurigakan berdasarkan sejumlah pola yang diatur oleh aturan yang kami tetapkan. Ini memastikan perlindungan tingkat tinggi terhadap DDoS dan serangan brute force, serta SQLi dan XSS.
WAF berbasis cloud seperti Cloudflare WAF dapat memitigasi berbagai serangan sambil mengurangi beban pada server asal. Permintaan yang masuk ke server yang menghosting situs web WordPress Anda kemudian menjalani pemeriksaan putaran lain oleh WAF berbasis host seperti ModSecurity. Kedua solusi tersebut sepenuhnya gratis dan dianggap sebagai standar industri untuk keamanan WordPress.
Siapkan Header Keamanan HTTP
Header respons keamanan HTTP adalah salah satu alat paling berharga yang Anda miliki untuk meningkatkan keamanan situs web WordPress Anda. Mirip dengan firewall aplikasi web, header respons HTTP dapat memblokir akses ke area penting situs web Anda dan mencegah aktivitas apa pun yang dapat membahayakan pelanggan dan data mereka.
Header keamanan HTTP terpenting untuk WordPress meliputi:
- Kebijakan Keamanan Konten (CSP). Solusi kuat yang dapat membantu mengurangi skrip lintas situs dan pembajakan klik, dan serangan dunia maya berbahaya lainnya yang menargetkan situs web WordPress. Menggunakan CSP membantu Anda menentukan daftar sumber daya yang dapat memuat konten dari situs web Anda, serta daftar sumber daya yang dapat memuat konten dari situs web Anda.
- Set-Cookie . Header respons Set-Cookie mengontrol bagaimana cookie dikirim dari server ke browser pengguna. Mengonfigurasi atribut SameSite dapat membantu melindungi situs web WordPress Anda dari pemalsuan permintaan lintas situs dan pembajakan klik.
- Keamanan Transportasi Ketat (HSTS). Header respons HSTS memastikan bahwa situs WordPress Anda hanya dapat diakses melalui HTTPS, yang memungkinkan enkripsi end-to-end antara server dan browser.
Sebagian besar waktu, Anda dapat mengonfigurasi tajuk keamanan HTTP untuk situs web WordPress Anda di file .htaccess
lokal Anda. Harap perhatikan bahwa sebagian besar penyedia hosting WordPress menyiapkan tajuk respons HTTP untuk Anda, jadi Anda mungkin perlu berkonsultasi dengan tim dukungan host untuk mengetahui apakah Anda perlu mendefinisikan ulang aturan apa pun secara lokal.
Nonaktifkan Eksekusi PHP di Folder Unggahan dan Nonaktifkan Pengindeksan Direktori
Ketika datang ke WordPress, peretas cenderung menyembunyikan malware di folder yang biasanya tidak menyimpan kode yang dapat dieksekusi. Salah satu folder tersebut adalah direktori unggahan di wp-content
. Menonaktifkan eksekusi PHP di folder unggahan adalah ide yang bagus. Ini dapat membantu membatasi ruang lingkup infeksi malware dan mempercepat perbaikan malware.
Jika Anda memiliki Apache HTTP yang tersedia untuk digunakan, buat file .htaccess
di wp-content/uploads dan tambahkan aturan di bawahnya. Ini akan memblokir skrip PHP apa pun agar tidak dimuat dari folder unggahan. Itu adalah lokasi umum di mana penyerang dapat menempatkan kode berbahaya.
Selain memblokir eksekusi PHP, menonaktifkan pengindeksan direktori di situs web Anda adalah item penting lainnya dalam daftar rekomendasi keamanan WordPress kami. Jika pengindeksan direktori tidak dinonaktifkan, browser akan memuat daftar file yang ada di direktori yang diminta jika tidak ada file index.php
atau index.html
.
Penyerang mengeksploitasi kemampuan ini secara luas, terutama jika menyangkut serangan symlink lintas akun yang diuraikan sebelumnya dalam panduan ini. Anda dapat memblokir pengindeksan direktori secara global atau per direktori dengan menggunakan aturan berikut di .htaccess
:
Ubah Awalan Basis Data WordPress Anda dan Nama Pengguna Admin Default
Kecuali jika Anda mengubah proses penginstalan default, WordPress akan secara otomatis menggunakan awalan wp-
standar untuk databasenya dan membuat pengguna admin
default. Karena ini adalah pengetahuan umum, serangan brute force dan injeksi data mengasumsikannya.
Hapus pengguna admin default dan ubah awalan database WordPress menjadi sesuatu yang mirip dengan wp2789_
. Anda dapat melakukannya dengan mengganti nama semua tabel database menggunakan phpMyAdmin atau melalui antarmuka baris perintah MySQL. Pastikan untuk memperbarui awalan basis data di wp-config.php
sesudahnya.
Batasi Akses ke XMLRPC dan Login WordPress
Dalam hal serangan brute force dan DDoS, xmlrpc.php
dan halaman login WordPress adalah dua area situs WordPress yang paling banyak menjadi target penyerang. Jika akses ke dua antarmuka ini tidak dibatasi, situs WordPress Anda kemungkinan akan mengalami kinerja yang buruk dan sering downtime. Selain itu, ada kemungkinan bahwa, pada akhirnya, seorang peretas akan dapat meretas akun admin Anda dan merusak situs web Anda.
XMLRPC adalah antarmuka pemrograman aplikasi (API) yang memungkinkan WordPress untuk berkomunikasi dengan sistem lain, dan telah menjadi bagian dari WordPress sejak awal platform. Namun, karena WordPress sangat bergantung pada REST API, XMLRPC jarang digunakan dan biasanya dapat dinonaktifkan sepenuhnya tanpa konsekuensi negatif. Anda dapat menambahkan aturan di bawah ini ke .htaccess file
situs web Anda atau izin file xmlrpc.php ke nol untuk tujuan ini.
Membatasi akses ke panel admin WordPress Anda adalah salah satu dari rekomendasi keamanan WordPress utama kami. Meskipun mengubah alamat login WordPress membuatnya jauh lebih sulit untuk ditemukan, melindungi halaman login dengan kata sandi atau menentukan rentang alamat IP eksklusif yang dapat mengaksesnya akan secara efektif menghilangkan risiko penyerang mendapatkan akses tidak sah ke backend WordPress.
Gunakan Kata Sandi Kuat dan Konfigurasi Otentikasi Multi-faktor
Pentingnya menggunakan kata sandi yang kuat tidak bisa dilebih-lebihkan. Namun, beberapa pemilik situs web WordPress cenderung lupa bahwa panel admin WordPress bukan satu-satunya vektor serangan. Sejumlah besar situs WordPress diretas sebagai akibat penyerang mendapatkan akses ke akun panel kontrol hosting web mereka.
Dengan banyak host, nama akun situs web WordPress Anda sesuai dengan pengguna sebenarnya yang dibuat di server host. Mudah ditebak atau terlihat oleh publik. Dikombinasikan dengan kata sandinya, pasangan kredensial memungkinkan Anda terhubung ke situs Anda melalui SSH dan SFTP. Ini adalah cara Anda mengakses panel kontrol hosting Anda. Jika akun ini disusupi, penyerang dapat memperoleh akses penuh tidak hanya ke situs Anda tetapi juga seluruh akun hosting, email, dan bahkan nama domain atau catatan DNS Anda.
Terapkan kebijakan kata sandi yang kuat dan autentikasi multifaktor untuk pengguna admin WordPress dan akun panel kontrol hosting situs web Anda. Jika memungkinkan, nonaktifkan autentikasi kata sandi untuk SSH sepenuhnya demi metode autentikasi berbasis kunci.
iThemes Security Pro memungkinkan Anda mengatur autentikasi tanpa kata sandi untuk panel admin WordPress Anda menggunakan kunci sandi dengan login biometrik. Ini, digabungkan dengan autentikasi multi-faktor yang disiapkan untuk akun hosting Anda, memastikan perlindungan penuh terhadap serangan brute force dan mengamankan situs web Anda meskipun kredensial masuk Anda telah disusupi.
Terapkan Rekomendasi Keamanan WordPress Terbaik dengan iThemes Security Pro
Sebagai sistem manajemen konten paling populer di dunia, WordPress adalah target prioritas tinggi bagi para peretas di mana pun. Untuk mengeksploitasi pelanggaran data dan mendistribusikan malware, penyerang menggunakan berbagai teknik canggih seperti injeksi basis data, skrip lintas situs, dan pemalsuan permintaan lintas situs. Kecuali situs WordPress Anda dilindungi dari ancaman keamanan umum ini, itu mungkin menjadi sasaran empuk.
Dengan segudang rekomendasi keamanan WordPress yang beredar, mungkin sulit untuk memahami cara menjaga keamanan situs web Anda, terutama bila ada beberapa strategi untuk mengurangi setiap serangan dunia maya. Membuat keamanan WordPress lebih mudah diakses adalah apa yang iThemes perjuangkan. Biarkan iThemes Security Pro dan BackupBuddy menjadi asisten keamanan pribadi Anda! Mereka menawarkan lebih dari 50 cara untuk melindungi situs WordPress Anda dari serangan dunia maya paling berbahaya saat ini.
Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress
WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga telah menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs web WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.
Kiki memiliki gelar sarjana dalam manajemen sistem informasi dan pengalaman lebih dari dua tahun di Linux dan WordPress. Dia saat ini bekerja sebagai spesialis keamanan untuk Liquid Web dan Nexcess. Sebelumnya, Kiki adalah bagian dari tim dukungan Liquid Web Managed Hosting di mana dia membantu ratusan pemilik situs web WordPress dan mempelajari masalah teknis apa yang sering mereka temui. Semangatnya untuk menulis memungkinkan dia untuk berbagi pengetahuan dan pengalamannya untuk membantu orang. Selain teknologi, Kiki senang belajar tentang luar angkasa dan mendengarkan podcast kriminal sejati.