Keamanan WordPress: Cara mengamankan situs web
Diterbitkan: 2023-10-21Keamanan WordPress ada di benak banyak pemilik situs. WordPress memiliki skrip sumber terbuka, jadi wajar saja jika semua orang khawatir bahwa WordPress rentan terhadap segala jenis serangan. Namun, WordPress pada dasarnya tidak rentan, dan ada banyak langkah yang dapat Anda ambil untuk mengamankan WordPress.
Pada akhirnya, pemilik situs sering kali lebih bertanggung jawab atas peretasan dibandingkan platformnya. Ternyata Anda punya banyak pendapat tentang cara membuat situs WordPress Anda aman. Berikut beberapa tip dan trik untuk membantu Anda mengetahui cara mengamankan situs web Anda di WordPress.
Buat Penguncian Situs dan Larang Pengguna
Membuat fitur lockdown untuk upaya login yang gagal berulang kali akan membantu mencegah calon peretas melakukan upaya brute force terus menerus yang pada akhirnya berhasil. Setiap upaya peretasan yang berulang kali menggunakan kata sandi panjang yang berulang akan mengunci situs dan Anda akan diberi tahu tentang aktivitas tidak sah. Ini akan memblokir banyak peretas segera.
Salah satu cara untuk meningkatkan keamanan WordPress terhadap upaya peretasan semacam ini adalah dengan plugin iThemes Security. Sudah sangat bagus untuk waktu yang lama tanpa ada tanda-tanda melambat. Ini menawarkan Anda opsi untuk menentukan berapa banyak upaya login yang gagal yang dilakukan pengguna sebelum plugin melarang alamat IP mereka dan memberi tahu Anda.
Gunakan Metode Otentikasi 2 Faktor
Otentikasi 2 faktor (SFA) adalah salah satu dari banyak praktik terbaik keamanan WordPress. Ia meminta pengguna untuk memberikan detail login untuk dua komponen serentetan. Sebagai pemilik situs, Anda dapat memutuskan apa saja kedua komponen tersebut. Ini bisa berupa kata sandi biasa yang diikuti dengan kode rahasia, pertanyaan rahasia, sekumpulan karakter, CAPTCHA, dan sebagainya.
Banyak pemilik situs lebih memilih metode 2FA untuk mengamankan situs mereka. Google Authenticator adalah plugin yang bagus untuk menyertakan 2FA di situs Anda. Ini, seperti banyak plugin dari Google, dapat diandalkan dan sering diperbarui.
Gunakan Email sebagai Nama Pengguna Login
Default untuk sebagian besar situs meminta nama pengguna untuk login. Untuk meningkatkan keamanan WordPress, gunakan ID email, bukan nama pengguna. Ini pendekatan yang lebih aman. Nama pengguna mudah diprediksi oleh peretas. Email tidak mudah diprediksi. Selain itu, akun pengguna WordPress harus dibuat menggunakan alamat email unik, yang menjadikannya pengenal yang lebih valid.
Plugin yang bagus untuk meningkatkan keamanan WordPress dengan cara ini adalah WP Email Login. Ini berfungsi segera setelah instalasi. Cukup aktifkan dan pergi. Tidak perlu konfigurasi. Jika Anda ingin mengujinya, cukup keluar dari situs Anda lalu masuk kembali menggunakan alamat email yang Anda gunakan untuk membuat akun.
Ganti Nama URL Masuk Anda
Sangat mudah untuk mengubah URL login Anda. Login default WordPress mudah diakses melalui wp-login.php atau wp-admin yang ditambahkan ke URL utama situs Anda. Ketika peretas mengetahui URL langsung halaman login, mereka akan sering mencoba memaksa masuk ke situs Anda. Mereka kemudian akan mencoba masuk dengan Guess Work Database (GWDb), sebuah database tebakan nama pengguna dan kata sandi yang berisi jutaan kombinasi karakter. Peretas merasa mudah untuk melakukan ini. Ini kasar, sederhana, tetapi sering kali efektif.
Jika Anda telah mengikuti semua langkah yang dijelaskan di atas, maka Anda telah membatasi jumlah upaya login pengguna dan menukar nama pengguna untuk identifikasi email. Dengan mengubah URL selain dua langkah keamanan WordPress tersebut, Anda akan menghilangkan 99% serangan brute force langsung. Ini akan sangat membantu menghindari jenis peretas WordPress yang paling umum.
Yang harus Anda lakukan untuk membatasi entitas tidak sah mengakses halaman login adalah menggunakan plugin iThemes Security untuk melakukan ini:
- Ubah wp-login.php menjadi sesuatu yang unik; misalnya login_baru_saya
- Ubah /wp-admin/ menjadi sesuatu yang unik; misalnya my_new_admin
- Ubah /wp-login.php?action=register menjadi sesuatu yang unik
Gunakan Host Berkualitas Baik
Host Anda mirip dengan jalan situs Anda di internet. Seperti alamat jalan di kehidupan nyata, kualitas jalan dapat memengaruhi jenis lalu lintas yang dilihatnya.
Host yang baik akan memengaruhi seberapa andal situs Anda, kinerjanya, seberapa besar keuntungannya, dan bahkan seberapa tinggi peringkatnya di mesin pencari. Host yang benar-benar hebat menawarkan banyak fitur berguna kepada pemilik situs, termasuk dukungan dan layanan yang baik yang disesuaikan dengan platform pilihan pemilik.
Carilah host yang sering memperbarui layanan, perangkat lunak, dan alat mereka secara rutin dan hampir konstan. Hal ini juga harus menanggapi ancaman terbaru dan dengan cepat menghilangkan kemungkinan pelanggaran keamanan. Host web harus menawarkan fitur keamanan yang ditargetkan seperti sertifikat SSL/TLS dan perlindungan DDoS. Anda harus mendapatkan akses ke Web Application Firewall (WAF) untuk membantu memantau dan memblokir ancaman serius terhadap situs WordPress.
Host web yang baik kemungkinan besar juga akan memberi Anda cara untuk membuat cadangan situs Anda. Dalam beberapa kasus, mereka bahkan akan melakukan pencadangan untuk Anda. Ini akan memungkinkan Anda untuk kembali ke versi stabil sebelumnya jika situs Anda diretas. Mereka harus menawarkan dukungan 24/7 yang andal sehingga Anda selalu dapat menghubungi ahlinya untuk membantu mengatasi masalah keamanan situs web.
Alihkan Situs Anda ke HTTPS
Dengan sertifikat SSL/TLS, Anda dapat mengalihkan situs WordPress Anda ke HyperText Transfer Protocol Secure (HTTPS), yang merupakan versi HTTP yang lebih aman. Ini adalah cara terbaik untuk meningkatkan keamanan WordPress.
HTTP adalah protokol yang mentransfer data antara situs web dan browser yang mencoba mengaksesnya. Setiap kali pengunjung mengunjungi halaman Anda, semua konstanta, media, dan kode dikirim melalui protokol ini ke lokasi pengunjung. Hal ini diperlukan tetapi juga menimbulkan masalah keamanan.
Dengan HTTPS, masalah ini terpecahkan. Ia melakukan hal yang sama seperti HTTP, tetapi juga mengenkripsi data situs saat berpindah dari satu tempat ke tempat lain. Ini dimulai sebagai sesuatu yang digunakan untuk melindungi informasi sensitif pelanggan, seperti detail kartu kredit, namun kini menjadi semakin umum untuk semua jenis situs.
Saat Anda beralih ke HTTPS, pelanggan akan mendapatkan kepercayaan tinggi untuk menangani situs Anda. Disarankan untuk memiliki SSL dari merek terautentikasi seperti Comodo, Thawte, GlobalSign, dll. Jika Anda memiliki situs domain tunggal, kami sarankan untuk memiliki sertifikat Comodo PositiveSSL dari Comodo atau SSL domain tunggal lainnya dari merek yang dibahas. Ini akan mengamankan transaksi online antara server dan browser.
FAQ tentang keamanan WordPress
Bagaimana Saya Melindungi Situs WordPress Saya dari Peretas?
Anda tahu, ketika kita berbicara tentang mengusir orang jahat, itu seperti mengunci rumah Anda di malam hari.
Hal pertama yang pertama, selalu perbarui semuanya—tema, plugin, dan yang paling penting, WordPress itu sendiri. Ini seperti menginstal sistem keamanan terbaru. Jangan terlalu mudah menggunakan kata sandi Anda; menjadikannya kompleks dan unik.
Dan hei, menambahkan plugin keamanan? Itu seperti memiliki seekor anjing penjaga; Wordfence atau Sucuri bisa menjadi sahabat baru Anda.
Bisakah Situs WordPress 100% Aman?
Sekarang, inilah pembicaraan sebenarnya—keamanan mutlak, itu hanya mitos, seperti unicorn, Anda tahu? Bahkan Fort Knox pun tidak 100% aman. Tapi jangan biarkan hal itu membuat Anda takut. Dengan langkah yang tepat, Anda dapat membuat situs WordPress Anda sulit untuk diretas.
Audit keamanan rutin, terus mengikuti perkembangan terkini, menggunakan SSL, dan tentu saja, hosting yang andal, Anda membangun benteng, sedikit demi sedikit. Anda mungkin tidak mencapai 100%, tetapi Anda akan sangat dekat.
Apa Masalahnya dengan Plugin Keamanan WordPress?
Baiklah, bayangkan plugin ini sebagai pengawal pribadi Anda. Mereka ada di sana, 24/7, mengawasi bisnis apa pun yang mencurigakan. Wordfence, Sucuri, iThemes Security—inilah beberapa nama besar dalam game ini.
Mereka memindai malware, memblokir penjahat, dan terus memberikan peringatan kepada Anda. Ini seperti memiliki detail keamanan untuk situs Anda, dan percayalah, itu sepadan.
Seberapa Sering Saya Harus Mencadangkan Situs WordPress Saya?
Pikirkan cadangan seperti jaring pengaman Anda. Anda tidak ingin menggunakannya, tapi kawan, tidakkah Anda senang benda itu ada saat Anda membutuhkannya? Setiap hari sangat ideal, terutama jika Anda terus-menerus menambahkan konten baru.
Tapi hei, jika itu terlalu banyak, mingguan adalah jumlah minimum Anda. Alat seperti UpdraftPlus atau VaultPress, siap membantu Anda, mengotomatiskan seluruh proses sehingga Anda dapat tidur nyenyak.
Apa yang Saya Dengar Tentang Sertifikat SSL?
Jadi, sertifikat SSL, itu seperti jabat tangan rahasia antara situs Anda dan browser pengunjung Anda. Ini mengenkripsi data, menjaga kerahasiaan dan keamanannya.
Saat ini, ini bukan hanya untuk situs e-commerce; itu untuk semua orang. Google sangat hebat dalam hal ini, bahkan menandai situs tanpa SSL sebagai 'Tidak Aman'. Let's Encrypt memberikannya secara gratis, jadi tidak ada alasan, oke? Dapatkan sertifikat itu, dan tunjukkan kepada dunia (dan Google) bahwa Anda bersungguh-sungguh.
Haruskah Saya Khawatir Tentang Peran dan Izin Pengguna?
Oh, tentu saja! Bayangkan menyerahkan kunci rumah Anda kepada siapa saja? Nah, kamu tidak akan melakukan itu. Hal yang sama berlaku untuk situs WordPress Anda. Pelit dengan akses admin.
Berikan saja kepada orang yang Anda percayai, maksud saya sangat percaya. Editor, penulis, pelanggan—gunakan peran ini dengan bijak. Ini semua tentang memberikan akses yang cukup untuk menyelesaikan pekerjaan, dan bukan lebih dari itu. Keselamatan dulu, temanku.
Bagaimana Saya Dapat Melindungi Halaman Login WordPress Saya?
Sekarang, halaman login, seperti pintu depan rumah WordPress Anda. Anda ingin kunci yang kuat untuk itu. Otentikasi dua faktor, itu awal yang baik. Ini seperti memiliki kunci ganda.
Sembunyikan halaman login Anda, ubah nama pengguna admin default, dan batasi upaya login. Buatlah sekuat mungkin bagi orang jahat untuk masuk. Anda harus mengakali mereka di setiap kesempatan.
Apa Cara Terbaik untuk Memantau Keamanan WordPress?
Mengawasi berbagai hal, itu penting. Anda tidak akan membiarkan pintu depan terbuka dan hanya berharap yang terbaik, bukan? Alat pemantauan keamanan, seperti kamera keamanan pribadi Anda.
Mereka memindai malware, memantau aktivitas mencurigakan, dan bertugas 24/7. Anda akan mendapat peringatan saat terjadi sesuatu yang mencurigakan.
Ini semua tentang tetap selangkah lebih maju dan mengatasi masalah apa pun sejak awal.
Bagaimana Saya Tahu Jika Situs WordPress Saya Diretas?
Baiklah, jadi yang ini rumit. Terkadang hal ini sangat jelas—situs Anda dirusak, atau dialihkan ke tempat yang tidak diketahui.
Namun terkadang, ini lebih seperti alarm senyap. Tautan aneh yang muncul, masalah kinerja, akun pengguna yang aneh—ini adalah tanda bahaya Anda.
Awasi juga Google Search Console Anda; itu akan memberi Anda peringatan jika berbau sesuatu yang mencurigakan. Dan ingat, pemindaian rutin dengan plugin keamanan Anda, itulah pilihan terbaik Anda.
Apa Kerentanan Keamanan WordPress yang Umum?
Anda punya klasik, seperti injeksi SQL, di mana orang jahat mengacaukan database Anda melalui kode yang cerdik.
Lalu ada skrip lintas situs (XSS), yang memungkinkan mereka menjalankan skrip berbahaya di browser pengunjung Anda. Dan jangan lupa serangan brute force—pada dasarnya menggedor pintu login Anda hingga rusak.
Tapi hei, kamu bukannya tidak berdaya di sini. Kata sandi yang kuat, pembaruan rutin, dan firewall yang bagus, dan Anda melakukan perlawanan yang solid. Tetap tajam, tetap update, dan Anda mendapatkannya.
Mengakhiri pemikiran tentang keamanan WordPress
Kiat keamanan WordPress ini akan membantu Anda memastikan bahwa semua pekerjaan yang Anda lakukan di situs Anda tidak akan hilang saat diretas. Ini akan mendorong orang untuk mengunjungi dan melihat apa yang Anda tawarkan.
Jika Anda senang membaca artikel tentang keamanan WordPress ini, Anda harus membaca artikel ini tentang plugin SSL WordPress.
Kami juga menulis tentang beberapa topik terkait seperti plugin pemindai malware dan garam WordPress.