Tips Perlindungan untuk WordPress. 12 Tips untuk melindungi situs Anda

WordPress adalah salah satu CMS paling populer di dunia. Lebih dari 18,9% dari semua situs Internet menggunakannya, dan jumlah instalasi telah melebihi 76,5 juta. Sayangnya, popularitas seperti itu memiliki kelemahan. Menurut laporan Sucuri (keamanan & perlindungan situs web), WordPress adalah CMS yang paling dapat diretas di seluruh dunia. Namun, jika Anda mengikuti praktik terbaik dalam hal ini dan menerapkan beberapa teknik dari panduan ini, Anda akan menyadari bahwa perlindungan WordPress dapat dengan mudah diperkuat melalui beberapa langkah sederhana.

Apa yang Anda butuhkan?

Sebelum kita mulai, periksa hal-hal berikut:

• akses panel kontrol WordPress;
• Akses akun hosting Anda (opsional).

Isi

Langkah 1. Mempertahankan versi WordPress saat ini;
Langkah 2. Menggunakan kredensial login non-standar;
Langkah 3. Mengaktifkan otentikasi dua langkah;
Langkah 4. Menonaktifkan laporan kesalahan PHP;
Langkah 5. Jangan gunakan template nulled untuk WordPress;
Langkah 6. Memindai WordPress untuk malware;
Langkah 7. Mentransfer situs web Anda ke hosting yang lebih aman;
Langkah 8. Mencadangkan data Anda sesering mungkin;
Langkah 9. Nonaktifkan opsi pengeditan file;
Langkah 10. Menghapus template dan plug-in yang tidak digunakan;
Langkah 11. Menggunakan .htaccess untuk meningkatkan keamanan WordPress;
Langkah 12. Mengubah prefiks database WordPress standar untuk mencegah injeksi SQL Kesimpulan

Langkah 1. Mempertahankan versi WordPress saat ini

Ini akan menjadi langkah pertama dan terpenting untuk meningkatkan keamanan WordPress. Jika Anda membutuhkan situs web yang bersih tanpa malware, Anda perlu memastikan bahwa versi WordPress Anda sudah yang terbaru. Saran ini mungkin terlihat sederhana, tetapi hanya 22% dari semua instalasi WordPress yang menggunakan versi terbaru.

WordPress telah menerapkan fitur pembaruan otomatis di versi 3.7 tetapi hanya berfungsi untuk pembaruan keamanan kecil. Sedangkan update kunci besar harus diinstal secara manual.

Jika Anda tidak tahu cara memperbarui WordPress, lihat ini.

Langkah 2. Menggunakan kredensial masuk non-standar

Apakah Anda menggunakan "admin" sebagai nama administrator di WordPress? Jika jawabannya "ya", maka Anda secara serius mengurangi keamanan WordPress dan membuatnya lebih mudah untuk meretas panel kontrol Anda. Sangat disarankan agar Anda mengubah nama pengguna administrator menjadi sesuatu yang lain (lihat tutorial ini jika Anda tidak yakin bagaimana melakukannya) atau buat akun administrator baru dengan data yang berbeda.

Ikuti langkah-langkah ini jika Anda lebih suka opsi kedua:

• Masuk ke panel kontrol WordPress;
• Temukan bagian "Pengguna" dan klik tombol "Tambah Baru";
• Buat pengguna baru dan tetapkan hak administrator;
• Masuk ke WordPress dengan data baru Anda;
• Kembali ke bagian Pengguna dan hapus akun Admin default.

Kata sandi yang baik memainkan peran kunci dalam keamanan WordPress. Jauh lebih sulit untuk memecahkan kata sandi yang terdiri dari angka, huruf besar dan kecil, dan simbol khusus. Alat seperti LastPass dan 1Password dapat membantu Anda membuat dan mengelola kata sandi yang rumit. Selain itu, jika Anda perlu masuk ke panel kontrol WordPress saat menghubungkan ke jaringan yang tidak aman (misalnya kedai kopi, perpustakaan umum, dll.), jangan lupa untuk menggunakan VPN aman yang melindungi informasi masuk Anda.

Langkah 3. Mengaktifkan otentikasi dua langkah

Otentikasi dua langkah menambahkan lapisan keamanan tambahan ke halaman otorisasi Anda. Setelah nama pengguna dikonfirmasi, itu menambahkan langkah lain yang perlu Anda selesaikan agar berhasil mengautentikasi. Kemungkinan besar Anda sudah menggunakan ini untuk mengakses email, bank online, dan akun lain yang berisi informasi rahasia. Mengapa tidak menggunakannya di WordPress juga?

Meskipun ini mungkin tampak rumit, mengaktifkan otentikasi dua langkah di WordPress sangat mudah. Yang perlu Anda lakukan hanyalah menginstal aplikasi untuk otentikasi dua langkah dan mengonfigurasinya untuk WordPress Anda. Anda dapat menemukan informasi lebih rinci tentang cara mengaktifkan otentikasi dua langkah di WordPress di sini.

Langkah 4. Menonaktifkan laporan kesalahan PHP

Laporan kesalahan PHP bisa sangat berguna jika Anda mengembangkan situs web dan ingin memastikan semuanya berfungsi dengan baik. Namun, menunjukkan kesalahan kepada semua orang adalah kelalaian serius dalam keamanan WordPress.

Anda harus memperbaiki ini sesegera mungkin. Jangan khawatir, Anda tidak perlu menjadi seorang programmer untuk menonaktifkan laporan kesalahan PHP di WordPress. Sebagian besar penyedia layanan hosting menawarkan opsi ini di panel kontrol. Jika tidak, cukup tambahkan baris berikut ke file wp-config.php Anda. Anda dapat menggunakan klien FTP atau Manajer File untuk mengedit file wp-config.php.

error_reporting(0);
@ini_set('display_errors', 0);

Langkah 5. Jangan gunakan template nulled untuk WordPress

Ingat, "satu-satunya keju gratis ada di perangkap tikus." Hal yang sama berlaku untuk template dan plugin nulled.

Ada ribuan plugin dan template nulled di seluruh Internet. Pengguna dapat mengunduhnya secara gratis, menggunakan berbagi file atau file torrent yang berbeda. Mereka tidak tahu bahwa kebanyakan dari mereka terinfeksi malware atau tautan ke metode optimasi mesin pencari hitam.

Berhenti menggunakan plugin dan template nulled. Ini tidak hanya tidak etis tetapi juga membahayakan keamanan WordPress Anda. Akhirnya, Anda akan membayar lebih kepada pengembang untuk membersihkan situs web Anda.

Langkah 6. Memindai WordPress untuk malware

Hacker sering menggunakan lubang di template atau plugin untuk menginfeksi WordPress. Oleh karena itu, penting untuk memeriksa blog Anda lebih sering. Ada banyak plugin yang ditulis dengan baik yang tersedia untuk tujuan ini. WordFence menonjol dari keramaian. Ini menawarkan panduan untuk digunakan dan kemampuan untuk menguji secara otomatis, bersama dengan banyak pengaturan berbeda lainnya. Anda bahkan dapat memulihkan file yang dimodifikasi/terinfeksi dalam beberapa klik. Ini tersedia secara gratis. Fakta-fakta ini seharusnya cukup bagi Anda untuk menginstalnya sekarang.

Plugin populer lainnya untuk meningkatkan keamanan WordPress:

• Keamanan Anti Peluru . Tidak seperti WordFence, yang kita bicarakan sebelumnya, BulletProof tidak memindai file Anda tetapi memberi Anda firewall, perlindungan database, dll. Fitur khasnya adalah kemampuan untuk mengonfigurasi dan menginstal plugin dalam beberapa klik.
• Keamanan Sucuri . Plugin ini melindungi Anda dari serangan DDOS, memiliki daftar hitam, memindai situs web Anda dari malware, dan mengontrol firewall Anda. Jika menemukan sesuatu, Anda akan diberitahu melalui email. Google, Norton, McAfee – plugin ini menyertakan semua daftar hitam dari program ini.

Langkah 7. Mentransfer situs web Anda ke hosting yang lebih aman

Saran ini mungkin tampak aneh, tetapi statistik menunjukkan bahwa lebih dari 40% situs web WordPress diretas karena lubang keamanan di akun hosting mereka. Statistik ini akan mendorong Anda untuk memindahkan WordPress ke hosting yang lebih aman. Beberapa fakta penting yang perlu diingat saat memilih hosting baru:

• Jika itu adalah shared hosting, pastikan akun Anda diisolasi dari pengguna lain dan tidak ada risiko infeksi dari situs web lain di server.
• Hosting memiliki fitur pencadangan otomatis;
• Server memiliki firewall pihak ketiga dan alat pemindaian.

Langkah 8. Cadangkan data Anda sesering mungkin

Bahkan situs web terbesar diretas setiap hari, terlepas dari kenyataan bahwa pemiliknya menghabiskan ribuan untuk meningkatkan keamanan WordPress.

Bahkan jika Anda mengikuti praktik terbaik di bidang ini dan telah menerapkan tips dalam artikel ini, Anda masih perlu membuat cadangan rutin situs web Anda.

Ada beberapa cara untuk membuat cadangan, misalnya Anda dapat mengunduh file situs secara manual dan mengekspor database, atau menggunakan alat yang ditawarkan oleh perusahaan hosting Anda. Cara lain adalah dengan menggunakan plugin WordPress. Yang paling populer di antaranya adalah:

• VaultTekan;
• BackUpWordPress;
• BackupGuard.

Anda bahkan dapat mengotomatiskan proses membuat dan menyimpan cadangan WordPress di Dropbox.

Langkah 9. Nonaktifkan opsi pengeditan file

Seperti yang mungkin Anda ketahui, WordPress memiliki editor bawaan yang memungkinkan Anda mengedit file PHP. Fitur ini sama bermanfaatnya dengan kemungkinan berbahaya. Jika peretas mendapatkan akses ke panel kontrol Anda, hal pertama yang akan mereka perhatikan adalah Editor File. Beberapa pengguna WordPress lebih memilih untuk menonaktifkan fitur ini sepenuhnya. Itu dapat dinonaktifkan dengan mengedit file wp-config.php dengan menambahkan kode berikut ke dalamnya:

define( 'DISALLOW_FILE_EDIT', benar );

Itu saja yang Anda butuhkan untuk menonaktifkan fitur ini di WordPress.

PENTING. Jika Anda ingin mengaktifkan fitur ini lagi, gunakan klien FTP atau Manajer File untuk hosting Anda dan hapus kode ini dari file wp-config.php.

Langkah 10. Menghapus template dan plugin yang tidak digunakan

Bersihkan situs web Anda di WordPress dan hapus semua templat dan plugin yang tidak digunakan. Peretas sering menggunakan templat dan plugin yang dinonaktifkan dan usang (bahkan plugin WordPress resmi) untuk mengakses panel kontrol Anda atau untuk mengunduh konten berbahaya ke server Anda. Dengan menghapus plugin dan template yang sudah lama Anda hentikan (dan mungkin lupa untuk diperbarui), Anda mengurangi risiko dan membuat situs web WordPress Anda lebih aman.

Langkah 11. Menggunakan .htaccess untuk meningkatkan keamanan WordPress

.htaccess adalah file yang diperlukan untuk pekerjaan tautan WordPress yang benar. Tanpa entri yang benar dalam file .htaccess, Anda akan mendapatkan banyak 404.

Tidak banyak pengguna yang tahu bahwa .htaccess dapat digunakan untuk meningkatkan perlindungan WordPress. Misalnya, Anda dapat memblokir akses atau menonaktifkan eksekusi PHP di folder tertentu.

PENTING. Sebelum Anda membuat perubahan apa pun pada file, buat cadangan file .htaccess lama. Untuk melakukan ini, Anda dapat menggunakan klien FTP atau Manajer File.

Menonaktifkan akses ke bagian administratif WordPress

Kode di bawah ini akan memungkinkan Anda untuk mengakses bagian administratif WordPress hanya dari IP tertentu.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Kontrol Akses Admin WordPress”
AuthType Dasar

perintah tolak, izinkan.
tolak dari semua
izinkan dari xx.xx.xx.xx.xxx
izinkan dari xx.xx.xx.xx.xxx

Perhatikan bahwa "xx.xx.xx.xx.xxx" adalah alamat IP Anda. Anda dapat menggunakan situs web ini untuk memeriksa alamat IP Anda saat ini. Jika Anda menggunakan lebih dari satu koneksi untuk mengelola situs di WordPress, pastikan Anda telah menulis alamat IP lain (tambahkan alamat sebanyak yang Anda butuhkan). Tidak disarankan untuk menggunakan kode ini jika Anda memiliki alamat IP dinamis.

Menonaktifkan eksekusi PHP di folder tertentu

Peretas suka mengunggah skrip pintu belakang ke folder unduhan WordPress. Secara default, folder ini hanya digunakan untuk menyimpan file media. Oleh karena itu, tidak boleh berisi file PHP apa pun. Anda dapat dengan mudah menonaktifkan eksekusi PHP dengan membuat file .htaccess baru di /wp-content/uploads/ dengan aturan berikut:

tolak dari semua

Perlindungan file wp-config.php

File wp-config.php berisi kernel konfigurasi WordPress dan detail database MySQL. Oleh karena itu, ini adalah file terpenting di WordPress. Oleh karena itu, seringkali menjadi incaran utama para hacker WordPress. Namun, Anda dapat dengan mudah mengamankannya menggunakan aturan .htaccess berikut:

perintah izinkan, tolak.
tolak dari semua

Langkah 12. Mengubah prefiks database WordPress standar untuk mencegah injeksi SQL

Basis data WordPress berisi dan menyimpan semua informasi penting yang diperlukan untuk pengoperasian situs web Anda. Akibatnya, itu menjadi target lain bagi peretas dan spammer yang melakukan kode otomatis untuk implementasi kode SQL. Selama instalasi WordPress, banyak orang tidak perlu mengubah awalan basis data wp_ standar. Menurut WordFence, 1 dari 5 peretasan WordPress terhubung dengan implementasi kode SQL. Karena wp_ adalah salah satu nilai standar, peretas memulainya terlebih dahulu. Pada tahap ini, saya akan secara singkat mempertimbangkan untuk melindungi situs web di WordPress dari serangan semacam itu.

Mengubah tabel awalan untuk situs WordPress yang ada

PENTING. Keselamatan pertama! Sebelum Anda mulai, pastikan Anda memiliki cadangan database MySQL Anda.

Bagian satu. Mengubah awalan di wp-config.php

Temukan file wp-config.php Anda menggunakan klien FTP atau Manajer File dan temukan baris dengan $table_prefix.

Anda dapat menambahkan angka, huruf, atau garis bawah tambahan. Setelah itu, simpan perubahan Anda dan lanjutkan ke langkah berikutnya. Dalam panduan ini, saya akan menggunakan wp_1secure1_ sebagai awalan tabel baru.

Saat Anda berada di file wp-config.php Anda, temukan nama database Anda untuk mengetahui mana yang harus diubah. Lihat di bagian define('DB_NAME'.

Bagian kedua. Memperbarui semua tabel database

Sekarang Anda perlu memperbarui semua catatan di database Anda. Ini dapat dilakukan dengan menggunakan phpMyAdmin.

Temukan database yang ditentukan di bagian pertama dan login ke sana.

Secara default, instalasi WordPress memiliki 12 tabel dan masing-masing tabel harus diperbarui. Namun, ini dapat dilakukan lebih cepat dengan menggunakan partisi SQL di phpMyAdmin.

Mengubah setiap tabel secara manual akan memakan banyak waktu, jadi gunakan kueri SQL untuk mempercepat prosesnya. Sintaks berikut akan memungkinkan Anda memperbarui semua tabel di database Anda:

RENAME tabel `wp_commentmeta` KE `wp_1secure1_commentmeta`;
RENAME tabel `wp_comments` KE `wp_1secure1_comments`;
RENAME tabel `wp_links` KE `wp_1secure1_links`;
RENAME tabel `wp_options` KE `wp_1secure1_options`;
RENAME tabel `wp_postmeta` KE `wp_1secure1_postmeta`;
RENAME tabel `wp_posts` KE `wp_1secure1_posts`;
RENAME tabel `wp_terms` KE `wp_1secure1_terms`;
RENAME tabel `wp_termmeta` KE `wp_1secure1_termmeta`;
RENAME tabel `wp_term_relationships` KE `wp_1secure1_term_relationships`;
RENAME tabel `wp_term_taxonomy` KE `wp_1secure1_term_taxonomy`;
RENAME tabel `wp_usermeta` KE `wp_1secure1_usermeta`;
RENAME tabel `wp_users` KE `wp_1secure1_users`;

Beberapa template atau plugin WordPress dapat menambahkan tabel tambahan ke database. Jika Anda memiliki lebih dari 12 tabel di database MySQL Anda, tambahkan tabel yang tersisa secara manual ke kueri SQL Anda dan jalankan.

Bagian ketiga. Memeriksa opsi dan tabel metadata khusus

Bergantung pada jumlah plugin yang diinstal, beberapa nilai dalam database Anda harus diperbarui secara manual. Anda dapat melakukan ini dengan menjalankan kueri SQL terpisah untuk opsi dan tabel metadata.

Untuk tabel opsi, gunakan:

PILIH * FROM `wp_1secure1_options` WHERE `option_name` LIKE `%wp_%`

Untuk tabel metadata:

PILIH * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`

Saat Anda menerima hasil kueri, cukup perbarui semua nilai dari wp_ ke awalan yang baru dikonfigurasi. Di tabel metadata pengguna, Anda perlu mengedit bidang meta_key, sedangkan untuk tabel opsi, Anda perlu mengubah nilai option_name.

Mengamankan instalasi WordPress baru

Jika Anda berencana untuk menginstal situs web WordPress baru, Anda tidak perlu melakukannya lagi. Anda dapat dengan mudah mengubah awalan tabel WordPress selama proses instalasi.

Selamat! Anda telah berhasil meningkatkan keamanan database Anda.

Kesimpulan

Meskipun WordPress adalah CMS yang paling dapat diretas di dunia, tidak sulit untuk meningkatkan perlindungannya. Dalam panduan ini, saya telah memberi Anda 12 tips untuk diikuti agar WordPress tetap aman.

Penulis bio : Roy adalah penggemar teknologi, ayah dari anak kembar yang penyayang, seorang program di perusahaan perangkat lunak khusus, pemimpin redaksi pembaca serakah TheHomeDweller.com, dan seorang tukang kebun.