oleh

Langkah-Langkah Membangun Keamanan WordPress

Keamanan WordPress selalu menjadi bahan pertimbangan, meskipun sebagian besar pembaruan terbaru berhubungan dengan masalah keamanan WordPress, masih ada banyak yang dapat di lakukan untuk meningkatkan keamanan itu, bahkan oleh orang yang kurang mengerti teknologi dari kita. 

Di sini, kita ingin menyebutkan beberapa saran tentang Cara Meningkatkan Keamanan Situs WordPress anda untuk keamanan WordPress yang terbaik.

WordPress sendiri memiliki daftar keamanan WordPress yang mungkin ingin anda baca. Tentu saja, beberapa hal dalam daftar itu akan di ulang dalam artikel di bawah ini, kami lebih suka daftar dan arahan yang lebih langsung, itu sebabnya kami memutuskan untuk menulis artikel ini tentang keamanan WordPress terbaik.

1. Jangan gunakan admin sebagai nama pengguna

Pikirkan tentang hal ini, ini mungkin saja merupakan langkah dasar termudah untuk keamanan WordPress yang dapat anda ambil sebagai pengguna WordPress. 

Anda tidak di kenakan biaya dan pemasangan membuatnya mudah di lakukan, mayoritas serangan hari ini menargetkan titik akses wp-admin/wp-login anda menggunakan kombinasi admin dan beberapa kata sandi dalam apa yang di kenal sebagai  serangan Brute Force

Akal sehat akan menentukan bahwa jika anda menghapus admin, maka anda juga akan langsung membunuh serangan itu.

Ya, ada argumen bahwa penyerang masih dapat menyebutkan ID pengguna dan Nama dan dalam beberapa kasus dapat menarik nama pengguna baru, tidak dapat di sangkal akan hal ini. 

Ingat, seperti yang suka di katakan teman-teman kita di Sucuri, Keamanan bukan tentang penghapusan risiko , ini tentang pengurangan risiko.

Untuk setiap hari, serangan Brute Force otomatis, menghapus admin atau nama pengguna administrator default sudah akan banyak membantu, setidaknya anda membuatnya sedikit lebih sulit bagi peretas untuk menebak nama pengguna. 

Cukup buat pengguna baru WordPress di Users> User Baru dan buat itu pengguna dengan hak Administrator. Setelah itu, hapus adminpengguna, jangan khawatir tentang posting atau halaman yang telah di buat pengguna admin. 

WordPress dengan baik akan bertanya kepada anda: “Apa yang harus di lakukan dengan konten yang di miliki oleh pengguna ini?” Dan memberi anda opsi untuk menghapus semua konten atau menugaskannya ke pengguna baru, seperti yang baru saja anda buat.

2. Buat akun editor untuk Anda sendiri

Selain yang di atas, ketika anda menulis atau mengedit posting blog anda, “nama penulis” anda muncul di sudut kiri bawah browser anda ketika anda mengarahkan kursor ke nama penulis dalam posting. 

Jika nama penulis anda sama dengan nama admin anda, anda baru saja memberi peretas setengah dari upaya peretasan yang berhasil.

Cara mengatasinya sederhana, buat nama pengguna untuk anda sendiri yang hanya memiliki hak editor, lalu kapan pun anda masuk untuk menulis dan mengedit posting, gunakan nama itu dan itu akan ada di semua posting anda sebagai hasilnya. 

Peretas anda akan menganggap itu adalah nama admin anda dan akan menghabiskan banyak waktu untuk mencoba peretasan dengan nama pengguna yang hanya memiliki hak mengedit, betapa sederhana dan hebatnya balas dendam kepada orang-orang jahat ini!

Juga, ada plugin keamanan untuk WordPress yang membatasi upaya login dan melaporkan peretas ke email anda, sehingga anda dapat mengetahui apakah ada upaya peretasan yang menggunakan nama admin asli anda. 

Ini memberitahu anda saatnya untuk lebih memperhatikan keamanan anda sebelum mereka mengeluarkan kata sandi.

3. Gunakan kata sandi yang kurang umum

Yang mudah di ingat adalah CLU : Complex…Panjang…Unik.

Di sinilah alat seperti 1Password dan LastPass ikut berperan, karena masing-masing memiliki generator kata sandi, anda mengetik panjangnya dan itu menghasilkan kata sandi. 

Anda menyimpan tautan, menyimpan kata sandi, tergantung pada seberapa aman anda inginkan kata sandi, biasanya mengatur panjang kata sandi (20 karakter selalu benar) dan masukkannya karakter yang kurang umum seperti # atau *.

‘123456’ bukan kata sandi. ‘qwerty’ seperti menulis kode keamanan anda di kartu bank anda. ‘biarkan aku masuk’, serius? Malu pada kamu, bahkan ‘starwars’ membuat daftar 2015 dari 25 kata sandi yang paling banyak di gunakan. Ingat, anda tidak pernah seunik yang anda kira…

4. Tambahkan Otentikasi Dua Faktor

Bahkan jika anda tidak menggunakan ‘admin’ dan menggunakan kata sandi yang kuat dan di buat secara acak, serangan Brute Force masih bisa menjadi masalah. Untuk mengatasi ini, hal-hal seperti Otentikasi Dua Faktor adalah kunci untuk membantu mengurangi risiko serangan semacam itu.

Inti dari otentikasi dua faktor untuk keamanan WordPress persis seperti yang tersirat dalam namanya, dua bentuk otentikasi, ini standar hari ini untuk keamanan yang di tingkatkan di titik akses anda. 

Anda sudah menggunakan otentikasi dua faktor untuk Gmail, Paypal dan karya-karya (setidaknya anda seharusnya), mengapa tidak menambahkannya ke toolkit keamanan WordPress anda juga.

Ada plugin untuk itu, yaitu : Google Authenticator, alternatif yang mengambil pendekatan yang sedikit berbeda untuk tujuan yang sama adalah Plugin Rublon .

5. Mempekerjakan Prinsip Privileged Least

Tim WordPress.org mengumpulkan artikel yang bagus di WordPress Codex mengenai Peran dan Kemampuan, kami mendorong anda untuk membacanya dan membiasakan diri karena itu berlaku untuk langkah ini.

Konsep Least Privileged sederhana, memberikan izin untuk:

  • Mereka yang membutuhkannya,
  • Ketika mereka membutuhkannya, dan
  • Hanya untuk saat mereka membutuhkannya.

Jika seseorang memerlukan akses administrator untuk perubahan konfigurasi sesaat, berikan, tapi hapus setelah menyelesaikan tugas, berita baiknya adalah anda tidak perlu melakukan banyak hal di sini, selain menggunakan praktik terbaik.

Bertentangan dengan kepercayaan populer, tidak setiap pengguna yang mengakses instance WordPress anda yang perlu di kategorikan di bawah peran administrator, tetapkan orang ke peran yang sesuai dan anda akan sangat mengurangi risiko keamanan anda.

6. Sembunyikan wp-config.phpdan.htaccess

Ini relatif mudah di lakukan, tetapi melakukan kesalahan mungkin membuat situs anda tidak dapat di akses, buat cadangan dan lanjutkan dengan hati-hati. Plugin Yoast SEO untuk WordPress membuat proses ini lebih mudah. 

Buka Alat> Editor File untuk mengedit.htaccess.

Untuk keamanan WordPress yang lebih baik, anda harus menambahkan ini ke .htaccessfile anda untuk melindungi wp-config.php:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

Itu akan mencegah file di akses, kode serupa dapat di gunakan untuk .htaccessfile anda sendiri, dengan cara:

<Files .htaccess>
order allow,deny 
deny from all
</Files>

Anda bisa melakukannya, karena ini bukanlah ilmu roket.

7. Gunakan kunci keamanan WordPress untuk otentikasi

Kunci dan Garasi Otentikasi bekerja bersama satu sama lain untuk melindungi cookie dan kata sandi anda dalam perjalanan antara browser dan server web. 

Kunci otentikasi ini pada dasarnya adalah seperangkat variabel acak, kunci-kunci itu meningkatkan keamanan (enkripsi) informasi dalam cookie, untuk mengubahnya di wp-config.php, cukup ambil satu set kunci baru di sini dan tambahkan ini, kunci-kunci ini berubah pada penyegaran halaman itu, sehingga anda akan selalu mendapatkan satu set baru.

8. Nonaktifkan pengeditan file

Jika seorang hacker masuk, cara termudah untuk mengubah file anda adalah pergi ke Appearance> Editor di WordPress, untuk mengangkat keamanan WordPress anda, sebaiknya anda dapat menonaktifkan penulisan file-file ini melalui editor itu. Sekali lagi, buka wp-config.php dan tambahkan baris kode ini:

1define('DISALLOW_FILE_EDIT', true);

Anda masih dapat mengedit template anda melalui aplikasi FTP favorit anda dan anda tidak akan dapat melakukannya melalui WordPress itu sendiri.

9. Batasi upaya login

Serangan seperti serangan Brute Force, targetkan formulir login anda, khusus untuk keamanan WordPress, Plugin All in One WP Security & Firewall memiliki opsi untuk hanya mengubah URL default (/ wp-admin /) untuk formulir login itu.

Di samping itu, anda juga dapat membatasi jumlah upaya untuk masuk dari alamat IP tertentu, ada beberapa Plugin WordPress untuk membantu anda melindungi formulir login anda dari alamat IP yang memicu banyak upaya login anda, tapi dalam hal ini kami belum menguji semua, hanya beri tahu pengalaman saja.

10. Selektif dengan XML-RPC

XML-RPC adalah antarmuka program aplikasi (API) yang sudah ada untuk sementara waktu, hal ini di gunakan oleh sejumlah plugin dan tema, jadi kami memperingatkan yang kurang teknis untuk memperhatikan bagaimana mereka menerapkan tips pengerasan khusus ini.

Sementara fungsional, penonaktifan bisa menimbulkan biaya, itulah sebabnya kami tidak menyarankan penonaktifan untuk semuanya, tetapi lebih selektif tentang bagaimana dan apa yang anda izinkan untuk mengaksesnya, di WordPress, jika anda menggunakan Jetpack, maka anda harus ekstra hati-hati di sini.

Ada beberapa plugin yang dapat membantu anda menjadi sangat selektif dalam cara anda menerapkan dan menonaktifkan XML-RPC secara default.

11. Keamanan Hosting dan WordPress

Perusahaan hosting hanya melihat situs web anda secara berbeda, tidak ada aturan sederhana untuk memutuskan perusahaan hosting WordPress anda, tapi pilihan perusahaan hosting tidak masalah ketika mengoptimalkan keamanan WordPress anda.

Setiap artikel yang di tulis oleh perusahaan hosting atau hosting, tampaknya mulai dengan memberi tahu anda, bahwa yang termurah mungkin bukan yang terbaik, sebagian besar paket hosting yang lebih murah tidak akan memiliki dukungan untuk membantu anda keluar dari situs yang di retas. 

Paket ini termasuk sedikit untuk mengamankan situs web anda, seperti misalnya membuat Website Firewall, hosting bersama, misalnya, tidak menyiratkan bahwa server hosting anda juga merupakan rumah bagi situs web lain, ini mungkin memiliki masalah keamanan sendiri, yang pada gilirannya dapat mempengaruhi keamanan situs web anda juga.

Baca juga...  Cara Menghapus Halaman Pada Situs Blog Yang Benar

Keamanan WordPress tampaknya menjadi salah satu USP utama yang di tawarkan dalam produk hosting WordPress khusus, seperti yang di tawarkan oleh GoDaddy, mereka menawarkan backup, firewall yang berlebihan, pemindaian malware dan perlindungan DDoS dan pembaruan WordPress otomatis untuk harga yang sangat masuk akal (tampaknya meremehkan).

Perhatikan akun host

Salah satu tantangan terbesar dengan host adalah dalam konfigurasi akun mereka untuk pemilik situs web, pemilik situs web dapat memasang dan mengkonfigurasi situs web sebanyak yang mereka inginkan dan ini memupuk lingkungan seperti “dapur umum”.

Ini menantang, karena dalam banyak kasus, situs web akan di kompromikan melalui konsep yang di kenal sebagai kontaminasi lintas situs, di mana situs tetangga di gunakan sebagai vektor serangan, penyerang menembus server, kemudian bergerak secara lateral ke situs tetangga di server.

Cara terbaik untuk akun ini adalah membuat dua akun, satu akun yang anda perlakukan sebagai lingkungan produksi, hanya situs live yang ada di sini dan akun pementasan, tempat anda meletakkan yang lainnya.

11. Tetap up-to-date

Tetap up-to-date adalah pernyataan yang mudah di buat, tetapi untuk pemilik situs web dalam sehari-hari, kami menyadari betapa sulitnya hal ini. Situs web kami adalah makhluk yang kompleks, mereka memiliki banyak hal berbeda yang terjadi pada waktu tertentu dan kadang-kadang sulit untuk menerapkan perubahan dengan cepat. 

Sebuah penelitian terbaru menunjukkan, bahwa 56% dari instalasi WordPress kehabisan versi inti, pembaruan perlu melampaui inti WordPress, studi yang sama menunjukkan, bahwa persentase yang sangat besar dari peretasan situs web berasal dari versi plugin yang kedaluwarsa dan rentan.

Ini dapat di perparah dalam lingkungan yang sangat kompleks, di mana dependensi membuatnya, sehingga cadangan tidak dapat di capai, inilah mengapa anda mesti menggunakan Firewall Sucuri.  

Firewall ini sebenarnya menambal dan mengeraskan situs web di ujung, ini memberi anda waktu yang di perlukan untuk kembali dan menerapkan pembaruan dalam kerangka waktu yang lebih masuk akal, memungkinkan anda juga untuk menguji di lingkungan pementasan terlebih dahulu dan baru kemudian mendorong produksi.

12. Plugin dan tema keamanan WordPress terbaik

Sebagian besar pengguna WordPress cenderung menerapkan tema dan plugin sesuka hati pada posting mereka, kecuali jika anda melakukan ini pada server uji untuk tujuan menguji tema atau plugin itu, itu tidak masuk akal, terutama tidak dengan merujuk pada keamanan WordPress. 

Sebagian besar plugin dan banyak tema gratis dan kecuali anda memiliki model bisnis yang solid untuk menemani hadiah gratis ini, jika seorang pengembang memelihara plugin hanya karena itu menyenangkan, kemungkinan dia tidak meluangkan waktu untuk melakukan pemeriksaan keamanan yang tepat.

Pastikan setiap plugin di periksa untuk keamanan dan jika anda membuat tema gratis atau plugin gratis, anda mungkin tidak memiliki sumber daya untuk menambahkan pemeriksaan padat seperti itu.

Cara memilih plugin yang tepat

Contoh pada contoh WordPress.org

Plugin dan tema gratis bisa menjadi kerentanan yang mungkin, saat menambahkan plugin (atau tema untuk hal ini), selalu periksa peringkat plugin itu. 

WordPress.org menunjukkan peringkat, tetapi peringkat bintang lima tidak akan memberi tahu anda apa pun, jadi periksa juga peringkatnya, bergantung pada ceruk, sebuah plugin harus bisa mendapatkan banyak ulasan, jika lebih banyak orang berpikir plugin itu keren dan luangkan waktu untuk menilai, anda bisa memutuskan untuk menggunakannya juga.

Contoh yang kompatibel dengan WordPress 4.5.2

Ada satu hal lagi yang ingin anda periksa, jika sebuah plugin belum di perbarui selama dua tahun, WordPress akan memberi tahu anda hal itu, itu tidak berarti itu plugin yang buruk, itu juga bisa berarti belum ada kebutuhan untuk memperbaruinya, hanya karena plugin itu masih berfungsi. 

Peringkat akan memberi tahu anda hal itu dan kompatibilitasnya dengan versi WordPress saat ini, yang juga di tampilkan pada halaman plugin di wordpress.org. 

Karena itu, Sucuri sangat menyarankan untuk tidak menggunakan plugin yang belum di perbarui selama itu dan anda harus mengambil kata mereka untuk itu.

Berdasarkan pada peringkat dan kompatibilitas ini, anda dapat memilih plugin yang kurang acak dan memiliki peluang lebih besar untuk jenis keamanan yang di tambahkan.

Hubungi Sucuri

Sucuri.net

Di Sucuri, Daniel dan Tony telah melakukan pekerjaan luar biasa pada plugin-plugin dan telah membantu beberapa situs web yang di retas di masa lalu, mereka adalah pemilik dan manajer Sucuri.

Sucuri adalah perusahaan keamanan situs web yang di akui secara global yang di kenal karena kemampuannya untuk membersihkan dan melindungi situs web, membawa ketenangan pikiran bagi pemilik situs web, termasuk juga Plugin Yoast SEO.

Yoast SEO telah bermitra dengan Sucuri, karena untuk menjaga keamanan dengan sangat serius, ini bukan dan tidak boleh menjadi renungan, ada berbagai cara untuk mengatasi keamanan WordPress dan di temukan bahwa keamanan paling baik di tangani dari jauh di luar aplikasi. 

Apa yang telah di bangun oleh Daniel dan Tony adalah produk atau layanan yang memungkinkan anda kembali menjalankan bisnis anda, mereka adalah mitra yang baik, tim keamanan yang dapat di andalkan ketika anda membutuhkan bantuan dan anda juga bisa, misalnya, jika anda menggunakan WordPress.

Gagal mengambil tindakan pencegahan yang di perlukan untuk keamanan WordPress anda dan meningkatkan para ahli dapat menyebabkan infeksi malware, masalah pencitraan merek, daftar hitam Google dan mungkin memiliki dampak besar pada SEO anda (sesuatu yang berharga di hati), karena itu, sebaiknya beralih pada mereka untuk kebutuhan, seperti mereka berpaling kepada kita untuk optimasi situs web.

Banyak saran yang dapat di atasi dengan menginstal dan mengkonfigurasi Plugin Sucuri Scanner Gratis mereka untuk WordPress atau mempekerjakan mereka untuk menangani keamanan situs web anda. 

Di Yoast SEO, mereka menganggapnya sebagai kebutuhan mutlak, keamanan bukanlah proyek kita, itulah sebabnya kita menyerahkannya kepada para profesional. 

Kunjungi situs web mereka di sucuri.net untuk informasi lebih lanjut dan periksa situs anda sekarang untuk melihat apakah anda telah terinfeksi malware atau telah masuk daftar hitam.

Selain itu, Sucuri membuat infografis tentang apa yang harus di lakukan ketika situs anda di retas :

cara memperbaiki situs web yang diretas

Yoast SEO merekomendasikan Sucuri

Jika anda serius tentang situs web anda, maka anda harus serius tentang keamanan anda, dapatkan paket keamanan lengkap dari Stack Keamanan Situs Web dari mereka.

Jangan lupa log dan pemantauan

Sejauh ini, telah terlihat cara mengeraskan situs WordPress. Namun, karena keamanan WordPress tidak mutlak (situs selalu berkembang dengan mengubah fungsionalitas dan pengguna) ada aspek lain dari keamanan WordPress, yaitu pencatatan dan pemantauan. 

Log audit atau log aktivitas, adalah catatan kronologis peristiwa dan perubahan yang terjadi di situs web anda, dalam log audit anda dapat menemukan informasi tentang siapa yang masuk ke situs anda, menginstal atau memperbarui plugin, mengubah konten, mengubah pengaturan situs dan banyak lagi.

Dengan menyimpan log audit di situs WordPress anda, maka anda memastikan akuntabilitas pengguna, memudahkan pemecahan masalah masalah teknis dan serangan spot sebelum atau saat terjadi, memungkinkan anda mengambil tindakan menghindar untuk menghentikannya. 

Log audit juga di gunakan untuk forensik, untuk mencari tahu apa yang salah dalam kasus peretasan yang berhasil, untuk menyimpan log audit di situs WordPress anda, maka anda perlu menginstal plugin seperti WP Security Audit Log .

Ada beberapa hal lain yang harus anda perhatikan, misalnya, jika anda menggunakan Sucuri, anda akan mendapatkan laporan lalu lintas mingguan dengan perincian tentang apa yang di blokir dan di izinkan, anda dapat belajar banyak darinya, serta dari analisis dan pola lalu lintas situs web anda.

Kesimpulan

Jika anda sudah sejauh ini membaca artikel ini, anda tidak akan memiliki alasan untuk tidak meningkatkan keamanan WordPress untuk situs web anda, seperti menambahkan posting dan halaman, memeriksa keamanan WordPress anda harus menjadi rutin untuk setiap pemilik situs WordPress.

Ini bukan daftar lengkap semua hal yang dapat anda lakukan untuk mengamankan situs web anda, kami sadars, bahwa seseorang harus, misalnya, membuat cadangan reguler dan menyimpan log semua aktivitas yang terjadi di situs web.

Log sangat berharga, karena membantu dalam pertanggungjawaban, membantu mengidentifikasi serangan sebelum terjadi dan juga dapat di gunakan untuk forensik, untuk mencari tahu apa yang terjadi dan apa kerusakan yang di lakukan dalam kasus serangan hacking yang tidak menguntungkan.

Kebanyakan plugin logging (seperti WP Security Audit Log) tidak hanya menyimpan log aktivitas, tetapi juga memungkinkan anda untuk mengatur notifikasi email ketika terjadi perubahan penting di situs anda.

Artikel tentang Keamanan WordPress ini semoga dapat memberi anda daftar praktis hal-hal yang dapat dan harus anda lakukan untuk mengamankan, setidaknya lapisan pertama pertahanan situs web anda. Ingat, keamanan WordPress bukanlah hal yang mutlak dan mestinya kita harus mempersulit para peretas!

Komentar

Tinggalkan Balasan Anda dan Terima Kasih Atas Kunjungannya...

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Artikel Terbaru