Memperkuat Keamanan WordPress

Jasa

Undercover.co.id – Keamanan WordPress , Pelajari cara melindungi situs WordPress Anda dari peretas dengan 16 tips Keamanan WordPress ini dan cari tahu apa yang harus dilakukan jika situs WP Anda diretas.

Dalam hal keamanan, tidak ada jenis keamanan khusus WordPress yang ada. Semua masalah dengan keamanan umum terjadi pada semua situs web atau aplikasi.

Masalah keamanan WordPress sangat menarik, karena mendukung sekitar 40% web dan bersifat open source. Ketika seseorang menemukan kerentanan baik di inti WordPress atau plugin, situs web lain yang menggunakannya menjadi rentan karena semuanya menggunakan kode yang sama.

Di sisi lain, ada sejumlah plugin yang layak yang dapat Anda gunakan untuk memperkuat keamanan situs web Anda.

Di kolom ini, Anda akan mempelajari cara memperkuat situs WordPress Anda dari berbagai jenis kerentanan, meskipun cakupan artikel ini lebih luas dan berlaku untuk semua jenis aplikasi web.

Mengamankan Terhadap Kerentanan WordPress


Jenis kerentanan yang paling umum adalah:

Pintu belakang.
Hack Farmasi.
Upaya Login Brute-force.
Pengalihan Berbahaya.
Pembuatan Skrip Lintas Situs (XSS).
Denial of Service (DDoS).


Ini adalah jenis kerentanan yang umum, tetapi itu tidak berarti mereka terbatas hanya pada ini. Ketika Anda berpikir tentang Keamanan WordPress , secara umum, Anda harus berpikir secara 360°.

Tidak ada batasan cara untuk meretas situs web. Penyerang dapat menggunakan banyak teknik untuk mengakses situs Anda.

Misalnya, mereka dapat mencuri PC Anda dan memiliki akses fisik ke komputer Anda. Mereka juga dapat menggunakan teknik pengawasan untuk melihat kata sandi Anda saat masuk dari jaringan publik ke situs web Anda.

Mari selami cara mengeraskan instalasi WordPress kita untuk membuat hidup sedikit lebih sulit bagi penyerang.

Teruslah membaca untuk mempelajari lebih lanjut tentang masing-masing dari 16 cara ini untuk memperkuat keamanan situs web WordPress Anda:

  1. Gunakan HTTPS.
  2. Selalu gunakan kata sandi yang kuat.
  3. Gunakan pengelola kata sandi untuk menyimpan kata sandi Anda.
  4. Aktifkan Captcha pada formulir Login.
  5. Cegah upaya login paksa.
  6. Gunakan otentikasi dua faktor.
  7. Tetap perbarui plugin.
  8. Setel Header HTTP Keamanan.
  9. Tetapkan izin file yang benar untuk file WordPress.
  10. Nonaktifkan pengeditan file dari WordPress.
  11. Nonaktifkan semua fitur yang tidak perlu.
  12. Sembunyikan versi WordPress.
  13. Instal firewall WordPress.
  14. Simpan cadangan.
  15. Gunakan SFTP.
  16. Memantau aktivitas pengguna.

Keamanan WordPress
Keamanan WordPress

Amankan Situs Anda Dengan HTTPS


Bukan kebetulan bahwa kami akan memulai dengan mengamankan situs web dengan HTTPS .

Semua yang Anda lakukan mengalir melalui jaringan dan kabel kawat. HTTP bertukar data sebagai teks biasa antara browser dan server. Oleh karena itu, siapa pun yang memiliki akses ke jaringan antara server dan browser dapat melihat data Anda yang tidak terenkripsi.

Jika Anda tidak melindungi koneksi Anda, Anda berisiko mengekspos data sensitif kepada penyerang. Dengan HTTPS, data Anda akan dienkripsi dan penyerang tidak akan dapat membaca data yang dikirimkan meskipun mereka memiliki akses ke jaringan Anda.

Jadi langkah nomor satu untuk mengamankan situs web Anda , Keamanan WordPress adalah mengaktifkan HTTPS. Jika Anda belum pindah ke HTTPS, Anda dapat menggunakan panduan ini untuk memindahkan WordPress Anda ke HTTPS .

  1. Better Search Replace.
  2. Database Search and Replace Script.

Selalu Gunakan Kata Sandi yang Kuat


Cara paling umum yang dilakukan peretas untuk mengakses situs web adalah melalui kata sandi yang lemah atau dibuat sendiri. Ini membuat Anda rentan terhadap serangan brute force.

Tingkatkan keamanan Anda dengan menggunakan kata sandi yang kuat lebih dari cara lain yang tercantum di bawah ini.

Selalu gunakan kata sandi yang kuat dan periksa secara teratur apakah kata sandi itu telah dipalsukan .

  1. Disallow Pwned Password.
  2. Download Password Policy Manager.
  3. Password bcrypt.

Gunakan Pengelola Kata Sandi untuk Menyimpan Kata Sandi Anda


Saat Anda masuk saat bekerja dari jaringan publik, Anda tidak dapat memastikan siapa yang menonton apa yang Anda ketik di laptop atau merekam kata sandi Anda.

Untuk mengatasi masalah ini, Keamanan WordPress , gunakan pengelola kata sandi untuk mengakses kata sandi Anda dengan mudah dan menyimpannya di tempat yang aman.

Bahkan jika PC Anda diakses, mereka tidak akan bisa mendapatkan kata sandi Anda. Pengelola kata sandi berbasis browser dan bukan plugin WordPress.

  1. LastPass.
  2. 1Password.
  3. NordPass.
Keamanan WordPress
Keamanan WordPress

Tambahkan CAPTCHA pada Form Login & Registrasi


Ketika Anda telah mengamankan situs web Anda dengan HTTPS dan menggunakan kata sandi yang kuat, Anda telah membuat hidup para peretas cukup sulit.

Tetapi Anda dapat membuatnya lebih sulit dengan menambahkan CAPTCHA ke formulir login.

Katakan Tidak pada Peretas: Cara Memperkuat Keamanan WordPress Anda

Captcha adalah cara yang bagus untuk melindungi formulir login Anda dan menambah Keamanan WordPress dari serangan brute force.

  1. Login No Captcha reCAPTCHA.
  2. Login Security reCAPTCHA.

Lindungi Dari Upaya Masuk Brute Force


Masuk CAPTCHA akan memberi Anda perlindungan terhadap upaya paksa hingga titik tertentu, tetapi tidak sepenuhnya. Seringkali, setelah token captcha dipecahkan, mereka berlaku selama beberapa menit.

Google reCaptcha, misalnya, berlaku selama 2 menit. Penyerang dapat menggunakan dua menit itu untuk mencoba upaya login brute force ke formulir login Anda selama waktu itu.

Untuk mengatasi masalah ini, Anda harus memblokir upaya login yang gagal berdasarkan alamat IP.

  1. WP Limit Login Attempts.
  2. Limit Login Attempts Reloaded.

Atur Otentikasi Dua Faktor (2FA)

Dengan password dan captcha yang aman pada form login, Anda lebih terlindungi, ya.

Tetapi bagaimana jika peretas menggunakan metode pengawasan dan merekam kata sandi yang Anda ketikkan di video untuk mengakses situs web Anda?

Jika mereka memiliki kata sandi Anda, hanya autentikasi dua faktor yang dapat melindungi situs web Anda dari penyerang.

Katakan Tidak pada Peretas: Cara Memperkuat Keamanan WordPress Anda

  1. Two-Factor.
  2. Google Authenticator.
  3. WordPress Two Factor Authentication (2FA , MFA).

Tetap perbarui Inti dan Plugin WordPress

Keamanan WordPress , Kerentanan sering terjadi untuk inti dan plugin WordPress, dan ketika kerentanan ditemukan dan dilaporkan. Pastikan untuk memperbarui plugin Anda dengan versi terbaru untuk mencegah situs web diretas dari lubang yang diketahui dan dilaporkan dalam file.

Saya tidak akan merekomendasikan beralih ke pembaruan otomatis karena dapat mengakibatkan kerusakan situs web Anda tanpa sepengetahuan Anda.

Tetapi saya sangat menyarankan agar Anda mengaktifkan pembaruan minor inti WordPress dengan menambahkan baris kode ini di wp-config.php karena pembaruan ini menyertakan patch keamanan untuk inti.

define( 'WP_AUTO_UPDATE_CORE', 'minor' );
  1. Atur Header HTTP Keamanan
    Header keamanan menghadirkan lapisan perlindungan ekstra dengan membatasi tindakan yang dapat dilakukan antara browser dan server saat seseorang menelusuri situs web.

Header keamanan bertujuan untuk melindungi dari serangan Clickjacking dan Cross-site Scripting (XSS).

Header keamanan adalah:

Ketat-Transportasi-Keamanan (HSTS).
Konten-Keamanan-Kebijakan.
X-Frame-Options.
X-Content-Type-Options.
Ambil Header Metadata.
Perujuk-Kebijakan.
Kontrol-Tembolok.
Hapus-Situs-Data.
Fitur-Kebijakan.
Kami tidak akan membahas lebih dalam setiap penjelasan header keamanan, tetapi berikut adalah beberapa plugin untuk memperbaikinya.

Plugin WordPress untuk Mengaktifkan Header Keamanan:

  1. HTTP headers to improve web site security.
  2. GD Security Headers.

Tetapkan Izin File yang Benar untuk File WordPress

Izin file adalah aturan pada OS yang menghosting file WordPress Anda; aturan ini mengaturKeamanan WordPress bagaimana file dapat dibaca, diedit, dan dieksekusi. Ukuran keamanan ini sangat penting, terutama ketika Anda meng-host situs web di hosting bersama.

Keamanan WordPress , Jika diatur secara tidak benar, ketika satu situs web di shared hosting diretas, penyerang dapat mengakses file di situs web Anda dan membaca konten apa pun di sana – khususnya wp-config.php – dan mendapatkan akses penuh ke situs web Anda.

Semua file harus 644.
Semua folder harus 775.
wp-config.php harus 600.
Aturan di atas berarti akun pengguna hosting Anda dapat membaca dan memodifikasi file dan server web (WordPress) dapat memodifikasi, menghapus, dan membaca file dan folder.

Pengguna lain tidak dapat membaca konten wp-config.php. Jika pengaturan 600 untuk wp-config.php membuat situs Anda down, ubah menjadi 640 atau 644.

Nonaktifkan Pengeditan File Dari WordPress

fitur Keamanan WordPress Ini adalah fitur yang dikenal di WordPress bahwa Anda dapat mengedit file dari backend admin.

Sebenarnya tidak perlu karena developer menggunakan SFTP dan jarang menggunakan ini.

Katakan Tidak pada Peretas: Cara Memperkuat Keamanan WordPress Anda

Nonaktifkan Semua Fitur yang Tidak Perlu

Keamanan WordPress hadir dengan banyak fitur yang mungkin tidak Anda perlukan sama sekali. Misalnya, titik akhir XML-RPC di WordPress dibuat untuk berkomunikasi dengan aplikasi eksternal. Penyerang dapat menggunakan titik akhir ini untuk login brute force.

Nonaktifkan XML-RPC menggunakan plugin Nonaktifkan XML-RPC-API .

Masalah lain yang dimiliki WordPress bawaan adalah menyediakan titik akhir REST-API untuk mencantumkan semua pengguna di situs web.

Jika Anda menambahkan “/wp-json/wp/v2/users” ke instalasi WordPress apa pun, Anda akan melihat daftar nama pengguna dan ID pengguna sebagai data JSON.

Nonaktifkan pengguna REST-API dengan menambahkan baris kode ini ke functions.php

function disable_users_rest_json( $response, $user, $request ){

 return '';

}add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );
  1. Sembunyikan Versi WordPress
    WordPress secara otomatis menyuntikkan komentar dengan versi WordPress di HTML halaman. Ini memberi penyerang versi WordPress yang Anda instal sebagai informasi tambahan.

Katakan Tidak pada Peretas: Cara Memperkuat Keamanan WordPress Anda

Misalnya, jika Anda menggunakan versi WordPress yang intinya dilaporkan memiliki kerentanan, penyerang tahu bahwa dia dapat menggunakan teknik yang dilaporkan untuk meretas situs web Anda.

Sembunyikan Meta Tag Versi WordPress Menggunakan Plugin Ini:

  1. Meta Generator and Version Info Remover.
  2. WP Generator Remover by Dawsun.

Keamanan WordPress: Instal firewall WordPress

Firewall adalah aplikasi web yang berjalan di situs web dan menganalisis setiap permintaan HTTP yang masuk. Ini menerapkan logika canggih untuk menyaring permintaan yang berpotensi menjadi ancaman.

Seseorang dapat mengatur aturannya di atas aturan bawaan firewall untuk memblokir permintaan. Salah satu jenis serangan yang umum adalah injeksi SQL.

Katakanlah Anda menjalankan plugin WordPress yang rentan terhadap injeksi SQL dan Anda tidak mengetahuinya. Jika Anda menjalankan firewall, bahkan jika penyerang mengetahui kelemahan keamanan di plugin, dia tidak akan dapat meretas situs web.

Ini karena firewall akan memblokir permintaan yang berisi injeksi SQL.

Firewall akan memblokir permintaan tersebut dari IP dan mencegah datangnya permintaan berbahaya yang berurutan. Firewall juga dapat mencegah serangan DDoS dengan mendeteksi terlalu banyak permintaan dari satu IP dan memblokirnya.

Anda juga dapat menjalankan firewall tingkat DNS yang berjalan sebelum permintaan dibuat ke server web. Contohnya adalah firewall DNS Cloudflare .

Keuntungan dari metode ini adalah lebih kuat terhadap serangan DDoS.

Firewall tingkat aplikasi yang berjalan di server membiarkan permintaan HTTP mengenai server web dan kemudian memblokirnya. Itu berarti server menghabiskan beberapa sumber daya CPU/RAM untuk memblokirnya.

Dengan firewall tingkat DNS, ia tidak menghabiskan sumber daya server, sehingga lebih tahan terhadap serangan.

Keamanan WordPress , Plugin Firewall WordPress yang Dapat Anda Gunakan:

  1. Wordfence Security.
  2. Sucuri.
  3. All In One WP Security & Firewall.
  4. BulletProof Security.
  5. Shield Security.


Catatan: Jika Anda memutuskan untuk menginstal firewall, mereka mungkin memiliki fitur seperti perlindungan brute-force login atau otentikasi 2F dan Anda dapat menggunakan fitur mereka daripada menginstal plugin yang disebutkan di atas.

Simpan Cadangan Data

Jika Anda diretas, cara terbaik untuk memulihkannya adalah dengan memulihkan situs web dari versi terbaru yang tidak terinfeksi.

Jika Anda tidak menyimpan cadangan situs web, membersihkan situs web mungkin merupakan operasi yang memakan waktu. Dan dalam beberapa kasus, tidak mungkin memulihkan semua informasi karena malware menghapus semua data.

Untuk menghindari skenario seperti itu, lakukan pencadangan rutin database dan file situs web Anda.

Periksa dengan dukungan hosting Anda apakah mereka menyediakan fungsionalitas cadangan harian dan mengaktifkannya. Jika tidak, Anda dapat menggunakan plugin ini untuk menjalankan pencadangan:

  1. BackWPup.
  2. UpdraftPlus.
  3. BackupBuddy.
  4. BlogVault.

Gunakan SFTP

Banyak pengembang sudah menggunakan SFTP untuk terhubung ke server web, tetapi penting untuk mengingatkan hal ini, untuk berjaga-jaga jika Anda masih belum melakukannya.

Seperti HTTPS, SFTP menggunakan enkripsi untuk mentransfer file melalui jaringan sehingga tidak mungkin dibaca sebagai teks biasa meskipun seseorang memiliki akses ke jaringan.

Pantau Aktivitas Pengguna

Kami telah membahas banyak cara untuk mengamankan situs web Anda dari peretas yang tidak dikenal. Namun bagaimana jika salah satu karyawan Anda yang memiliki akses ke admin website melakukan hal-hal yang mencurigakan seperti menambahkan link di konten?

Tidak satu pun dari metode di atas yang dapat mendeteksi karyawan yang curang.

Itu bisa dilakukan dengan melihat log aktivitas. Dengan melihat aktivitas setiap pengguna, Anda mungkin menemukan bahwa salah satu karyawan mengedit artikel yang seharusnya tidak mereka lakukan.

Anda juga dapat melihat aktivitas yang terlihat mencurigakan dan melihat perubahan apa yang dibuat.

Plugin WordPress untuk Memantau Aktivitas Pengguna:

  1. Activity Log.
  2. User Activity Log.
  3. WP Activity Log.


Perhatikan bahwa Anda mungkin ingin membatasi periode (atau jumlah catatan) yang disimpan oleh plugin ini. Jika terlalu banyak, itu akan membebani database Anda dan dapat memengaruhi kinerja dan kecepatan situs web.

Apa yang Harus Dilakukan Jika Anda Diretas?


Bahkan dengan semua saran dari pakar keamanan dan mengetahui cara untuk memperkuat situs web Anda dari peretasan, itu masih terjadi.

Jika situs web Anda diretas, Anda perlu melakukan langkah-langkah berikut untuk memulihkannya:

Ubah semua email Anda dan kata sandi pribadi lainnya terlebih dahulu karena peretas mungkin telah mendapatkan akses ke email Anda terlebih dahulu dan dengan demikian dapat mengakses situs web Anda.

  • Pulihkan situs web Anda ke cadangan terbaru yang tidak diretas.
  • Setel ulang kata sandi semua pengguna situs web.
  • Perbarui semua plugin jika ada pembaruan yang tersedia.

baca juga


    Kesimpulan
    Pikirkan 360° dalam hal keamanan. Tekankan pentingnya keamanan kepada semua karyawan Anda sehingga mereka memahami konsekuensi yang mungkin diderita perusahaan jika mereka tidak mengikuti aturan keamanan.

    Jika Anda diretas, ]pulihkan situs web Anda dari cadangan dan ubah semua kata sandi ke situs web dan email Anda secepatnya.

    Jasa

    Leave a Reply

    error: Content is protected !!