Perlindungan Kata Sandi WordPress – Panduan Lengkap

Diterbitkan: 2022-08-02

Ini adalah panduan 'ultimat' atau komprehensif untuk perlindungan kata sandi WordPress untuk administrator dan pemilik situs web bisnis. Ini ditulis untuk mereka yang mengelola atau merupakan administrator situs web WordPress.

Selain peran, keamanan situs WordPress yang paling rentan dan mudah diperkeras berikutnya adalah penggunaan kata sandi Anda, menurut WordPress dan vendor perangkat lunak keamanan. Berbekal kredensial masuk, seseorang berpotensi mengakses situs web Anda dan semua konfigurasi serta data yang tersedia dari dasbor WordPress. Pengguna yang masuk dapat menyamar sebagai Anda, menambah, mengubah atau menghapus item, merusak situs web Anda, dan merusak bisnis Anda.

Posting blog ini memberikan serangkaian panduan praktik terbaik untuk membantu Anda membuat perlindungan kata sandi WordPress yang aman di seluruh organisasi Anda dan mendidik pengguna Anda tentang penggunaannya.

Daftar isi

  • Tetapkan kebijakan keamanan kata sandi yang kuat
        • Seperti apa kata sandi yang kuat?
        • Peran pengguna WordPress dan implikasi keamanannya
        • Instal alat dan plugin keamanan kata sandi WordPress yang tepat
        • Berikan contoh yang baik untuk perlindungan kata sandi WordPress
  • Gunakan pengelola kata sandi
      • Manfaat menggunakan pengelola kata sandi
  • Aktifkan Otentikasi Dua Faktor atau Multi-Faktor
  • Mendidik pengguna Anda dalam perlindungan kata sandi WordPress
        • Bicara tentang pelanggaran data yang layak diberitakan
        • Terapkan kebijakan kata sandi Anda yang kuat
            • Aktivitas administrator untuk keamanan kata sandi WordPress
        • Tekankan manfaat penghilang stres dan penghematan waktu menggunakan pengelola kata sandi
        • Tekankan investasi berharga dalam keamanan kata sandi WordPress yang kuat
  • Menetapkan perlindungan lain yang relevan

Tetapkan kebijakan keamanan kata sandi yang kuat

Sebagai Administrator situs web WordPress, Anda memiliki kesempatan dan tanggung jawab untuk menerapkan kebijakan kata sandi yang kuat pada pengguna Anda. Dengan demikian, Anda akan melindungi organisasi Anda, situs web, data, staf, dan pengguna lain dari berbagai serangan.

  • Dalam kasus perusahaan dan karyawan internalnya, karyawan pemasaran akan memerlukan akses ke situs WordPress untuk membuat dan mengedit halaman situs web dan posting blog, sementara yang lain hanya memerlukan akses untuk memoderasi dan menanggapi komentar. Di sisi lain, manajemen akun klien atau karyawan layanan pelanggan akan memerlukan berbagai tingkat akses ke akun pelanggan, untuk menanggapi tiket dukungan. Dalam hal ini, sebagian besar pengguna staf internal tidak memerlukan akses ke akun pelanggan, meskipun beberapa akan membutuhkannya. Mereka yang bekerja di dukungan TI mungkin memerlukan akses ke beberapa aspek akun pelanggan, meskipun tidak semuanya.
  • Mari kita pikirkan sudut pandang lain, yaitu pengguna eksternal di situs web WordPress e-niaga. Mereka mungkin perlu masuk untuk mengelola akun mereka, melakukan pembelian, melacak status pengiriman atau pengembalian, atau menghubungi dukungan pelanggan. Pengguna yang sama tersebut tidak boleh diberikan akses untuk membuat atau menghapus halaman web misalnya, atau dapat melihat detail akun dan keuangan pelanggan lain. Dalam beberapa kasus, situs web e-niaga tidak mengharuskan pengguna yang merupakan pelanggan untuk membuat akun dan masuk sama sekali, karena terkadang dapat menjadi penghalang untuk mendapatkan penjualan.

Mengapa semua pertimbangan ini diperlukan? Apakah pengguna belum mengetahui cara membuat dan menggunakan kata sandi yang aman?

Rata-rata pengguna komputer tidak terdidik dengan baik tentang perlindungan kata sandi WordPress atau keamanan kata sandi WordPress secara umum. Kemungkinan mereka akan memiliki sikap yang lemah terhadap data online mereka sendiri dan menemukan bahwa mengelola kredensial login membuat stres (semuanya akan kita bahas nanti), dan mereka menuliskannya pada catatan tempel dan menempelkannya ke monitor mereka!

Sebagai tambahan:

  • Bot tebak kata sandi menjadi lebih canggih
  • Peretas jahat masih menggunakan serangan brute force dan kamus

Aktivitas jahat menjadi lebih mudah bagi peretas jahat jika mereka sudah memiliki informasi pribadi seperti nama asli, yang kemungkinan merupakan bagian dari kata sandi yang lemah.

Seperti apa kata sandi yang kuat?

  • Kata sandi yang lebih panjang – Sebagai aturan umum, semakin pendek kata sandi, semakin rentan terhadap serangan brute force atau kamus. Saran terbaik saat ini adalah menetapkan panjang minimum 16 karakter untuk kata sandi Anda dan memberi spasi. Beberapa pembuat kata sandi memungkinkan pengguna untuk menyesuaikan panjang kata sandi acak aman yang mereka buat.
  • Kata sandi campuran – Gunakan kombinasi karakter acak (huruf besar dan kecil), angka, dan karakter khusus. Ini akan melindungi kata sandi Anda dari serangan kamus. Hindari kata-kata kamus dan pola huruf atau angka, ganti huruf dengan angka ('@' bukan 'a', '0' bukan 'O' termasuk urutan keyboard (qwerty).
  • Kata sandi acak – Jaga agar kata sandi Anda tidak berhubungan dengan Anda. Jangan gunakan bagian mana pun dari nama Anda, atau nama hewan peliharaan, anak, atau kerabat lainnya. Jangan gunakan DOB, alamat pos, atau informasi publik lainnya yang dapat dengan mudah dihubungkan oleh peretas jahat kepada Anda. Selain itu, hindari menggunakan informasi yang dapat ditebak oleh kolega atau kenalan, seperti nama panggilan.
  • Mengubah kata sandi – Atur ulang kata sandi Anda secara teratur (disarankan setiap tiga bulan.) Ini memulai ulang jam pada setiap upaya paksa dan membuat Anda terdepan dalam teknologi peretasan yang tidak etis.
  • Kata sandi yang berbeda – Memiliki kata sandi yang berbeda untuk setiap situs web. Dengan begitu, jika salah satu dilanggar, yang lain masih aman. Gunakan pengelola kata sandi setiap hari untuk menyimpan, memperbarui, dan menggunakannya.
  • Kata sandi yang disimpan – Jangan gunakan konfigurasi browser, laptop, atau folder bersama untuk menyimpan kata sandi Anda jika komputer Anda diretas atau dicuri. Untuk itulah pengelola kata sandi!

Peran pengguna WordPress dan implikasi keamanannya

Konfigurasi peran memiliki implikasi besar dalam keamanan situs WordPress. Sebagai aturan umum, keamanan WordPress harus meningkat sebanding dengan tingkat informasi sensitif yang terkandung atau dipertukarkan di situs web.

Pertama, mari kita lihat peran Administrator:

  • Administrator Super – ditugaskan ke pemilik multisite menggunakan WordPress Multisite Network, ini memberi Anda izin yang sama persis dengan peran Administrator
  • Administrator – secara otomatis ditugaskan ke pemilik/pembuat situs web saat pemasangan, ini memberi Anda kendali penuh atas situs web termasuk penghapusan, mereka dapat: memasang, mengedit, dan menghapus tema dan plugin; menjalankan pemutakhiran dan pembaruan; membuat, mengedit dan menghapus halaman dan posting blog; menambah, mengedit dan menghapus pengguna termasuk Administrator lainnya; dan menambah, mengedit, dan menghapus media

Semua peran pengguna lainnya, tercantum dalam urutan penurunan rentang otoritas adalah:

  • Editor – dapat menambah, mengedit, dan menghapus halaman baru, posting blog, media; membuat kategori dan tag; mempublikasikan konten yang ditulis oleh mereka sendiri dan orang lain; dan komentar moderat
  • Penulis – hanya dapat menambah, mengedit, dan menerbitkan konten mereka sendiri; mengunggah media; dan tetapkan kategori dan tag yang ada ke postingan blog
  • Kontributor – hanya dapat menambah dan mengedit konten mereka sendiri; dan tetapkan kategori dan tag yang ada ke posting blog mereka sendiri
  • Pelanggan – hanya dapat memperbarui profil pengguna mereka sendiri; membaca konten orang lain; dan tambahkan komentar

Mengikuti prinsip hak istimewa paling rendah, ketika Anda menetapkan peran untuk mendelegasikan tugas di WordPress, hindari memberikan akses Administrator (Super) kepada orang lain kecuali mereka perlu memiliki tingkat kontrol ini atas situs web, fitur, dan penggunanya. Karena pembaca dapat melihat 'diposting oleh' (nama pengguna) di seluruh situs web Anda, Administrator – sebagai tindakan pencegahan ekstra – harus menyiapkan pengguna Editor tambahan untuk diri mereka sendiri dan hanya masuk dengan akun Administrator (Super) saat mereka perlu melakukan tugas tingkat yang lebih tinggi ini. Ini berarti peretas jahat memiliki lebih sedikit informasi yang dapat diandalkan jika mereka mempertimbangkan serangan brute force.

Untuk informasi lebih lanjut, lihat Cara menggunakan peran pengguna WordPress untuk meningkatkan keamanan WordPress.

Instal alat dan plugin keamanan kata sandi WordPress yang tepat

Salah satu cara Anda dapat menerapkan kata sandi WordPress yang kuat pada pengguna Anda adalah dengan menggunakan plugin WPassword untuk:

  • Terapkan kata sandi yang kuat di situs WordPress Anda dalam hitungan detik
  • Berikan tip untuk membantu pengguna membuat kata sandi yang kuat (daripada harus menebak)
  • Konfigurasikan kebijakan kata sandi pada aspek penting perlindungan kata sandi, seperti kerumitan kata sandi, riwayat, dan usia
  • Konfigurasikan kebijakan sandi berdasarkan peran pengguna untuk memenuhi peran khusus yang disesuaikan, atau mengecualikan pengguna tertentu dari kebijakan tertentu.
  • Setel ulang semua kata sandi segera jika serangan terdeteksi
  • Menerapkan kebijakan pengguna yang tidak aktif, untuk menghapus ancaman yang diposting oleh akun pengguna tidak aktif yang disiapkan sebelum kebijakan diberlakukan

Berikan contoh yang baik untuk perlindungan kata sandi WordPress

Kami menyarankan Anda menggunakan kredensial aman dan Anda juga mendorong pengguna Anda untuk melakukannya.

  • Gabungkan kata sandi Anda yang kuat (lihat Seperti Apa Bentuk Kata Sandi yang Kuat?) dengan nama pengguna yang kuat.
  • Sebagai Administrator, hindari nama pengguna default yang jelas dan lemah seperti admin, default, kata sandi, atau tamu
  • Jangan membuatnya begitu mudah bagi aktor jahat sehingga mereka hanya memiliki satu kredensial yang tersisa untuk ditemukan

Ingatlah bahwa jika Anda mengandalkan langkah-langkah keamanan kata sandi WordPress, Anda juga harus menerapkan kata sandi yang kuat menggunakan plugin. WordPress tidak memiliki penegakan kata sandi bawaan atau default yang kuat.

Gunakan pengelola kata sandi

Pengelola kata sandi adalah layanan online atau klien perangkat lunak yang secara aman menyimpan dan mengelola kredensial pengguna di berbagai situs web dan layanan. Informasi ini diakses dengan satu kata sandi utama dan opsi untuk otentikasi multi-faktor. Contoh populer termasuk 1Password dan KeePass. Namun, meskipun ada banyak pengelola kata sandi online, ini bukan pengganti cadangan dan keandalan yang solid.

Manfaat menggunakan pengelola kata sandi

  • Mereka tidak perlu mengingat apa kata sandi mereka untuk setiap situs web – secara bersamaan salah satu masalah terbesar di tempat kerja yang 'diselesaikan' oleh praktik malas dan gila menggunakan kredensial yang sama di banyak layanan online.
  • Mereka tidak akan tergoda untuk menyimpan kredensial login dalam bentuk tertulis yang melanggar peraturan perlindungan data atau dalam file online yang dapat disusupi.
  • Ini akan membebaskan pengguna untuk menggunakan kata sandi yang rumit dan berbeda. Banyak pengelola kata sandi memiliki pembuat kata sandi built-in dengan saran popup browser yang nyaman dan cepat yang juga langsung mencatat rekor baru.
  • Mereka tidak akan membiarkan akun atau situs web mereka terbuka untuk peretas jahat dan bot otomatis.
  • Pengelola kata sandi sering memantau alamat email dan memperingatkan pengguna setelah kemunculan mereka di web gelap. Dan, mereka juga dapat merekomendasikan agar kata sandi yang digunakan kembali atau yang lemah diubah.

Aktifkan Otentikasi Dua Faktor atau Multi-Faktor”

Otentikasi dua faktor atau multifaktor adalah lapisan kredensial tambahan yang harus dimasukkan sebelum pengguna diberikan akses ke situs web atau aplikasi, selain kombinasi nama pengguna dan kata sandi tradisional. Ini digunakan ketika seseorang sudah menggunakan kata sandi yang kuat karena pendekatan multi-faktor adalah yang terbaik untuk keamanan WordPress. Kombinasi kata sandi dan nama pengguna yang kuat dapat dicuri. Kode satu kali dibuat oleh aplikasi dan diterima melalui email atau SMS yang dikirim ke perangkat pribadi, akun email, atau ponsel pengguna, lebih sulit untuk dielakkan oleh peretas jahat.

Ada beberapa alternatif yang mengklaim tempat plugin otentikasi dua faktor terbaik untuk WordPress. Lihat ini. Tetapi kami sangat merekomendasikan produk kami sendiri – plugin WP 2FA. Tidak hanya akan meningkatkan autentikasi situs web WordPress Anda, tetapi juga dirancang dengan mempertimbangkan kemudahan penggunaan dan kesederhanaan penyiapan. Ini juga memungkinkan Anda untuk membuat 2FA wajib, dengan kebijakan 2FA yang dapat dikonfigurasi sepenuhnya untuk peran pengguna yang berbeda. Kombinasi plugin WPassword dan WP 2FA membuat situs web WordPress Anda sangat aman.

Mendidik pengguna Anda dalam perlindungan kata sandi WordPress

Pengguna situs web Anda sudah tahu secara samar bahwa ada kebutuhan akan keamanan kata sandi yang kuat. Tetapi mereka sering gagal melakukan apa pun tentang hal itu.

Jadi, secara spesifik, apa yang Anda perlukan untuk mendidik mereka?

Bicara tentang pelanggaran data yang layak diberitakan

Kata sandi yang lemah adalah salah satu ancaman terbesar terhadap keamanan situs web WordPress. Mengapa? Karena kredensial yang lemah – mudah dielakkan dengan serangan brute force atau kamus – adalah penyebab utama pelanggaran data yang kita semua baca di berita. Selain itu, kehilangan data yang difasilitasi oleh kata sandi default atau dicuri, atau kata sandi yang diambil dari perangkat yang hilang atau dicuri, dan masalahnya berlipat ganda.

Apa yang dapat dilakukan peretas jahat dan pengguna tidak sah saat mengakses situs web Anda?

  • Pada tingkat dasar, mereka dapat mengubah konfigurasi Anda atau memasukkan malware
  • Mereka juga dapat mengalihkan lalu lintas dari situs web Anda atau menggunakannya untuk mendistribusikan perangkat lunak bajakan
  • Dalam serangan paling serius, mereka dapat mencuri dan menyalahgunakan data sensitif, membuat tagihan perbankan palsu, atau mengumpulkan informasi keuangan dan lainnya untuk dijual kembali di web gelap
  • Di luar aktivitas komersial ini, peretas dapat mempolitisasi atau merusak situs web Anda dengan ujaran kebencian

Pastikan pengguna staf internal Anda mengetahui implikasi besar di seluruh organisasi terhadap informasi internal perusahaan dan data pelanggan eksternal, serta denda atau teguran wajib perusahaan. Dan, ulangi pesan yang sama kepada pelanggan situs web Anda untuk memastikan bahwa mereka memprioritaskan keamanan data pribadi, keuangan, kesehatan, dan data sensitif lainnya.

Dampak negatif yang dapat ditimbulkan oleh pelanggaran data tersebut pada organisasi dan situs web Anda sangat besar:

  • Kehilangan reputasi dan kepercayaan pada organisasi dan situs web Anda
  • Denda besar dari badan pengatur, serta hukuman lain atau pemutusan hubungan kerja dari mitra dan klien

Terapkan kebijakan kata sandi Anda yang kuat

  1. Pertama, mendidik pengguna Anda tentang semua elemen di Seperti Apa Kata Sandi yang Kuat? dan Manfaat Menggunakan Pengelola Kata Sandi? Misalnya, pastikan mereka mengetahui formulasi kata sandi yang persisten dan sangat tidak aman seperti thisismypassword, 123456789, [mykidsname] atau [mypetsname]. Dan, alih-alih mendorong penggunaan formulasi kata sandi yang kuat (misalnya vqO&V13@H%fF atau @iGOuqk%W0xY ). Jangan membagikan atau menggunakan contoh spesifik ini untuk layanan atau pengguna Anda. Mereka hanyalah contoh.
  2. Ingatkan staf internal secara teratur tentang kebijakan ketenagakerjaan dan/atau perlindungan data yang mereka tandatangani, dan tanggung jawab hukum pribadi yang mereka miliki terhadap majikan mereka.
  3. Ingatkan staf internal secara teratur bahwa kebijakan dan pernyataan perlindungan data yang dibuat oleh perusahaan kepada pelanggan dan klien bergantung pada mereka untuk mengikuti kebijakan perusahaan, dan bahwa kebijakan tersebut berpotensi memiliki implikasi hukum, keuangan, pekerjaan, dan penegakan hukum yang serius dan permanen.
  4. Dorong pengguna untuk membuat kata sandi aman mereka sendiri menggunakan pengelola kata sandi yang juga memiliki alat pembuat kata sandi. Sebagian besar perangkat lunak pengelola kata sandi juga memilikinya sendiri, yang berguna saat Anda membuat akun baru untuk layanan online dan lainnya.

Aktivitas administrator untuk keamanan kata sandi WordPress

  1. Periksa kekuatan kata sandi kata sandi pengguna WordPress Anda dengan pemindai seperti WPScan.
  2. Gunakan alat yang digunakan peretas jahat untuk mencoba 'menebak' kata sandi pengguna Anda. Jadwalkan serangan brute-force dan kamus sendiri!
  3. Kunci untuk pengguna yang memiliki kata sandi lemah dan kirim perintah untuk mengatur ulang.
  4. Jalankan lokakarya tentang cara menggunakan pengelola kata sandi pilihan.

Tekankan manfaat penghilang stres dan penghematan waktu menggunakan pengelola kata sandi

Banyak pengguna Anda mungkin melihat perlunya kata sandi yang kuat tetapi tidak mau menggunakannya karena ketidaktahuan dan kesulitan atau biaya yang dirasakan dalam praktiknya. Di situlah Anda dapat memperkuat kemudahan dan Manfaat Menggunakan Pengelola Kata Sandi, bersama dengan biaya rendah, keandalan, dan kemudahan menyimpan cadangan kredensial.

Ini adalah keuntungan besar hanya untuk mengingat satu kata sandi daripada beberapa kata sandi.

Dari sudut pandang pengguna, sorotannya adalah:

  • Mereka harus mengingat hanya satu kata sandi – kebahagiaan!
  • Pengelola kata sandi akan bertindak sebagai pembuat kata sandi baru, alat manajemen kata sandi, dan permintaan untuk memasukkan kredensial aman di tempat untuk mereka

Tekankan investasi berharga dalam keamanan kata sandi WordPress yang kuat

Kita harus menghadapi fakta. Beberapa calon pengguna akan menunda mendaftar ke situs web Anda jika mereka terpaksa menggunakan kata sandi yang kuat dan sering mengubahnya. Prosedur ini membutuhkan sedikit waktu dan upaya untuk disiapkan pada awalnya. Beberapa akan menganggapnya merepotkan yang tidak mereka inginkan, sementara yang lain akan mengeluh bahwa itu merusak pengalaman pengguna mereka di situs web Anda.

Menetapkan dan menegakkan kebijakan keamanan kata sandi WordPress yang kuat, mungkin menggunakan plugin yang membedakan kebijakan kata sandi dan tingkat keamanan berdasarkan peran pengguna, akan mengurangi gangguan pengguna seminimal mungkin.

Menetapkan perlindungan lain yang relevan

Sebagai pemilik situs web atau Administrator WordPress, berikut adalah beberapa saran penutup dari masalah yang lebih besar yang perlu Anda pertimbangkan untuk keamanan kata sandi WordPress:

  • Biasakan diri Anda dengan pengerasan keamanan WordPress umum dan protokol perlindungan untuk WordPress. Ada alasan khusus mengapa situs WordPress diretas. Adalah untuk keuntungan Anda sebagai Administrator atau pemilik untuk mengetahui apa ini dan bagaimana menanganinya. Ya, kata sandi yang lemah adalah masalah utama, seperti kurangnya 2FA dan log aktivitas. Tetapi tahukah Anda bahwa penggunaan inti WordPress, plugin, dan perangkat lunak lain yang ketinggalan zaman juga merupakan masalah serius?
  • Gunakan plugin log aktivitas WordPress yang akan memberi tahu Anda apakah pengguna yang tidak sah telah mendapatkan akses ke akun Anda dan jika demikian, kerusakan apa yang telah mereka lakukan. Log Aktivitas WP kami membantu Anda mengidentifikasi perilaku mencurigakan pada tahap paling awal dan mencegah serangan peretasan berbahaya di situs web Anda.
  • Siapkan kebijakan pengguna yang tidak aktif atau tidak aktif untuk situs WordPress Anda. Akun pengguna yang diabaikan adalah titik masuk yang mudah bagi peretas jahat.
  • Situs web Anda dapat diretas bahkan jika Anda menggunakan kata sandi yang kuat dan menerapkan kebijakan kata sandi yang kuat pada pengguna Anda. Ada baiknya untuk segera mengetahui apakah situs web Anda telah dilanggar. Ini adalah layanan pemberitahuan pelanggaran data gratis yang kami sarankan untuk Anda periksa.

Apakah Anda memiliki pertanyaan tentang perlindungan kata sandi WordPress atau salah satu produk yang kami sebutkan di posting blog ini? Beri tahu kami di bawah ini! Dan ingat kata-kata Chris Pirillo:

"Kata sandi itu seperti pakaian dalam: Anda tidak boleh melihatnya, Anda harus sering menggantinya, dan Anda tidak boleh membagikannya kepada orang asing."

Dapatkan uji coba 7 hari WPassword untuk mengalaminya dalam tindakan dan bantu pengguna situs web Anda menggunakan kata sandi WordPress yang kuat