Meningkatkan Keamanan WordPress – Panduan Lengkap Untuk Mengamankan Situs WordPress

Ketika Anda selesai dengan posting ini, saya jamin situs WordPress Anda akan kebal dari peretasan dan eksploitasi.

Tunggu, saya tidak bisa menjamin itu. Biarkan saya begini, Anda akan dilengkapi dengan pengetahuan yang diperlukan untuk menjaga situs web Anda relatif aman.

Tidak ada yang namanya keamanan anti-bodoh. Ada langkah-langkah khusus yang dapat Anda ambil untuk sangat mengurangi kemungkinan situs web Anda menjadi korban peretasan atau serangan.

Saya sebelumnya menulis posting kecil tentang bagaimana situs web WordPress dikompromikan dan mengapa Anda harus berinvestasi dalam praktik keamanan yang baik. Anda dapat membacanya di sini atau saya akan memberikan ringkasan kecil tentang kerentanan WordPress sebelum kita membahas langkah-langkah spesifik untuk memperkuat situs web WordPress Anda.

WordPress sendiri memiliki sedikit kerentanan dan ketika ditemukan, mereka dengan cepat ditambal dengan pembaruan. Tetapi ketika Anda mempertimbangkan, praktik keamanan host web Anda atau kekurangannya dan perangkat lunak pihak ketiga yang biasanya berjalan di situs web WordPress, situs web Anda lebih mungkin menjadi korban peretasan karena kesalahan orang lain.

51% dari semua situs web yang diretas pada tahun 2021 dikompromikan oleh tema atau plugin yang mereka jalankan. 41% dieksploitasi karena mereka memilih host web yang salah dan akibatnya, situs mereka diretas.

Menjalankan situs WordPress biasa dan menjaganya tetap aman tidak terlalu sulit. Tetapi ketika Anda menambahkan berbagai perangkat lunak pihak ketiga dan harus memelihara domain Anda dengan host yang tepat, itu menjadi sedikit lebih sulit.

Saya telah membaca banyak posting blog oleh pengusaha web sukses yang pada dasarnya adalah pria dan wanita bisnis yang menjalankan bisnis mereka secara online. Dan ketika usaha online mereka menjadi sukses, mereka menjadi target. Meskipun, tidak perlu situs web Anda berhasil atau bahkan memiliki lalu lintas untuk menjadi target.

Orang yang meretas situs web menggunakan alat otomatis yang memungkinkan mereka menjelajahi ratusan dan ribuan situs web untuk mencari kerentanan. Situs web Anda mungkin salah satu dari ratusan itu. Jadi meskipun website Anda tidak populer, Anda tetap bisa menjadi target.

Sekarang banyak pengusaha web menyadari standar keamanan yang diperlukan dan langkah-langkah yang diperlukan untuk menjaga situs web dan bisnis online mereka tetap aman. Tetapi hal hebat tentang WordPress dan web saat ini, Anda tidak perlu lagi menjadi ahli teknologi atau pengembang web untuk memulai situs web. Dan membuat situs web tidak sulit sama sekali, sangat mudah dan saya bahkan telah menulis artikel tentangnya di Colorlib (bagi Anda yang mencari sedikit bantuan saat membangun situs web WordPress pertama Anda).

Membuat situs web tidak terlalu sulit, membuatnya populer adalah proposisi yang sedikit lebih rumit. Tetapi membuatnya aman, terutama bagi pengusaha web yang tidak paham teknologi yang keasyikan utamanya berkisar pada produk/layanan berbasis non-web agak menantang.

Dan tentu saja, mereka dapat mempekerjakan pengembang web untuk membantu mereka. Tetapi alasan mengapa banyak bisnis web skala kecil berkembang, tentu saja terkait langsung dengan kemampuan mereka untuk menjaga biaya tetap rendah. Dan mempekerjakan pengembang web yang mengenakan biaya $100 per jam, tidak sesuai dengan kemampuan finansial mereka.

Seorang profesional keamanan web selalu menjadi pilihan yang disukai tetapi sayangnya tidak semua orang memiliki pendapatan bisnis yang diperlukan untuk membiayai pengeluaran itu. Dan mungkin tidak apa-apa, mungkin juga tidak. Tetapi fakta pentingnya adalah kita harus menyadari bahwa bahkan bisnis skala kecil pun mengumpulkan informasi pribadi yang sensitif termasuk hal-hal seperti alamat tempat tinggal Anda, detail kartu kredit Anda, nomor telepon, dan ID email.

Tidak hanya informasi pelanggan Anda yang berisiko karena praktik keamanan yang mungkin lalai, tetapi juga bisnis yang telah Anda bangun atau akan menghabiskan banyak waktu untuk membangunnya. Membangun bisnis online adalah usaha yang agak menakutkan, kesuksesan Anda bergantung pada sejumlah faktor, yang meliputi reputasi merek dan apa yang Google pikirkan tentang situs web Anda. Dan percayalah, tidak ada yang akan memiliki pandangan yang baik tentang bisnis atau layanan Anda, jika situs web Anda ditutup atau menjadi korban serangan/peretasan.

Mengingat semua itu dan taruhannya, langkah apa yang dapat “Anda” lakukan sebagai pengusaha web untuk membuat situs web Anda aman?

Posting ini terutama ditujukan untuk orang-orang yang pekerjaan utamanya tidak menjalankan bisnis online. Ini ditujukan untuk orang-orang yang dari berbagai lapisan masyarakat memulai bisnis yang sebagian besar atau sebagian bergantung pada kehadiran online. Dan karena lebih dari 65% web dijalankan oleh WP dan WordPress adalah CMS pilihan bagi wirausahawan web yang tidak paham teknologi, saya akan memfokuskan upaya saya untuk mempersenjatai Anda dengan pengetahuan untuk menjaga situs web WordPress Anda tetap aman dan terlindungi. .

#1. Pilih Penyedia Layanan Host yang Tepat

Sebagian besar kerentanan ada karena masalah yang dibuat di ujung server situs web Anda. Saya menemukan fakta ini agak mencengangkan, layanan hosting Anda berpotensi menjadi sumber terbesar kerentanan situs web Anda.

Dan dengan host pihak ketiga Anda tidak bisa berbuat banyak dengan cara mengutak-atik untuk melindungi website Anda.

Jadi hal terbaik berikutnya yang dapat Anda lakukan – Pilih penyedia layanan hosting web yang tepat.

Ada terlalu banyak penyedia web host yang menjalankan sistem mereka pada perangkat lunak usang atau perangkat lunak yang saat ini tidak dipelihara. Masalah dengan perangkat lunak yang tidak lagi dipelihara adalah, meskipun mungkin tidak ada kerentanan di masa lalu, tidak ada jaminan untuk keamanan di masa depan. Dan jika kerentanan terdeteksi yang hampir pasti, itu mungkin tidak lagi ditambal karena tim inti tidak secara aktif memelihara versi perangkat lunak yang lebih lama.

Ketika saya berbicara tentang perangkat lunak, maksud saya adalah segala sesuatu yang berjalan di server Anda untuk menjaga situs Anda tetap hidup dan berfungsi.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• Sertifikat SSL

Bahkan jika mereka memperbarui perangkat lunak mereka dengan sedikit penundaan, ketika tambalan perangkat lunak dirilis. Jendela peluang bagi peretas untuk mengeksploitasi kerentanan yang hanya ditambal di pembaruan terkini melebar dan menempatkan situs web Anda dalam risiko.

Hosting bersama yang merupakan pilihan hosting untuk sebagian besar bisnis online yang baru dimulai memang memiliki beberapa masalah,

• Serangan DOS pada salah satu IP di server dapat memengaruhi semua situs web yang dihosting di server tertentu.
• Alamat IP bersama adalah masalah besar. Alamat IP yang bertetangga dengan Anda memengaruhi situs web Anda, jika IP yang dibagikan masuk daftar hitam, situs Anda akan menanggung akibatnya.
• Selalu ada kemungkinan bahwa beberapa perangkat lunak yang dimuat di server bersama dapat membahayakan seluruh server, meskipun penyedia layanan hosting bersama mengambil tindakan untuk mencegah hal ini terjadi.

Pilihan saya untuk shared hosting,

• Hosting Bersama – SiteGround – Mereka menyediakan isolasi akun yang melindungi Anda dari situs web di server yang sama yang mungkin rentan. Pembaruan otomatis untuk inti dan plugin WP, sertifikat SSL gratis & cadangan harian untuk Grow Big Plan dan lebih tinggi, perlindungan terhadap spam dengan sistem penyaringan, firewall, sistem pencegahan intrusi, dan pemantauan langsung. Menggunakan sistem CDN seperti CloudFlare akan melindungi situs web Anda dari serangan DDoS.

SiteGround memiliki sejarah yang baik dalam hal merespons dengan cepat dan tajam terhadap kerentanan yang terungkap di masa lalu. Pada tahun 2013, ketika serangan bruteforce dilakukan dari lebih dari 90.000 alamat IP, SiteGround mencegah permintaan bahkan mencapai server mereka.

Serangan Brute Force dapat membanjiri server dengan beban tetapi jika Anda tidak dapat mengirim permintaan dalam jumlah yang cukup ke server, Anda tidak dapat memengaruhinya. Selama serangan, lebih dari 15 juta upaya dalam waktu kurang dari 12 jam dilakukan terhadap situs web di server mereka, namun tidak ada server mereka yang mengalami masalah kinerja.

Bahkan, setelah beberapa di perumahan brute force di situs web klien mereka sendiri untuk menemukan kata sandi yang lemah, mereka menemukan banyak situs web di server mereka dengan kata sandi yang lemah dan tidak aman. Mereka menindaklanjutinya dengan menerapkan kata sandi yang kuat dan klien mereka diberi tahu melalui surat. Mereka tampaknya benar-benar peduli dengan keamanan mereka dan memastikan kinerja lingkungan server bersama mereka bahkan ketika diserang. Hal yang sama tidak dapat dikatakan untuk beberapa perusahaan hosting web bersama terbesar.

Jika Anda menginginkan opsi alternatif SiteGround untuk hosting bersama, saya telah mencantumkan beberapa di posting sebelumnya.

Namun, jika Anda tidak ingin menyibukkan diri dengan keamanan WordPress dan hampir semua hal teknis lainnya tentang membuat, memelihara, dan mengembangkan situs web, Anda akan lebih baik menggunakan host WordPress yang dikelola. Saya lebih suka hosting yang dikelola tetapi biayanya jauh lebih tinggi.

Harga hosting terkelola selama satu bulan juga akan membelikan Anda hosting bersama untuk jangka waktu 8 bulan. Jika Anda menjalankan perusahaan yang kekurangan uang, ini memiliki efek yang sangat monumental pada keberlanjutan bisnis Anda. Tetapi siapa pun akan bodoh untuk mengabaikan manfaat dari host WordPress yang dikelola, jika mereka mampu membelinya.

Langkah-langkah keamanan WPEngine-

• Perlindungan penulisan disk, kode berbahaya apa pun yang menciptakan kerentanan yang dapat dieksploitasi sangat dibatasi oleh pembatasan penulisan disk. Menggunakan plugin dan tema dengan kerentanan lebih aman secara tiba-tiba, mengingat mereka tidak dapat menulis kode ke server Anda yang membuat WP Anda rentan lagi.
• Hak penulisan disk untuk pengguna yang masuk ke dasbor WP mereka meluas ke fungsi standar seperti menulis dan mengedit posting, tema menambahkan lembar gaya baru dan mengaktifkan/menonaktifkan plugin.
• Untuk menghapus dan menulis file baru, Anda harus masuk melalui klien SFTP.
• Menambahkan kode PHP generik tidak diizinkan.
• Skrip dengan kerentanan yang diketahui yang membahayakan WP tidak dapat ditambahkan ke WordPress.
• Plugin tertentu dapat dilarang dan bahkan dinonaktifkan, jika pemindai mereka mengambil sesuatu dalam kode plugin yang membuat situs web Anda kurang aman.
• Paket dasar di WPEngine masih akan melibatkan beberapa berbagi server. Dalam paket hosting khusus apa pun, tuan rumah menyediakan seluruh server yang sepenuhnya didedikasikan untuk menyediakan sumber daya hanya untuk situs web Anda.
• Cadangkan melalui Amazon S3 dan Anda tidak memiliki akses ke sana. Anda tidak dapat mengkompromikan cadangan Anda, bahkan jika Anda mencobanya. Polis asuransi untuk situs Anda selalu ada.
• Akses fisik ke server dibatasi hanya untuk personel penting. Pusat data mereka terdengar seperti Fort Knox yang baru saja membacanya.
• Mereka berspesialisasi dalam WP dan mengetahui seluk beluk membuat situs WordPress yang aman.
• Pemulihan dalam kasus akun yang diretas mudah dan terjamin tanpa biaya.
• Audit kode reguler dari penyedia solusi keamanan WP – Sucuri.

Pikirkan WPEngine dengan cara ini, biayanya sangat mahal, tetapi jauh lebih sedikit daripada biaya situs web yang diretas. Itu membuatnya jauh lebih mudah untuk merasionalisasi biaya.

Harap jangan mengabaikan fakta bahwa situs web Anda tidak hanya akan lebih aman dengan WPEgnine, itu akan menjadi jauh lebih cepat dalam semua kemungkinan. Bahkan situs web seperti Colorlib yang menggunakan server pribadi virtual merasa sulit untuk menandingi kecepatan situs web yang dijalankan WPEngine.

Jika Anda masih ragu dan tidak dapat memilih antara shared web host dan WP host yang dikelola, itu adalah topik yang sangat besar. Silakan baca bagian yang saya tulis beberapa waktu lalu. Semoga dapat menjawab semua pertanyaan Anda mengenai kesesuaian paket hosting untuk situs web Anda.

#2. Gunakan Perangkat Lunak Pihak Ketiga Tepercaya – Tema & Plugin Premium

Plugin dan tema selalu dicurigai, menjadi skeptis, terutama jika tidak terpelihara dengan baik dan jarang diperbarui. Sekarang Anda dapat mengambil banyak langkah dengan mendiskriminasi plugin berdasarkan kelemahan keamanan, tetapi selalu membayar untuk mencatat tindakan yang diambil plugin Anda dengan WP Security Audit Log.

Sebuah log keamanan sangat membantu untuk pengembangan web dan profesional keamanan melacak perubahan secara multi-situs ketika mereka menangani kebutuhan klien mereka. Setiap tindakan oleh setiap pengguna dapat dipertanggungjawabkan dengan plugin. Log juga membantu mengawasi plugin, tema, dan perilaku perangkat lunak pihak ketiga lainnya. Plugin ini mungkin tidak mencegah masalah keamanan, tetapi jika ada yang salah maka Anda akan mudah melacak sumber masalahnya.

Praktik baik lainnya adalah meminta plugin diaudit oleh pakar keamanan. Jika Anda tidak mampu melakukannya, carilah cap kepercayaan Sucuri (Sucuri adalah penyedia solusi keamanan terkemuka untuk pengguna WordPress) pada plugin. Banyak plugin/tema secara sukarela mengirimkan produk mereka untuk audit kode.

Tema Elegan telah mengaudit tema andalan mereka Divi. Elegant Themes adalah salah satu rumah tema terbesar, jika bukan terbesar di ceruk WP, namun tema andalan mereka diaudit untuk masalah keamanan.

Jauhi plugin dan tema gratis yang tidak banyak diunduh. Terkadang plugin dengan jumlah unduhan yang sangat tinggi dan peringkat tinggi, menarik lebih banyak pembuat kerusakan. Perlindungan dalam jumlah tidak benar-benar berlaku. Semakin banyak orang yang menggunakan plugin menjadikannya target yang lebih besar, tetapi pada saat yang sama memiliki ribuan pengguna mungkin akan membantu mengidentifikasi dan melindungi dari eksploitasi zero day melalui pembaruan cepat.

Menggunakan plugin dan tema premium tidak berarti keamanan situs Anda dapat dijamin. Tetapi Anda dapat yakin, bahwa jika ada eksploitasi zero day ditemukan, responsnya umumnya cepat. Rumah Tema dan pengembang plugin sangat menyukai produk mereka, hal terakhir yang mereka inginkan adalah tampilan kerentanan.

Tetap berpegang pada plugin yang terdaftar di direktori WordPress.org untuk mendapatkan plugin gratis. Peringkat yang lebih tinggi dan jumlah unduhan membuat plugin menjadi taruhan yang lebih aman sampai batas tertentu. Lihat sejarah plugin yang dibuat oleh penulis yang sama di masa lalu, indikator yang baik dari silsilah programmer. Anda juga akan melihat bahwa penulis tertentu lebih berhati-hati untuk memastikan keamanan plugin/tema mereka.

Tanggal terakhir yang diperbarui adalah faktor lain yang patut dipertimbangkan. Memastikan bahwa versi plugin terbaru kompatibel dengan versi terbaru WordPress adalah poin penting lainnya untuk menandai daftar periksa sebelum menginstal dan mengaktifkan plugin.

Seperti yang mungkin sudah Anda duga, apa yang berlaku untuk plugin juga berlaku untuk tema. Beberapa hal yang perlu diingat, saat menggunakan plugin dan tema.

• Plugin Premium lebih baik dalam arti, tim mereka cenderung merespons kerentanan keamanan apa pun jauh lebih cepat daripada plugin gratis.
• Gunakan Log Audit Keamanan WP dan lacak semua yang berjalan di bawah kap situs web Anda.
• Pasti ada keamanan dalam jumlah karena ancaman keamanan jauh lebih mungkin untuk dilaporkan dan ditangani. Tetapi saya tidak dapat menahan perasaan bahwa ini adalah pedang bermata dua, plugin/tema akan jumlah unduhan yang besar juga jauh lebih mungkin menjadi target peretas.
• Direktori plugin WP.org dapat dimanipulasi untuk memberikan peringkat yang sangat baik untuk plugin dengan jumlah unduhan & peringkat yang lebih kecil.
• Lihat pembuat plugin, riwayatnya, dan produk sebelumnya. Jika mereka pernah mengalami masalah keamanan di masa lalu, mereka tidak selalu menunjukkan bahwa plugin/tema mereka buruk, tetapi itu bukan pertanda baik.
• Diskriminasi plugin/tema dengan kejam, baca ulasan terutama yang memberikan peringkat buruk untuk produk (pastikan untuk melihat alasan produk ini diberi peringkat buruk) di pasar seperti Envato, bahkan untuk plugin premium. Baca bagian komentar dari ulasan produk untuk plugin dan tema. Saat menulis ulasan tentang produk WordPress tertentu atau membuat posting daftar tema, saya selalu melihat bagian komentar untuk keluhan dari pengguna yang telah mengunduh/membeli produk. Latihan ini selalu bermanfaat, Anda hampir selalu mempelajari sesuatu tentang produk yang ingin Anda beli atau unduh.
• Jika plugin/tema telah diaudit kodenya oleh Sucuri atau penyedia solusi keamanan WP terkemuka lainnya, itu menambah kemungkinan bahwa produk tersebut cukup kokoh dalam hal keamanan.
• Anda dapat melindungi diri Anda dari plugin jahat dengan plugin keamanan seperti Wordfence atau iThemes Security. Selain itu, Anda dapat menggunakan fitur pemindaian situs gratis Sucuri yang memeriksa kode WP Anda untuk mencari skrip berbahaya.

Tak satu pun dari langkah-langkah di atas menjamin bahwa Anda tidak akan pernah mengunduh plugin atau tema yang buruk, tetapi hal itu mengurangi kemungkinan Anda akan terpengaruh oleh masalah keamanan.

Sekarang, dengan asumsi Anda menggunakan host, tema, dan plugin yang tepat. Saya akan menjelaskan dan menjelaskan langkah-langkah keamanan yang diperlukan yang perlu Anda ambil untuk membuat situs web Anda aman.

Saat menjelaskan langkah-langkah keamanan individu, harap perhatikan bahwa saya merekomendasikan plugin mandiri yang dirancang untuk aplikasi keamanan tertentu.

Nanti di posting ini, saya akan membahas Wordfence plugin keamanan freemium lengkap dan juga solusi keamanan Sucuri. Anda harus tahu bahwa keduanya menyelesaikan hampir semua fungsi keamanan yang mungkin telah dibahas sebelumnya di pos dan lebih banyak lagi dalam beberapa kasus.

Jadi, kecuali jika Anda ingin mempelajari tentang langkah-langkah keamanan individu secara rinci, Anda dapat melompat ke bagian terakhir di mana saya membahas fungsi plugin keamanan dan penyedia solusi keamanan seperti Sucuri.

Tetapi jika Anda adalah pengguna WordPress pertama kali, saya sangat menyarankan Anda membaca seluruh posting untuk sepenuhnya memahami pentingnya setiap ukuran keamanan yang berbeda.

#3. Lindungi Halaman Login Anda

Halaman Login WordPress adalah target utama serangan brute force. Halaman login Anda jelas merupakan bagian yang rentan dari situs web Anda, jika Anda tidak mendapatkan langkah-langkah keamanan yang tepat untuk menghalangi penyerang.

Saya akan membahas pentingnya memelihara halaman login yang kuat dan aman dengan beberapa langkah keamanan yang membuat situs Anda aman dan terlindung dari serangan brute force.

Kata Sandi Kuat & Nama Pengguna Tidak Biasa

Admin bukan nama pengguna yang baik. WordPress sebelumnya memiliki admin sebagai nama pengguna default dari akun admin utama. Namun hari ini, ketika Anda menginstal WordPress, Anda dapat memilih nama pengguna yang berbeda. Namun ketika orang umumnya mulai menggunakan WordPress, terutama untuk pertama kalinya banyak yang tetap menggunakan admin sebagai username. "admin" adalah nama pengguna yang sangat mudah diprediksi dan membuat situs Anda jauh lebih mudah untuk dibobol.

Anda juga dapat mencoba plugin Admin Renamer Extended yang dapat mengubah nama pengguna Anda.

Kata sandi, memilih string karakter acak yang tidak biasa akan membantu menciptakan garis pertahanan pertama melawan orang-orang yang bermaksud merusak situs web Anda atau mendapatkan informasi sensitif yang disimpan di server situs Anda.

Daftar 5 kata sandi paling umum yang disusun oleh SpashData.

1. 123456
2. kata sandi
3. 12345
4. 12345678
5. qwerty

Seorang berusia tiga belas tahun yang sangat termotivasi dapat menebak admin dan 123456. Dengan kata sandi seperti yang disebutkan di atas, situs Anda akan hancur terutama jika Anda menerima lalu lintas yang layak.

Kata sandi terbaik adalah kombinasi huruf besar & kecil dengan tanda baca dan karakter khusus. Sebaiknya, gunakan sesuatu yang tidak memiliki arti apa pun dan pastikan setidaknya lebih dari 10 karakter. Tidak ada alasan khusus untuk 10 karakter, tetapi ingat akan semakin sulit untuk memecahkannya, jika kata sandinya lebih panjang.

Jika kata sandi Anda tidak masuk akal dan tidak ada alasan logis atau alasan sentimental di balik kata sandi Anda, itu jelas jauh lebih sulit untuk ditebak. Ingat, bagaimana Sherlock menebak kata sandi ponsel Irene Addler – “AKU _ _ _ _ TERKUNCI”. Yah, bahkan Sherlock akan kesulitan menebak kata sandi yang tidak bisa dinalar!

Jika Anda mengalami kesulitan mencari tahu kata sandi apa yang akan digunakan, cobalah alat seperti Penghasil Kata Sandi Kuat atau Pembuat Kata Sandi Aman keduanya adalah alat online yang tersedia secara gratis untuk mengetahui kata sandi yang baik untuk login admin situs web Anda.

Plugin keamanan juga menerapkan kata sandi yang kuat untuk admin dan semua pengguna. Ini penting, bahkan jika pengguna Anda tidak memiliki status administrator dan hak istimewa yang menyertainya, seseorang dengan akses ke akun tingkat editor yang disusupi di WordPress dapat melakukan sedikit kerusakan.

Tip bagus lainnya untuk selalu diingat, sering-seringlah mengubah kata sandi Anda. Jika Anda kesulitan mengingat semua kata sandi Anda, gunakan pengelola kata sandi. Anda dapat mencoba One Password, Last Pass, KeePass atau DashLane untuk menyimpan semua kata sandi Anda dengan aman.

Sejauh menyangkut nama pengguna dan kata sandi, semakin tidak masuk akal dan semakin acak, semakin baik keamanan yang dapat mereka tawarkan ke situs web Anda.

Batasi Jumlah Upaya Masuk

Serangan brute force menargetkan halaman login situs WordPress. Jika Anda tidak menyadarinya, sebagian besar serangan brute force melibatkan percobaan kombinasi alfanumerik yang berbeda untuk memecahkan sandi situs untuk nama pengguna tertentu.

Sekarang bahkan jika Anda berasumsi bahwa serangan brute force tidak berhasil, Anda perlu mengenali fakta bahwa itu menghabiskan sejumlah besar memori server dan kekuatan pemrosesan. Ini hampir pasti akan memperlambat situs web Anda dan membuatnya merangkak. Banyak host juga menawarkan perlindungan terhadap serangan brute force. Ini karena di server bersama, situs Anda yang menggunakan sumber daya dalam jumlah yang tidak semestinya berpotensi memengaruhi semua orang.

Tetapi teknik termudah untuk menangkal serangan brute force adalah dengan membatasi jumlah upaya login. Jika seseorang tidak dapat berulang kali menyerang server Anda dengan beberapa kombinasi nama pengguna dan kata sandi, maka serangan brute force tidak akan berfungsi.

Login Lockdown, Login Security Solution, dan Brute Force Login Protection semuanya bertujuan untuk mencegah akses ke situs web Anda melalui upaya hack brute force. Brute Protect telah diakuisisi oleh tim Automattic dan sekarang menjadi bagian dari Jetpack dan menawarkan perlindungan terhadap serangan brute force.

Hampir semua plugin perlindungan login memiliki antarmuka yang serupa.

Semua plugin ini pada dasarnya bekerja dengan melacak alamat IP yang berulang kali mencoba dan gagal mencapai login. Setelah beberapa kali upaya login gagal, IP tertentu dicegah mengakses halaman login situs Anda.

Solusi Keamanan Login memaksa otentikasi email WordPress dan perubahan kata sandi melalui email, jika ditentukan bahwa pengguna yang saat ini masuk agak mencurigakan.

Plugin dapat menerapkan kata sandi yang kuat dan mengamanatkan perubahan kata sandi yang sering pada pengguna. Upaya peretasan juga dilacak oleh rentang IP yang berulang kali mencoba mendapatkan akses secara tidak sah, dikunci untuk jangka waktu yang lebih lama untuk mencegah mereka mencoba masuk ke situs web Anda.

Dua – Langkah Otentikasi Masuk

Mengautentikasi login, menambahkan lapisan keamanan ekstra selain kata sandi yang kuat, nama pengguna yang tidak biasa, dan sejumlah upaya login yang gagal.

Proses otentikasi login dua langkah membuat situs Anda lebih dari sekadar dua kali lipat aman. Masuk ke situs WordPress Anda memerlukan kode otentikasi yang hanya dapat diterima melalui pesan seluler. Mengingat bahwa, agak tidak mungkin ponsel Anda akan dicuri oleh peretas sebagai persiapan, situs web Anda akan tetap aman dari kekerasan dan teknik peretasan lainnya yang mengandalkan untuk melewati halaman login situs web Anda.

Google Authenticator adalah plugin berguna yang bergantung pada aplikasi yang diinstal di Android/iPhone/Blackberry Anda yang memberi Anda kode autentikasi yang diperlukan untuk berhasil masuk ke situs web Anda. Anda dapat mengaktifkan aplikasi ini untuk tingkat hak istimewa admin saja atau menggunakannya berdasarkan pengguna per pengguna.

Saya sangat menyukai plugin berikutnya, mereka bermaksud mengirim orang yang mencoba masuk tanpa kode otentikasi ke pengalihan dengan URL yang dapat disesuaikan. Halaman Login Stealth juga memblokir bot sepenuhnya.

Jika pengguna gagal mematuhi urutan login lengkap, upaya login ditolak. Teknik lain yang dapat digunakan untuk memblokir bot adalah menggunakan captcha pada halaman login, Anda dapat menggunakan Login No Captcha reCaptcha untuk mencegah bot login.

Ubah URL Halaman Login WordPress Anda

Kami telah membahas membatasi upaya login, mengautentikasi login, dan pentingnya menggunakan kata sandi yang kuat dan nama pengguna yang tidak biasa.

Sekarang kita akan menyembunyikan atau mengubah halaman login, mod keamanan jenis ini juga dikenal sebagai keamanan melalui ketidakjelasan. Saya tahu ini tampaknya agak berlebihan. Tapi tetaplah bersama saya di sini, karena langkah ini tidak lebih sulit dari langkah keamanan yang disarankan sebelumnya untuk mengamankan halaman login Anda.

Serangan brute force hanya efektif jika mereka dapat menemukan halaman login. Membiarkan halaman login Anda tidak berubah akan membuat peretas menemukan halaman login Anda.

Mari kita coba sembunyikan halaman login dari mereka. Anda dapat melakukannya dengan mengubah URL halaman login dengan WPS Hide Login. Plugin tidak benar-benar mengubah apa pun, itu hanya memotong permintaan halaman dan membuat direktori wp-admin dan halaman wp-login.php tidak dapat diakses. Anda harus mengingat halaman login baru yang diatur selama aktivasi plugin.

Opsi alternatif untuk mengubah URL halaman login Anda mencakup dua plugin lainnya, Protect Your Admin dan Rename wp-login.php.

SSL

Meskipun, saya menyebutkan SSL di bawah melindungi halaman login Anda, SSL adalah fitur yang sangat penting dan diperlukan dari setiap halaman tempat Anda menangani informasi sensitif. Dan ini cukup banyak mencakup setiap halaman di banyak situs web, mengingat seolah-olah ada formulir berlangganan blog di semua halaman web.

Jika Anda atau pengunjung/pelanggan Anda pernah membagikan informasi pribadi yang sensitif seperti alamat, detail kartu kredit, atau bahkan membagikan ID email mereka kepada Anda. Kemudian Anda berutang kepada mereka untuk melindungi informasi mereka.

SSL adalah lapisan perlindungan ekstra (Secure Socket Layer) yang mengubah http menjadi https dan dalam prosesnya membuat semua informasi yang dibagikan jauh lebih aman.

Beginilah cara edit halaman posting yang saya kerjakan, untuk Colorlib terlihat dengan SSL. Perhatikan "https:" berwarna hijau di bilah URL?

SSL pada dasarnya adalah sesuatu yang mengacak informasi Anda menjadi sesuatu yang tidak dapat dibaca seperti yang kami lakukan pada teks biasa. Jadi ketika informasi berpindah antara server Anda dan browser apa pun, siapa pun yang mendapatkan akses ke sana tidak dapat memahaminya. Ada kunci privat dan kunci publik. Setelah SSL membuat informasi mengalir semua lucu dan tidak terbaca, kita perlu memahaminya lagi di ujung browser. Di sinilah kunci pribadi masuk untuk membuat semuanya dapat dibaca kembali. Mekanisme dalam bermain sangat mirip dengan kunci matematika dan kunci.

SiteGround, host bersama yang kami rekomendasikan menyediakan perlindungan SSL secara gratis. Anda juga dapat membeli sertifikat SSL dari Otoritas Sertifikat. Jika Anda menjalankan plugin keamanan seperti Wordfence, SSL dapat diaktifkan.

Saya akan merekomendasikan SSL di seluruh situs, banyak situs WordPress yang termasuk ColorLib menggunakan SSL di seluruh situs. Jika bukan SSL di seluruh situs, Anda harus memaksa SSL untuk halaman login minimal.

Peramban seperti Chrome bahkan memblokir akses ke situs web dengan sertifikat SSL yang buruk/kedaluwarsa.

Anda mungkin harus mencari tahu apakah CDN Anda mengirimkan konten dengan mudah melalui SSL dan terkadang jaringan iklan dapat menimbulkan masalah saat menayangkan melalui SSL. Menambahkan lebar situs SSL dapat menimbulkan kesulitan yang signifikan, Anda harus membaca artikel yang sangat berwawasan ini tentang kesulitan mengaktifkan SSL di seluruh situs.

Google memberi Anda sedikit dorongan (1%) di peringkat pencarian Anda, jika Anda menggunakan SSL di situs web Anda. Fakta ini, dengan sendirinya harus menjamin penggunaan SSL. Mengapa ? Yah Google memahami seperti kebanyakan profesional pengembangan web, pentingnya memastikan keamanan data pembaca/pengunjung Anda.

SSL juga dapat diterapkan di layar login Anda dengan plugin keamanan Wordfence. Diharapkan juga bahwa sertifikat keamanan akan tersedia secara bebas sekitar tahun 2015.

Baca lebih lanjut tentang administrasi melalui SSL di WordPress.org.

#4. Melindungi Inti WP Anda, Basis Data & Menggunakan Izin File yang Benar

Dalam banyak langkah keamanan ini, kami akan memodifikasi inti WP Anda dan Anda harus terbiasa dengan cara menggunakan dan klien FTP untuk membuat perubahan dan mengunggahnya. Dan karena sebagian besar tip keamanan ini melibatkan perubahan atau modifikasi inti WP Anda, itu mungkin merusak situs web Anda. Cadangkan inti WordPress Anda dan semua isinya sebelum Anda melanjutkan lebih jauh, kesalahan dapat dengan mudah dibatalkan dengan cadangan.

Kunci Keamanan WordPress

WordPress menggunakan cookie untuk mengidentifikasi dan memverifikasi pengguna yang masuk untuk berkomentar dan membuat perubahan dari tanda hubung WP.

Cookie ini berisi informasi login dan detail otentikasi Anda. Kata sandi di-hash keluar yang berarti rumus matematika diterapkan untuk membuatnya tidak terbaca dan tidak dapat dibaca tanpa menerapkan matematika sekali lagi agar dapat dibaca.

Kami dapat menambahkan lapisan perlindungan ekstra di sekitar cookie ini dengan Kunci Keamanan WP. Ini adalah sekumpulan variabel acak yang meningkatkan keamanan informasi yang disimpan di cookie pengguna. Ada 4 kunci yaitu, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, dan NONCE_KEY.

Kata sandi yang tidak dienkripsi seperti WordPress atau 12345 dapat dengan mudah dibobol, jika seseorang dapat merekonstruksi cookie otentikasi. Tetapi mengenkripsi dengan kunci keamanan WP membuat ini jauh lebih sulit.

Bagaimana Anda Menambahkan kunci keamanan WP?

1. Buka file wp-config.php.
2. Cari "kunci dan garam unik otentikasi".
3. Gunakan alat pembuat kunci otomatis online.
4. Salin kunci dari alat online dan ganti set kunci yang ada, timpa di wp-config.php.
5. Simpan itu.
6. Anda dapat mengulangi proses yang sama setiap bulan atau lebih.

Ingat, setiap kali Anda mengubah kunci keamanan, pengguna akan keluar dan mereka harus masuk lagi ke akun mereka.

iThemes Security menyediakan alat yang diperlukan untuk melakukan ini dari dasbor WP. Dan mereka juga akan mengirimi Anda pengingat setiap bulan untuk mengubah kunci keamanan Anda.

Lindungi Direktori WP Anda dengan Kata Sandi

Ini dapat dilakukan dari cPanel Anda atau dasbor web host mana pun. Di cPanel, buka Security > Password Protect Directories. Anda akan menemukan daftar semua folder di situs Anda. Mulailah dengan folder penting seperti wp-admin.

Anda akan menemukan kotak dialog yang meminta untuk membuat pengguna dengan memberikan nama pengguna dan kata sandi. Sekarang buat pengguna baru. Setelah ini, jika Anda perlu mengakses folder wp-admin di situs web Anda, nama pengguna dan kata sandi harus dimasukkan untuk mengakses situs web.

Ini menambahkan lapisan ekstra perlindungan berbasis kata sandi ke bagian terpenting situs web Anda.

Gunakan FTP Aman (SFTP)

Sistem transfer file diperlukan untuk membawa data situs web Anda ke host web Anda saat Anda menambahkan perubahan baru yang ingin Anda sertakan. Dengan protokol transfer file normal atau FTP, kemungkinan seseorang dapat mencegat dan menemukan kerentanan untuk mengeksploitasi situs web Anda meningkat.

Anda memerlukan klien yang tepat untuk menggunakan koneksi SFTP untuk mengunggah file baru dan kode yang dimodifikasi. Anda dapat menggunakan FileZilla untuk membantu Anda memulai.

Selain itu, Anda memerlukan beberapa detail spesifik tentang akun hosting web Anda. Umumnya, setiap host akan memberikan informasi spesifik untuk membantu Anda menyiapkan protokol transfer file yang aman. Anda biasanya memiliki kunci SSH yang dihasilkan oleh host, kunci ini harus ditambahkan ke klien SFTP Anda seperti FileZilla dan dari sana sangatlah mudah untuk mengatur koneksi aman untuk transfer file.

Menggunakan Izin File yang Benar

Akses ke file Anda harus memiliki izin yang tepat. Dimungkinkan untuk menulis di WordPress Anda dari server web. Masalah muncul ketika Anda berbagi lingkungan itu dengan beberapa situs web yang mungkin juga memiliki situs web mereka di server bersama.

Umumnya, folder WordPress dan file WordPress memiliki izin khusus pada host yang berbeda. Dengan akses shell, Anda dapat menjalankan dua perintah berikut untuk menjaga folder dan file WordPress Anda tetap aman dan hanya dapat diakses oleh pengguna yang benar.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Mengapa ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Keamanan & Firewall WP Semua Dalam Satu

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter( 'auto_update_theme', '__return_true' );

Jika Anda tidak suka mengutak-atik kode, Anda dapat menggunakan plugin untuk membantu diri Anda sendiri. Anda memiliki opsi lain dalam bentuk plugin, ketika datang memastikan kelancaran pembaruan WP Anda dan semua tema/plugin di situs Anda. Pembaruan Otomatis Lanjutan memungkinkan Anda mengaktifkan pembaruan besar dan pembaruan kecil/keamanan satu per satu. Dan plugin juga menyediakan solusi pembaruan otomatis untuk tema dan plugin.

Untuk solusi pembaruan multisitus, jika Anda memerlukan bantuan untuk menangani pembaruan dengan plugin dan tema WordPress, Anda dapat mencoba Easy Updates Manager. Ada juga layanan premium yang ditawarkan oleh WP Updates yang menyediakan solusi pembaruan otomatis untuk plugin dan tema premium.

Menggunakan plugin seperti ManageWP atau host WP yang dikelola seperti WPEngine juga akan membantu menyelesaikan masalah dengan memperbarui WordPress Anda dan perangkat lunak pihak ketiga yang Anda gunakan di situs web Anda.

Memperbarui inti WordPress secara otomatis menjadi bermasalah ketika segala sesuatunya mulai rusak. Ini dapat terjadi baik karena kode khusus yang terhapus selama pembaruan atau masalah kompatibilitas yang muncul dengan perangkat lunak pihak ketiga (plugin & tema). Ini adalah salah satu alasan yang mungkin memberi Anda jeda, mungkin mengaktifkan pembaruan kecil mungkin merupakan ide yang lebih baik.

Jika Anda memiliki masalah dengan pembaruan WordPress otomatis, saya sarankan Anda mencoba Penguji Pembaruan Latar Belakang. Plugin memeriksa dan menjelaskan masalah kompatibilitas apa pun.

Selalu jalankan pencadangan sebelum Anda memperbarui. Selalu! Ini untuk melindungi situs web Anda dari hal-hal yang salah, dalam hal ini Anda akhirnya membuat situs web Anda berantakan. Praktik yang baik untuk diikuti, untuk melindungi dari pembaruan otomatis yang menyebabkan kekacauan melalui masalah kompatibilitas dengan plugin, tema, dan terkadang kode yang disesuaikan pada inti WP Anda.

#7. Beberapa Hal Lagi Tentang Keamanan WP – Firewall, Log Audit & Pemindai Malware

Saya belum membahas firewall untuk WordPress. Firewall yang baik akan mencapai banyak hal dan mengurangi bentuk serangan paling umum di situs web Anda.

• Mengurangi efek serangan DDoS.
• Serangan brute force dihentikan mati di jalurnya.
• Lindungi dari kerentanan perangkat lunak.
• Menghentikan serangan injeksi kode seperti serangan SQL atau XSS.
• Perbaiki dan pertahankan dari kerentanan zero day.

Sebagai ilustrasi, berikut adalah cuplikan dari apa yang dilakukan firewall Sucuri untuk situs web WordPress.

Firewall bukanlah istilah yang digunakan Sucuri untuk menggambarkan sistem perlindungannya, mereka menyebutnya sebagai CloudProxy yang merupakan kombinasi dari firewall aplikasi web dan sistem deteksi intrusi. Semua lalu lintas berbahaya disaring dan aktivitas anomali dipantau.

Firewall secara tradisional dikembangkan untuk memantau koneksi, namun CloudProxy Sucuri tidak hanya akan mencegah orang jahat tetapi mereka juga akan membuat patch virtual terhadap kerentanan. Setelah permintaan dari pengunjung melewati firewall, itu mencapai sistem pencegahan dan deteksi intrusi, di mana sistem menyaring permintaan untuk kemungkinan pola serangan.

Saya pikir fitur tambalan virtual untuk melindungi Anda dari kerentanan adalah aset yang sangat efektif dan tak ternilai untuk situs web apa pun dengan terlalu banyak penyesuaian (berarti banyak yang bisa salah ketika masalah kompatibilitas terjadi). Itu selalu lebih baik untuk menerapkan pembaruan ke WordPress di area pementasan dan memeriksa apakah situs web Anda berfungsi dengan lancar. Dan jika ya, Anda dapat menayangkan versi terbaru situs web Anda secara langsung. Tetapi untuk sementara, situs web Anda benar-benar dalam bahaya. Melindungi dari eksploitasi zero day hanya dimungkinkan melalui pembaruan untuk memperbaiki kerentanan, namun hal ini tidak harus terjadi saat menggunakan Sucuri CloudProxy.

Selain itu, mereka juga menyimpan log semua aktivitas di situs web Anda dan mencari kemungkinan tanda-tanda kerusakan.

Pikirkan firewall sebagai tindakan terakhir, itu adalah dinding yang harus ditembus oleh peretas untuk mengakses konten sensitif situs web Anda. Praktik yang baik sebagian besar dirancang sehingga Anda tidak perlu terlalu sering menggunakan firewall.

Perangkat lunak pemindaian malware atau situs web seperti Sucuri SiteCheck dapat memindai situs web Anda dari kerentanan dan kemungkinan celah keamanan. Plugin keamanan juga memiliki perangkat lunak pemindaian malware untuk melacak setiap perubahan yang terlihat tidak normal dan merupakan sumber potensi masalah keamanan.

Saya juga telah menyebutkan WP Security Audit Log sebelumnya, sambil menyatakan bahwa itu adalah plugin yang diperlukan untuk melacak semua perubahan di situs web Anda. Saya ingin mengulangi poin itu, ini adalah plugin yang sangat berguna tidak hanya untuk melacak perubahan yang dipengaruhi oleh tema dan plugin tetapi juga tindakan oleh pengguna lain. Sangat penting bagi Anda untuk menggunakan WP Security Audit Log atau menjalankan beberapa plugin pencatatan data lainnya untuk melacak semua perubahan.

Logging juga merupakan fitur utama dari sistem perlindungan Sucuri. Terlepas dari upaya mereka yang terlalu bersemangat untuk memastikan keamanan, terkadang hal-hal buruk terjadi dan situs web diretas. Ketika itu terjadi, sistem logging mereka sangat berguna untuk membantu menggali situs web keluar dari parit.

Firewall, Pemindai Malware, dan Log Audit sangat berguna untuk menghadapi ancaman yang tidak dapat diprediksi dan eksploitasi zero day. Mereka bukan pengganti praktik keamanan WordPress yang baik.

#8. Menyembunyikan Versi WordPress Anda – Apakah perlu?

Saya telah membaca di beberapa situs web yang menyembunyikan versi WordPress Anda akan menambah keamanan Anda dari peretas jahat. Masalahnya, ada asumsi bahwa pengetahuan tentang kerentanan yang terkait dengan WordPress tertentu, membuat seseorang lebih mungkin untuk mengeksploitasinya. Ini belum tentu benar. Umumnya orang yang mencuri informasi dari situs web menggunakan alat otomatis untuk memindai situs web dari kerentanan yang diketahui. Dan jika versi WordPress Anda rentan, maka mereka akan mengetahuinya. Peretas tidak memeriksa satu situs pada satu waktu dan mengurutkannya berdasarkan versi WordPress.

Seperti yang dinyatakan sebelumnya, perbarui WordPress, tema, dan plugin Anda sesegera mungkin. Peretas tidak membedakan antara situs yang menampilkan versi WordPress dan situs web yang tidak.

Dalam kejadian yang tidak terduga, bahwa seorang peretas secara manual mengunjungi setiap situs web dan memeriksa versi WordPress dan kemudian mencoba menemukan kerentanan, Anda mungkin merasa berguna untuk menyembunyikan versi WordPress Anda.

Gunakan Plugin Hapus Versi untuk menghapus versi WordPress Anda. Jika itu tidak berhasil untuk Anda, maka Anda perlu membuat beberapa modifikasi kecil dan posting blog ini akan membantu Anda.

#9. Cadangan – Baris Terakhir Keamanan Situs Web

Anda harus selalu siap untuk kemungkinan bahwa situs WordPress Anda terlepas dari semua tindakan keamanan Anda menjadi terganggu. Jika itu terjadi, Anda harus turun tangan dan memperbaikinya. Sekarang ada beberapa cara di mana pemulihan situs dapat dilakukan. Cadangan dengan pemulihan satu klik adalah perbaikan yang mudah untuk situs web yang disusupi, dengan asumsi celah keamanan atau kerentanan telah diperbaiki.

Pencadangan otomatis adalah bagian penting dan penting dari setiap gudang keamanan situs web WordPress. Pikirkan plugin keamanan sebagai pedang Anda dan cadangan sebagai perisai Anda. Jika serangan Anda gagal, perisai Anda dalam hal ini cadangan, menjadi garis pertahanan terakhir Anda.

Ingat, saya membuat asumsi bahwa hanya WordPress Anda yang dikompromikan dan bukan server Anda, yang merupakan kantong cacing yang sama sekali berbeda. Tetapi sebagian besar penyedia layanan hosting memiliki tim keamanan yang kuat yang melindungi server mereka dari elemen jahat secara konstan dan terutama selama serangan global. Saya menulis posting beberapa minggu yang lalu, tentang berbagai penyedia layanan shared hosting, jika Anda tertarik.

Cadangan- Jika Anda memutuskan ingin plugin gratis tanpa membayar sepeser pun untuk layanan pencadangan, maka saya akan mengatakan Anda dapat mulai dengan Updraft Plus yang merupakan plugin freemium.

Dengan plugin ini Anda dapat mencadangkan dan menyimpan salinan situs web Anda di penyimpanan yang disediakan oleh sejumlah layanan berbeda. Ini termasuk Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP dan Email. Anda juga harus memperhatikan bahwa plugin gratis hanya mengizinkan pencadangan di satu lokasi mana pun. Anda memerlukan add-on premium, jika Anda ingin menggunakan plugin untuk menyimpan situs web Anda di banyak tempat.

Plugin ini seperti kebanyakan penyedia cadangan cadangan WordPress, menyimpan semuanya termasuk konten, tema & pengaturan plugin Anda dan juga dapat menjalankan cadangan database WordPress terpisah dari cadangan normal Anda.

Jika Anda ingin menggunakan layanan pencadangan WordPress premium, saya sarankan Anda melihat BackUp Buddy, VaultPress atau BlogVault (saya pernah bekerja dengan mereka di masa lalu dan mereka memiliki layanan yang luar biasa).

Simpan lebih dari satu salinan situs web Anda dan selalu miliki satu di drive fisik yang tidak bergantung pada koneksi internet. Cadangan adalah ide yang bagus bahkan dari sudut pandang non-keamanan. Saat Anda bereksperimen dengan tema dan plugin, saat Anda memperbarui tema, plugin, atau WordPress Anda, selalu ada kemungkinan masalah kompatibilitas muncul dan merusak situs web Anda.

Dan dari pengalaman saya dengan pencadangan otomatis, Anda harus terus menghapus salinan cadangan dengan cara yang konsisten dengan frekuensi Anda terus menambahkan konten baru dan terus membuat salinan cadangan.

Ketika datang ke PC saya, saya selalu lebih suka solusi pencadangan yang menawarkan pencadangan inkremental/diferensial daripada pencadangan penuh, tetapi Anda juga perhatikan bahwa dengan pemulihan sebelumnya untuk pemulihan membutuhkan waktu lebih lama. Hal yang sama pasti berlaku untuk sistem cadangan WordPress. Meskipun, kecuali penyedia cadangan Anda mengenakan biaya tambahan dengan batasan ketat pada batas penyimpanan data, Anda tidak perlu khawatir tentang hal itu.

Kesimpulan

Mau tak mau, kutipan dari serial Harry Potter ini sepertinya sangat tepat.

“Kewaspadaan Konstan!” – Mad-Eye-Moody

Moody adalah penangkap penyihir gelap dalam seri ini, jika Anda bertanya-tanya.

Seperti yang telah saya sebutkan sebelumnya, tidak ada yang namanya keamanan bukti penuh di web. Anda dapat mengambil banyak langkah keamanan dan situs web Anda masih diretas. Tetapi memastikan bahwa situs web Anda berjalan pada SSL, bahwa halaman login Anda dikeraskan, kata sandi & nama pengguna Anda sangat tidak dikenal, situs web Anda sepenuhnya diperbarui dan dilindungi dari ancaman yang diketahui dan dicadangkan sepenuhnya setiap hari, sangat meningkatkan peluang yang menguntungkan Anda .

Jika Anda menginginkan WordPress gratis yang sepenuhnya diretas/dieksploitasi, mengikuti semua langkah keamanan yang disebutkan di atas akan memastikan situs web Anda memiliki keamanan yang ketat. Tetapi meskipun demikian, Anda tidak dapat melindungi dari eksploitasi zero day atau peretas cerdas yang bertekad merusak situs web Anda, meskipun ini adalah peristiwa yang sangat tidak mungkin.

Pikirkan seperti ini. Jika situs web saya diretas, berapa banyak bisnis dan pendapatan yang akan saya hilangkan? Apakah saya akan membahayakan informasi pelanggan saya? Apakah itu akan membuat saya bertanggung jawab atas tuntutan hukum? Ketika sampai pada titik di mana Anda melihat bahwa biaya peretasan situs web Anda cukup tinggi, maka saya sarankan Anda menggunakan layanan hosting WordPress yang dikelola atau penjaga web yang sangat besar dalam bentuk layanan keamanan Sucuri.

Website Anda tidak harus populer untuk menjadi target. Dan itu tidak akan pernah menjadi situs web dengan lalu lintas tinggi, jika terus-menerus menjadi korban peretasan dan serangan.

Seperti yang sudah saya katakan sebelumnya tentang hosting. Jika Anda cukup yakin dengan kemampuan Anda untuk membuat situs web penghasil pendapatan yang akan membayar biaya layanan hosting/keamanan terbaik, maka pilihlah yang terbaik. Jika Anda mampu membeli layanan hosting/keamanan web terbaik, itu akan bermanfaat dalam jangka panjang, dengan asumsi Anda bukan pengembang web berdasarkan profesi.

Jika Anda tidak mampu membeli hosting web terkelola terbaik atau keamanan terbaik, maka lakukan langkah-langkah keamanan yang disebutkan di atas. Kemungkinannya, situs web Anda akan aman.

Jika Anda memiliki beberapa wawasan tambahan tentang keamanan WordPress atau memiliki ide berbeda tentang cara melindungi situs WordPress Anda, saya akan senang mendengar ide Anda di komentar di bawah. Bersulang