Beranda » WordPress » 5 Tips untuk Memperkuat Keamanan Login WordPress Anda

    5 Tips untuk Memperkuat Keamanan Login WordPress Anda

    Terlepas dari ukuran situs web Anda, kehilangan data situs Anda atau tidak dapat mengakses situs web Anda sendiri dapat menjadi pengalaman yang menegangkan. WordPress, yang memberi daya lebih dari 25% dari Web, adalah salah satu situs web yang paling ditargetkan untuk peretas.

    Dalam posting kami sebelumnya, kami telah menunjukkan Anda sejumlah tips dan trik yang sudah mencakup hampir semua hal untuk mengamankan situs web WordPress Anda. Namun, selalu ada ruang untuk perbaikan. Dalam posting ini kita akan melihat beberapa tips untuk membantu Anda membuat situs WordPress Anda lebih sulit untuk dilanggar.

    1. Bcrypt Password Hashing

    WordPress dimulai pada tahun 2003 ketika PHP dan Web pada umumnya masih dalam masa-masa awal. Facebook belum ada, PHP bahkan tidak memiliki arsitektur OOP (Object-oriented Programming) bawaan; karenanya, WordPress mewarisi warisan yang tidak lagi ideal saat ini - termasuk bagaimana mengenkripsi kata sandi.

    WordPress hingga hari ini masih menggunakan MD5 hashing. Pada dasarnya, apa yang dilakukannya adalah mengubah Anda 123456 kata sandi menjadi sesuatu seperti e10adc3949ba59abbe56e057f20f883e.

    Namun, karena komputer sekarang lebih canggih dari 10 tahun yang lalu ini hash kata sandi sekarang dapat dengan mudah dibalik menjadi bentuk kosong hampir secara instan.

    PHP punya mengenkripsi asli sejak 5.5 dan Jika WordPress Anda berjalan dalam PHP5.5 atau lebih tinggi, ada plugin praktis bernama wp-password-bcrypt yang memungkinkan Anda merangkul utilitas asli ini dalam PHP.

    Instal dan aktifkan plugin melalui Composer atau melalui MU-Plugins. Simpan kembali kata sandi Anda dan Anda sudah siap.

    2. Aktifkan Perlindungan WordPress.com

    Brute-force adalah upaya peretasan yang umum di mana penyerang mencoba masuk ke situs web Anda dengan menebak berbagai kemungkinan kata sandi, biasanya kata-kata yang ditemukan dalam kamus. Inilah alasan mengapa Anda harus menetapkan kata sandi yang sulit ditebak.

    Automattic, orang-orang di belakang WordPress.com, telah memperoleh salah satu plugin WordPress paling populer yang dapat melawan serangan brute-force. Ini disebut BruteProtect, dan terintegrasi dengan Jetpack.

    Berdasarkan pengalaman kami, itu telah sangat membantu kami memerangi serangan brute-force lebih dari hampir satu juta waktu.

    Jetpack Dashboard Widget melaporkan jumlah serangan dan spam yang ditemui.

    Untuk mendapatkannya, Anda perlu menginstal versi terbaru Jetpack dan menghubungkan situs web Anda ke WordPress.com. Kemudian aktifkan “Melindungi” modul, dan daftar putih alamat IP Anda sendiri juga.

    Sekarang Anda harus merasa sedikit lebih aman.

    3. Sembunyikan URL Login Anda

    WordPress sangat terkenal untuk halaman login, wp-login.php. Oleh karena itu peretas tahu halaman mana yang tepat untuk mengarahkan serangan brute-force mereka. Anda dapat membuatnya lebih sulit bagi mereka dengan menyamarkan URL login WordPress Anda.

    Untungnya, ada beberapa plugin yang menyediakan utilitas ini:

    • Keamanan Tema
    • WPS Sembunyikan Login

    4. Nonaktifkan “Lupa Password”

    Itu “Lupa Password” utilitas dalam formulir login adalah cara bagi penyerang, yang biasanya melalui injeksi SQL untuk mendapatkan kredensial login Anda. Jika hanya ada beberapa orang yang memiliki akses ke area admin, mungkin lebih baik untuk mematikannya.

    Untuk melakukannya, buat unggah file baru - beri nama lupa-password.php.

    Pertama-tama kita mengubah URL kata sandi yang hilang:

     function lostpassword_url () return site_url ('wp-login.php');  add_filter ('lostpassword_url', 'lostpassword_url'); 

    Hapus tautannya. Sayangnya, WordPress tidak menyediakan pengait yang tepat untuk melakukan ini dengan rapi add_filter fungsi. Jadi, kami melakukannya dengan JavaScript.

     function lostpassword_elem ($ halaman) ?>   

    Terakhir, kami mengarahkan ulang “kehilangan Kata sandi” URL ke layar login.

     function lostpassword_redirect () if (isset ($ _GET ['action'])) if (in_array ($ _GET ['action'], array ('lostpassword', 'retrievepassword'))) wp_redirect ('/ wp- login.php ', 301); keluar;  add_action ('init', 'lostpassword_redirect'); 

    5. Aktifkan HTTPS

    HTTPS memberi situs Anda lapisan keamanan tambahan dengan transmisi data. Ini juga dapat memberi Anda dorongan dalam peringkat pencarian Google. Dan sekarang Anda bisa mendapatkan sertifikat HTTPS yang valid gratis melalui inisiatif komunal Let's Encrypt.

    Untuk situs web WordPress Anda dapat dengan mudah memperoleh Ayo Enkripsi sertifikat dengan WP Encrypt. Jadi tidak ada alasan mengapa Anda tidak boleh menggunakan HTTPS di situs web Anda hari ini.

    Membungkus

    Saya hanya ingin meninggalkan Anda dengan pengingat bahwa terlepas dari semua upaya ini, situs web kami masih bisa menjadi sasaran serangan, peretasan dan dikompromikan oleh peretas melalui cara di luar pemahaman kita. Bahkan perusahaan besar seperti Dropbox dan LinkedIn telah menjadi mangsa ancaman keamanan.

    Sebagai pilihan terakhir, ingatlah untuk membuat cadangan file dan basis data situs web Anda secara teratur kapanpun kamu bisa.