Tindakan Pencegahan Keamanan WordPress – Lindungi Situs Anda

WordPress adalah salah satu sistem manajemen konten (CMS) paling populer di dunia. Ini menjalankan 18,9% dari semua situs web dan dimuat dengan lebih dari 76,5 juta. Sayangnya ada beberapa kontra menjadi populer. Menurut laporan hack oleh Securi , sebuah perusahaan yang berspesialisasi dalam keamanan situs web, WordPress adalah CMS yang paling diretas di dunia. Tapi tidak perlu panik! Jika Anda mengikuti beberapa panduan umum dalam panduan ini dan mengikuti berbagai tips, Anda bisa menggunakan keamanan WordPress.

Apa yang Anda butuhkan

Sebelum Anda memulai panduan ini, Anda harus memiliki yang berikut:

• Akses ke Panel Admin WordPress
• Akses ke akun hosting Anda (opsional)

Langkah 1 – Tetap perbarui WordPress

Petunjuk pertama dan terpenting. Jika Anda ingin situs web yang bersih dan bebas malware, Anda harus tetap memperbarui WordPress. Meskipun mungkin tampak seperti rekomendasi sederhana, hanya 22% dari semua instalasi WordPress menggunakan versi terbaru.

WordPress telah menambahkan fitur pembaruan otomatis dalam versi 3.7, tetapi hanya berfungsi untuk pembaruan keamanan skala kecil. Karena itu, pembaruan inti utama harus dilakukan secara manual.

Jika Anda tidak tahu cara memperbarui WordPress Anda

Langkah 2 – Menggunakan Informasi Login yang Kurang Umum

Apakah Anda masih menggunakan admin sebagai nama pengguna WordPress Anda? Jika ya, Anda memudahkan penyerang untuk mencoba mengakses panel admin Anda. Sangat disarankan agar Anda mengubah nama pengguna administrator menjadi sesuatu yang lain (lihat panduan ini jika Anda tidak tahu caranya) atau buat akun administrator yang berbeda dan hapus yang lama. Jika Anda lebih suka opsi kedua, ikuti langkah-langkah ini:

• Masuk ke panel Admin WordPress
• Dari menu, klik Pengguna , lalu buka tab Tambah Baru .
• Masuk ke WordPress dengan nama pengguna baru Anda.
• Kembali ke bagian Pengguna dan hapus pengguna Admin.

Kata sandi yang baik memainkan peran besar dalam keamanan WordPress. Jauh lebih sulit untuk mendapatkan kata sandi dengan angka, huruf besar dan kecil, karakter khusus dengan kekerasan. LastPass dan 1Password membantuAnda mengelola kata sandi yang rumit. Juga, ingatlah untuk menggunakan VPN yang aman untuk melindungi informasi login Anda jika Anda harus masuk ke dashboard WordPress Anda saat terhubung ke jaringan tidak aman (mis. Kedai kopi, perpustakaan umum, dll.).

Langkah 3 – Aktifkan Verifikasi 2 Langkah

Verifikasi dua langkah menciptakan lapisan keamanan yang sangat besar di beranda Anda. Seperti namanya, itu menambahkan langkah yang harus diambil untuk masuk. Anda mungkin menggunakan fitur ini di email Anda, perbankan internet atau akun lain yang berisi informasi sensitif. Jadi mengapa tidak menggunakannya di WordPress?

Meskipun kedengarannya agak rumit, mengaktifkan verifikasi dua langkah WordPress cukup mudah. Yang perlu Anda lakukan adalah menginstal aplikasi verifikasi 2 langkah dan mengatur WordPress Anda. Cukup klik tautan untuk mempelajari cara mengaktifkan verifikasi dua langkah WordPress .

Langkah 4 – Nonaktifkan Pelaporan Kesalahan PHP

Pelaporan kesalahan PHP dapat membantujika Anda mengembangkan situs web dan ingin memastikan semuanya berfungsi dengan baik. Namun, ini merupakan pelanggaran keamanan serius untuk menunjukkan kesalahan kepada semua orang.

Anda harus memperbaikinya sesegera mungkin. Anda tidak perlu takut, Anda tidak perlu pengetahuan kode untuk mematikan pelaporan kesalahan PHP di WordPress. Sebagian besar penyedia hosting menawarkan opsi untuk mematikan pelaporan kesalahan dari dalam panel kontrol. Jika fitur ini tidak ada, tambahkan baris berikut ke file wp-config.php. Anda dapat menggunakan klien FTP atau Manajer File untuk mengedit file wp-config.php :

error_reporting (0);
@ini_set ('display_errors', 0);

Itu dia. Pelaporan kesalahan sekarang tidak aktif.

Langkah 5 – Tidak Menggunakan Tema WordPress Nulled

Ingatlah bahwa “keju gratis hanya ada di dalam perangkap tikus”. Saya dapat mengatakan hal yang sama di WordPress theme dan plugin yang dibatalkan.

Ada ribuan pengaya dan tema yang dibatalkan yang beredar di Internet. Pengguna dapat mengunduhnya secara gratis dari berbagai situs Warez atau torrent. Apa yang mereka tidak tahu adalah bahwa kebanyakan dari mereka penuh dengan malware dan tautan black hat SEO.

Jangan gunakan plugin dan tema yang dibatalkan. Ini tidak etis, tetapi juga sangat berbahaya bagi keamanan WordPress. Akibatnya, Anda dapat membayar lebih banyak uang kepada pengembang untuk memperbaiki situs web Anda.

Langkah 6 – Pemindaian Malware WordPress

Peretas sering menggunakan kerentanan dalam plug-in atau tema untuk menginfeksi WordPress dengan perangkat lunak berbahaya. Untuk alasan ini, menjelajah situs blog Anda sangat penting. Ada beberapa plug-in yang dirancang dengan baik tersedia untuk tujuan ini. WordFence adalah salah satu highlights dari hal ini. Ini menawarkan berbagai pengaturan berbeda dengan opsi pemindaian manual dan otomatis. Anda bahkan dapat memulihkan file yang diubah / berbahaya dalam beberapa klik. Ini gratis dan open source. Bahkan alasan ini seharusnya sudah cukup untuk menginstal plug-in sekarang.

Plug-in keamanan WordPress populer lainnya:

BulletProof Security – Tidak seperti WordFence, BulletProof tidak memindai file Anda, tetapi ia menawarkan firewall, database, dan banyak lagi. Salah satu hal terbaik tentang plugin ini adalah dapat diatur dalam beberapa klik.
Sucuri Security – plug-in ini melindungi Anda dari serangan DOS, membuat daftar hitam dan mengelola firewall Anda dengan memindai situs web Anda dari malware. Jika mendeteksi sesuatu, itu akan memberi tahu Anda melalui email. Google, Norton, McAfee – semua mesin daftar hitam ini termasuk dalam plugin ini.

Jangan ragu untuk mencoba semuanya. Lihat panduan terperinci ini untuk mempelajari cara memasang plugin WordPress.

Langkah 7 – Pindahkan Situs WordPress Anda ke Hosting yang Lebih Aman

Ini mungkin saran yang aneh, tetapi menurut statistik, 40% situs WordPress dieksploitasi menggunakan kerentanan di akun hosting mereka. Angka ini sendiri harus mempertanyakan pilihan hosting Anda dan memindahkan situs WordPress Anda ke layanan hosting yang lebih aman . Berikut adalah beberapa aturan yang perlu diingat ketika mencari hosting baru:

Jika berbagi hosting, pastikan akun Anda terisolasi dari pengguna lain dan meminimalkan kemungkinan satu situs merusak yang lain di server.
Pastikan Anda memiliki fitur cadangan otomatis.
Pastikan Anda memiliki firewall berbasis server dan alat pemindaian virus.

Langkah 8 – Buat sebanyak mungkin cadangan

Buat cadangan situs Anda

Bahkan situs internet terbesar di mana pemilik mencoba meningkatkan keamanan mereka dengan menghabiskan ribuan dolar diretas setiap hari.

Jika Anda menggunakan praktik terbaik dan mengikuti tips dalam panduan ini, penting untuk membuat cadangan situs WordPress Anda sesering mungkin.

Ada beberapa cara untuk membuat cadangan. Misalnya, Anda dapat mengunduh file WordPress secara manual, mengunggah database, atau menggunakan alat cadangan perusahaan hosting Anda. Metode lain menggunakan plugin WordPress. Plug-in cadangan WordPress yang paling populer adalah:

VaultPress
backupwordpress
backupguard

Anda bahkan dapat membuat cadangan WordPress Anda secara otomatis dan mencadangkan situs Anda di Dropbox .

Langkah 9 – Tutup Pengeditan File

Seperti yang Anda ketahui, alat pengeditan file bawaan WordPress memungkinkan Anda untuk memodifikasi file PHP. Meskipun fitur ini bermanfaat, mungkin ada beberapa kerusakan. Jika penyerang mendapatkan panel admin WordPress Anda, hal pertama yang harus dicari adalah editor file. Beberapa pengguna WordPress lebih suka menonaktifkan fitur ini sepenuhnya. Anda dapat mematikan fitur ini dengan mengedit file wp-config.php ketika Anda menambahkan baris berikut:

define (‘DISALLOW_FILE_EDIT’, true);

Itu semua yang perlu Anda lakukan untuk mematikan pengeditan file di WordPress.

PENTING: Jika Anda ingin mengaktifkan kembali fitur ini, hapus kode ini dari wp-config.php menggunakan klien FTP Anda atau Manajer File perusahaan hosting Anda.

Langkah 10 – Hapus Instalan Tema dan Plugin yang Tidak Digunakan

Bersihkan situs WordPress Anda dan hapus semua plugin dan tema yang tidak digunakan. Penyerang sering memindai plugin (termasuk plugin WordPress resmi) dengan tema yang dinonaktifkan dan kedaluwarsa, dan mencoba menggunakannya untuk mengakses panel admin atau mengunggah file berbahaya ke server Anda. Dengan menghapus add-on dan tema yang telah Anda hentikan penggunaannya, Anda dapat sedikit meningkatkan keamanan WordPress.

Langkah 11 – Menggunakan .htaccess untuk Keamanan WordPress yang Lebih Baik

File .htaccess diperlukan agar tautan WordPress berfungsi dengan baik. Anda akan mendapatkan terlalu banyak kesalahan 404 ketika file .htaccess tidak memiliki aturan yang benar.

Sebagian besar pengguna tidak tahu bahwa file .htaccess dapat digunakan untuk meningkatkan keamanan WordPress. Misalnya, dengan file .htaccess, Anda dapat menonaktifkan menjalankan PHP pada folder tertentu dan memblokir akses. Contoh berikut menunjukkan bagaimana Anda dapat meningkatkan keamanan WordPress menggunakan file .htaccess.

Matikan akses ke Bagian Admin WordPress

Dengan menggunakan kode di bawah ini, Anda hanya dapat mengizinkan akses ke bagian admin WordPress dari IP tertentu.

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “Kontrol Akses Admin WordPress”
AuthType Basic
<LIMIT DAPATKAN>
pesanan ditolak, izinkan
tolak dari semua
bolehkan dari xx.xx.xx.xxx
bolehkan dari xx.xx.xx.xxx
</ LIMIT>

Perhatikan bahwa Anda harus mengganti xx.xx.xx.xxx dengan alamat IP Anda sendiri. Anda dapat mengetahui alamat IP Anda menggunakan situs web ini. Jika Anda menggunakan beberapa koneksi untuk mengelola situs WordPress Anda, pastikan bahwa alamat IP lain termasuk di sini (Anda dapat menambahkan sebanyak yang Anda inginkan). Kode ini tidak disarankan jika Anda memiliki alamat IP dinamis.

Nonaktifkan menjalankan PHP di Folder Tertentu

Penyerang suka memasang skrip backdoor di folder unggah WordPress. Secara default, folder ini hanya untuk mengunggah file media. Karena itu, tidak boleh mengandung file PHP. Anda dapat menonaktifkan eksekusi PHP dengan membuat file .htaccess baru di / wp-content / uploads / dengan aturan berikut:

<File * .php>
tolak dari semua
</ Files>

Melindungi wp-config.php

File wp-config.php berisi pengaturan WordPress dan informasi database MySQL. Oleh karena itu, ini adalah file WordPress yang paling penting. Itu sebabnya tujuan utama setiap peretas WordPress. Namun, Anda dapat dengan mudah melindungi file ini dengan menggunakan aturan .htaccess berikut:

<file wp-config.php>
pesanan mengizinkan, menolak
tolak dari semua
</ Files>

Langkah 12 – Mencegah serangan SQL dengan mengubah lampiran database default WordPress

Basis data WordPress menyimpan dan menyimpan semua informasi yang diperlukan agar situs web Anda berfungsi. Akibatnya, itu adalah target yang menggiurkan bagi penyerang dan pengirim spam yang menjalankan kode otomatis untuk melakukan serangan SQL. Kebanyakan orang tidak peduli untuk mengubah lampiran wp_ default selama penyetelan WordPress. Menurut WordFence , satu dari setiap lima situs WordPress diretas karena serangan SQL. Karena pengaturan default adalah ** wp ** , penyerang menargetkan nilai ini terlebih dahulu. Pada langkah ini, kami akan fokus pada bagaimana membuat situs WordPress Anda lebih aman terhadap serangan semacam itu.