Keamanan WordPress - Panduan Langkah Demi Langkah Lengkap (2020) - MalCare

Ada alasan bagus untuk mengkhawatirkan keamanan situs web Anda. Laporan memberi tahu kami bahwa lebih dari 90.000 upaya peretasan dilakukan di situs web WordPress setiap menit setiap hari.

Banyak pemilik situs web mungkin menganggap situs web mereka terlalu kecil untuk menarik perhatian peretas. Sebenarnya, karena situs web kecil mengambil keamanan dengan lunak, peretas merasa lebih mudah untuk meretas situs web kecil.

Besar atau kecil – setiap situs web WordPress perlu mengambil langkah-langkah keamanan.

Untungnya, ada banyak hal yang dapat Anda lakukan untuk melindungi situs web Anda dari peretas dan bot. Dalam artikel ini, kami akan menunjukkan dengan tepat langkah-langkah yang perlu Anda ambil untuk memastikan bahwa situs web Anda aman.

[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Pemikiran Akhir”]

Pentingnya Keamanan Situs Web

WordPress adalah platform pembuatan situs web paling populer di dunia. Saat ini ada 75 juta situs web WordPress di internet, dan ratusan situs baru dibuat setiap hari. Popularitas semacam ini datang dengan harga.

Semakin banyak orang menggunakannya, semakin menarik sebagai target peretas. Windows adalah target yang lebih besar dari sistem operasi Apple. Chrome adalah target yang lebih besar untuk dieksploitasi daripada Firefox. Popularitas menarik lebih banyak perhatian, baik dan buruk.

Kami telah menyebutkan sebelumnya bagaimana pemilik situs web kecil menganggap situs web mereka kebal dan tidak mengambil tindakan pencegahan yang diperlukan yang menjadikan mereka target yang ideal.

Saat situs web Anda diretas, peretas menggunakan situs web untuk menjalankan aktivitas berbahaya. Mereka dapat meluncurkan serangan yang lebih besar di situs lain, mengirim email spam, menyimpan perangkat lunak bajakan, menyuntikkan tautan spam, menjual produk ilegal, membuat tautan afiliasi dengan Spam SEO Jepang, dan lain-lain.

Dan itulah akhir dari masalah. Hal-hal dapat menjadi bola salju dengan cepat dan mesin pencari akan memberikan peringatan situs yang menipu kepada pengguna dan dapat memasukkan situs Anda ke daftar hitam. Laporan memberi tahu kami bahwa Google memasukkan 50.000 situs web ke dalam daftar hitam untuk aktivitas phishing dan sekitar 20.000 situs web karena mengandung malware setiap minggu!

Selain itu, penyedia hosting juga dapat menangguhkan akun Anda. Ini berarti situs web Anda akan mati selama berhari-hari yang akan berdampak pada pengumpulan pendapatan Anda. Jika Anda menunggu terlalu lama untuk memperbaiki situs Anda, itu akan menyebabkan kerusakan yang tidak dapat diperbaiki pada bisnis Anda.

Kita semua setuju bahwa mengambil tindakan pencegahan keamanan jauh lebih baik daripada memperbaiki situs web WordPress yang diretas.

Kami akan menunjukkan kepada Anda bagaimana Anda dapat mengamankan situs Anda, tetapi sebelumnya kami ingin menjawab pertanyaan yang dipikirkan oleh banyak pembaca kami.

[Kembali ke Atas ↑]

Tapi Bukankah WordPress Aman?

Inti WordPress aman. WordPress memiliki sepasukan pengembang terbaik yang bekerja tanpa lelah untuk menjaga keamanan inti WordPress. Mereka secara konsisten meningkatkan teknologi dan merilis tambalan dan pembaruan untuk memperbaiki kesalahan atau kesalahan apa pun.

Belum ada kerentanan utama dalam inti WordPress untuk waktu yang lama.

Meskipun demikian, ada lebih dari 90.000 upaya peretasan yang dilakukan di situs web WordPress setiap menit setiap hari. Dan ada dua alasan utama di balik itu.

Pertama, WordPress adalah platform yang sangat populer. Sekitar 75 juta situs web di internet dibangun di atas WordPress yang menarik perhatian kelompok peretas dari seluruh dunia.

Alasan lainnya adalah adanya tema dan plugin yang rentan dan ketinggalan zaman. Faktanya, laporan menunjukkan bahwa tema dan plugin yang sudah ketinggalan zaman adalah penyebab utama lebih banyak kompromi WordPress.

(Psst — Anda dapat membaca lebih lanjut tentang ini di artikel pembaruan keamanan WordPress kami .)

Jadi meskipun WordPress Anda adalah platform yang aman, ada faktor lain yang dapat menyebabkan situs web disusupi. Karenanya, mengambil langkah-langkah keamanan berikut dapat sangat membantu dalam menyelamatkan situs web WordPress Anda.

[Kembali ke Atas ↑]

[ss_click_to_tweet tweet=”???? Jika Anda serius dengan situs web Anda, perhatikan praktik terbaik keamanan WordPress. ????” konten =”” style =”default”]

Bagaimana Cara Mengamankan Situs WordPress?

Ada 15 tindakan keamanan berbeda yang dapat Anda lakukan untuk melindungi situs web WordPress Anda. Yaitu:

1. Instal Plugin Keamanan WordPress
2. Ambil Cadangan Reguler
3. Gunakan Perusahaan Hosting yang Baik
4. Selalu Perbarui WordPress
5. Gunakan Sertifikat SSL
6. Lindungi Halaman Login WordPress Anda
7. Siapkan Firewall
8. Perkuat Situs Web Anda
9. Mempekerjakan Prinsip-Prinsip Keistimewaan Terkecil
10. Memblokir Alamat IP yang Mencurigakan
11. Terapkan Pemblokiran Negara
12. Sembunyikan Versi WordPress
13. Periksa Log Aktivitas
14. Gunakan Hanya Alamat Email untuk Masuk
15. Gunakan Otentikasi HTTP

Mari kita lihat lebih dalam langkah-langkah ini.

1. Instal Plugin Keamanan WordPress

Fungsi utama plugin atau layanan keamanan adalah untuk memindai, membersihkan, dan melindungi. Meskipun ada banyak plugin keamanan WordPress yang dapat dipilih, tidak semua plugin efektif. Beberapa mungkin menawarkan banyak fitur tetapi itu hanya menimbulkan banyak kebisingan. Peretas berpengalaman dapat mem-bypass plugin keamanan semacam itu untuk meretas situs web Anda.

MalCare adalah salah satu plugin Pindai keamanan WordPress terbaik di luar sana. Inilah alasannya –

Saya. Pemindai Malware MalCare

Pemindai malware WordPress membutuhkan sumber daya untuk menjalankan pemindaian. Banyak pemindai mengandalkan sumber daya server web Anda, tetapi hal ini dapat memperlambat kecepatan situs web Anda.

Untuk mengatasi tantangan ini, MalCare menggunakan sumber daya servernya sendiri untuk menjalankan pemindaian situs web Anda. Itu mentransfer file situs web Anda ke servernya sendiri dan kemudian menjalankan pemindaian di sana. Metode ini memastikan bahwa situs Anda tetap tidak terpengaruh selama proses pemindaian.

Banyak pemindai hanya mencari malware yang sudah ada yang berarti mereka melewatkan jenis malware baru. MalCare dirancang untuk mengidentifikasi semua jenis malware termasuk yang baru .

ii. Penghapusan Malware MalCare

MalCare menawarkan layanan penghapusan malware tercepat. Sebagian besar layanan keamanan WordPress menawarkan pembersihan berbasis tiket. Dalam hal ini, jika situs web Anda diretas, Anda harus menaikkan tiket, membayar biaya penghapusan malware, lalu menunggu petugas keamanan membersihkan situs Anda dan menghubungi Anda kembali. Proses ini memakan waktu dan melibatkan pemberian akses ke situs Anda kepada pihak ketiga.

Pembersih MalCare bekerja secara berbeda. Setelah peretasan, waktu sangat penting. Semakin lama waktu yang dibutuhkan, semakin besar kemungkinan Google memasukkan situs web atau host web Anda ke dalam daftar hitam untuk menangguhkan situs Anda. Itu sebabnya MalCare menawarkan penghapusan malware WordPress instan untuk membersihkan situs web peretas. Yang perlu Anda lakukan hanyalah mengklik tombol , duduk dan biarkan plugin membersihkan situs Anda dalam beberapa menit.

aku aku aku. Tindakan Perlindungan WordPress MalCare

Semua tindakan yang kami sebutkan sejauh ini – mulai dari menggunakan Firewall hingga Pemblokiran Negara hingga Memperkuat Situs Web Anda adalah tindakan perlindungan yang MalCare memungkinkan Anda melakukannya hanya dengan mengklik tombol.

Bagaimana Cara Menggunakan MalCare?

• Untuk menggunakan MalCare, Anda harus mengunduh dan menginstal plugin terlebih dahulu di situs web Anda.
• Kemudian tambahkan situs Anda ke dasbor MalCare. Plugin akan segera mulai memindai situs web Anda. Jika menemukan file berbahaya di situs web Anda, itu akan memberi tahu Anda.
• Anda dapat segera membersihkan situs menggunakan tombol Pembersihan Otomatis MalCare.

[Kembali ke Atas ↑]

2. Lakukan Backup Reguler

Cadangan adalah jaring pengaman Anda. Jika ada yang salah dengan situs web Anda, Anda dapat memulihkannya kembali normal jika Anda memiliki salinan situs web Anda.

Ada banyak plugin cadangan di luar sana. Dengan banyaknya pilihan yang tersedia, sangat mudah untuk mendapatkan layanan yang tidak sesuai standar. Untuk memilih layanan cadangan yang tepat, Anda harus mengetahui cara memilih plugin cadangan.

Selain itu, meninjau plugin cadangan akan menjadi urusan yang memakan waktu dan mahal. Untungnya, kami melakukan perbandingan antara plugin cadangan WordPress utama di pasar. Lihatlah plugin cadangan WordPress terbaik.

[Kembali ke Atas ↑]

3. Gunakan Perusahaan Hosting yang Baik

Dua penyedia hosting paling populer adalah shared hosting dan managed hosting.

Shared hosting populer karena lebih murah. Ini telah memungkinkan jutaan orang di seluruh dunia untuk memulai situs web mereka sendiri tanpa investasi besar. Tetapi di hosting bersama, Anda berbagi server dengan situs web lain yang tidak dikenal. Dan seringkali ketika satu situs web disusupi, situs web lain di server yang sama terpengaruh. Oleh karena itu, meskipun populer, penyedia hosting bersama tidak siap untuk menangani situasi yang mengancam.

Jika Anda mampu membeli server khusus, selalu pilih itu. Itu melakukan pekerjaan yang lebih baik untuk menjaga situs web WordPress tetap aman. Anda dapat memeriksa bagaimana hosting web memengaruhi keamanan situs web.

Karena ada banyak penyedia hosting yang dapat dipilih, kami membuat perbandingan hosting WordPress teratas. Mudah-mudahan, ini akan membantu Anda membuat keputusan tentang penyedia host web mana yang akan dipilih.

[Kembali ke Atas ↑]

4. Selalu Perbarui Situs Web WordPress

Seperti perangkat lunak lainnya, plugin, tema, dan bahkan inti WordPress mengembangkan kerentanan dari waktu ke waktu.

Saat pengembang mempelajari tentang kerentanan, mereka merilis tambalan dalam bentuk pembaruan. Ketika pemilik situs web tidak memperbarui situs mereka, kerentanan tetap ada.

Setelah merilis tambalan, pengembang mengumumkan alasan pembaruan yang berarti kerentanan diumumkan secara publik. Peretas sekarang mengetahui kelemahan keamanan dan di versi mana itu ada. Mereka sadar bahwa tidak setiap pemilik situs web akan segera memperbarui situs mereka, jadi mereka mulai mencari situs web yang berjalan pada versi yang rentan. Kesenjangan waktu ini memberi mereka peluang bagus untuk berhasil meretas banyak situs.

Contohnya, statistik menunjukkan bahwa lebih dari 80% situs web diretas karena tidak diperbarui!

Anda harus memperbarui situs WordPress Anda secara teratur. Pelajari cara memperbarui situs web WordPress Anda dengan aman.

Anda mungkin memperhatikan bahwa ada plugin dan tema yang tidak diperbarui oleh pengembangnya dalam waktu yang lama. Dalam kebanyakan kasus, perangkat lunak ditinggalkan oleh pengembang. Sebaiknya hapus plugin atau tema dari situs web Anda dan pasang penggantinya.

[Kembali ke Atas ↑]

5. Gunakan Sertifikat SSL

Lihat URL situs web ini dengan cepat.

Perhatikan kuncinya? Kunci ini berarti situs tersebut menggunakan sertifikat SSL. SSL adalah lapisan soket aman yang mengenkripsi data saat sedang ditransfer antara browser dan situs web.

Mengapa? Karena transfer data (seperti detail kartu kredit) dari browser pengunjung ke situs web Anda dapat dicegat dan dicuri. Jadi meskipun datanya dicuri, jika sudah dienkripsi maka hacker tidak bisa menggunakannya.

Berikut panduan yang akan membantu Anda memasang sertifikat SSL di situs web Anda dan Memindahkan Situs WordPress Dari HTTP ke HTTPS.

[Kembali ke Atas ↑]

6. Lindungi Halaman Login WordPress Anda

Halaman login adalah salah satu bagian situs WordPress yang paling sering diserang. Peretas mencoba menebak kredensial masuk dan mengakses area admin WordPress yang akan memberi mereka kendali penuh atas situs web. Karenanya, penting untuk menerapkan perlindungan yang tepat di halaman login WordPress Anda. Mari kita lihat berbagai teknik yang memungkinkan Anda melindungi halaman login dan meningkatkan keamanan login WordPress.

Saya. Gunakan Nama Pengguna Unik

Jika nama pengguna Anda mudah ditebak, maka peretas hanya perlu mengetahui kata sandinya. Dengan satu hal yang perlu dikhawatirkan, itu membuat pekerjaan seorang peretas jauh lebih mudah.

Salah satu nama pengguna WordPress yang paling umum adalah 'admin'. Hingga beberapa tahun yang lalu, WordPress mendorong orang untuk menggunakan 'admin' sebagai nama pengguna. Meskipun WordPress tidak lagi menyarankan 'admin' secara otomatis, ini masih banyak digunakan. Oleh karena itu, Anda harus mengambil tindakan untuk memastikan admin Anda menghindari penggunaan "admin" sebagai nama pengguna bersama dengan nama pengguna yang umum digunakan ini.

Berkonsultasi dengan daftar ini setiap kali akun pengguna baru dibuat bisa sangat membantu menjaga keamanan WordPress Anda. Selain itu, jika ada pengguna Anda yang menggunakan nama pengguna umum, beri tahu mereka untuk mengubahnya. Inilah panduan yang menurut mereka berguna tentang Cara Mengubah Nama Pengguna WordPress?

ii. Ubah Nama Tampilan Anda

Untuk menyusup ke situs Anda, peretas menelusuri situs web Anda dan mengambil nama tampilan. Mereka menggunakan kombinasi berbeda dari nama tersebut untuk mencoba masuk. Peretas tahu bahwa tidak jarang memiliki nama pengguna dan nama tampilan yang sama. Misalnya, jika Sophia Lawrence adalah nama tampilan, mereka mungkin mencoba masuk menggunakan sophialawrence atau sophia.lawrence atau sophia sebagai nama pengguna.

Jadi, untuk melindungi situs Anda dari ini, Anda dapat mengubah nama tampilan.

Buka 'Edit Profil Saya' . Dan kemudian ubah 'Nama Panggilan' Anda. Simpan pembaruan. Sekarang, pilih 'Tampilkan Nama Publik Sebagai' . Menu drop-down muncul di mana Anda akan melihat nama tampilan baru. Pilih dan simpan pengaturan.

Peretas pasti akan gagal jika mereka mencoba menggunakan nama tampilan.

[Kembali ke Atas ↑]

aku aku aku. Cegah Penemuan Nama Pengguna

Selain nama tampilan, cara lain yang bisa digunakan untuk mengetahui username dari website Anda adalah melalui WordPress Rest API. Ini masalah keamanan WordPress yang serius. Diperkenalkan pada tahun 2016, fitur inti WordPress ini memungkinkan siapa saja menemukan informasi pengguna di situs Anda. Yang perlu mereka lakukan hanyalah menjalankan URL sederhana: example.com/wp-json/wp/v2/users

Untuk mencegah hal ini terjadi, gunakan cuplikan kode berikut di file functions.php. Itu akan menyembunyikan daftar pengguna dan memberi Anda kesalahan 500 jika Anda mencoba menjalankan URL lagi.

[php]
add_filter( 'rest_endpoints', function( $endpoints ){

jika ( isset( $endpoints['/wp/v2/users'] ) ) {

batalkan( $endpoints['/wp/v2/users'] );

}

if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {

unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );

}

return $titik akhir;

});
[/php]

Nama pengguna adalah salah satu dari dua komponen kredensial login. Mari kita lihat komponen kedua – kata sandi, dan coba cari cara untuk mengamankannya dari peretas.

[Kembali ke Atas ↑]

iv. Terapkan Kata Sandi yang Kuat

Kata sandi apa pun akan melindungi situs web saya, bukankah itu cukup? Jawabannya adalah tidak karena peretas terus mencoba menebak kata sandi situs WordPress untuk masuk.

Mereka menggunakan teknik yang disebut serangan brute force di mana mereka memprogram bot untuk melakukan jutaan upaya masuk mencoba menebak kredensial Anda dalam waktu kurang dari beberapa menit.

Jika Anda menggunakan kata sandi yang mudah seperti Passw0rd123$ , bot akan memecahkannya dalam beberapa tebakan. Inilah mengapa penting untuk memiliki kata sandi yang unik dan rumit.

WordPress mendorong pengguna untuk membuat kata sandi yang kuat secara otomatis, tetapi Anda masih dapat membuat akun menggunakan kata sandi yang lemah. Oleh karena itu, tanggung jawab untuk menggunakan kata sandi yang kuat berada di pundak Anda.

Anda dapat mendidik admin WordPress Anda untuk menggunakan kata sandi yang kuat. Panduan untuk mengatur kata sandi yang kuat adalah sebagai berikut:

– Buat Kata Sandi Panjang

Secara umum, kata sandi yang melebihi 8-10 karakter dianggap kuat dan biasanya sulit diretas. Setiap karakter yang Anda tambahkan ke kata sandi membuatnya lebih kuat. Namun, selama beberapa tahun terakhir, teknologi cracking password telah berkembang pesat. Oleh karena itu, banyak petugas keamanan WordPress merekomendasikan penggunaan kata sandi sepanjang 15 karakter.

• Kata sandi panjang: pd&&)xG56ZhLNrjl4jjNJ4#h (sulit diingat)
• Frasa sandi panjang: Serigalanya putih karena Anda tidak tahu apa-apa John Snow (mudah diingat)

– Gunakan Kombinasi Huruf Besar, Huruf Kecil, & Karakter Khusus

Dalam serangan brute force, bot diprogram untuk melakukan prosedur cracking password. Mereka mengikuti instruksi tertentu, misalnya, mereka akan mencoba menebak kata sandi yang benar dengan membuat kombinasi huruf kecil yang berbeda ('a', 'b', 'c', dll.). Menggunakan kata sandi yang mudah seperti 'testpass' berarti mereka dapat memecahkan kata sandi setelah melakukan beberapa percobaan.

Oleh karena itu, jika Anda menggunakan kombinasi karakter huruf kecil dan huruf besar, mereka akan membutuhkan waktu lama untuk mengetahui kata sandinya. Namun, bot yang diprogram dengan sangat baik dapat mencoba beberapa juta kata sandi setiap detik. Jadi mencampur karakter khusus, angka, huruf kecil dan besar idealnya membuat kata sandi tidak dapat diprediksi dan sulit dipecahkan.

• Tambahkan batas – TestPass
• Tambahkan angka dan simbol – TestPass123$

– Hindari Menggunakan Kata-Kata Umum dan Detail yang Diketahui Publik

Kata-kata umum seperti 'test', 'admin', 'login' adalah kata-kata umum yang cenderung digunakan oleh pengguna WordPress. Ini adalah beberapa kata sandi yang pertama kali dicoba oleh bot, jadi hindari menggunakannya. Menurut infografik oleh Splashdata, 25 kata sandi yang paling sering digunakan adalah:

• Olahraga dan Minat Umum seperti 'baseball', 'sepak bola', dan 'Star Wars', 'Putri', 'Solo' dll.
• Angka dalam Urutan seperti '87654321', '0123456', dll.
• Huruf dalam Urutan seperti 'abc123', dll.

Peretas yang menargetkan situs web Anda dapat mengambil detail dari situs Anda dan mencobanya. Misalnya, jika Anda memiliki situs web yang dibuat berdasarkan acara TV favorit Anda Game of Thrones, bot akan mencoba berbagai kombinasi frasa untuk masuk ke situs Anda seperti 'GoThrones123' atau 'gameofthrones123'. Untuk mencegah hal ini terjadi, rancang kata sandi yang tidak menyebutkan apa pun yang terkait dengan situs web.

Mengamankan kata sandi meminimalkan kemungkinan pelanggaran keamanan. Tetapi kata sandi yang kuat sulit untuk diingat kecuali Anda memiliki beberapa trik di lengan baju Anda.

[Kembali ke Atas ↑]

v. Perlindungan berbasis CAPTCHA

Selain menggunakan nama pengguna yang unik dan kata sandi yang kuat, menggunakan CAPTCHA adalah cara sempurna lainnya untuk mencegah serangan brute force di situs WordPress Anda.

Setelah sejumlah upaya login yang gagal, CAPTCHA dibuat untuk menentukan apakah pengguna itu manusia atau bot. CAPTCHA dirancang agar tidak dapat dibaca oleh bot. Oleh karena itu, ini menggagalkan serangan brute force karena bot tidak dapat mengakses halaman login sampai mereka menyelesaikan CAPTCHA.

Plugin keamanan WordPress seperti MalCare menghasilkan CAPTCHA berbasis gambar yang hanya dapat dipecahkan oleh pengguna manusia yang sebenarnya.

Dirancang untuk mencegah bot peretas meretas kredensial Anda, CAPTCHA sangat bagus.

[Kembali ke Atas ↑]

vi. Terapkan Autentikasi Dua Faktor

Pernahkah Anda memperhatikan bagaimana layanan populer seperti Facebook dan Gmail mengautentikasi pengguna saat mereka mencoba masuk? Kode dikirim ke ponsel cerdas yang terkait dengan akun Anda yang membantu memvalidasi pengguna. Ini dikenal sebagai autentikasi dua faktor.

WordPress tidak menawarkan autentikasi dua faktor. Oleh karena itu, untuk menerapkan ini di situs WordPress Anda, Anda dapat mengikuti panduan ini di Cara Menambahkan Otentikasi Dua Faktor WordPress.

[Kembali ke Atas ↑]

[ss_click_to_tweet tweet=”Ratusan situs web diretas setiap hari. Lakukan tindakan pencegahan hari ini dan lindungi situs web Anda dari peretas dan bot. ” konten = ”” style = ”default”]

7. Siapkan Firewall

Dari ratusan kunjungan yang Anda terima di situs web Anda, beberapa di antaranya berbahaya. Pengunjung tersebut datang ke situs Anda dengan maksud untuk menemukan kerentanan yang dapat mereka manfaatkan untuk mendapatkan kendali atas situs Anda.

Firewall WordPress memeriksa setiap permintaan pengunjung yang dibuat ke situs web Anda. Apa pun perangkat yang digunakan pengunjung – desktop, smartphone, tablet, laptop – setiap perangkat dikaitkan dengan alamat IP. Jika permintaan berasal dari IP yang mencurigakan, pengunjung diblokir, jika tidak, pengunjung akan diizinkan dan mengakses situs. Firewall yang baik adalah garis pertahanan pertama Anda terhadap lalu lintas berbahaya.

Plugin firewall WordPress seperti yang ditawarkan MalCare hadir dengan firewall canggih yang menawarkan keamanan lebih baik. Itu tidak hanya memeriksa permintaan lalu lintas yang dibuat di situs Anda, tetapi juga mencatat lalu lintas yang buruk. Artinya ketika menemukan IP baru yang buruk, itu mencatatnya. Jika IP buruk mencoba mengakses situs web Anda lagi, itu segera diblokir.

[Kembali ke Atas ↑]

8. Perkuat Situs Web Anda

Kami mengidentifikasi beberapa area umum situs web WordPress yang dimanfaatkan oleh peretas. Misalnya, dapat menggunakan kunci keamanan Anda untuk mendapatkan akses ke situs web Anda atau memasang plugin atau tema berbahaya di situs web Anda. Untuk melindungi situs web Anda dari peretas, Anda perlu mengambil langkah-langkah untuk memperkuat situs web Anda.

Kami memiliki panduan yang akan membantu Anda melakukan langkah-langkah pengerasan WordPress.

[Kembali ke Atas ↑]

9. Terapkan Prinsip-prinsip yang Paling Tidak Diistimewakan

WordPress menawarkan 6 peran pengguna WordPress default: Administrator, Editor, Penulis, Kontributor, Pelanggan, dan Superadmin. Pembagian peran tersebut harus dilakukan secara hati-hati. Setiap peran dilengkapi dengan kekuatan dan tanggung jawabnya sendiri. Mari kita lihat mereka:

Administrator berada di puncak hierarki. Dia memiliki kendali penuh atas situs web dan dapat menjalankan fungsi-fungsi berikut:

• Membuat, mengedit, dan menghapus konten
• Edit plugin dan kode tema
• Kelola semua plugin dan tema
• Membuat, mengubah, dan menghapus akun pengguna

Hak berkurang saat Anda menuruni hierarki. Editor tidak dapat membuat perubahan besar tetapi dia dapat mengelola kategori dan tautan, memoderasi komentar, membuat, mengedit, dan menghapus posting, dan halaman. Penulis, kontributor, dan pelanggan memiliki lebih sedikit izin.

Tanggung jawab tertinggi adalah sebagai Administrator, hak yang harus diberikan kepada orang yang Anda yakini tidak akan menyalahgunakan kekuasaan.

Jika orang yang salah mendapatkan akses admin, mereka dapat memanfaatkan peran tersebut. Mereka dapat menginstal plugin dan tema jahat, mencuri data Anda dan menjualnya dengan harga tertentu, antara lain menyimpan file dan folder ilegal.

[Kembali ke Atas ↑]

10. Memblokir Alamat IP yang Mencurigakan

Jika Anda memiliki plugin keamanan WordPress seperti MalCare yang terinstal di situs web Anda, buka log alamat IP yang telah mencoba masuk namun tidak berhasil.

Perhatikan bagaimana beberapa dari mereka mungkin menggunakan nama pengguna umum (kami membicarakannya di bagian 'Gunakan Nama Pengguna Unik') seperti “adm2016”. Gambar di bawah ini adalah rekaman upaya login yang gagal yang dilakukan di salah satu situs web kami.

Untuk memblokir alamat IP jahat ini, tempatkan kode di file .htaccess Anda:

[php]
perintah mengizinkan, menolak

tolak dari 61.134.52.164

izinkan dari semua
[/php]

Ganti "61.134.52.164" dengan alamat IP yang ingin Anda larang dan simpan file tersebut.

[Kembali ke Atas ↑]

11. Menerapkan Pemblokiran Negara

Web di seluruh dunia memberi peretas akses ke situs web di seluruh dunia. Mereka dapat berlokasi di Rusia yang menargetkan situs web dari New York.

Statistik menunjukkan bahwa lima negara teratas tempat upaya peretasan berasal termasuk China, Amerika Serikat, Turki, Brasil, dan Rusia.

Jika Anda memasang MalCare, mudah untuk memeriksa pengguna yang mencoba masuk ke situs web Anda. Anda dapat melihat negara asal mereka.

Jika Anda memiliki pengguna yang hanya berlokasi di AS, upaya login yang dilakukan dari negara lain kemungkinan besar berbahaya.

Pada gambar di atas, kita dapat melihat bahwa upaya login telah dilakukan dari empat negara berbeda – Amerika Serikat, Inggris Raya, Rusia, dan China.

Sekarang, jika Anda hanya menargetkan negara tertentu seperti AS, Anda tidak memerlukan lalu lintas dari negara lain sehingga Anda dapat memblokir Inggris, Rusia, dan China.

Untuk mempelajari cara menerapkan pemblokiran negara, ambil bantuan panduan ini tentang Cara Memblokir Negara Di WordPress?

[Kembali ke Atas ↑]

12. Sembunyikan Versi WordPress

Cara lain seorang peretas dapat mengetahui apakah Anda memiliki file dengan kerentanan WordPress yang diketahui adalah dengan mencari versi WordPress yang Anda gunakan. Terkadang pemilik situs web melewatkan pembaruan WordPress baru yang membuat situs mereka rentan.

Peretas dapat mengeksploitasi kerentanan apa pun yang mungkin ada di versi instalasi inti WordPress sebelumnya. Karenanya, menyembunyikan versi WordPress yang Anda gunakan mungkin berguna.

Untuk melakukan ini, Anda perlu menempatkan kode di file function.php.

Langkah 1: Masuk ke akun host Anda. Akses cPanel > Manajer File > public_html.

Langkah 2: Di folder public_html, akses konten wp dan pilih folder tema aktif Anda.

Misalnya, jika Anda menggunakan tema default WordPress Dua Puluh Sembilan Belas, pilih folder bernama “dua puluh sembilan belas”.

Perhatikan bahwa 'personalblogily' adalah tema yang saat ini kami gunakan di situs web kami, Anda dapat menggunakan tema yang berbeda.

Langkah 3: Klik kanan pada file function.php dan pilih Edit. Di sini, tempatkan kode berikut.

[php]
fungsi wpbeginner_remove_version() {

kembali ";

}

add_filter('the_generator', 'wpbeginner_remove_version');
[/php]

Simpan file, dan ini akan menghapus nomor versi WordPress agar tidak ditampilkan di mana pun di situs Anda.

[Kembali ke Atas ↑]

13. Periksa Log Aktivitas

Mengawasi semua yang terjadi di situs WordPress Anda memungkinkan Anda mengidentifikasi perilaku mencurigakan pada tahap awal. Ini akan membantu Anda menggagalkan kemungkinan serangan peretasan berbahaya sebelum benar-benar terjadi dan merusak situs web WordPress Anda.

Anda dapat melakukan ini dengan memasang plugin untuk mencatat semua yang terjadi di situs web WordPress Anda di log aktivitas WordPress. Ada beberapa plugin berbeda yang dapat Anda pilih. Log Audit Keamanan WP adalah salah satu plugin tersebut.

14. Gunakan Hanya Alamat Email untuk Login

Di halaman login WordPress, Anda dapat menggunakan nama pengguna atau ID email Anda untuk masuk. Oleh karena itu, menonaktifkan penggunaan nama pengguna dapat mencegah peretas melakukan serangan brute force di situs web Anda.

Ada plugin seperti No Login by Email Address yang memungkinkan Anda mencegah penggunaan nama pengguna untuk masuk ke situs web Anda.

[Kembali ke Atas ↑]

15. Gunakan Otentikasi HTTP

Otentikasi HTTP menawarkan lapisan perlindungan atas halaman login WordPress dan merupakan langkah penting menuju keamanan WordPress. Untuk mengakses halaman, pengguna perlu memasukkan kredensial HTTP. Tanpa ini, mereka tidak akan diizinkan mengakses halaman login situs Anda.

Plugin seperti HTTP Auth membantu menyiapkan lapisan pelindung ini di halaman login Anda. Ingatlah untuk membagikan kredensial autentikasi HTTP dengan pengguna Anda. Jika tidak, mereka akan terkunci dan tidak dapat masuk ke situs Anda.

Dengan itu, kami telah sampai pada akhir dari langkah-langkah keamanan lanjutan untuk situs web WordPress.

[Kembali ke Atas ↑]

Langkah-Langkah Keamanan WordPress yang Umum Tapi Usang

Dalam dunia keamanan WordPress, ada banyak saran yang cenderung didapatkan oleh pemilik situs. Tetapi beberapa saran ini tidak terlalu efektif. Kami akan mencantumkan beberapa saran keamanan umum yang disertai dengan kelemahan utama. Tindakan ini tidak benar-benar mengamankan situs web Anda karena peretas telah menemukan cara untuk mengatasi tindakan ini.

1. Sembunyikan Halaman Login WordPress
2. Tetapkan Kata Sandi untuk Kedaluwarsa
3. Logout Otomatis Saat Tidak Ada Aktivitas

1. Sembunyikan Halaman Login WordPress

Peretas jarang menargetkan situs web tunggal. Mereka memprogram bot otomatis untuk meluncurkan serangan di halaman login WordPress. Siapa pun yang telah menggunakan WordPress cukup lama tahu bahwa situs web WordPress dilengkapi dengan URL halaman login default yang terlihat seperti ini: ' example.com/wp-admin' .

Ini membuat pekerjaan bot otomatis jauh lebih mudah. Oleh karena itu, mengubah halaman login situs web Anda menjadi sesuatu seperti 'example.com/wrongpage' dapat membelokkan serangan yang akan datang.

Ada beberapa plugin seperti WPS Hide Login, Hide WP-Admin, dll. Yang dapat membantu Anda menyembunyikan halaman login WordPress Anda.

Kelemahan: Meskipun ini dapat dengan mudah mencegah upaya peretasan otomatis, ini tidak menjamin bahwa situs web Anda akan aman. Ini terutama karena alat seperti WPS Hide Login menawarkan URL login default. Jadi, ratusan ribu situs web yang menggunakan alat ini menggunakan URL yang sama untuk halaman login mereka. Peretas dapat dengan mudah mengetahui format URL dan meluncurkan serangan.

Selain itu, menyembunyikan halaman login tanpa memberi tahu semua pengguna dengan benar terbukti sangat merepotkan. Bahkan dapat dikenakan biaya pekerjaan sehari-hari.

[Kembali ke Atas ↑]

2. Tetapkan Kata Sandi untuk Kedaluwarsa

Anda pasti telah memperhatikan di layanan e-banking mereka meminta Anda untuk mengubah kata sandi setelah jangka waktu tertentu berlalu. Ini adalah tindakan keamanan yang memastikan bahwa jika akun Anda diretas, peretas hanya memiliki waktu terbatas untuk mengeksploitasi akun Anda. Menerapkan ukuran yang sama di situs web WordPress Anda mengurangi kerusakan.

Menggunakan plugin Kedaluwarsa Kata Sandi, Anda dapat mengatur kata sandi pengguna untuk kedaluwarsa setelah beberapa hari tertentu. Semua pengguna dipaksa untuk memperbarui kata sandi mereka.

Kelemahan: Tindakan ini memang memberikan tingkat keamanan tertentu, tetapi peretas menemukan cara untuk mengunggulinya. Misalnya, saat meretas situs Anda, mereka membuat akun pengguna baru atau memasang pintu belakang tersembunyi. Jadi, meskipun Anda mengubah kata sandi secara teratur, mereka telah membuat titik akses lain.

[Kembali ke Atas ↑]

3. Logout Otomatis Saat Tidak Ada Aktivitas

Untuk situs web dengan banyak pengguna, kemungkinan penyalahgunaan hak pengguna tinggi. Ini bahkan lebih tinggi untuk pengguna yang bekerja dari jarak jauh. Seorang pengguna mungkin harus meninggalkan mejanya untuk mengurus urusan mendesak dan lupa untuk logout.

Bagaimana jika seseorang menyalahgunakan situs web selama ini? Untuk mengurangi risiko penyalahgunaan tersebut, Anda dapat mengatur situs web WordPress Anda untuk mengeluarkan pengguna secara otomatis jika mereka tidak aktif dalam waktu lama.

Plugin Inactive Logout menawarkan fitur Idle Session Logout. Ini memungkinkan Anda menyetel jangka waktu tidak aktif yang dapat diterima, seperti 10 atau 20 menit, setelah itu pengguna keluar secara otomatis.

Kelemahan: Tetapi kemungkinan jika seseorang ingin mengintai di situs Anda, mereka akan melakukannya segera setelah pengguna pergi. Dalam kasus seperti ini, keluar dari pengguna yang menganggur tidak dapat mencegah penyalahgunaan hak pengguna.

[Kembali ke Atas ↑]

[ss_click_to_tweet tweet=”Khawatir tentang keamanan situs Anda? ???? Ambil langkah-langkah yang dapat ditindaklanjuti ini untuk melindungi situs web Anda dari kerentanan keamanan.” konten =”” style =”default”]

Pikiran Akhir

Kami tahu itu bacaan yang sangat panjang dan terlalu berlebihan. Tetapi sebelum Anda pergi untuk tidur siang, inilah yang kami sarankan untuk Anda lakukan –

• Tandai artikel ini.
• Bagikan dengan teman dan tetangga – siapa pun yang menurut Anda akan mendapat manfaat dari mengikuti panduan kami.
• Lihat lebih banyak panduan seperti Amankan Situs WordPress Anda Dengan wp-config.php dari blog WordPress kami.

Kami sangat berharap artikel ini bermanfaat bagi Anda. Kami ingin memberi Anda satu pemikiran terakhir – mengambil semua tindakan keamanan ini bisa sangat melelahkan, jadi kami sarankan untuk menjalankan audit keamanan WordPress reguler dan memilih plugin keamanan WordPress premium seperti MalCare yang akan menangani keamanan untuk Anda.

Dengan MalCare, Anda akan memiliki akses ke fitur keamanan canggih seperti firewall, pemindaian malware biasa, pengerasan WordPress, dan banyak lagi. Anda bisa tenang mengetahui keamanan situs Anda dijaga.

Coba Plugin Keamanan WordPress Kami – MalCare Sekarang Juga!