Tips untuk Mengamankan Situs WordPress Anda Terhadap Kerentanan

Anda mungkin berakhir di artikel ini mencari Bagaimana cara mengamankan situs WordPress dari eksploitasi? atau

Bagaimana cara mencegah situs WordPress dari peretasan dan malware?

Atau Tips mengamankan situs WordPress Anda dari semua eksploitasi.

Tentu saja ini adalah artikel yang tepat dan ini berbicara tentang segala macam teknik, alat, dan plugin untuk membantu Anda mengamankan situs web WordPress Anda.

Sesuai dengan W3Techs, WordPress mendukung lebih dari 58% dari semua situs web yang menggunakan CMS yang menghasilkan 24,9% dari semua situs web di dunia.

Jadi dengan peningkatan penggunaan WordPress dan dengan popularitas yang semakin meningkat tentang betapa mudahnya mengatur dan betapa mudahnya menggunakannya, telah terjadi peningkatan penggunaan lebih banyak Tema WordPress serta plugin.

Tapi karena mudah ada juga pengendara yang datang bersamanya. Menjadi sangat mudah bagi peretas untuk meretasnya jika digunakan di semua pengaturan default.

Karenanya kebutuhan untuk memahami keamanan dan mengamankan situs web WordPress Anda karena tidak ada yang suka situs web mereka diretas.

Jelas ketika Anda mencari di Google kata kunci ini: "mencegah peretasan WordPress" muncul dengan 8 juta atau lebih hasil bahwa betapa putus asanya orang-orang seperti pengembang dan pengguna pemula ingin mengetahui teknik dan alat pencegahan peretasan untuk situs web WordPress mereka.

Berikut adalah daftar tip dan alat serta teknik yang dapat kami pikirkan sebagai pengembang tema WordPress.

Tentu saja artikel ini dapat menjadi bahan diskusi dan semakin banyak masukan serta semakin banyak penambahan yang dapat dilakukan seiring berjalannya waktu.

Kami akan mulai dengan teknik paling sederhana dan kemudian beralih ke yang lebih kompleks:

Kiat sederhana untuk keamanan:

1. Hosting : Hosting Anda memainkan peran penting dan penting dalam mengamankan situs WordPress Anda. Sering kali itu adalah tuan rumah yang buruk yang membuat Anda diretas.

Jika Anda memiliki hosting yang bagus, banyak hal dapat diselesaikan dengan cepat dan sebagian besar rasa frustrasi Anda dapat dikurangi. Misalnya: Pencadangan itu mudah.

Serangan Brute Force dan spam dan injeksi SQL sering diperiksa dan dihindari. Karenanya kita akan berbicara tentang host yang paling direkomendasikan dan alatnya.

sebuah. Hosting Berbagi Pakai : Kebanyakan orang hanya ingin memulai situs web mereka dan karenanya mereka tidak ingin menghabiskan banyak uang di perjalanan pertama mereka dan dengan demikian memilih hosting bersama sebagai platform mereka.

Ada ribuan perusahaan hosting yang menyediakan shared hosting dan kami tidak mungkin menambahkan semuanya di sini, tetapi kami hanya menyertakan 4 shared hosting yang telah kami coba dan rekomendasikan secara pribadi.

Namun mungkin ada layanan yang lebih baik atau serupa. Beri tahu kami:

Saya. Bluehost : Bluehost telah dirujuk terus-menerus oleh WordPress.org di halaman hostingnya: https://wordpress.org/hosting/ Ini adalah titik awal yang baik untuk hosting bersama jika Anda memerlukan situs web WordPress karena memiliki hosting premium WordPress untuk shared hosting masa depan dan sederhana dengan 1 klik install.

Karena ini adalah hosting bersama yang dikenakan biaya 3 hingga 4 USD per bulan, Anda tidak dapat mengeluh banyak tentang kurangnya fitur atau layanan.

Namun ia memiliki alat otomatis untuk pencadangan yang dikenal sebagai wizard pencadangan dilengkapi dengan cpanel yang dapat Anda gunakan. Dengan demikian cadangan dapat memastikan bahwa Anda aman dan jika situs web Anda diretas, Anda dapat memulihkan cadangan.

ii. Oranye Kecil : Kami secara pribadi dihosting di hosting ini dan sebagian besar fitur yang ada di Bluehost ada di sini. Tetapi di atas semua yang paling kami sukai dan dapat dikatakan lebih baik dari host di atas adalah dukungannya.

Tiket dukungan dijawab dalam 5-6 jam dan kami selalu dapat mengobrol dengan seseorang di obrolan langsung dalam beberapa menit.

Dukungan inilah yang membuat tuan rumah ini menonjol dari yang lain karena ada banyak jawaban dan bantuan yang dapat mereka berikan secara gratis. Yang perlu Anda lakukan adalah meminta mereka untuk itu. Contoh: Instalasi cache server NGINX, Backup dan cara menggunakannya, dll.

aku aku aku. SiteGround : Hosting bersama WordPress populer lainnya, mereka juga menyediakan alat yang baik bagi Anda untuk mencadangkan situs web Anda. Istirahat cpanel dan fitur standar hadir. Obrolan juga proaktif dan tiket dukungan sering dijawab.

iv. Godaddy : Godaddy adalah pendaftar domain terbesar dan karenanya banyak yang memilihnya untuk hosting mereka juga. Lembur GoDaddy juga telah membuat beberapa perubahan untuk menjadikannya hosting yang andal untuk WordPress.

Itu juga telah mulai memberikan hosting Cpanel WordPress standar yang memungkinkan pencadangan dan alat lain yang mudah digunakan.

B. Hosting WordPress yang Dikelola : Bagi mereka yang memiliki sedikit anggaran dan ingin memiliki hosting, kelola keamanannya untuk mereka.

Ini 2 perusahaan hosting dari sekian banyak di luar sana yang kami temukan dapat diandalkan, lebih murah daripada yang lain dan sering membantu Anda mengamankan situs web Anda serta memberi tahu Anda plugin mana yang bagus dan mana yang tidak bagus.

Mereka juga memiliki cadangan setiap malam yang berarti Anda merasa tenang dengan mereka. Jadi setiap kali peretasan terjadi yang jarang terjadi karena mereka mengelolanya, mereka dapat memulihkan cadangan dengan cepat:

Saya. WP Engine : WP Engine memberi tahu Anda daftar plugin yang paling mereka rekomendasikan. Oleh karena itu plugin yang rentan disimpan di teluk.

ii. FlyWheel : Flywheel memberitahu Anda untuk tidak menginstal plugin keamanan apa pun karena mereka menangani keamanan itu sendiri yang berarti Anda tidak perlu melakukan apa pun setelah Anda menginstal dengan mereka dan mereka mengurus sisanya.

2. Back Ups : BackUp dapat dilakukan dengan menggunakan file manager cpanel atau melalui ftp (untuk file) dan download database menggunakan phpMyAdmin menggunakan cpanel atau akses database host.

Ada 100-an tutorial di luar sana tentang bagaimana Anda dapat membuat cadangan situs WordPress Anda secara manual. Namun Anda harus mempertimbangkan untuk membaca Prosedur Pencadangan Codex karena aman dan telah ditulis dengan baik: http://codex.wordpress.org/WordPress_Backups.

Ada beberapa plugin juga. Kami akan membicarakannya secara singkat karena sebagian besar dari mereka yang kami sebutkan di sini berfungsi dengan baik dan mendapat ulasan bagus dari orang lain:

sebuah. BackUpWordPress
B. BackUpBuddy (versi berbayar dari plugin ini juga ada)
C. VaultPress
D. Pencadangan dan Pemulihan Dropbox
e. Pencadangan dan Pemulihan Amazon S3

3. Perbarui Versi WordPress : Sebagian besar waktu karena penggunaan WordPress versi lama, situs Anda berisiko diretas. WordPress mengenali banyak kelemahan dan parameter keamanan di versi sebelumnya dan seperti yang dilaporkan oleh sesama kontributor yang dari waktu ke waktu diperbarui.

Oleh karena itu, menggunakan WordPress versi terbaru akan mengurangi risiko diretas atau dilampirkan oleh malware.

4. Memperbarui plugin dan tema WordPress : Umumnya dengan cara yang sama, penulis tema dan penulis plugin merilis pembaruan dan fitur. Sebagian besar waktu mereka adalah pembaruan fitur.

Tetapi dari waktu ke waktu penulis ini juga mengenali kelemahan keamanan dan karenanya merupakan praktik yang baik untuk tetap menggunakan plugin dan tema yang diperbarui juga.

5. Ubah nama pengguna dan kata sandi default: Nama pengguna dan kata sandi default digunakan seperti seri nomor sederhana atau menjaga admin baik-baik saja selama Anda berada di server lokal atau di situs uji.

Tetapi untuk situs web bisnis, penting bagi Anda untuk mengubah nama pengguna dan kata sandi default.

Sekarang dengan WordPress versi terbaru dimungkinkan untuk memilih nama pengguna yang aman dan menghasilkan kata sandi yang aman tetapi untuk pengguna dengan versi WordPress yang lebih lama Anda dapat membuka profil Anda untuk mengubah kata sandi Anda.

Namun untuk mengubah nama pengguna gunakan phpMyAdmin jika Anda merasa nyaman mengubahnya dari sana atau gunakan salah satu plugin di bawah ini:
sebuah. Penggantian nama admin diperpanjang
B. Pengubah Nama Pengguna

6. Otentikasi 2 Langkah untuk Serangan Brute Force : Otentikasi 2 langkah sangat penting jika situs Anda menerima banyak serangan Brute force dan memiliki lalu lintas tinggi atau informasi sensitif.

Otentikasi 2 langkah mengamankan area login situs WordPress Anda dan membuatnya sangat kompleks untuk serangan brute force. Plugin yang dapat digunakan untuk otentikasi 2 langkah adalah:
sebuah. Kunci musik
B. Duo
C. Authy
D. Google Authenticator
e. rublon

Langkah-langkah sederhana ini harus membuat pengguna merasa tenang dalam hal setidaknya memiliki cadangan tepat waktu dan setidaknya menyajikan situs webnya dengan keamanan minimum.

Langkah selanjutnya yang akan kita bahas adalah langkah yang lebih kompleks dalam mengamankan situs WordPress Anda lebih jauh.

Langkah Kompleks:

1. Langkah-langkah yang ada di Hardening WordPress by Codex : http://codex.wordpress.org/Hardening_WordPress
Sebagian besar langkah-langkah ini untuk pengembang atau untuk orang yang telah menggunakan WordPress cukup lama dan memahami cara kerja wp-config.

Telah menggunakan pengelola file atau ftp dan dapat menerapkan perubahan di htaccess, wp-config, dll.

Langkah-langkah ini pasti bertindak sebagai titik awal dalam mengamankan situs web Anda. Namun masih beberapa dari beberapa plugin keamanan yang akan kita bahas selanjutnya akan menempatkan penutup bersih keamanan di situs WordPress Anda dan karenanya Anda harus memeriksa yang berikut juga:

2. Plugin yang akan membantu dalam pendeteksian malware dan perubahan pendeteksian file :

sebuah. Pemindaian Situs Sucuri : Pemindaian Situs Sucuri memiliki beberapa tab. Pada tab pertama adalah pengaturan umum tentang kapan harus mendapatkan pemberitahuan untuk peringatan seperti login, serangan brute force, pendaftaran pengguna baru, peringatan untuk upaya login yang gagal, instalasi plugin, dll.

Jadi, jika Anda memiliki banyak pengguna di situs web Anda dan banyak administrator atau editor yang mungkin memasang plugin, maka fitur ini berguna dan penting.

Yang kedua adalah pemindaian malware yang memberi tahu Anda tentang segala jenis malware atau kode berbahaya yang ada di plugin atau direktori tema apa pun.

Itu juga memeriksa file kesalahan, file yang dimodifikasi jika ada. Pemindaian harus dikurangi jika lalu lintas situs Anda rendah dan Anda dihosting di hosting bersama karena pemindaian juga memakan banyak ram hosting.

Bagian ketiga adalah pengerasan keamanan seperti menghapus versi WordPress (karena versi yang lebih rendah lebih rentan diretas, peretas memeriksa versi dan mereka tahu di versi mana jenis kerentanan keamanan yang ada).

Oleh karena itu penghapusan versi WordPress, direktori Unggah tempat media disimpan perlu diamankan dan dikeraskan, membatasi akses konten-wp, readme.html untuk dikeraskan, akun admin default untuk dihapus dan diubah, awalan basis data default untuk diubah Sucuri perlindungan Firewall .

Kami belum menguji ini tetapi muncul menggunakan Cloudproxy Firewall yang diklaim akan membantu Anda mengamankan situs web Anda dari injeksi DDOS, Brute Force, dan SQL. Jika Anda telah menggunakan fitur ini, beri tahu kami karena kami tidak memiliki bukti bahwa firewall ini benar-benar membantu.

B. Antivirus : Plugin lain yang menurut kami berguna adalah Antivirus. Ini mendeteksi file Tema WordPress dan file database untuk keamanan dan eksploitasi.

Satu-satunya kelemahan dari plugin keamanan ini adalah ia akan menggunakan wp-cron dan jika Anda mengatur pemindaian harian dan jika hosting bersama Anda tidak begitu kuat dan situs web Anda berukuran lebih besar.

Dalam hal halaman, posting, dan database, plugin ini mungkin menghabiskan banyak sumber daya saat memindai file dan tabel database.

C. Anti-Malware dan Brute Force Security oleh ELI : Anti-malware dan Brute Force Security seperti namanya melakukan pekerjaan yang baik dalam hal ini.

Jika Anda mendaftar untuk plugin di gotmls.net, Anda mendapatkan semua pembaruan dari ancaman yang diketahui. Ini juga memindai htaccess untuk skrip apa pun, memeriksa eksploitasi timethumb dan memperingatkan Anda, memeriksa skrip pintu belakang dan meminta untuk tidak menggunakan Anda, dan memeriksa login Anda untuk setiap kerentanan.

Jadi dengan cara ini plugin ini melakukan tugas anti-malware. Memeriksa semua file WordPress asli juga. Anda dapat menggunakannya dan memeriksa masalah apa pun di situs web Anda yang ada dan memperbaikinya.

D. Pemeriksa Keaslian Tema : Untuk sebagian besar kasus, kami mencoba memindai plugin dan keamanan dasbor WordPress umum seperti login, file WordPress, dll.

Tetapi tema WordPress dan keamanannya juga penting karena mungkin ada skrip yang tidak perlu atau kode berbahaya yang disamarkan yang dapat dengan mudah diretas.

Oleh karena itu plugin ini berfungsi sebagai alat yang bagus untuk memindai dan memeriksa tema Anda dan setelah Anda mengetahui file mana yang tidak diinginkan atau kode mana yang bermasalah, Anda dapat merujuknya ke pembuat tema asli untuk menghapus atau mengubah kode.

Untuk praktik yang lebih aman atau jika ada terlalu banyak kerentanan, gunakan tema yang lebih aman. Untuk sebagian besar kasus, pemeriksaan tema lebih baik daripada Antivirus.

3. Plugin Keamanan yang akan mengamankan situs WordPress Anda

sebuah. All in One WP Security and Firewall : Yang ini menangani hal-hal berikut yang merangkum sebagian besar keamanan yang dapat Anda ambil di situs web Anda:
Saya. Keamanan Login Pengguna
ii. Keamanan Akun Pengguna
aku aku aku. Keamanan Pendaftaran Pengguna
iv. Keamanan File Sistem
v. Pengaturan Firewall
vi. Fitur Daftar Hitam
vii. Keamanan Basis Data
viii. Cadangan
ix. Firewall dan Brute Force

B. Keamanan Pagar Kata

C. Keamanan WP yang Lebih Baik (sekarang Keamanan iThemes)

D. Keamanan Anti Peluru

4. Lainnya dikecualikan dari daftar ini tetapi mungkin berguna :

sebuah. Keamanan WP Acunetix : Baru-baru ini banyak ulasan negatif muncul untuk plugin ini di WordPress.org sehingga kami tidak dapat merekomendasikannya kepada Anda.

B. 6Scan Security : Banyak klien mengeluh tentang situs yang menjadi kosong setelah instalasi plugin ini dan karenanya kami tidak dapat merekomendasikannya kepada Anda.

C. Eksploitasi Pemindai

D. Pemindai Malware Web Quttera