7 Tips Mengamankan Pengguna WordPress di Tahun 2021

Cara terbaik untuk mengamankan pengguna WordPress Anda di tahun 2021 adalah dengan menggunakan kata sandi yang kuat dan otentikasi dua faktor. Itu tampaknya cukup mudah, bukan? Kenyataannya adalah keamanan pengguna WordPress sedikit lebih bernuansa.

Setiap kali kita berbicara tentang keamanan pengguna, kita sering mendengar pertanyaan seperti, haruskah setiap pengguna WordPress memiliki persyaratan keamanan yang sama, dan seberapa banyak keamanan yang terlalu banyak keamanan?

Jangan khawatir. Kami menjawab semua pertanyaan ini. Tapi pertama-tama, mari kita bicara tentang berbagai jenis pengguna WordPress.

Apa saja jenis pengguna WordPress yang berbeda?

Ada 5 pengguna WordPress default yang berbeda.

1. Administrator
2. Editor
3. Pengarang
4. Penyumbang
5. pelanggan

Setiap pengguna memiliki kemampuan yang berbeda. Kemampuan menentukan apa yang dapat mereka lakukan setelah mereka mengakses dasbor. Baca lebih lanjut tentang peran dan izin pengguna WordPress.

Potensi Kerusakan dari Berbagai Pengguna WP yang Diretas

Sebelum kita dapat memahami cara mengamankan pengguna WordPress kita, kita harus terlebih dahulu memahami tingkat ancaman dari setiap jenis pengguna yang disusupi. Jenis dan tingkat kerusakan yang dapat ditimbulkan oleh penyerang sangat bervariasi tergantung pada peran dan kemampuan pengguna yang mereka retas.

Administrator – Tingkat Ancaman Tinggi

Pengguna administrator memiliki kemampuan untuk apa pun yang mereka inginkan.

• Buat, hapus, dan ubah pengguna.
• Instal, hapus, dan edit plugin dan tema.
• Buat, hapus, dan edit semua posting dan halaman.
• Publikasikan dan batalkan publikasi posting dan halaman.
• Tambahkan dan hapus media.

Jika seorang peretas bisa mendapatkan salah satu Administrator situs Anda, mereka dapat menahan situs web Anda untuk mendapatkan uang tebusan. Ransomware mengacu pada saat peretas mengambil alih situs web Anda dan tidak akan melepaskannya kembali kepada Anda kecuali Anda membayar mereka dengan biaya yang besar.

Waktu henti rata-rata serangan ransomware adalah 9,5 hari. Berapa banyak pendapatan yang akan dikenakan biaya penjualan selama 10 hari NO?

Editor – Tingkat Ancaman Tinggi

Editor mengelola semua konten situs web. Pengguna ini masih memiliki sedikit kekuatan.

• Buat, hapus, dan edit semua posting dan halaman.
• Publikasikan dan batalkan publikasi semua posting dan halaman.
• Unggah file media.
• Kelola semua tautan.
• Kelola komentar.
• Kelola kategori.

Jika penyerang mengambil alih akun Editor, mereka dapat memodifikasi salah satu halaman Anda untuk digunakan dalam serangan phishing. Phishing adalah jenis serangan yang digunakan untuk mencuri data pengguna, termasuk kredensial login dan nomor kartu kredit.

Phishing adalah salah satu cara paling pasti untuk membuat situs web Anda masuk daftar hitam oleh Google. Setiap hari, 10.000 situs masuk daftar blokir Google karena berbagai alasan.

Penulis – Tingkat Ancaman Sedang

Penulis dirancang untuk membuat dan mengelola konten mereka sendiri.

• Buat, hapus, dan edit postingan dan halaman mereka sendiri.
• Publikasikan dan batalkan publikasi posting mereka sendiri.
• Unggah file media

Jika penyerang mendapatkan kendali atas akun Penulis, mereka dapat membuat halaman dan postingan yang mengarahkan pengunjung situs Anda ke situs web berbahaya.

Kontributor & Pelanggan – Tingkat Ancaman Rendah

Kontributor adalah versi ringan dari peran pengguna Penulis. Mereka tidak memiliki kekuatan penerbitan.

• Buat dan edit postingan mereka sendiri.
• Hapus posting mereka sendiri yang tidak dipublikasikan.

Pelanggan dapat membaca hal-hal yang dipublikasikan oleh pengguna lain.

Meskipun peretas dengan peran Kontributor atau Pelanggan tidak dapat membuat perubahan berbahaya, mereka dapat mencuri informasi sensitif apa pun yang disimpan di akun atau halaman profil pengguna.

7 Tips untuk Mengamankan Pengguna WordPress Anda

Oke, itulah beberapa hal buruk yang dapat dilakukan peretas terhadap situs web kita. Kabar baiknya adalah bahwa sebagian besar serangan pada akun pengguna WordPress Anda dapat dicegah hanya dengan sedikit usaha dari pihak Anda.

Mari kita lihat hal-hal yang dapat Anda lakukan untuk mengamankan pengguna WordPress Anda. Yang benar adalah bahwa metode keamanan ini akan membantu mengamankan setiap jenis pengguna WordPress. Namun, saat kami membahas masing-masing metode, kami akan memberi tahu Anda pengguna mana yang harus Anda perlukan untuk menggunakan metode tersebut.

1. Hanya Beri Orang Kemampuan yang Mereka Butuhkan

Cara termudah untuk melindungi situs web Anda adalah dengan hanya memberi pengguna Anda kemampuan yang mereka butuhkan dan tidak lebih. Jika satu-satunya hal yang akan dilakukan seseorang di situs web Anda adalah membuat dan mengedit posting blog mereka sendiri, mereka tidak memerlukan kemampuan untuk mengedit posting orang lain.

2. Batasi Upaya Masuk

Serangan brute force mengacu pada metode coba-coba yang digunakan untuk menemukan kombinasi nama pengguna dan kata sandi untuk meretas situs web. Secara default, tidak ada sesuatu yang dibangun ke dalam WordPress untuk membatasi jumlah upaya login yang gagal yang dapat dilakukan seseorang.

Tanpa batasan jumlah upaya login yang gagal, penyerang dapat melakukannya, mereka dapat terus mencoba nama pengguna dan kata sandi dalam jumlah tak terbatas sampai mereka berhasil.

Fitur iThemes Security Pro Local Brute Force Protection melacak upaya login yang tidak valid yang dilakukan oleh alamat IP dan nama pengguna. Setelah IP atau nama pengguna melakukan terlalu banyak upaya login tidak valid berturut-turut, mereka akan terkunci dan akan dicegah untuk melakukan upaya login lagi.

3. Amankan Pengguna WordPress dengan Kata Sandi yang Kuat

Semakin kuat kata sandi akun pengguna WordPress Anda, semakin sulit ditebak. Dibutuhkan 0,29 milidetik untuk memecahkan kata sandi tujuh karakter. Tapi, seorang hacker membutuhkan dua abad untuk memecahkan kata sandi dua belas karakter!

Idealnya, kata sandi yang kuat adalah string alfanumerik sepanjang dua belas karakter. Kata sandi harus berisi huruf besar dan kecil serta karakter ASCII lainnya.

Meskipun semua orang dapat memperoleh manfaat dari penggunaan kata sandi yang kuat, Anda mungkin hanya ingin memaksa orang dengan kemampuan tingkat Penulis ke atas untuk memiliki kata sandi yang kuat.

Fitur Persyaratan Kata Sandi Pro Keamanan iThemes memungkinkan Anda memaksa pengguna tertentu untuk menggunakan kata sandi yang kuat.

4. Tolak Kata Sandi yang Disusupi

Meskipun 91% orang tahu bahwa menggunakan kembali kata sandi adalah praktik yang buruk, 59% orang masih menggunakan kembali kata sandi mereka di mana saja! Banyak dari orang-orang ini masih menggunakan kata sandi yang mereka tahu telah muncul di database dump.

Hacker menggunakan bentuk serangan brute force yang disebut serangan kamus. Serangan kamus adalah metode membobol situs web WordPress dengan kata sandi yang umum digunakan yang muncul di dump basis data. "Koleksi #1? Pelanggaran Data yang dihosting di MEGA yang dihosting mencakup 1.160.253.228 kombinasi unik alamat email dan kata sandi. Itu adalah miliar dengan b. Skor semacam itu akan sangat membantu serangan kamus mempersempit kata sandi WordPress yang paling umum digunakan.

Ini adalah suatu keharusan untuk mencegah pengguna dengan kemampuan tingkat Penulis dan di atas dari menggunakan sandi yang disusupi. Anda mungkin juga berpikir untuk tidak membiarkan pengguna tingkat bawah Anda menggunakan kata sandi yang disusupi.

Sangat dapat dimengerti dan didorong untuk membuat akun pelanggan baru semudah mungkin. Namun, pelanggan Anda mungkin tidak tahu bahwa kata sandi yang mereka gunakan telah ditemukan di dump data. Anda akan memberikan layanan yang luar biasa kepada pelanggan Anda dengan memberi tahu mereka bahwa kata sandi yang mereka gunakan telah disusupi. Jika mereka menggunakan kata sandi itu di mana-mana, Anda dapat menyelamatkan mereka dari beberapa sakit kepala besar di jalan.

Fitur iThemes Security Pro Refuse Compromised Passwords memaksa pengguna untuk menggunakan kata sandi yang tidak muncul dalam pelanggaran kata sandi yang dilacak oleh Have I Been Pwned.

5. Mengamankan Pengguna WordPress dengan Otentikasi Dua Faktor

Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis. Saya sangat menyukai peluang itu.

Paling tidak, Anda harus mewajibkan Admin dan Editor Anda untuk menggunakan autentikasi dua faktor.

Fitur iThemes Security Pro Two-Factor Authentication memberikan banyak fleksibilitas saat menerapkan 2fa di situs web Anda. Anda dapat mengaktifkan dua faktor untuk semua atau beberapa pengguna Anda, dan Anda dapat memaksa pengguna tingkat tinggi Anda untuk menggunakan 2fa pada setiap login.

6. Batasi Akses Perangkat ke Dasbor WP

Membatasi akses ke dasbor WordPress ke satu set perangkat dapat menambahkan lapisan keamanan yang kuat ke situs web Anda. Jika peretas tidak menggunakan perangkat yang tepat untuk pengguna, mereka tidak akan dapat menggunakan pengguna yang disusupi untuk menimbulkan kerusakan pada situs web Anda.

Anda hanya boleh membatasi akses perangkat ke Admin dan Editor Anda.

Fitur iThemes Security Pro Trusted Devices mengidentifikasi perangkat yang Anda dan pengguna lain gunakan untuk masuk ke situs WordPress Anda. Saat pengguna telah masuk ke perangkat yang tidak dikenal, Perangkat Tepercaya dapat membatasi kemampuan tingkat administrator mereka. Ini berarti bahwa jika penyerang dapat membobol backend situs WordPress Anda, mereka tidak akan memiliki kemampuan untuk membuat perubahan berbahaya apa pun pada situs web Anda.

7. Amankan Pengguna WordPress dari Pembajakan Sesi

WordPress menghasilkan cookie sesi setiap kali Anda masuk ke situs web Anda. Dan katakanlah Anda memiliki ekstensi browser yang telah ditinggalkan oleh pengembang dan tidak lagi merilis pembaruan keamanan. Sayangnya untuk Anda, ekstensi browser yang diabaikan memiliki kerentanan. Kerentanan memungkinkan aktor jahat untuk membajak cookie browser Anda, termasuk cookie sesi WordPress yang disebutkan sebelumnya. Jenis peretasan ini dikenal sebagai Pembajakan Sesi . Jadi, penyerang dapat mengeksploitasi kerentanan ekstensi untuk mendukung login Anda dan mulai membuat perubahan berbahaya dengan pengguna WordPress Anda.

Anda harus memiliki perlindungan pembajakan sesi untuk Admin dan Editor Anda.

Fitur iThemes Security Pro Trusted Devices membuat Pembajakan Sesi menjadi sesuatu dari masa lalu. Jika perangkat pengguna berubah selama sesi, iThemes Security akan secara otomatis mengeluarkan pengguna untuk mencegah aktivitas tidak sah di akun pengguna, seperti mengubah alamat email pengguna atau mengunggah plugin berbahaya.

Membungkus

Popularitas WordPress menjadikannya target para peretas di seluruh dunia. Seperti yang telah kita bahas, penyerang dapat menyebabkan kerusakan dengan meretas bahkan pengguna WordPress tingkat terendah. Berita baiknya adalah meskipun tidak ada cara untuk mencegah serangan terhadap pengguna WordPress Anda, dengan sedikit usaha dari pihak kami, kami dapat mencegah serangan agar tidak berhasil.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.