10 Tip Diketahui, Sangat Efektif untuk Mengamankan Blog WordPress Anda
Mendapatkan blog diretas dan kehilangan tahun demi tahun kerja blogging dalam semalam adalah kenyataan menyedihkan yang orang benar-benar telah lalui. Faktanya, penelitian menunjukkan bahwa 37.000 situs web diretas setiap hari, dan dengan WordPress memberi daya sekitar 25,4% dari semua situs web, Anda dapat yakin bahwa banyak blog WordPress diretas setiap hari.
Keamanan WordPress adalah ballgame yang sama sekali berbeda; begitu Anda memiliki blog WordPress, kiat seperti memiliki nama pengguna yang sulit ditebak dan kata sandi yang sekeras rock tidak lagi memadai. SEBUAH tema buggy tunggal, plugin yang salah, atau file yang salah dilindungi dapat menyebabkan blog Anda diretas semalaman.
Apakah Anda tidak berpengalaman dengan WordPress, atau Anda telah menggunakan platform sejak keberadaannya, artikel ini memiliki 10 cara praktis dan makan malam yang efektif untuk mengamankan blog WordPress Anda yang bisa diterapkan siapa pun. Anda tidak akan menemukan sebagian besar tips ini di artikel "cara mengamankan blog Anda" yang populer, tetapi mereka bisa menyimpan blog Anda dengan baik suatu hari nanti!
1. Nonaktifkan WordPress Theme & Editor Plugin
WordPress memiliki fitur praktis yang memberikan pemilik situs lebih banyak fleksibilitas dengan memungkinkan mereka untuk menyesuaikan dan mengedit tema dan plugin mereka langsung dari dashboard WordPress, tetapi fitur ini telah menjadi kehancuran sebagian besar blog.
Dengan fitur ini, a sedikit kesalahan dapat merusak situs Anda dan mengunci Anda dari situs web Anda sendiri. Peretas dapat dengan mudah memasukkan kode jahat ke dalam tema Anda untuk memberi mereka akses pintu belakang ke situs Anda, atau bahkan mengambil alih situs Anda sepenuhnya, dengan mendapatkan kendali atas akun yang memiliki hak istimewa yang cukup untuk menggunakan editor tema dan plugin.
Anda dapat melindungi diri dengan menonaktifkan plugin dan editor tema, membuatnya mustahil untuk memodifikasi tema dan plugin Anda tanpa akses FTP.
Lakukan ini dengan menambahkan kode berikut ke file wp-config.php Anda:
define ('DISALLOW_FILE_EDIT', true);
2. Aktifkan Otentikasi Dua Faktor
Otentikasi dua faktor dengan cepat menjadi salah satu cara yang paling dapat diandalkan untuk melindungi akun online Anda, dan sebagian besar situs web yang dapat diandalkan akan bersikeras bahwa pengguna mereka mengaktifkannya.
Meskipun WordPress tidak harus memiliki autentikasi dua faktor di dalamnya, Anda dapat mengaktifkan otentikasi dua faktor di blog Anda dengan menginstal plugin berikut:
- Google Authenticator
- Authy
- Kunci musik
- Rublon
3. Batasi Info Masuk Berdasarkan Jumlah Upaya Gagal
Ada banyak cara peretas mencoba untuk mendapatkan akses ke blog Anda, dan salah satu teknik yang paling umum digunakan adalah serangan bruteforce: seorang peretas mencoba kombinasi nama pengguna dan kata sandi, berulang-ulang, hingga ia berhasil mengakses blog kamu.
Secara default, WordPress tidak terlindungi dari serangan ini. Dengan memasang plugin yang membatasi login setelah sejumlah upaya gagal dari IP tertentu, Anda dapat mempersulit peretas untuk mendapatkan akses ke blog Anda.
Plugin Jetpack Protect Module juga dapat melindungi Anda dari serangan bruteforce.
4. Pindai Blog Anda Secara Teratur
File tema, plugin, tautan, dan elemen lain yang tampaknya tidak berbahaya dapat digunakan untuk mendapatkan akses ke blog Anda. Jangan tunggu sampai situs web Anda sepenuhnya terinfeksi sebelum Anda mengambil tindakan. Sebagai gantinya, instal plugin pemindaian keamanan untuk memindai situs web Anda secara teratur dan memberi tahu Anda jika file Anda berubah.
Contoh yang bagus dari plugin pemindaian keamanan adalah Wordfence. Selain memberi Anda pilihan untuk secara manual / otomatis memindai blog WordPress Anda, itu juga langsung memberi tahu Anda ketika aktivitas mencurigakan terjadi di blog Anda.
Itu juga mengirimkan informasi tentang komentar yang berpotensi berbahaya, dan itu membandingkan file tema dan plugin Anda dengan repositori WordPress ke beri tahu Anda jika versi plugin atau tema Anda telah dimodifikasi dan berpotensi berfungsi sebagai pintu belakang bagi peretas ke situs Anda.
Plugin keamanan lain yang dapat membantu Anda memindai blog Anda dari malware dan eksploitasi adalah:
- Pemindai Keamanan Sucuri
- Acunetix WP Security
- iThemes Security (sebelumnya dikenal sebagai "Better WP Security")
5. Ubah Host Anda
Walaupun ini kedengarannya seperti saran sederhana, itu sebenarnya memiliki banyak bobot. Penelitian menunjukkan bahwa 41% dari situs WordPress yang diretas adalah diretas melalui kerentanan keamanan di platform hosting mereka. Ini lebih dari sumber lain, termasuk memiliki kata sandi yang lemah.
Tuan rumah Anda dapat memainkan peran utama dalam menentukan apakah Anda akan diretas atau tidak; pastikan hanya kamu pergi untuk host web yang dapat diandalkan yang telah teruji oleh waktu dan itu mematuhi praktik terbaik industri.
6. Sembunyikan Nomor Versi WordPress Anda
Secara default, WordPress menampilkan nomor versi WordPress Anda; ini memudahkan WordPress untuk melacak berapa banyak blog WordPress yang aktif di seluruh dunia. Namun, ini juga bisa menjadi sumber masalah besar; peretas dan bot bisa memindai web untuk mencari blog menggunakan nomor versi WordPress dengan kerentanan yang diketahui, membuat Anda sasaran empuk.
Anda dapat dengan mudah menyelesaikan masalah ini dengan menyembunyikan nomor versi WordPress Anda. Untuk menyembunyikan nomor versi WordPress Anda, cukup tambahkan kode berikut ke file functions.php Anda:
add_filter ('the_generator', '__return_null');
7. Nonaktifkan Laporan Kesalahan PHP
Ketika sebuah plugin atau tema tidak berfungsi dengan baik di blog WordPress Anda, laporan kesalahan PHP dapat membantu dengan menunjukkan kepada Anda sebuah pesan yang mengungkapkan penyebab kesalahan tersebut. Namun, dalam keunggulan ini terletak kelemahan: ketika kesalahan PHP dilaporkan, itu termasuk jalur server penuh kesalahan, mengungkapkan informasi yang dapat digunakan peretas untuk melawan Anda.
Anda dapat melindungi diri sendiri dengan menonaktifkan pelaporan kesalahan PHP. Cukup tambahkan kode berikut ke file wp-config.php Anda:
error_reporting (0); @ini_set ('display_errors', 0);
8. Kerjakan Izin File WordPress Anda
Ketika datang untuk mencegah situs WordPress Anda dari eksploitasi keamanan, penting untuk memastikan bahwa Anda memiliki izin file yang tepat. Ini menyulitkan peretas untuk memanipulasi plugin, tema, atau file di server Anda untuk mengambil alih situs web Anda.
Pastikan WordPress itu map izin diatur ke 755 atau 750; mengajukan izin diatur ke 640 atau 644; dan bahwa izin wp-config.php diatur ke 600.
9. Pastikan Pencadangan Reguler
Bahkan situs web besar dengan tim pakar keamanan dan konsultan diretas, dan meskipun mengikuti praktik terbaik dapat membuat situs web Anda lebih kuat dari 99,9% situs web, banyak hal yang masih dapat dipecahkan..
Keamanan terbaik yang Anda miliki terhadap serangan hack WordPress adalah cadangan yang bagus; pastikan Anda membuat cadangan situs Anda secara teratur - jika mungkin, setiap hari. Dengan cara ini, jika situs web Anda diretas, Anda memiliki file dan dapat memulihkan segera.
Berikut adalah beberapa plugin cadangan WordPress terbaik:
- BackUpWordPress
- Siap! Cadangkan
- VaultPress
- BackupBuddy
10. Batasi Akses ke Halaman Login Anda
Ketika dorongan datang untuk mendorong, Anda mungkin harus mengambil tindakan drastis. Cara yang sangat andal untuk melindungi blog Anda dari upaya peretasan adalah dengan sepenuhnya memblokir akses ke halaman wp-admin dan wp-login.php Anda.
Ini hanya disarankan jika Anda gunakan satu alamat IP yang tidak berubah (Anda tidak ingin mengunci diri dari blog Anda!). Anda masih dapat menggunakan opsi ini jika Anda menggunakan lebih dari satu alamat IP tetapi tetap melacak alamat-alamat itu.
Untuk membatasi akses ke halaman login Anda, tambahkan kode berikut ke file .htaccess Anda:
RewriteEngine di RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [ATAU] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Your Alamat IP 1 $ RewriteCond% REMOTE_ADDR! ^ Alamat IP Anda 2 $ RewriteCond% REMOTE_ADDR! ^ Alamat IP Anda 3 $ RewriteCond% REMOTE_ADDR! ^ Alamat IP Anda 4 $ RewriteCond% REMOTE_ADDR! ^ Alamat IP Anda 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Pastikan untuk mengedit Alamat IP Anda 1 melalui Alamat IP Anda 5 dengan berbagai alamat IP yang ingin Anda beri akses; Anda cukup menambahkan atau menghapus garis untuk mengizinkan atau mencegah lebih banyak IP mengakses situs Anda.
Kesimpulan
Tentu saja, Anda tidak boleh mengabaikan tip keamanan dasar seperti tidak menggunakan nama pengguna yang dapat diprediksi, memiliki kata sandi yang kuat, memperbarui instalasi WordPress Anda secara teratur, dll. Namun, di atas adalah beberapa tips keamanan yang tidak diketahui dan sering diabaikan yang dapat membuat Blog WordPress hanya sedikit lebih aman.
Catatan Editor: Posting tamu ini ditulis untuk Hongkiat.com oleh John Stevens. John adalah seorang ahli WordPress dan hosting. Dia adalah pendiri dan CEO PT HostingFacts.com, portal tempat ia mengulas dan menilai host web berdasarkan kinerja.