Sorotan Fitur iThemes Security Pro – WordPress Tweaks

Dalam posting Sorotan Fitur, kami akan menyoroti fitur di plugin iThemes Security Pro dan berbagi sedikit tentang mengapa kami mengembangkan fitur tersebut, untuk siapa fitur tersebut, dan bagaimana cara menggunakan fitur tersebut.

Hari ini kita akan membahas WordPress Tweaks, kumpulan alat untuk mengamankan situs web WordPress Anda.

Mengapa Anda Harus Menggunakan Tweak WordPress

Salah satu keuntungan besar WordPress adalah kompatibilitasnya dengan alat dan layanan pihak ketiga. Namun, jika Anda tidak memanfaatkan layanan ini, Anda memiliki titik masuk yang tidak perlu di situs web Anda yang berpotensi dieksploitasi oleh peretas.

WordPress juga memberikan kemudahan lain yang memungkinkan penyerang memperkuat serangan brute force atau bahkan membuat perubahan berbahaya pada file yang disimpan di server Anda.

Anda harus menggunakan pengaturan iThemes Security Pro WordPress Tweaks karena mereka adalah seperangkat alat yang dirancang khusus untuk memperkuat beberapa titik lemah potensial WordPress.

Cara Menggunakan Tweak WordPress di iThemes Security Pro

Untuk mulai menggunakan WordPress Tweaks, klik tautan Lanjutan di Menu Keamanan.

Setelah Anda berada di menu Lanjutan. klik tab WordPress Tweaks .

Pengaturan Tweak WordPress

Tweak WordPress dipecah menjadi 2 bagian, Akses API dan Pengguna. Mari kita lihat lebih dekat pengaturan ini.

Akses API

1. XML-RPC

Pengaturan Nonaktifkan File Editor menonaktifkan editor file WordPress untuk plugin dan tema. Menonaktifkan editor file WordPress menambahkan sejumlah besar keamanan ke situs web Anda.

Jika seorang peretas berhasil masuk ke situs web Anda, editor file WP akan memungkinkan mereka untuk membuat perubahan berbahaya pada file yang disimpan di server Anda. Namun, jika Anda menonaktifkan editor file WP, peretas masih memerlukan kredensial server untuk membuat perubahan berbahaya pada plugin dan tema Anda.

Fitur XML-RPC WordPress memungkinkan layanan eksternal untuk mengakses dan memodifikasi konten di situs. Misalnya, Jetpack memerlukan XML-RPC untuk terhubung ke situs WordPress dan memodifikasi konten.

Pengaturan XML-RPC di iThemes Security Pro memiliki 3 opsi:

• Nonaktifkan XML-RPC – XML-RPC dinonaktifkan di situs. Pengaturan ini sangat disarankan jika Jetpack, aplikasi seluler WordPress, pingback, dan layanan lain yang menggunakan XML-RPC tidak digunakan.
• Nonaktifkan Pingback - Hanya nonaktifkan pingback. Fitur XML-RPC lainnya akan berfungsi seperti biasa. Pilih pengaturan ini jika Anda memerlukan fitur seperti Jetpack atau aplikasi WordPress Mobile.
• Aktifkan XML-RPC – XML-RPC sepenuhnya diaktifkan dan akan berfungsi seperti biasa. Gunakan pengaturan ini hanya jika situs harus memiliki penggunaan XML-RPC yang tidak dibatasi.

Sebaiknya gunakan opsi Nonaktifkan XML-RPC jika Anda tidak menggunakan layanan apa pun yang menggunakan XML-RPC.

2. Beberapa Upaya Otentikasi per Permintaan XML-RPC

Ada cara lain untuk login ke WordPress selain menggunakan form login. Menggunakan XML-RPC, penyerang dapat membuat ratusan upaya nama pengguna dan kata sandi dalam satu permintaan HTTP.

Metode amplifikasi brute force memungkinkan penyerang melakukan ribuan upaya nama pengguna dan kata sandi menggunakan XML-RPC hanya dalam beberapa permintaan HTTP.

Pengaturan Multiple Authentication Attempts per XML-RPC Request di iThemes Security Pro memiliki dua opsi:

• Blokir – Memblokir permintaan XML-RPC yang berisi beberapa upaya login. Pengaturan ini sangat dianjurkan.
• Allow – Mengizinkan permintaan XML-RPC yang berisi beberapa upaya login. Hanya gunakan pengaturan ini jika layanan memerlukannya.

Menggunakan opsi Multiple Authentication Attempts per XML-RPC Request Block akan mencegah beberapa upaya otentikasi per permintaan XML-RPC. Membatasi jumlah upaya nama pengguna dan kata sandi menjadi satu untuk setiap permintaan akan sangat membantu mengamankan login WordPress Anda.

3. REST API

WordPress REST API adalah bagian dari WordPress dan memberi pengembang cara baru untuk mengelola WordPress.

Secara default, REST API dapat digunakan untuk mengakses informasi yang Anda yakini bersifat pribadi di situs Anda, termasuk:

• Postingan yang dipublikasikan dari semua jenis postingan, termasuk yang tidak tampak seperti postingan, seperti produk atau program anggota.
• Detail pengguna yang mungkin termasuk pengguna yang tidak memiliki posting atau halaman yang dipublikasikan.
• Entri perpustakaan media yang dapat mengekspos tautan untuk mengunduh media yang tidak ditautkan secara publik di mana pun. Ini dapat mencakup tautan untuk mengunduh konten khusus anggota, cadangan yang dibuat oleh beberapa plugin, atau jenis file lain apa pun yang ditambahkan ke perpustakaan media. (Perhatikan bahwa cadangan BackupBuddy tidak disimpan di perpustakaan media dan tidak dapat diakses melalui REST API.)

Pengaturan REST API di iThemes Security Pro memiliki dua opsi.:

• Akses Terbatas – Membatasi akses ke sebagian besar data REST API. Ini berarti bahwa sebagian besar permintaan akan memerlukan pengguna yang masuk atau pengguna dengan hak istimewa tertentu, memblokir permintaan publik untuk data yang berpotensi bersifat pribadi. Sebaiknya pilih opsi ini.
• Akses Default – Akses ke data REST API dibiarkan sebagai default. Informasi termasuk posting yang diterbitkan, detail pengguna, dan entri perpustakaan media tersedia untuk akses publik.

Sebaiknya gunakan opsi Akses Terbatas untuk membatasi akses ke informasi pribadi.

Pengguna

1. Nonaktifkan Editor File

Pengaturan Nonaktifkan File Editor menonaktifkan editor file WordPress untuk plugin dan tema. Menonaktifkan editor file WordPress menambahkan sejumlah besar keamanan ke situs web Anda.

Jika seorang peretas berhasil masuk ke situs web Anda, editor file WP akan memungkinkan mereka untuk membuat perubahan berbahaya pada file yang disimpan di server Anda. Namun, jika Anda menonaktifkan editor file WP, peretas masih memerlukan kredensial server untuk membuat perubahan berbahaya pada plugin dan tema Anda.

2. Paksa Nama Panggilan Unik

Pengaturan Force Unique Nickname memaksa pengguna untuk memilih nama panggilan unik saat memperbarui profil mereka atau membuat akun baru. Menggunakan nama panggilan unik mencegah bot dan penyerang mengambil nama pengguna login pengguna dengan mudah dari kode di halaman penulis. Perhatikan bahwa ini tidak secara otomatis memperbarui pengguna yang ada karena akan memengaruhi URL umpan penulis jika digunakan.

Memaksa pengguna untuk menggunakan nama panggilan yang unik adalah contoh lain dari keamanan melalui ketidakjelasan. Anda akan lebih baik mengaktifkan iThemes Security Pro Password Requirements dan fitur Two-Factor Authentication untuk mengamankan login WordPress Anda.

3. Nonaktifkan Arsip Pengguna Ekstra

Pengaturan Nonaktifkan Arsip Pengguna Ekstra di iThemes Security Pro mempersulit bot untuk menentukan nama pengguna dengan menonaktifkan arsip pos untuk pengguna yang tidak mengeposkan ke situs Anda.

Menonaktifkan halaman penulis pengguna jika jumlah posting mereka adalah 0 adalah contoh lain dari keamanan melalui ketidakjelasan. Anda akan lebih baik mengaktifkan iThemes Security Pro Password Requirements dan fitur Two-Factor Authentication untuk mengamankan login WordPress Anda.

4. Masuk dengan Alamat Email atau Nama Pengguna

Secara default, WordPress memungkinkan pengguna untuk masuk menggunakan alamat email atau nama pengguna. Pengaturan Login dengan Alamat Email atau Nama Pengguna memungkinkan Anda membatasi login hanya menerima alamat email atau nama pengguna.

Pengaturan Login dengan Alamat Email atau Nama Pengguna di iThemes Security Pro memiliki tiga opsi:

• Alamat Email dan Nama Pengguna (Default) – Memungkinkan pengguna untuk masuk menggunakan alamat email atau nama pengguna pengguna mereka. Ini adalah perilaku WordPress default.
• Hanya Alamat Email – Pengguna hanya dapat masuk menggunakan alamat email pengguna mereka. Ini menonaktifkan login menggunakan nama pengguna.
• Hanya Nama Pengguna – Pengguna hanya dapat masuk menggunakan nama pengguna pengguna mereka. Ini menonaktifkan login menggunakan alamat email.

Membatasi login ke alamat email dapat menambahkan sedikit perlindungan terhadap serangan brute force. Meskipun bot dapat mengikis halaman penulis untuk nama pengguna, mereka cenderung tidak mengikis situs web untuk alamat email pengguna.

Tetapi sekali lagi, Anda akan lebih baik mengaktifkan iThemes Security Pro Password Requirements dan fitur Two-Factor Authentication untuk mengamankan login WordPress Anda.

Penutup: Tweak WordPress untuk Memperkuat Keamanan WordPress

Tweak WordPress di iThemes Security Pro secara khusus dirancang untuk memperkuat keamanan situs web WordPress Anda. Dengan plugin iThemes Security Pro, Anda juga dapat menambahkan lapisan keamanan ekstra ini ke situs web Anda, termasuk:

• Otentikasi dua faktor
• Login tanpa kata sandi
• Deteksi perubahan file
• Perlindungan kekerasan lokal

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.