Cara Mengamankan Situs WordPress Anda dari Peretas

Salah satu aspek terpenting organisasi Anda untuk dilakukan dengan benar adalah keamanan web. Jika situs web Anda adalah istana Anda, peretas adalah tentara penyerang saat ini, yang mencoba menghancurkan pertahanan situs Anda untuk mendapatkan akses ke harta karun yang tersembunyi di dalamnya. Terserah Anda untuk menjaga mereka di teluk karena jika tidak, mereka akan melakukan banyak kerusakan.

WordPress adalah platform CMS populer dengan lebih dari 60% pangsa pasar. Menurut para ahli, 500+ situs web dibangun setiap hari menggunakan pembuat situs web WordPress. Jika Anda menggunakan WordPress sebagai platform pengembangan web Anda, penting untuk mempertimbangkan keamanan.

Tapi bagaimana peretas bisa masuk ke situs Anda, dan bagaimana Anda bisa mencegahnya? Untuk mempelajari lebih lanjut tentang keamanan situs WordPress, lihat bagian di bawah ini:

Mengapa peretas menargetkan keamanan situs web Anda?

Melindungi situs web Anda dari serangan peretasan adalah prioritas untuk bisnis apa pun dan terlebih lagi bagi mereka yang menjalankan toko online. Kita harus melihat "mengapa" keamanan situs web sebelum kita melihat "bagaimana". Apa yang mendorong peretas untuk menargetkan situs web Anda? Mengetahui jawabannya mungkin membantu Anda menentukan bagian mana dari situs Anda yang paling membutuhkan perlindungan.

Berikut ini adalah daftar alasan paling umum untuk ancaman keamanan situs web:

1. Untuk mendapatkan informasi sensitif

Untuk mendapatkan akses ke informasi rahasia, Peretas berusaha menembus situs web Anda karena beberapa alasan. Yang pertama — dan tentu saja yang paling umum — adalah memperoleh informasi sensitif. Informasi itu sering dikaitkan dengan bisnis Anda – dokumen perusahaan, catatan penjualan, dan kekayaan intelektual lainnya yang dapat dieksploitasi oleh peretas di masa depan untuk merugikan perusahaan Anda.

Peretas mungkin juga untuk informasi pengguna. Jika Anda menyimpan data pada klien atau pelanggan di situs Anda, khususnya informasi keuangan, peretas dapat menggunakannya untuk mencuri uang dari mereka yang telah membeli dari Anda.

2. Untuk meng-host malware

Alasan lain peretas menargetkan situs Anda adalah memanfaatkannya sebagai titik distribusi virus. Ketika peretas mendapatkan akses ke situs web Anda, mereka dapat memasang virus dan menggunakannya sebagai landasan peluncuran untuk menyebarkan virus tersebut melalui Internet.

Tindakan ini akan merusak reputasi Anda di Google, yang akan melihat malware di situs Anda dan menghapus Anda dari peringkat pencarian, selain mempersulit pemberantasan virus. Semua upaya Anda dalam optimasi mesin pencari (SEO) akan sia-sia.

3. Untuk bersenang-senang

Akhirnya, banyak peretas meretas situs web untuk kesenangan belaka. Mereka menikmati menerobos firewall dan melanggar semua perlindungan Anda untuk mendapatkan kepuasan yang datang dengan mengambil kendali situs web Anda.

Lainnya mengambil langkah lebih jauh, berharap untuk membuat nama untuk diri mereka sendiri melalui penipuan mereka. Ketika seorang peretas ditangkap, mereka sering menggunakan media sosial untuk membual tentang eksploitasi mereka. Sayangnya, bahkan jika mereka ditangkap, kerusakan pada situs Anda telah terjadi.

Apa sajakah ancaman keamanan situs web yang umum?

Mari kita lihat beberapa cara umum yang coba dilakukan peretas untuk melewati keamanan Anda sekarang setelah kita membahas mengapa peretas menyerang situs Anda dan mengapa itu bisa sangat berbahaya. Tiga jenis utama bahaya keamanan situs web yang harus diperhatikan!

1. Virus dan malware

Kami telah membahas bagaimana malware dapat disebarkan melalui situs web Anda oleh peretas. Namun, malware adalah cara lain bagi peretas untuk mendapatkan akses ke situs web Anda.

Ini sering dimulai dengan sesuatu yang mendasar seperti mengklik tautan. Peretas akan menemukan cara untuk mendapatkan tautan di depan Anda, paling sering melalui email. Saat Anda mengklik tautan, virus akan dilepaskan yang akan dengan cepat memasuki situs Anda dari komputer Anda sendiri.

Seluruh situs Anda akan turun pada saat itu, membuat Anda terjebak dan rentan terhadap apa pun yang coba dilakukan peretas – belum lagi penjualan Anda akan terganggu sebagai akibatnya!

2. Tautan Spam

Peretas mungkin sering mencoba membujuk pengunjung situs Anda untuk mengeklik tautan berbahaya selain mencoba membujuk Anda untuk melakukannya. Meninggalkan komentar di situs web Anda adalah salah satu metode paling populer yang akan mereka lakukan.

Awasi apa yang dikatakan pembaca Anda jika Anda memiliki blog tempat mereka dapat berkomentar. Peretas sering menggunakan saluran tersebut untuk mendistribusikan tautan yang secara keliru mengunduh malware ke PC konsumen.

Ketika Google melihat tautan yang berasal dari situs web Anda, itu akan dengan cepat menghukum Anda di hasil pencarian, jadi Anda harus mencoba untuk menghindari komentar ini di situs Anda.

3. Serangan DDOS

Serangan penolakan layanan (DDoS) terdistribusi adalah jenis masalah keamanan situs web ketiga yang paling umum, dan mereka semakin populer dalam beberapa tahun terakhir. Saat peretas merusak seluruh situs Anda dengan membanjirinya dengan lalu lintas palsu, ini dikenal sebagai serangan DDoS.

Peretas membangun pasukan besar alamat IP palsu dan memerintahkan mereka semua untuk mengakses situs Anda secara bersamaan. Website Anda akan crash karena tidak bisa mengelola pengunjung sebanyak itu. Ini akan melarang orang lain mengunjungi situs, yang akan memengaruhi peringkat dan konversi Anda.

Mengapa Keamanan Situs Web Penting?

Situs WordPress yang diretas dapat secara signifikan merusak pendapatan dan reputasi perusahaan Anda. Peretas dapat mencuri informasi pengguna, kata sandi, menginstal perangkat lunak berbahaya, dan bahkan menginfeksi pengguna Anda dengan malware. Skenario kasus terburuk, Anda mungkin terpaksa membayar ransomware kepada peretas untuk memulihkan akses ke situs web Anda.

Lebih dari 50 juta pengguna situs web telah diperingatkan bahwa situs web yang mereka kunjungi mungkin mengandung malware atau mencuri informasi, menurut Google. Selanjutnya, setiap minggu, Google memasukkan sekitar 20.000 situs web ke daftar hitam untuk malware dan sekitar 50.000 situs web untuk phishing.

Jika Anda menjalankan situs web bisnis, Anda harus memberi perhatian khusus pada keamanan WordPress. Karena merupakan kewajiban pemilik toko nyata untuk mengamankan bangunan mereka, itu juga merupakan tanggung jawab pemilik bisnis online untuk mempertahankan situs web mereka.

Cara Mengamankan Situs WordPress Anda dari Peretas

Berikut adalah beberapa tips tentang cara mengamankan situs WordPress Anda dari peretas. Anda dapat mulai dengan mengubah kata sandi Anda, memastikan Anda tidak meninggalkan informasi pribadi apa pun di posting atau komentar, menginstal firewall dan perangkat lunak antivirus berkualitas tinggi, dan memanfaatkan banyak langkah keamanan yang telah dibangun di WordPress selama bertahun-tahun. . Mari ikuti langkah-langkah ini untuk mengamankan situs WordPress Anda:

1. Menjaga WordPress Diperbarui

WordPress adalah program sumber terbuka yang diperbarui dan dipelihara secara teratur. Itulah mengapa menjaga situs WordPress Anda diperbarui penting untuk menjaga mereka tetap aman. WordPress menginstal pembaruan kecil secara otomatis secara default. Anda harus memulai pembaruan secara manual untuk rilis utama. WordPress juga mengingatkan kita tentang pembaruan ini di bawah bagian “Pembaruan”.

WordPress juga dilengkapi dengan perpustakaan ribuan plugin dan tema yang dapat Anda gunakan untuk menyesuaikan situs Anda. Pengembang pihak ketiga memelihara plugin dan tema ini, dan mereka mengeluarkan pembaruan secara teratur.

Peningkatan WordPress ini sangat penting untuk keamanan dan stabilitas situs WordPress Anda. Periksa untuk melihat apakah inti, plugin, dan tema WordPress Anda semuanya mutakhir.

2. Kata Sandi yang Kuat dan Izin Pengguna

Kata sandi yang dicuri digunakan di sebagian besar upaya peretasan WordPress. Gunakan kata sandi yang lebih keras yang unik untuk situs web Anda untuk membuatnya lebih sulit. Tidak hanya untuk area admin WordPress, tetapi juga untuk akun FTP, database, akun hosting WordPress, dan alamat email khusus yang menggunakan nama domain situs web Anda.

Karena kata sandi yang kuat sulit diingat, banyak pemula yang menghindarinya. Kabar baiknya adalah Anda tidak perlu lagi mengingat kata sandi. Anda dapat menggunakan pengelola kata sandi untuk melacak kata sandi Anda.

Strategi lain untuk mengurangi bahaya adalah dengan hanya memberikan akun admin WordPress Anda kepada orang-orang yang benar-benar Anda butuhkan. Pastikan Anda memahami peran dan kemampuan pengguna di WordPress sebelum menambahkan akun pengguna dan penulis baru ke situs WordPress Anda jika Anda memiliki tim besar atau penulis tamu.

3. Peran Hosting WordPress

Layanan hosting WordPress Anda adalah aspek paling kritis dari keamanan situs WordPress Anda. Perusahaan shared hosting yang kompeten akan berusaha lebih keras untuk mengamankan servernya dari ancaman yang sering terjadi.

Inilah cara bisnis hosting web yang kompeten melindungi situs web dan data Anda di latar belakang.

• Mereka mengawasi jaringan mereka untuk setiap perilaku yang dipertanyakan.
• Untuk mencegah serangan DDOS skala besar, semua perusahaan hosting yang baik memiliki alat.
• Untuk mencegah peretas mengeksploitasi kelemahan keamanan yang diketahui di versi yang lebih lama
• mereka memelihara perangkat lunak server, versi PHP, dan perangkat keras mereka tetap mutakhir.

4. Instal Solusi Pencadangan WordPress

Cadangan adalah garis pertahanan pertama Anda jika terjadi serangan WordPress. Ingatlah bahwa tidak ada yang aman. Jika situs web pemerintah dapat diretas, Anda mungkin yakin bahwa situs Anda juga dapat diretas.

Pencadangan memungkinkan Anda memulihkan situs WordPress dengan cepat jika terjadi kesalahan. Anda dapat memanfaatkan berbagai plugin cadangan WordPress gratis dan berbayar. Hal terpenting untuk diingat tentang pencadangan adalah bahwa pencadangan situs lengkap harus disimpan ke tempat yang jauh secara teratur (bukan akun hosting Anda

Kami menyarankan untuk menyimpannya di penyedia cloud seperti Amazon, Dropbox, atau Google Drive. Bergantung pada seberapa sering Anda memperbarui situs web, pencadangan sekali sehari atau pencadangan waktu nyata mungkin merupakan pilihan terbaik.

Cadangan situs WordPress Anda terdiri dari yang berikut:

• Instalasi Inti WordPress
• Plugin WordPress
• Tema WordPress
• Gambar dan file
• JavaScript, PHP, dan file kode lainnya
• File tambahan dan halaman web statis

5. Plugin Keamanan WordPress Terbaik

Setelah pencadangan, langkah selanjutnya adalah membangun sistem audit dan pemantauan yang mencatat semua yang terjadi di situs web Anda.

Pemantauan integritas file, upaya login yang gagal, deteksi virus, dan sebagainya adalah semua elemen dari plugin keamanan. Mereka bukan add-on atau ekstra, tetapi komponen penting dari setiap situs web WordPress.

Satu-satunya tujuan plugin keamanan adalah untuk membuat situs web Anda aman. Ini dilakukan dengan menangkal peretas, mencegah serangan, mendeteksi kerentanan, dan menguranginya sebelum menjadi masalah. Ada banyak plugin keamanan yang dapat Anda pilih untuk mengamankan situs Anda.

Lihat apa yang dapat diberikan oleh plugin keamanan WordPress:

• Pemantauan keamanan aktif
• Pemantauan daftar hitam
• Perlindungan serangan brute force
• Pemindaian file
• Firewall
• Pemindaian malware
• Pemberitahuan ketika ancaman keamanan terdeteksi
• Tindakan pasca-peretasan
• Pengerasan keamanan

Dan banyak lagi…

6. Aktifkan Firewall Aplikasi Web (WAF)

Plugin firewall untuk WordPress (juga dikenal sebagai firewall aplikasi web atau WAF) berfungsi sebagai penghalang antara situs web Anda dan semua lalu lintas masuk. Firewall aplikasi web ini mengawasi lalu lintas situs web Anda dan menghentikan banyak bahaya keamanan umum agar tidak masuk ke situs WordPress Anda.

Firewall aplikasi web ini biasanya mempercepat dan meningkatkan kinerja situs web Anda selain secara dramatis meningkatkan keamanan WordPress.

Plugin firewall WordPress dibagi menjadi dua kategori.

Firewall Situs Web di Tingkat DNS — Firewall ini memfilter lalu lintas situs web Anda melalui server proxy cloud. Akibatnya, mereka hanya dapat mengirimkan lalu lintas yang sah ke server web Anda.

Firewall Tingkat Aplikasi — Plugin firewall ini memeriksa lalu lintas setelah mencapai server Anda, tetapi sebelum sebagian besar skrip WordPress dimuat. Dalam hal meminimalkan beban server, solusi ini tidak seefektif firewall tingkat DNS.

Kami mengusulkan untuk menggunakan firewall tingkat DNS karena mereka sangat pandai membedakan antara lalu lintas situs web yang sah dan kueri yang berbahaya.

Mereka melakukannya dengan memantau ribuan situs web, membandingkan tren, mencari botnet dan alamat IP berbahaya yang diketahui, dan membatasi koneksi ke URL yang tidak akan pernah dicari pengunjung Anda.

Selain itu, firewall situs web tingkat DNS mengurangi beban pada server hosting WordPress Anda, memastikan bahwa situs web Anda tidak turun.

Berikut adalah beberapa nama teratas Plugin Firewall WordPress:

• Sucuri
• MaxCDN (StackPath)
• Cloudflare
• Keamanan Wordfence
• paket jet
• Keamanan Anti Peluru
• Semua dalam Satu Keamanan WP
• Firewall BBQ
• Ninja Firewall
• Astra
• MalCare
• Keamanan Pembela
• WP Cerber

7. Pindahkan Situs WordPress Anda ke SSL/HTTPS

SSL (Secure Sockets Layer) adalah teknik enkripsi data yang mengenkripsi transmisi data antara situs web Anda dan browser pengguna. Lebih sulit bagi seseorang untuk menyelidiki dan mencuri informasi menggunakan enkripsi ini. Situs web Anda akan menggunakan HTTPS alih-alih HTTP saat Anda mengaktifkan SSL, dan ikon gembok akan muncul di sebelah alamat situs web Anda di browser.

Otoritas sertifikat biasanya menyediakan sertifikat SSL, dengan kisaran harga mulai dari $5 hingga $1.000 per tahun, bergantung pada tingkat kebutuhan keamanan situs Anda. Sebagian besar pemilik situs web memilih untuk terus menggunakan protokol tanpa jaminan karena biaya tambahan. Untuk mengatasi ini, Let's Encrypt, sebuah grup nirlaba, memutuskan untuk memberikan sertifikat SSL gratis kepada pemilik situs web. Google Chrome, Facebook, Mozilla, dan banyak perusahaan lain telah mendukung upaya mereka.

Mulai menggunakan SSL untuk semua situs WordPress Anda sekarang lebih mudah dari sebelumnya. Sertifikat SSL gratis untuk situs WordPress Anda sekarang tersedia dari beberapa perusahaan hosting.

8. Ubah nama pengguna "admin" Default

Saat Anda menginstal WordPress, nama pengguna administrator default adalah "admin". Jika Anda terus menggunakan "admin" sebagai nama pengguna admin Anda, mudah bagi peretas untuk mendapatkan akses ke situs Anda. Peretas melakukan serangan brute force pada akun di mana nama pengguna default adalah "admin" untuk mencoba dan mengambil kata sandi. Ketika seorang peretas masuk ke akun dengan nama pengguna admin WordPress default, ia akan memiliki izin penuh atas situs web Anda.

Login admin WordPress default dulu adalah "admin" pada hari itu. Karena nama pengguna menyumbang 50% dari semua kredensial login, serangan brute force menjadi lebih mudah.

Untungnya, WordPress kemudian memperbaikinya dan sekarang meminta Anda untuk memberikan nama pengguna yang unik saat menginstal perangkat lunak.

Namun, beberapa penginstal WordPress 1-klik terus menggunakan "admin" sebagai nama pengguna admin default. Jika Anda menemukan ini, mungkin ide yang baik untuk mengubah penyedia hosting web Anda.

Karena WordPress tidak memungkinkan Anda untuk mengubah nama pengguna secara default, Anda harus menggunakan salah satu dari tiga teknik.

• Hapus nama pengguna admin lama dan buat yang baru.
• Perbarui nama pengguna dari phpMyAdmin
• Gunakan plugin Pengubah Nama Pengguna

9. Nonaktifkan Pengeditan File

WordPress menyertakan editor kode yang memungkinkan Anda mengedit file tema dan plugin langsung dari area admin WordPress. Fungsionalitas ini dapat menjadi masalah keamanan di tangan yang salah, itulah sebabnya kami menyarankan untuk menonaktifkannya.

Pengguna administrator dapat mengakses file inti jika mereka mengaktifkan "pengeditan file". Ini adalah risiko keamanan karena siapa pun bisa masuk dan mereka akan memiliki kendali penuh atas data Anda.

Untuk mengurangi risiko pelanggaran keamanan, nonaktifkan akses ke kode situs Anda dan aktifkan hanya saat Anda perlu mengedit file. Untuk menonaktifkan pengeditan file di admin WordPress, ikuti langkah-langkah mudah ini:

1. Masuk ke panel kontrol One.com.

2. Buka Manajer File di bawah File & Keamanan.

3. Cari file wp-config.php dan centang kotak untuk memilihnya.

4. Klik Edit di bilah menu di bagian atas layar Anda.

5. Cari wp-config untuk define('DISALLOW_FILE_EDIT', biasanya terletak di bagian bawah.

6. Jika sudah menemukannya, periksa apakah sudah disetel ke “true” (lihat di bawah). Jika tidak ada, Anda perlu menambahkannya ke bagian bawah file, seperti ini:

define('DISALLOW_FILE_EDIT', benar);

7. Klik Simpan di bagian atas layar Anda.

Tip: Jika Anda ingin mengizinkan pengeditan file untuk sementara, Anda cukup mengganti "true" dengan "false". Ubah kembali setelah Anda selesai mengedit.

10. Batasi Upaya Masuk

WordPress memungkinkan pengguna untuk mencoba masuk sebanyak yang mereka suka secara default. Situs WordPress Anda sekarang terkena serangan brute force. Peretas mencoba memecahkan kata sandi dengan masuk dengan berbagai kombinasi.

Ini dapat segera diatasi dengan membatasi jumlah upaya login yang gagal oleh pengguna. Jika Anda menggunakan firewall aplikasi web yang disebutkan sebelumnya, ini akan ditangani secara otomatis.

Namun, jika Anda tidak memiliki firewall, Anda harus menyiapkannya.

Anda dapat membatasi upaya login di WordPress dengan dua cara:

1). Batasi upaya login menggunakan plugin

2). Batasi upaya login tanpa plugin

11. Otorisasi Dua Faktor

Pengguna harus masuk menggunakan prosedur otentikasi dua langkah saat menggunakan metodologi otentikasi dua faktor. Langkah pertama adalah memasukkan login dan kata sandi Anda, dan yang kedua adalah mengautentikasi menggunakan perangkat atau aplikasi yang berbeda.

Anda dapat mengaktifkannya untuk akun Anda di sebagian besar situs web populer, seperti Google, Facebook, dan Twitter. Kemampuan yang sama dapat ditambahkan ke situs WordPress Anda.

Persyaratan untuk otentikasi dua faktor (2FA) telah meningkat dengan serangan cyber baru-baru ini. Dengan mengaktifkan otentikasi dua faktor di WordPress, Anda dapat melindungi situs web atau blog Anda dari peretas dan akses tidak sah. Anda dapat mengaktifkan otentikasi dua faktor (2FA) di WordPress dengan mengikuti 2 metode berbeda:

Metode 1. Menambahkan Otentikasi Dua Faktor di WordPress

Ini adalah metode yang direkomendasikan yang sangat mudah untuk semua pengguna. Ini memungkinkan Anda membuat akun Anda lebih aman dengan mengatur otentikasi dua faktor.

Pertama, Anda harus menginstal dan mengaktifkan plugin WP 2FA – Otentikasi Dua Faktor.

Setelah aktivasi, Anda perlu mengunjungi halaman Pengguna » Profil Anda dan gulir ke bawah ke bagian 'Pengaturan WP 2FA untuk menyelesaikan prosesnya.

Metode 2. Menambahkan Otentikasi Dua Faktor menggunakan Dua Faktor

Untuk mengaktifkan 2FA di WordPress melalui metode ini, Anda perlu menginstal dan mengaktifkan plugin Two Factor.

Setelah mengaktifkan plugin, Anda perlu mengunjungi halaman Pengguna »Profil dan gulir ke bawah ke bagian Opsi Dua Faktor dan ikuti petunjuknya.

12. Ubah Awalan Basis Data WordPress

Karena setiap informasi di situs WordPress Anda disimpan dalam database, ini adalah target pilihan peretas. Kode injeksi SQL otomatis digunakan oleh spammer dan peretas. Sayangnya, saat menginstal WordPress, banyak orang lalai memperbarui awalan basis data. Dengan menargetkan awalan default wp_, peretas dapat merencanakan serangan massal dengan lebih mudah. Strategi paling cerdas untuk melindungi database Anda adalah dengan mengubah awalan database, yang cukup sederhana untuk dilakukan di situs baru. Namun, mengubah awalan basis data WordPress secara efektif untuk situs Anda yang sudah ada tanpa sepenuhnya mengacaukannya memerlukan beberapa langkah.

13. Password Protect WordPress Admin dan Halaman Login

Anda dapat memperkuat keamanan titik akses paling signifikan situs web Anda dengan mengunci kata sandi direktori admin WordPress Anda.

Dasbor admin WordPress Anda berfungsi sebagai jantung situs web Anda. Anda dapat menggunakannya untuk membuat posting dan halaman, mengubah tema, menginstal plugin WordPress, dan banyak lagi.

Ketika peretas mencoba mendapatkan akses ke situs web Anda, mereka sering menggunakan panel wp-admin. Dengan menggunakan kata sandi yang aman dan membatasi upaya login, Anda dapat membantu melindungi situs web Anda dari potensi ancaman. Melindungi direktori admin Anda dengan kata sandi adalah metode cerdas untuk menambahkan lapisan keamanan kata sandi lainnya ke situs web Anda.

Ikuti langkah-langkah mudah ini untuk melindungi kata sandi Admin WordPress Anda

Langkah 1: Masuk ke cPanel dan periksa tab File.

Langkah 2: Temukan 'Privasi Direktori' dan klik di atasnya.

Langkah 3: Edit folder wp-admin.

Langkah 4: Kata sandi melindungi wp-admin.

Langkah 5: Siapkan pengguna dan kata sandi.

14. Nonaktifkan Pengindeksan dan Penjelajahan Direktori

Peretas dapat memanfaatkan penjelajahan direktori untuk melihat apakah Anda memiliki file dengan kerentanan yang diketahui, sehingga mereka dapat mengeksploitasi file ini untuk mendapatkan akses.

Orang lain dapat menggunakan penjelajahan direktori untuk melihat file Anda, menyalin foto, mengetahui struktur direktori Anda, dan mendapatkan informasi lainnya. Oleh karena itu, sangat disarankan agar Anda menonaktifkan pengindeksan dan penelusuran direktori.

Anda harus terhubung ke situs web Anda melalui FTP atau pengelola file di cPanel. Temukan file .htaccess di direktori root situs web Anda. Setelah itu, di akhir file .htaccess, tambahkan baris berikut:

Opsi Semua -Indeks

Kode yang dimodifikasi akan terlihat seperti ini:

Ingatlah untuk menyimpan dan mengunggah ulang file .htaccess ke situs Anda.

15. Nonaktifkan XML-RPC di WordPress

Karena membantu mengintegrasikan situs WordPress Anda dengan aplikasi web dan seluler, XML-RPC diaktifkan secara default di WordPress 3.5.XML-RPC dapat secara signifikan meningkatkan serangan brute force karena sifatnya yang kuat.

Misalnya, jika seorang peretas ingin mencoba 500 kata sandi berbeda di situs web Anda di masa lalu, mereka harus melakukan 500 upaya masuk yang berbeda, yang akan ditangkap dan diblokir oleh plugin penguncian masuk.

Seorang hacker, di sisi lain, dapat menggunakan sistem dengan XML-RPC. Dengan menggunakan fungsi multi-panggilan, Anda dapat mencoba puluhan ribu kata sandi yang berbeda dengan sedikitnya 20 atau 50 permintaan. Akibatnya, jika Anda tidak menggunakan XML-RPC, sebaiknya nonaktifkan. Anda dapat menonaktifkan XML-RPC dengan menggunakan plugin atau secara manual.

16. Secara otomatis logout Pengguna Idle di WordPress

Pengguna yang masuk kadang-kadang dapat menyimpang dari layar mereka, menimbulkan risiko keamanan. Seseorang dapat mengontrol sesi mereka, mengubah kata sandi mereka, dan memodifikasi akun mereka.

Inilah sebabnya mengapa banyak situs web perbankan dan keuangan mengunci pengguna yang tidak aktif secara otomatis. Fungsionalitas serupa juga dapat diterapkan di situs WordPress Anda.

Plugin Logout Tidak Aktif harus diinstal dan diaktifkan. Untuk mengonfigurasi pengaturan plugin, klik Pengaturan » Logout Tidak Aktif setelah aktivasi.

Atur timer dan pesan logout dan selesai. Jangan lupa untuk menyimpan perubahan Anda dengan mengklik tombol Simpan Perubahan.

17. Tambahkan Pertanyaan Keamanan ke Layar Login WordPress

Akses tidak sah ke area admin WordPress dapat dicegah dengan berbagai cara. Lebih sulit untuk mencapai keseimbangan antara keamanan dan pengalaman pengguna jika Anda menjalankan situs keanggotaan multi-pengguna atau WordPress.

Menyertakan pertanyaan keamanan di layar login Anda mungkin bermanfaat. Pengguna Anda akan diminta untuk menjawab satu atau lebih pertanyaan yang seharusnya tidak diketahui jawabannya oleh pengguna lain sebelum mereka dapat masuk ke situs WordPress Anda. Otentikasi dua faktor, atau 2FA, adalah alternatif. Alternatif ini lebih aman, tetapi membutuhkan waktu lebih lama untuk menyiapkannya.

18. Memindai WordPress untuk Malware dan Kerentanan

Jika Anda telah menginstal plugin keamanan WordPress, itu akan memindai malware dan bukti pelanggaran keamanan secara teratur.

Jika Anda melihat penurunan yang signifikan dalam lalu lintas situs web atau peringkat pencarian, Anda harus menjalankan pemindaian secara manual. Anda dapat menggunakan salah satu malware dan pemindai keamanan ini atau plugin keamanan WordPress Anda.

Sangat mudah untuk menggunakan pemindaian online ini; cukup masukkan URL situs web Anda, dan perayap mereka akan mencari situs Anda untuk malware yang dikenal dan kode berbahaya.

Ingatlah bahwa sebagian besar pemindai keamanan WordPress hanya dapat memindai situs web Anda. Mereka tidak akan dapat menyingkirkan infeksi atau membersihkan situs WordPress yang diretas.

Berikut adalah nama teratas pemindai keamanan WordPress untuk mendeteksi malware dan peretasan:

1. Periksa Situs Sucuri

2. Pemindai Keamanan IsItWP

3. Penjelajahan Aman Google

4. WPSec

5. ScanWP

6. Pemindaian Keamanan WordPress

7. WPrecon

8. Quttera

9. Inspektur Web

10. Pemindai Kerentanan WordPress

11. Pemindai Cloud UpGuard

12. Pemindai URL kueri URL

13. VirusTotal

14. Norton Safe Web

19. Memperbaiki Situs WordPress yang Diretas

Banyak pengguna WordPress tidak menyadari perlunya backup dan keamanan situs web sampai terlambat.

Membersihkan situs WordPress bisa memakan waktu dan menantang. Saran pertama kami adalah mendelegasikan tugas kepada seorang ahli.

Pintu belakang dipasang oleh peretas di situs yang dibajak, dan jika pintu belakang ini tidak dihapus dengan benar, situs web Anda kemungkinan besar akan diretas lagi.

Mengizinkan perusahaan keamanan yang terampil untuk memperbaiki situs web Anda memastikan bahwa itu aman untuk digunakan sekali lagi. Ini juga akan melindungi Anda dari ancaman di masa depan.

20. Perbarui Tema dan Plugin Anda

Plugin dan tema berada di kapal yang sama. Tema Anda yang ada, serta plugin apa pun yang telah Anda pasang di situs Anda, perlu diperbarui. Ini melindungi Anda dari kelemahan keamanan, bug, dan potensi pelanggaran keamanan.

Kadang-kadang, seperti kebanyakan produk perangkat lunak, plugin tertentu mungkin diretas atau memiliki kelemahan keamanan yang terungkap di dalamnya. Di masa lalu, plugin seperti Ninja Forms dan WooCommerce, misalnya, telah diganggu oleh masalah serius.

Jadi, bagaimana Anda tetap memperbarui tema dan plugin Anda?

Pertama, mari kita lihat plugin. Arahkan ke Plugins / Installed Plugins untuk melihat daftar semua plugin Anda. WordPress akan memberi tahu Anda jika plugin tidak diperbarui ke versi terbaru:

Untuk memperbarui tema Anda, buka Penampilan / Tema, di mana Anda akan melihat daftar semua tema yang telah Anda instal. Yang tidak lagi digunakan akan diidentifikasi dengan cara yang sama seperti plugin. Cukup pilih “Perbarui sekarang” dari menu tarik-turun.

21. Batasi akses pengguna ke situs Anda

Jika Anda bukan satu-satunya orang yang memiliki akses ke situs web Anda, berhati-hatilah saat menambahkan pengguna baru. Anda harus menjaga semuanya di bawah kendali Anda dan berusaha untuk melarang segala bentuk akses ke pengguna yang tidak memerlukannya.

Anda dapat membatasi fungsi dan izin pengguna Anda jika Anda memiliki banyak pengguna. Mereka seharusnya hanya memiliki akses ke fitur-fitur yang diperlukan bagi mereka untuk melakukan tugas mereka.

Paksa Kata Sandi Kuat mungkin juga membantu Anda mengatasi masalah ini. WordPress menyarankan kata sandi yang aman secara default, tetapi itu tidak akan memaksa Anda untuk mengubahnya jika Anda memilih yang buruk. Plugin ini tidak akan mengizinkan Anda untuk melanjutkan kecuali kata sandi Anda cukup kuat.

Ini mungkin solusi yang bagus untuk semua orang yang datang ke admin Anda. Ini pada dasarnya satu-satunya cara Anda untuk memastikan bahwa mereka menggunakan kata sandi yang kuat dengan cara yang sama seperti yang Anda lakukan.

22. Lindungi wp-config.php Anda

File wp-config.php adalah salah satu file situs Anda yang paling penting, dan karenanya rentan. Ini menyimpan informasi dan data penting tentang instalasi WordPress Anda secara keseluruhan. Ini adalah dasar dari situs WordPress Anda. Anda tidak akan dapat menggunakan blog Anda secara normal jika sesuatu yang buruk terjadi padanya.

Satu hal sederhana yang dapat Anda lakukan adalah memindahkan file wp-config.php satu direktori di atas direktori root WordPress Anda. Perubahan ini tidak akan berpengaruh pada situs WordPress Anda, tetapi peretas tidak akan dapat menemukannya lagi.

23. Ubah Kata Sandi Anda Secara Teratur

Mengizinkan upaya nama pengguna dan kata sandi tanpa batas pada formulir masuk Anda adalah hal yang membantu peretas berhasil. Mengizinkan mereka untuk mencoba berkali-kali pada akhirnya akan mengarah pada penemuan informasi login Anda. Untuk menghindari ini, Anda harus terlebih dahulu membatasi jumlah upaya yang tersedia. Mengizinkan upaya nama pengguna dan kata sandi tanpa batas pada formulir masuk Anda adalah hal yang membantu peretas berhasil. Mengizinkan mereka untuk mencoba berkali-kali pada akhirnya akan mengarah pada penemuan informasi login Anda. Untuk menghindari ini, Anda harus terlebih dahulu membatasi jumlah upaya yang tersedia.

Plugin khusus tertentu dapat digunakan untuk membatasi jumlah kemungkinan upaya login.

Selain itu, mengubah kata sandi Anda sering mengurangi kemungkinan peretas membobol situs Anda. Saya tidak bermaksud “setiap hari” ketika kita mengatakan “sering”… Sekali setiap 2-3 bulan sudah cukup. Bagi mereka yang mencoba menerobos, keragaman merusak kesenangan.

Bagaimana VOCSO Dapat Membantu?

Dengan teknologi baru yang muncul setiap hari, sulit untuk mengikuti perubahan dan peningkatan terbaru. Kami adalah perusahaan pengembangan situs web WordPress terkemuka yang berusaha memberikan produk dan layanan terbaik kepada klien kami. Seiring dengan pengembangan situs web yang aman dengan pemrograman berkualitas tinggi, kami juga menyediakan layanan lain kepada klien kami seperti manajemen situs web, desain ulang situs web, pengembangan aplikasi web khusus, pengembangan aplikasi seluler, pengoptimalan mesin telusur, dan solusi pemasaran digital lengkap.

Kesimpulan

Seperti yang Anda lihat, ada berbagai teknik untuk meningkatkan keamanan instalasi WordPress Anda. Menggunakan kata sandi cerdas, memperbarui inti dan plugin, dan memilih server WordPress terkelola yang aman hanyalah beberapa cara untuk menjaga situs WordPress Anda tetap aman. Bagi banyak dari Anda, situs WordPress Anda berfungsi sebagai perusahaan dan sumber uang, oleh karena itu Anda harus meluangkan waktu untuk mengadopsi beberapa praktik terbaik keamanan yang tercantum di atas secepat mungkin.

Mengamankan situs WordPress adalah proses yang berkelanjutan. Karena serangan siber terus berkembang, Anda harus mengevaluasinya kembali secara teratur. Risiko akan selalu ada, tetapi Anda dapat menguranginya dengan menggunakan fitur keamanan WordPress.

Kami berharap posting ini memberi Anda pemahaman yang lebih baik tentang pentingnya langkah-langkah keamanan WordPress dan bagaimana menerapkannya.

Jika Anda ingin lebih jelas , VOCSO dapat membantu Anda menerapkan panduan keamanan situs web ini !