Bagaimana Mengamankan Situs WordPress dari Peretas?

Diterbitkan: 2016-04-05

Kenyataan yang disayangkan dalam kehidupan setiap programmer adalah bahwa tidak ada pertahanan mutlak terhadap ancaman keamanan dan peretas terkait situs web atau blog WordPress.

Peretas yang cerdas dan tegas selalu menemukan cara untuk melewati tindakan pencegahan keamanan dan akan menemukan jalan ke dalam sistem yang membuat programmer kecewa. Tapi itu adalah tugas programmer untuk membuatnya sangat sulit bagi hacker.

Seringkali ketika tingkat kesulitan peretasan sangat tinggi, peretas akan pergi dan meretas situs web dengan perlindungan yang lebih rendah. Untuk mengurangi ancaman peretasan, ada beberapa langkah keamanan perlindungan sederhana yang dapat diadopsi oleh pengembang situs web dan pemrogram.

Tips Mengamankan Website WordPress dari Hacked:

Ketika Google mencari tentang pencegahan peretasan WordPress, lima juta hasil ditemukan karena pendapat yang tak terhitung banyaknya tentang pencegahan peretasan ditemukan di beberapa situs web di Internet.

Tetapi ironisnya adalah bahwa bahkan perangkat lunak situs web ini sebagian besar tidak diperbarui karena pemilik situs web mungkin sibuk dengan beberapa situs web atau konten lain.

Sikap lesu ini merupakan ancaman besar bagi keamanan situs web dan peretas dapat mengambil kesempatan ini untuk meretas situs web.

1. Jangan pernah menerapkan default:

Berbagai metode hadir untuk mendaftar dan menggunakan WordPress. Jadi setelah memilih paket hosting, nama domain, dan perangkat lunak instalasi waspada untuk tidak pernah menggunakan default. Penggunaan default akan memudahkan peretas karena ia akan memiliki lebih banyak informasi tentang situs web yang sangat membantu peretas untuk mencapai tujuannya.

Jangan pernah menggunakan nama pengguna atau kata sandi default dari akun hosting dan sistem manajemen konten situs web, segera setelah WordPress diinstal, kata sandi dan nama pengguna harus diubah.

Juga, ubah informasinya; diberikan kepada perusahaan hosting atau selama pendaftaran, karena orang tidak pernah bisa yakin tentang semua orang; dengan akses ke data di server perusahaan hosting.

2. Selalu hapus plugin yang tidak digunakan dan gambar yang tidak digunakan:

Hanya sedikit orang yang percaya bahwa gambar yang tidak perlu harus selalu dihapus karena mereka hanya menyalahgunakan ruang di server, tetapi sebagian besar berpendapat bahwa menyimpan gambar yang tidak diperlukan akan menimbulkan ancaman keamanan. Meskipun pernyataan ini tampaknya cukup menggelikan, memang benar, gagasan tentang plugin dan gambar yang tidak digunakan yang meningkatkan ancaman keamanan adalah asli karena peretas sering menargetkan plugin; yang dibeli orang secara en bloc karena popularitasnya, tanpa memikirkan kegunaannya.

Banyak programmer menyimpan banyak plugin yang tidak perlu di sistem mereka, peretas mendapatkan akses masuk melalui plugin ini dan mengumpulkan data dari situs web melalui celah ini. Kemungkinan pelanggaran tinggi karena plugin tidak pernah digunakan dan juga peningkatan keamanan baru-baru ini belum dilakukan karena jarang atau tidak ada penggunaan.

Contoh plugin TimThumb; itu memiliki bug atau celah yang digunakan peretas untuk mendapatkan akses ke banyak situs WordPress untuk mengumpulkan informasi dan mengganggu situs, oleh karena itu disarankan untuk menghapus plugin dan gambar yang tidak perlu untuk melindungi situs web dengan lebih baik dari ancaman peretas dan juga untuk membantu kesalahan situs web Gratis.

3. Memiliki password yang panjang dan rumit, ubah secara berkala:

Pilih kata sandi dengan setidaknya delapan karakter atau lebih, yang memiliki campuran angka, huruf, dan karakter khusus yang berubah-ubah. Dianjurkan untuk tidak menggunakan kata-kata atau nama, tanggal lahir, dll karena hal-hal ini dapat ditebak.

Jangan pernah mencatat kata sandi Anda di situs elektronik apa pun kecuali kotak kata sandi terenkripsi dari situs WordPress, jika Anda takut lupa kata sandi, catat di notepad dan simpan.

Secara teratur setiap tujuh puluh hari atau lebih; mengubah kata sandi untuk membuat tugas peretas lebih sulit. Bahkan jika dia memiliki program brute force yang beroperasi di situs web, dia harus mulai meretas dari awal karena kata sandi yang diubah akan mencegahnya melanggar situs web.

4. Perhatikan beberapa opsi keamanan dari perusahaan hosting:

Sangat sering terlihat bahwa perusahaan hosting yang menghosting situs web memiliki sejumlah opsi perlindungan, opsi ini dapat digunakan jika dianggap baik-baik saja. Seperti yang terlihat dalam contoh perusahaan hosting HostGator; ketika " Keamanan dan Percepat situs Anda " add-on diklik pada beberapa opsi keamanan unsur yang ada untuk perlindungan dasar. Tetapi berhati-hatilah untuk terlalu mengandalkan perusahaan hosting ini, mereka sering memberikan kode diskon dan voucher, kode ini murah dan dengan demikian memiliki lebih dari satu kode serupa yang membuat mereka sangat rentan terhadap peretas.

5. Lebih suka menggunakan plugin WordPress:

Berbagai perangkat lunak ada yang menyediakan plugin untuk sistem manajemen konten WordPress, tetapi kualitasnya bervariasi karena beberapa kredibel dan lainnya tidak dapat digunakan. Jadi lebih baik menggunakan hanya plugin WordPress atau membeli plugin lain setelah melakukan penelitian yang tepat, tidak memperhatikan iklan. Jadilah skeptis dan selalu mencari kesaksian yang masuk akal tetapi tidak setuju, karena lebih sering itulah kenyataannya.

Cari plugin dengan pendapat yang lebih positif adalah perangkat lunak keamanan terkemuka dan digunakan selama lebih dari enam bulan; minimum. Jangan hanya mengunduh dan memasang plugin tanpa pemeriksaan yang tepat dan pasar aplikasi yang andal.

6. Berhentilah ceroboh dengan freelancer yang disetujui:

Ketika pemilik situs web membagikan kata sandi asli dengan pekerja lepas, dalam banyak kasus semuanya baik-baik saja sampai pekerjaan dilakukan oleh editor situs WordPress, masalah baru dimulai setelah pekerja lepas dibayar. Kemudian situs web diretas dan masalah dimulai, tetapi semua ini dapat dicegah jika keputusan diambil dengan pertimbangan oleh pemilik situs web.

Dia seharusnya menghapus persetujuan penggunaan freelancer setelah pekerjaan selesai dan juga beberapa kata sandi sewenang-wenang seharusnya diberikan kepada freelancer alih-alih kata sandi asli yang digunakan pemilik situs web.

Penggunaan terkontrol harus diberikan kepada pekerja lepas sehingga ia tidak memiliki kendali atas situs web setelah pekerjaannya selesai. Cobalah untuk tidak melakukan kesalahan bodoh ini dan membahayakan keamanan situs web WordPress, pemilik harus selalu memiliki kendali tunggal dan tertinggi atas cara kerja situs web.

7. Selalu gunakan hosting yang sangat aman:

Beli situs web dari host yang mengutamakan keamanan. Ada banyak paket hosting gratis yang tidak mampu membayar langkah-langkah keamanan yang efektif, tetapi bahkan paket hosting yang mahal terkadang memiliki langkah-langkah keamanan yang buruk.

Dengan penelitian dan pemeriksaan yang tepat, keputusan ada pada pemilik situs web untuk memilih paket hosting yang tepat dan sesuai.

Karena peretas sering masuk melalui celah situs hosting dan mengumpulkan informasi tentang situs WordPress dan membuat masalah untuk situs web.

8. Buat cadangan untuk situs web:

Selalu untuk cadangan yang tepat untuk situs web karena ketika situs web diretas, mungkin macet dan semua data akan hilang untuk sementara waktu. Jika seseorang bersemangat meretas situs web; bahkan hal yang mustahil dapat dicapai seperti seorang bocah lima belas tahun meretas NASA, juga Richard Pryce seorang warga London berusia enam belas tahun meretas sistem Keamanan Amerika, mereka telah dianggap sebagai ancaman nasional potensial sejak saat itu. Jadi bahaya peretas selalu mengancam pemilik situs web dan plugin harus dipilih setelah banyak pertimbangan dan cadangan harus selalu ada.

Bahkan jika peretas meretas situs dan menghapus semua informasi, itu tidak akan terlalu memengaruhi situs web, dengan cadangan Anda dapat memulai kembali situs web dengan keamanan dengan mengubah kata sandi dan plugin, dan mengunggah ulang data dalam satu hari. Hanya dua versi cadangan terakhir dari situs web yang diperlukan, begitu banyak ruang server juga tidak diambil oleh cadangan.

9. Tingkatkan perangkat lunak secara teratur:

Ini sama untuk semua hal elektronik dan teknologi, jadi situs web WordPress harus diperbarui secara berkala bersama dengan plugin keamanan. Jangan pernah menggunakan versi WordPress yang lebih lama karena versi yang lebih lama menjadi rentan terhadap peretas karena sudah ada sejak lama dan dengan demikian lebih mudah untuk dibobol.

Untuk membuat keamanan lebih kuat, hilangkan versi WordPress dari demonstrasi ke semua. WordPress selalu membuat versi yang lebih baik dengan setiap gradasi, sehingga keamanan lebih kuat di versi yang diperbarui.

Selalu ikuti feed WordPress untuk mendapatkan informasi tentang versi WordPress terbaru atau cukup login ke admin situs web. Pengembangan WordPress dan BlogSecurity.net sangat direkomendasikan untuk diikuti oleh pemilik situs web WordPress untuk mendapatkan informasi tentang gradasi dan perkembangan terbaru.

10. Manfaatkan Kunci WordPress di wp-config.php:

Kunci WordPress adalah ukuran keamanan yang penting, kunci bertindak sebagai garam untuk cookie WordPress sehingga menjamin peningkatan enkripsi informasi klien. Hasilkan kunci menggunakan Generator Kunci WordPress.

11. Pasti menginstal WP Security Scan:

Plugin WP Security Scan adalah pemeriksaan keamanan yang kuat, mudah, dan terkomputerisasi. Plugin ini akan memeriksa situs WordPress untuk peretasan dan pelanggaran keamanan, begitu kode atau program berbahaya ditemukan, pemilik diberitahu tentang pelanggaran tersebut.

12. Coba dan ubah Awalan Tabel:

Secara default, awalan tabel untuk WordPress adalah [wp.___]; ini diketahui oleh semua orang sehingga serangan SQL Injection dari peretas dapat dilakukan dengan mudah karena awalannya mudah untuk diasumsikan. Jadi sangat disarankan untuk mengubah awalan tabel, dilakukan baik melalui cara manual atau cara plugin WP Security Scan. Cara manual sulit diikuti untuk pengembang situs web baru, dan cara plugin WP Security Scan telah memudahkan untuk mengubah awalan tabel.

13. Periksa pelanggaran WordPress dengan memblokir mesin pencari agar tidak mengarahkan ke segmen admin:

Mesin pencari internet melacak seluruh situs web dan membuat katalog setiap konten kecuali dilarang melakukannya. Bagian admin tidak boleh dikatalogkan karena berisi semua informasi sensitif dan keamanan, proses termudah untuk menghentikan pengindeksan adalah membuat file robots.txt di direktori root dan kemudian menempatkan kode yang diperlukan.

14. Hacks akses hypertext:

Akses hypertext (.htaccess) adalah nama default dari file organisasi fase direktori yang memungkinkan pengelolaan formasi terdesentralisasi di dalam situs web. File hypertext sering digunakan untuk menunjukkan batas keamanan direktori yang ditentukan. Ini harus diketahui oleh semua pengembang dan pemilik situs web karena banyak keamanan dapat dicapai dengan akses hypertext. Setelah memodifikasi .htaccess untuk mengamankan blog dari peretas, .htaccess itu sendiri tidak boleh tetap terbuka untuk serangan. Jadi terapkan .hta ke file apa pun untuk mencegah akses eksternal.

15. Penjelajahan Direktori tidak boleh:

Adalah bodoh untuk memberikan hak kepada pemirsa untuk menelusuri seluruh direktori penjelajahan. Penjelajahan direktori ini memberikan kesempatan mudah bagi peretas untuk mengamati struktur direktori dan dengan demikian mengawasi celah keamanan untuk masuk. Tindakan pencegahan adalah penambahan sederhana dua baris di .htaccess dari direktori root blog WordPress.

16. Amankan atau kunci wp-config.php:

Wp-config.php adalah komponen penting dari situs WordPress karena berisi semua data penting dari situs web dan juga konfigurasi blog. Dengan demikian, keamanan wp-config.php sangat mendasar dan dilakukan melalui penambahan kode .htaccess ke file di direktori root.

17. Hacks akses hypertext:

18. Penjelajahan Direktori tidak boleh:

Adalah bodoh untuk memberikan hak kepada pemirsa untuk menelusuri seluruh direktori penjelajahan. Penjelajahan direktori ini memberi dan kesempatan mudah bagi peretas untuk mengamati struktur direktori dan dengan demikian mengawasi celah keamanan untuk masuk. Tindakan pencegahan adalah penambahan sederhana dua baris di .htaccess dari direktori root blog WordPress.

19. Amankan atau kunci wp-config.php:

20. Menghindari dan menghalangi injeksi skrip:

Dengan ini, situs WordPress dapat dilindungi dari injeksi skrip dan perubahan berlebihan dari _REQUEST, GLOBALS. Di sini juga root adalah .htacces.

Tips Tambahan untuk Dipertimbangkan:

Seseorang harus selalu memperhatikan izin file karena WP Security Scan selalu memperingatkan dengan cara tertentu.
Lihat melalui file mencurigakan tertentu di root menggunakan klien FTP terbaik dan file Chmod jika perlu, WordPress Firewall 2 juga dapat diinstal jika diperlukan untuk melindungi situs web dari peretas jahat.
WordPress Firewall 2 segera memperingatkan pengguna ketika situs web diretas, tetapi kekurangannya adalah bahkan kadang-kadang memblokir pengguna, jadi jangan menginstal WordPress Firewall 2 kecuali diserang oleh peretas super, karena jika tidak, .htaccess sederhana sudah cukup untuk menjaga situs WordPress tetap aman.
Dianjurkan agar tindakan pencegahan yang tepat diambil untuk mencegah peretas memasuki situs WordPress, seperti pepatah "mencegah lebih baik daripada mengobati".

Semua metode yang disebutkan di atas sangat bermanfaat untuk mencegah peretasan dan bahkan dapat dijamin bahwa setelah tindakan pencegahan ini dilakukan, yakinlah bahwa situs web Anda tidak akan diretas.