Keamanan & pengerasan WordPress, panduan definitif
Diterbitkan: 2021-01-26WordPress sangat populer. Sekitar setiap satu dari lima situs di Internet menggunakan WordPress dalam beberapa bentuk. Baik itu untuk menjalankan blog sederhana, atau Sistem Manajemen Konten (CMS) multi-situs atau situs e-commerce. Akibatnya, tidak mengherankan bahwa situs web WordPress adalah target yang sangat populer baik bagi peretas berpengalaman maupun anak-anak skrip.
Hal terakhir yang diinginkan setiap webmaster adalah mengetahui bahwa situs web mereka telah diretas; mungkin disandera dan merupakan bagian dari botnet, menyebarkan malware, atau ikut serta dalam serangan Denial of Service (DoS). Pada artikel ini kami akan membagikan sejumlah tip dan strategi untuk membantu Anda memperkuat situs WordPress Anda.
Daftar Isi
- Apakah WordPress aman?
- Plugin dan tema
- Jalankan lebih sedikit perangkat lunak
- Perhatikan prinsip yang paling tidak diistimewakan
- Perbarui plugin dan tema WordPress Anda
- Jauhi plugin dan tema WordPress 'nulled'
- Tetap perbarui WordPress
- Hosting WordPress
- Dasbor WordPress
- Nonaktifkan pendaftaran
- Kredensial
- Otentikasi Dua Faktor (2FA)
- Pengerasan inti WordPress
- Nonaktifkan logging debug
- Nonaktifkan XML-RPC
- Batasi REST API WordPress
- Cegah pengungkapan versi WordPress
- Cegah enumerasi pengguna WordPress
- Nonaktifkan editor file WordPress
- Nonaktifkan manajemen tema dan plugin
- TLS (SSL)
- Kesimpulan dan langkah selanjutnya
Apakah WordPress aman?
Ini adalah pertanyaan yang ditanyakan oleh banyak administrator sistem, dan memang seharusnya demikian. Meskipun WordPress secara keseluruhan dibangun dengan baik dan aman, ia memiliki reputasi rentan terhadap kerentanan keamanan dan tidak "kelas perusahaan". Reputasi itu tidak sepenuhnya adil. Lebih sering daripada tidak, masalah terletak pada WordPress sebagai paket perangkat lunak yang sangat populer yang mudah diatur saat mengambil pintasan keamanan. Yang membawa kita ke topik pertama kita — plugin dan tema.
Plugin dan tema
Masalah nomor satu yang mengganggu keamanan WordPress juga yang membuatnya sangat populer. Plugin dan tema WordPress sangat bervariasi dalam hal kualitas dan keamanan. Sementara banyak pekerjaan telah dilakukan oleh tim WordPress untuk membantu pengembang membangun plugin dan tema yang lebih aman, mereka masih tetap menjadi mimpi buruk keamanan. Ini dapat diperhatikan saat menggunakan plugin yang tidak dirawat dengan baik, atau plugin yang diperoleh dari sumber yang tidak jelas.
Sebelum kita lanjut membahas plugin dan tema WordPress, mari kita pahami dulu apa itu plugin WordPress. Plugin hanyalah kode PHP khusus yang dijalankan WordPress untuk memperluas fungsionalitas WordPress. Untuk penjelasan lebih rinci dan teknis, lihat Apa itu plugin WordPress.
Demikian pula, tema WordPress memungkinkan penyesuaian aspek visual situs WordPress Anda. Dari sudut pandang penyerang, ada sedikit perbedaan antara keduanya karena keduanya dapat disalahgunakan untuk menjalankan kode berbahaya.
Jalankan lebih sedikit perangkat lunak
Jadi bagaimana Anda bisa tahu apakah sebuah plugin berbahaya atau tidak? Itu pertanyaan yang rumit, tapi untungnya kami punya jawaban untuk Anda. Kami telah menulis tentang ini secara rinci tentang cara memilih plugin WordPress terbaik untuk situs web WordPress Anda.
Meskipun Anda melakukan semua penelitian yang diperlukan, ada juga kemungkinan bahwa plugin masih menjadi ancaman keamanan. Jadi salah satu cara untuk mengurangi risiko Anda adalah dengan hanya menjalankan perangkat lunak yang benar-benar Anda butuhkan dan percayai. Sebelum menginstal plugin WordPress baru, tanyakan pada diri Anda apakah Anda benar- benar perlu menginstal plugin itu. Bisakah potongan kode kecil di plugin khusus situs melakukan trik, atau apakah Anda benar-benar membutuhkan plugin yang sepenuhnya meledak?
Penting — berhati-hatilah dengan cuplikan kode yang Anda temukan di Internet. Jangan pernah menggunakan sepotong kode kecuali Anda benar-benar memahami fungsinya — hanya karena ada di StackOverflow, bukan berarti aman untuk digunakan.
Jika Anda benar-benar perlu menjalankan sebuah plugin, pastikan plugin tersebut dipelihara secara aktif dan diperbarui secara berkala seperti yang kami jelaskan di panduan kami. Sebagai aturan praktis, semakin banyak unduhan dan pembaruan terkini yang dimiliki plugin atau tema menunjukkan bahwa itu digunakan secara luas dan dipelihara secara aktif oleh pembuatnya. Ini tidak berarti bahwa plugin tidak akan pernah memiliki kerentanan. Namun, jika kerentanan ditemukan, pengembang akan bertindak cepat dan mengeluarkan perbaikan dengan cepat.
Cobalah untuk menghindari plugin yang tidak memiliki banyak unduhan dan kritis, tidak memiliki komunitas yang aktif dan pembaruan rutin. Jika sesuatu belum menerima pembaruan dalam setahun, biasanya itu adalah tanda bahaya.
Perhatikan prinsip yang paling tidak diistimewakan
WordPress tidak perlu menggunakan pengguna root MySQL untuk terhubung ke database-nya. Setiap pengguna WordPress juga tidak perlu memiliki peran sebagai administrator. Demikian pula, bukanlah ide yang baik untuk menjalankan sebagian besar program sebagai pengguna yang memiliki hak istimewa, kecuali jika ada alasan khusus untuk melakukannya.
Praktik terbaik keamanan selalu mendikte aplikasi untuk selalu diberikan hak istimewa seminimal mungkin yang memungkinkannya berfungsi dengan baik, dengan hak istimewa tambahan apa pun dinonaktifkan. Praktik ini biasa disebut dengan prinsip privilese paling rendah.
Mari kita asumsikan secara hipotetis WordPress terhubung ke database dengan akun pengguna istimewa. Jika plugin WordPress mengandung kerentanan injeksi SQL, penyerang mungkin tidak hanya dapat menjalankan kueri SQL sebagai administrator, tetapi dalam beberapa kasus mereka bahkan dapat menjalankan perintah sistem operasi. Jika penyerang berhasil menjalankan perintah sistem operasi, mereka mungkin dapat melakukan pengintaian dan meningkatkan serangan lebih jauh ke sistem lain.
Menjalankan perangkat lunak dengan hak administratif, atau memberi pengguna lebih banyak akses daripada yang diperlukan akan menimbulkan masalah. Ini bertentangan dengan prinsip hak istimewa paling rendah yang telah dicoba dan diuji, karena memungkinkan penyerang untuk menimbulkan lebih banyak kerusakan jika terjadi pelanggaran keamanan.
Hal yang baik dengan WordPress adalah ia memiliki sejumlah peran bawaan, yang dapat Anda gunakan untuk menetapkan hak istimewa yang berbeda untuk pengguna yang berbeda, tergantung pada kebutuhan mereka. Kami telah banyak menulis tentang ini tentang cara menggunakan peran pengguna WordPress untuk meningkatkan keamanan WordPress.
Perbarui plugin dan tema WordPress Anda
Pembaruan plugin dan tema WordPress penting tidak hanya untuk mendapatkan manfaat dari fungsionalitas baru dan perbaikan bug, tetapi juga untuk menambal kerentanan keamanan. Baik plugin dan tema mudah diperbarui dalam antarmuka WordPress.
Beberapa plugin komersial kemungkinan akan memiliki mekanisme sendiri untuk menjaga agar plugin tetap mutakhir, namun, dalam banyak kasus ini transparan bagi pengguna. Meskipun demikian, pastikan bahwa sistem pembaruan apa pun yang digunakan, Anda selalu memperbarui plugin dan tema Anda.
Jangan gunakan plugin dan tema WordPress 'nulled'
WordPress memanfaatkan GPL 1 . Tanpa banyak detail, lisensi GPL memungkinkan siapa saja untuk mendistribusikan perangkat lunak berlisensi GPL secara bebas. Ini termasuk tema dan plugin WordPress berlisensi GPL komersial/premium. Dengan demikian, mengunduh yang dimodifikasi, biasanya disebut sebagai nulled , tema atau plugin premium, dan menggunakannya secara gratis bukanlah tindakan ilegal.
Namun, seperti yang mungkin sudah Anda duga, selain tidak mendukung pengembang plugin, Anda sangat tidak mungkin menerima pembaruan untuk plugin yang dibatalkan. Terlebih lagi, Anda tidak memiliki cara untuk mengetahui apakah sumber plugin ini telah dimodifikasi untuk melakukan sesuatu yang jahat.
Tetap perbarui WordPress
Sama seperti Anda harus selalu memperbarui plugin dan tema, Anda juga harus memastikan versi WordPress yang Anda gunakan selalu terbarui. Untungnya ini sekarang jauh lebih mudah daripada di masa lalu, dengan pembaruan keamanan penting yang terjadi secara otomatis. Tentu saja, kecuali Anda secara eksplisit menonaktifkan fungsi ini.
Selain fitur baru, peningkatan, dan perbaikan bug, pembaruan inti WordPress juga berisi perbaikan keamanan yang dapat melindungi Anda dari penyerang yang mengeksploitasi situs WordPress Anda dan menggunakannya untuk keuntungan yang tidak semestinya.
Hosting WordPress
Di mana dan bagaimana Anda memilih untuk meng-host situs WordPress Anda akan sangat bergantung pada kebutuhan Anda. Meskipun tidak ada yang salah dengan hosting dan mengelola WordPress sendiri, jika Anda tidak paham secara teknis, atau Anda ingin memastikan untuk memenuhi sebagian besar dasar-dasar keamanan WordPress tanpa melakukan banyak pekerjaan berat, Anda mungkin ingin memilih penyedia hosting WordPress yang dikelola seperti Kinsta atau WP Engine.
Karena kami memiliki situs web yang dihosting dengan kedua host, kami telah menulis tentang mereka. Dalam kisah pelanggan kami, kami menyoroti pengalaman kami dengan mereka. Untuk mempelajari lebih lanjut tentang pengalaman Anda, baca kisah pelanggan WP Engine dan Kinsta kami. Hosting WordPress yang dikelola mengabstraksikan banyak keputusan dan konfigurasi keamanan yang perlu Anda khawatirkan tentang diri Anda sendiri.
Tentu, hosting WordPress yang dikelola mungkin juga bukan untuk Anda. Anda dapat memilih untuk menghosting WordPress sendiri, terutama jika anggaran Anda terbatas. Self hosting WordPress juga memberi Anda kontrol lebih besar atas instalasi WordPress Anda. Untuk mempelajari lebih lanjut tentang semua opsi hosting WordPress yang berbeda dan apa yang paling cocok untuk Anda, lihat panduan untuk memilih hosting WordPress.
Dasbor WordPress
Dasbor WordPress situs Anda adalah tempat yang tidak ingin ada orang yang tidak berwenang bersembunyi. Meskipun ada beberapa situs yang memiliki alasan yang sah untuk mengizinkan pengguna publik untuk masuk menggunakan dasbor WordPress, ini adalah risiko keamanan yang sangat besar dan harus dipertimbangkan dengan sangat hati-hati.
Untungnya, sebagian besar situs web WordPress tidak memiliki persyaratan ini dan karenanya harus mencegah akses ke dasbor WordPress. Ada beberapa cara untuk melakukan ini dan Anda harus memilih yang paling cocok untuk Anda.
Praktik umum adalah membatasi akses dengan kata sandi yang melindungi halaman Admin WordPress (wp-admin). Solusi lain adalah dengan hanya mengizinkan akses ke /wp-admin ke sejumlah alamat IP yang dipilih.
Nonaktifkan pendaftaran
Secara default, WordPress tidak mengizinkan pengguna publik untuk mendaftar ke situs WordPress Anda. Untuk mengonfirmasi bahwa pendaftaran pengguna dinonaktifkan:
- buka Pengaturan > halaman Umum di area dasbor WordPress Anda
- arahkan ke bagian Keanggotaan
- pastikan bahwa kotak centang di sebelah Siapapun dapat mendaftar tidak dipilih.
Kredensial
Seperti situs web lainnya, akses ke dasbor WordPress Anda hanya sekuat kredensial Anda. Menegakkan keamanan kata sandi WordPress yang kuat adalah kontrol keamanan penting dari sistem apa pun, dan WordPress tidak terkecuali.
Meskipun WordPress tidak memiliki cara apa pun untuk menetapkan kebijakan kata sandi di luar kotak, plugin seperti WPassword sangat penting untuk menegakkan persyaratan kekuatan kata sandi di semua pengguna Anda yang memiliki akses ke dasbor WordPress.
Setelah Anda menerapkan keamanan kata sandi yang kuat di situs web Anda, gunakan WPScan untuk menguji kredensial WordPress yang lemah, untuk memastikan tidak ada akun yang masih menggunakan kata sandi yang lemah.
Otentikasi Dua Faktor (2FA)
Kontrol keamanan penting lainnya untuk dasbor WordPress Anda adalah mewajibkan otentikasi dua faktor. Otentikasi dua faktor (2FA) mempersulit penyerang untuk mendapatkan akses ke dasbor WordPress Anda secara signifikan jika penyerang berhasil mengungkap kata sandi pengguna (misalnya penyerang dapat menemukan kata sandi pengguna dari pelanggaran data).
Untungnya, sangat mudah untuk mengatur otentikasi dua faktor di WordPress. Ada sejumlah plugin berkualitas tinggi yang dapat Anda gunakan untuk menambahkan fungsi ini. Baca plugin otentikasi dua faktor terbaik untuk WordPress untuk menyoroti plugin 2FA teratas yang tersedia untuk WordPress.
Pengerasan inti WordPress
Meskipun inti WordPress adalah perangkat lunak yang aman, bukan berarti kami tidak dapat memperkuatnya lebih jauh. Berikut ini adalah sejumlah strategi pengerasan khusus untuk inti WordPress.
Pastikan logging debug dinonaktifkan
WordPress memungkinkan pengembang untuk mencatat pesan debug ke file (ini adalah /wp-content/debug.log secara default). Meskipun ini sangat dapat diterima di lingkungan pengembangan, perlu diingat bahwa file ini juga dapat dengan mudah diakses oleh penyerang jika file dan/atau pengaturan yang sama berhasil diproduksi.
Debug WordPress dinonaktifkan secara default. Meskipun selalu lebih baik untuk memeriksanya kembali — pastikan Anda tidak memiliki konstanta WP_DEBUG yang ditentukan dalam file wp-config.php Anda, atau secara eksplisit menyetelnya ke false. Lihat panduan debug WordPress untuk daftar semua opsi debugging.
Jika karena alasan tertentu Anda memerlukan log debug WordPress di situs web kehidupan Anda, masuk ke file di luar root server web Anda (mis. /var/log/wordpress/debug.log). Untuk mengubah pa
define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');
Nonaktifkan XML-RPC
Spesifikasi XML-RPC WordPress dirancang untuk memungkinkan komunikasi antara sistem yang berbeda. Ini berarti bahwa hampir semua aplikasi dapat berinteraksi dengan WordPress. Spesifikasi XML-RPC WordPress secara historis penting untuk WordPress. Ini memungkinkannya untuk berinteraksi dan berintegrasi dengan sistem dan perangkat lunak lain.
Hal baiknya adalah bahwa XML-RPC telah digantikan oleh REST API WordPress. Untuk menyoroti beberapa masalah keamanan seputar XML-RPC; antarmukanya telah menjadi sumber berbagai kerentanan keamanan selama bertahun-tahun. Ini juga dapat digunakan oleh penyerang untuk enumerasi nama pengguna, pemaksaan kata sandi. atau serangan penolakan layanan (DoS) melalui pingback XML-RPC.
Oleh karena itu, kecuali Anda secara aktif menggunakan XML-RPC dan memiliki kontrol keamanan yang sesuai, Anda harus menonaktifkannya. Karena ini adalah sesuatu yang mudah dicapai tanpa menginstal plugin pihak ketiga, kami akan membahas cara melakukannya di bawah.
Meskipun Anda mungkin hanya mengonfigurasi server web Anda untuk memblokir akses ke /xmlrpc.php, metode yang lebih disukai untuk melakukannya adalah dengan menonaktifkan XML-RPC secara eksplisit menggunakan filter WordPress bawaan . Cukup tambahkan yang berikut ini ke file plugin dan aktifkan di situs Anda.
add_filter('xmlrpc_enabled', '__return_false');
Perhatian
- Itu ide yang baik untuk menggunakan WordPress harus menggunakan plugin untuk ini dan potongan kode serupa lainnya.
Batasi REST API WordPress
Dalam nada yang sama seperti XML-RPC, API WordPress adalah cara modern bagi aplikasi pihak ketiga untuk berkomunikasi dengan WordPress. Meskipun aman untuk digunakan, disarankan untuk membatasi beberapa fungsi di dalamnya untuk mencegah enumerasi pengguna dan potensi kerentanan lainnya. Tidak seperti XML-RPC, WordPress tidak menyediakan cara asli yang sederhana untuk menonaktifkan REST API sepenuhnya (dulu 2 , tetapi ini sudah tidak digunakan lagi, jadi sebaiknya jangan melakukannya lagi), namun, Anda dapat membatasinya.
Seperti biasa dengan WordPress, Anda dapat menggunakan plugin untuk mencapai ini, atau Anda dapat menambahkan filter berikut ke file plugin dan mengaktifkannya di situs Anda. Kode berikut akan menonaktifkan API REST WordPress untuk siapa saja yang tidak masuk dengan mengembalikan kode status HTTP yang tidak sah (kode status 401) menggunakan kait WordPress rest_authentication_errors.
add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });
Selain itu, REST API WordPress mengaktifkan JSONP secara default. JSONP adalah teknik lama untuk melewati kebijakan asal browser yang sama sebelum browser modern mendukung CORS (Cross-Origin Resource Sharing). Karena ini berpotensi digunakan sebagai langkah dalam serangan oleh penyerang, tidak ada alasan nyata untuk mengaktifkannya. Disarankan untuk menonaktifkannya menggunakan filter WordPress rest_jsonp_enabled menggunakan cuplikan PHP berikut.
add_filter('rest_enabled', '__return_false');
Lihat dokumentasi filter untuk informasi lebih lanjut tentangnya.
Cegah pengungkapan versi WordPress
Seperti banyak aplikasi web lainnya, secara default, WordPress mengungkapkan versinya di beberapa tempat. Pengungkapan versi bukanlah kerentanan keamanan, namun informasi ini sangat berguna bagi penyerang saat merencanakan serangan. Akibatnya, menonaktifkan fitur pengungkapan versi WordPress dapat membuat serangan sedikit lebih sulit.
WordPress membocorkan banyak informasi versi. Untungnya, inti GitHub ini menawarkan daftar lengkap filter WordPress untuk dinonaktifkan dalam bentuk plugin WordPress. Tentu saja Anda dapat memasukkan kode ini ke dalam plugin khusus situs atau yang harus digunakan yang sudah Anda miliki.
Cegah enumerasi pengguna WordPress
WordPress rentan terhadap sejumlah serangan enumerasi pengguna. Serangan semacam itu memungkinkan penyerang untuk mengetahui pengguna apa yang ada apakah pengguna ada atau tidak. Meskipun ini mungkin tampak tidak berbahaya, ingatlah bahwa penyerang dapat menggunakan informasi ini sebagai bagian dari serangan yang lebih besar. Untuk informasi lebih lanjut tentang topik ini, baca cara menghitung pengguna WordPress dengan WPScan.
Untuk mencegah enumerasi pengguna WordPress, Anda harus memastikan bahwa fitur WordPress berikut dinonaktifkan atau dibatasi.
- Batasi REST API WordPress untuk pengguna yang tidak diautentikasi
- Nonaktifkan WordPress XML-RPC
- Jangan mengekspos /wp-admin dan /wp-login.php langsung ke Internet publik
Selain itu, Anda juga perlu mengonfigurasi server web Anda untuk mencegah akses ke /?author=<number>. Jika Anda menggunakan Nginx, Anda dapat menggunakan konfigurasi berikut untuk mencegah enumerasi pengguna WordPress.
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule .* - [R=403,L]
Atau, jika Anda menggunakan Apache HTTP Server, Anda dapat menggunakan konfigurasi berikut untuk mencegah enumerasi pengguna WordPress.
if ( $query_string ~ "author=([0-9]*)" ) { return 403; }
Nonaktifkan editor file WordPress
Salah satu fitur WordPress yang paling berbahaya adalah kemampuan untuk mengedit file dari dalam dashboard WordPress itu sendiri. Seharusnya tidak ada alasan yang sah di mana setiap pengguna harus melakukan ini, dan tentu saja tidak untuk inti WordPress. Jika ada, Anda ingin memastikan bahwa Anda tahu persis file apa yang diubah menggunakan plugin keamanan pemantauan integritas file (FIM) berkualitas tinggi.
Untuk mengetahui perubahan file, gunakan plugin Monitor Perubahan File Situs Web, yang kami kembangkan.
Setiap perubahan file ke situs web Anda harus terjadi baik melalui koneksi aman (misalnya SFTP), atau sebaiknya, dilacak dalam repositori kontrol versi dan disebarkan menggunakan CI/CD.
Untuk menonaktifkan plugin dan editor file tema di dasbor WordPress, cukup tambahkan berikut ini ke file wp-config.php Anda.
define('DISALLOW_FILE_EDIT', true );
Nonaktifkan manajemen tema dan plugin
Praktik terbaik keamanan WordPress yang baik adalah menonaktifkan plugin dan manajemen tema dari dasbor WordPress. Sebagai gantinya, gunakan alat baris perintah seperti wp-cli untuk membuat perubahan ini.
Dengan menonaktifkan perubahan tema dan plugin, Anda secara drastis mengurangi permukaan serangan situs web WordPress Anda. Dalam kasus ini, bahkan jika penyerang berhasil melanggar akun administrator, mereka tidak akan dapat mengunggah plugin berbahaya untuk meningkatkan serangan di luar akses ke dasbor WordPress.
Konstanta DISALLOW_FILE_MODS yang ditentukan dalam wp-config.php menonaktifkan pembaruan dan penginstalan plugin dan tema melalui dasbor. Itu juga menonaktifkan semua modifikasi file di dalam dasbor, sehingga menghapus Editor Tema dan Editor Plugin.
Untuk menonaktifkan modifikasi tema dan plugin di dashboard WordPress, tambahkan berikut ini ke file wp-config.php Anda.
define('DISALLOW_FILE_MODS', true );
HTTPS WordPress (SSL/TLS)
Transport Layer Security (TLS) sangat penting untuk keamanan WordPress Anda, gratis dan mudah diatur. Catatan: TLS adalah protokol yang menggantikan Secure Socket Layer, SSL. Namun, karena istilah SSL sangat populer, banyak yang masih menyebut TLS sebagai SSL.
Saat Anda mengunjungi situs web Anda melalui HTTPS (HTTP over TLS), permintaan dan tanggapan HTTP tidak dapat dicegat dan diintai, atau lebih buruk dimodifikasi oleh penyerang.
Sementara TLS lebih berkaitan dengan server web Anda, atau Jaringan Pengiriman Konten (CDN) daripada instalasi WordPress Anda, salah satu aspek terpenting dari TLS (WordPress HTTPS) adalah menegakkannya. Ada banyak informasi online tentang cara mengatur WordPress HTTPS (SSL dan TLS).
Jika Anda tidak nyaman mengedit file konfigurasi, dan lebih suka beralih ke WordPress HTTPS menggunakan plugin, Anda dapat menggunakan Really Simple SSL atau WP force SSL. Keduanya adalah plugin yang sangat bagus dan mudah digunakan.
Langkah selanjutnya untuk WordPress yang lebih aman
Jika Anda telah sampai sejauh ini, bagus, tetapi itu tidak berarti tidak ada lagi pengerasan yang harus dilakukan. Berikut ini adalah sejumlah item yang dapat Anda lihat untuk memperkuat situs WordPress Anda lebih jauh.
- Memperkuat PHP. Mengingat PHP adalah komponen inti dari setiap situs WordPress, pengerasan PHP adalah salah satu langkah logis berikutnya. Kami telah menulis tentang ini secara ekstensif di pengaturan keamanan PHP Terbaik untuk situs web WordPress.
- Gunakan plugin keamanan terkemuka. Plugin keamanan berkualitas menawarkan fitur keamanan lanjutan yang tidak disertakan di WordPress secara asli. Ada banyak sekali plugin keamanan WordPress di luar sana. Namun, pastikan untuk memilih plugin dengan reputasi baik dan idealnya yang menyediakan dukungan premium atau komersial, seperti plugin keamanan berkualitas tinggi kami untuk WordPress.
- Lakukan audit izin file. Untuk situs web WordPress yang berjalan di Linux, izin file yang salah dapat memungkinkan pengguna yang tidak sah mendapatkan akses ke file yang berpotensi sensitif. Untuk informasi lebih lanjut tentang subjek ini, lihat panduan kami untuk mengonfigurasi situs web WordPress & izin server web yang aman.
- Lakukan audit file cadangan. File cadangan yang tidak sengaja dibiarkan dapat diakses dapat membocorkan informasi sensitif. Ini termasuk konfigurasi yang berisi rahasia yang memungkinkan penyerang mendapatkan kendali atas seluruh instalasi WordPress.
- Keraskan server web Anda
- Perkuat MySQL
- Tambahkan header keamanan HTTP yang diperlukan
- Pastikan Anda memiliki sistem cadangan WordPress yang berfungsi.
- Gunakan layanan perlindungan DDoS
- Terapkan Kebijakan Keamanan Konten
- Kelola cadangan yang terbuka dan file yang tidak direferensikan.
Kesimpulan – ini hanyalah langkah pertama dari perjalanan keamanan WordPress
Selamat! Jika Anda mengikuti semua saran di atas dan menerapkan semua praktik terbaik keamanan yang disarankan, situs web WordPress Anda aman. Namun, keamanan WordPress bukanlah perbaikan satu kali – ini adalah proses yang terus berkembang. Ada perbedaan besar antara mengeraskan situs web WordPress (keadaan satu kali) vs menjaganya tetap aman selama bertahun-tahun.
Pengerasan hanyalah salah satu dari empat tahap dalam proses keamanan WordPress (roda keamanan WordPress). Untuk situs web WordPress yang aman sepanjang tahun, Anda harus mengikuti proses pengujian keamanan WordPress berulang > pengerasan > pemantauan > peningkatan. Anda harus terus menguji dan memeriksa status keamanan situs WordPress Anda, memperkuat perangkat lunak, memantau sistem, dan meningkatkan pengaturan Anda berdasarkan apa yang Anda lihat dan pelajari. Sebagai contoh:
- alat seperti WPScan dapat membantu Anda menguji postur keamanan situs web WordPress Anda
- firewall WordPress dapat melindungi situs WordPress Anda dari serangan peretasan yang diketahui berbahaya
- log aktivitas WordPress dapat membantu Anda melangkah jauh – dengan mencatat semua perubahan yang terjadi di situs web Anda, Anda dapat meningkatkan akuntabilitas pengguna, mengetahui apa yang sedang dilakukan setiap pengguna dan juga mengawasi semua aktivitas di bawah kap
- alat seperti plugin keamanan & manajemen WordPress kami dapat membantu Anda memastikan keamanan kata sandi, memperkuat proses keamanan WordPress, mendapatkan peringatan tentang perubahan file, dan banyak lagi
Anda memiliki semua alat yang tepat untuk menjaga keamanan situs Anda. Bahkan jika Anda menjalankan situs web WordPress kecil, luangkan waktu untuk mempelajari panduan ini secara bertahap. Pastikan Anda tidak berakhir dengan pekerjaan untuk membangun situs web yang hebat, hanya untuk dirampok oleh serangan yang ditargetkan WordPress.
Tidak ada keamanan yang 100% efektif. Namun, Anda mempersulit penyerang untuk mendapatkan pijakan dan berhasil menyerang situs WordPress Anda dengan menerapkan berbagai teknik pengerasan yang tercakup dalam panduan ini. Ingat, ketika penyerang menargetkan korban berikutnya, Anda tidak perlu mengakali mereka. Anda hanya perlu lebih aman daripada situs web rentan berikutnya!