Wordpress

11 Tips sederhana untuk meningkatkan keamanan situs web Anda

11 Tips sederhana untuk meningkatkan keamanan situs web Anda

Ketika meluncurkan situs web baru mudah terbawa dengan kerajinan desain yang sempurna dan menambahkan konten besar. Bagi banyak orang, termasuk saya sendiri, keamanan adalah hanya sebuah renungan.

Namun, setiap tahun serangan situs WordPress maupun situs-situs yang memakai cms lain yang tumbuh in-line dengan popularitas platform.

Lebih mengkhawatirkan, 70% dari situs web WordPress memiliki kerentanan yang artinya hacker dapat memanfaatkannya. Dengan sedikit perlindungan, yang berarti situs berharga Anda bisa menjadi permainan berikutnya oleh seorang hacker, benar?

Hari ini saya ingin membantu Anda meningkatkan keamanan situs WordPress Anda dengan sebelas tips sederhana Anda dapat menerapkan langsung. Jika Anda ingin membangun sebuah website yang sukses, berkelanjutan, melindungi adalah sebuah keharusan.

 

Jadi mari kita selami dan mengalahkan evil hacker!

 

1. Memperbarui segala sesuatu di situs web Anda

Juga menambahkan fitur baru, WordPress updates patch dikenal kerentanan keamanan dan risiko lainnya.

Ini berarti itu sangat penting untuk tetap WordPress core up to date  jika tidak, kelemahan keamanan yang masih ada bisa dimanfaatkan.

Anda mungkin berpikir bahwa Anda hanya perlu untuk memperbarui WordPress ketika update dating, misalnya, ketika WordPress 4.0 telah diperbarui untuk 4.1. Tentu saja, ini adalah ketika sebagian besar fitur-fitur baru ditambahkan, membuat mereka update lebih menarik, tapi itu benar-benar update keci, 4.1.0 untuk 4.1.1, misalnya yang umumnya address bug dan gangguan yang dapat menyebabkan masalah keamanan.

Jika Anda ingin untuk menyempurnakan keamanan situs web Anda, Anda perlu untuk memastikan versi terbaru dari WordPress berjalan pada website Anda, setidaknya bahkan jika update terbaru adalah hanya satu hal kecil.

Dari WordPress 3.7 dan seterusnya, Semua pemeliharaan dan keamanan pembaruan secara otomatis diinstal, memberikan Anda satu hal yang tidak perlu khawatir.

Tapi itu tidak hanya WordPress core yang perlu memperbarui untuk meningkatkan keamanan: Anda perlu untuk memastikan tema dan plugin up to date.

Gangguan keamanan dapat berada di tema dan plugin, jadi selalu pastikan seluruh situs WordPress up to date dan meminimalkan kerentanan keamanan.

 

2. Backup situs WordPress Anda

Semua tips keamanan dalam artikel hari ini akan membantu Anda mencegah situs web Anda di permainkan.

Namun, tidak ada website 100% aman  setiap waktu, dan hal terburuk terjadi, Anda harus siap. Inilah sebabnya mengapa fundamental penting bahwa semua pengguna WordPress secara teratur backup website mereka, itu bukanlah hal yang paling glamor di dunia, tetapi itu adalah penyelamat nyata jika terjadi sesuatu yang salah terjadi.

Jika Anda tidak backup website Anda, Semua konten Anda bisa hilang akibat serangan sukses yang bisa berarti kerja keras sia-sia.

Namun, jika website Anda secara teratur didukung, setidaknya upaya Anda bisa diselamatkan karena situs web dapat dikembalikan sepenuhnya hanya dalam beberapa menit.

Kebanyakan web host menawarkan layanan backup harian, tetapi saya merekomendasikan dua kqali lipat. Secara pribadi, saya ingin backup situs eksternal, juga, dengan menggunakan plugin.

Plugin memungkinkan Anda menentukan seberapa sering Anda ingin website Andadi  backup, dan beberapa plugin memiliki berbagai macam pilihan untuk penyimpanan off-site storage. Plugin ini juga memindai situs Anda untuk malware, dan database Anda untuk mengatasi masalah umum.

 

3. Gunakan secure username

Selama instalasi WordPress, Anda akan diminta untuk memberikan username admin. Ketika diletakkan di tempat dengan cara ini, sebagian besar dari kita akan memilih hal pertama yang muncul ke dalam kepala kita dan itu biasanya sesuatu dasar, seperti "admin".

Tentu, ini mungkin akan mudah bagi Anda untuk mengingat, tetapi juga username paling aman mungkin. Ini adalah hal pertama yang bot akan mencoba selama serangan brute force, yang pada dasarnya berarti bahwa semua yang mereka butuhkan untuk mengetahui password.

Jika Anda menggunakan kombinasi acak huruf atau setidaknya, tidak admin!, kemudian Anda membuat username dan password yang jauh lebih sulit untuk bots jahat.

Tentu saja, solusi untuk masalah ini sederhana: ketika Anda menginstal WordPress, hanya pilih username lebih aman.

Sayangnya bagi Anda sudah menggunakan admin username, username tidak dapat diubah dari WordPress dashboard. Hal yang termudah untuk dilakukan adalah untuk membuat akun baru dengan kemampuan administrator, login ke account baru ini, kemudian menghapus account admin yang ada. Jika Anda telah mempublikasikan posting di bawah admin username, jangan khawatir, karena posting ini dapat dikaitkan dengan username baru setelah account lama telah dihapus.

 

4. Pilih password yang aman

Untuk penjelasan lebih rinci, periksa tutorial WPMU DEV tentang menyembunyikan versi WordPress Anda.

Alright, sepertinya yang satu ini seperti akal sehat, tetapi itu adalah salah satu yang dari sekian banyak webmaster WordPress mengabaikan.

Ketika Anda memilih password yang sederhana, easy to guess, Anda secara signifikan meningkatkan risiko website Anda disusupi oleh serangan brute force, ini adalah ketika hacker jahat mencoba untuk mengakses situs web Anda dengan mencoba lengkapi kombinasi huruf dan angka benar menebak identitasnya login Anda.

Sebagai contoh, itu akan mengambil lebih sedikit upaya untuk menebak password seperti "password123" daripada akan password yang aman seperti "r1K!+#dVc*a?@zx," benar?

Pastikan sandi menggunakan kombinasi huruf kecil, huruf besar, angka, dan simbol-simbol jika Anda ingin membuat sesuatu yang benar-benar aman Anda dapat menggunakan password generator untuk bantuan.

WordPress bahkan yang telah built-in sandi sendiri indikator kekuatan untuk membantu Anda memilih password yang aman. Setidaknya, password Anda harus mendaftar dengan indikasi strong.

Untuk keamanan tambahan password, itu sangat layak mengubah sandi Anda sering.

 

5. Menyembunyikan versi WordPress Anda

Mengarah langsung dari pada point 1, karena hacker tahu bahwa versi lama Wordpress rentan dan sering telah didokumentasikan dengan baik dan hal ini membuat mereka menjadi sasaran utama serangan.

Bahkan jika tidak segera, sekilas melalui sumber file dari situs WordPress sudah cukup untuk mengungkapkan versi Wordpress yang sedang digunakan.

Sebagai contoh:

 

 

Setelah beberapa detik, itu jelas bahwa versi WordPress (diambil dari situs anonim) ini ketinggalan jaman. Ini berarti bahwa ada kerentanan keamanan dimanfaatkan.

Jika Anda tidak dapat memastikan situs WordPress Anda secara konsisten up-to-date, Anda dapat menyembunyikan versi WordPress Anda, untuk memastikan Anda tidak menarik perhatian yang tidak diinginkan dari para hacker.

Semua yang perlu Anda lakukan adalah menambahkan kode berikut ke file functions.php Anda dan Anda akan menghapus semua jejak versi WordPress Anda dari situs web Anda.

 

function remove_version() {
return '';
}
add_filter('the_generator', 'remove_version');

 

6. Move your login page

Serta username dan password Anda, ada satu serangan brute force hal lain yang perlu untuk berhasil.

Selama instalasi default, menggunakan WordPress wp-admin dan wp-login ekstensi untuk halaman login Anda-misalnya, www.example.com/wp-admin. Ini adalah sesuatu sedikit dari kita pertanyaan, dan bahkan lebih sedikit dari kita repot-repot untuk mengamankan.

Mengetahui satu hal sederhana tentang WordPress berarti saya dapat mengakses sebagian besar halaman login situs WordPress. Yang mungkin Anda tidak perhatian, saya tidak akan hack website Anda, tapi jika saya bisa melakukannya saya akan mencobanya.

Berita baiknya: Anda dapat dengan mudah mengubah URL wp-admin, membuatnya jauh lebih sulit untuk menemukan halaman login Anda.

Hanya menginstal plugin WP-Admin Custom HC URL, dan Anda dapat mengubah halaman login Anda untuk sesuatu yang lebih aman, misal www.example.com/tidakadaloginadmin.

 

7. Menyembunyikan username

Jika Anda telah mengikuti saran sebelumnya, Anda akan sudah memiliki username lebih aman dan jelas bukan admin.

Namun, menggunakan sesuatu yang bagus juga bukan berarti bots bisa mendapatkan username Anda untuk meluncurkan serangan berbahaya di situs web Anda, mereka juga dapat menggunakan URL Arsip penulis, ini biasanya dapat diakses dengan mengklik nama penulis dalam bio penulis diposisikan tepat di bawah artikel.

Arsip URL, secara default, akan terlihat seperti ini: www.example.com/author/admin.

Menebak username penulis? Benar, itu adalah admin, dan dengan hanya satu mouse klik seluruh dunia memiliki akses ke pengarang username.

Jika bot memiliki akses ke nama pengguna Anda, apakah itu admin, blablabla, atau sesuatu yang tampaknya aman seperti qwertyzz membuatnya jauh lebih mudah bagi mereka untuk hack ke dalam akun Anda. Semua yang mereka butuhkan adalah sandi.

Namun, URL dapat berubah, dan itu semua ke bagaimana WordPress populates field penulis. WordPress menggunakan field yang disebut user_nicename dari dalam database WordPress, yang dengan sendirinya akan terisi secara otomatis dengan nama pengguna penulis, itulah sebabnya, secara default, menampilkan username.

Jika entri user_nicename berubah, ini akan mengubah URL Arsip penulis sehingga tidak lagi menampilkan username. Sayangnya, ini tidak dapat dilakukan dari WordPress dashboard, meskipun, dan akan meminta Anda untuk mengakses database WordPress Anda menggunakan tools  phpMyAdmin.

Berbicara tentang WordPress database bisa sedikit menakutkan bagi beberapa orang, jadi saya akan mencoba untuk menjaga hal-hal sederhana ini adalah benar-benar tugas user yang baik jika Anda secara manual belum mengakses database.

Setelah mengakses database menggunakan phpMyAdmin, Anda perlu ke table yang berjudul wp_users. Pada layar ini, Anda akan melihat daftar pengguna, dan di suatu tempat dalam tabel Anda akan dapat melihat kolom user_nicename. Semua yang harus Anda lakukan adalah klik user_nicename, mengeditnya untuk sesuatu selain username. Catatan: tidak menggunakan ruang dalam bidang ini, karena hal ini akan menyebabkan error 404.

 

8. Menonaktifkan plugin dan tema editor

Jika serangan brute force sukses, dan hacker bisa mendapatkan akses ke situs web Anda, apa kerusakan yang bisa mereka lakukan? Berpotensi banyak.

Salah satu hal terburuk yang bisa mereka lakukan akan menambahkan kode berbahaya ke website Anda, yang dapat berpotensi menyebabkan banyak masalah. Sayangnya, ini adalah sesuatu yang benar-benar mudah untuk dilakukan: itu adalah hanya dua klik dari WordPress dashboard, hanya dengan pergi ke Appearance kemudian Editor. Dengan akses ke daerah ini dari situs web, seseorang dengan motif tersembunyi bias melakukan kekacauan serius dengan tema Anda dan karena itu situs web Anda.

Ada solusi yang sederhana, meskipun: menonaktifkan plugin dan tema editor.

Hal ini cukup mudah untuk dilakukan, dan hanya mengharuskan Anda untuk menambahkan kode berikut ke file wp-config.php Anda:

 

define ('DISALLOW_FILE_EDIT', true);

 

Setelah kode telah dimasukkan, bahkan administrator akan dapat mengedit tema dan plugin langsung dari WordPress dashboard Anda. Jika seorang hacker mendapat ke situs web Anda, ini akan membatasi sejauh mana mereka dapat menimbulkan kerusakan.

 

9. Tambahkan sebuah plugin keamanan

Jika Anda ingin meningkatkan keamanan situs web Anda, pertimbangkan untuk menginstal plugin all-in-one WordPress security plugin dalam di situs Anda.

Solusi all-in-one akan melindungi situs web Anda dalam berbagai cara, dan mereka mudah untuk menambahkan satu terakhir lapisan perlindungan ke situs Anda.

Keamanan WordPress adalah hal yang besar hari ini, dan bahwa berarti ada banyak plugin keamanan luar sana yang gratis dan premium..

Versi PRO plugin secara teratur akan memindai dan melindungi website Anda dari malware, menyediakan daftar hal-hal yang Anda dapat lakukan untuk membuat website Anda lebih aman, dan menambah dua faktor otentikasi prosedur login pengguna akan memerlukan sandi dan kode yang dikirim ke perangkat mobile mereka untuk login.

 

10. Limit login attempts

Menempel dengan serangan brute force untuk saat ini, ada satu hal terakhir yang dapat Anda lakukan untuk melindungi situs Anda Limit login attempts usaha dari jangkauan IP yang sama.

Dengan mengamankan identitasnya login Anda, Anda membuatnya jauh lebih sulit untuk bots berbahaya dan hacker berhasil menebak kredensial Anda, namun diberikan cukup waktu yang mereka dapat mencakup sejumlah besar kombinasi karakter untuk meningkatkan kesempatan mereka untuk masuk.

Jika Anda menggunakan Limit login attempts dari alamat IP sama, atau kisaran IP yang dugunakan,  maka Anda secara signifikan mengurangi efektivitas serangan brute force. Solusi ini tidak sempurna, meskipun, seperti beberapa hacker akan menggunakan alamat IP yang berbeda, tetapi sudah pasti menjadi langkah positif yang dapat meningkatkan keamanan situs web Anda.

Untuk membatasi upaya login, saya akan merekomendasikan plugin Login Lockdown gratis, yang mengunci alamat IP yang membuat sejumlah login gagal dalam waktu singkat. Anda dapat mengkonfigurasi jumlah usaha yang gagal, timeframe dan mengunci periode sendiri.

 

11. Gunakan host yang aman

Sejauh ini kita telah berfokus pada hal-hal yang dapat Anda lakukan untuk meningkatkan keamanan situs web Anda. Jika Anda ingin tip terakhir untuk meningkatkan keamanan situs web Anda saran saya adalah untuk memastikan bahwa Anda menggunakan layanan hosting yang memiliki reputasi baik, daripada memiliki host termurah. Anda mendapatkan apa yang Anda bayar dalam hidup.

Namun, lebih dari 41% website benar-benar terkena hack karena kerentanan pada layanan hosting mereka.

It's worth melihat sekeliling dan berbicara kepada penyedia hosting berbeda untuk melihat bagaimana pengetahuan staf mereka tentang masalah keamanan masalah WordPress spesifik dan tertentu dan apa fitur keamanan yang mereka milik.

 

Jadi di sana Anda memilikinya: 11 strategi sederhana yang dapat Anda gunakan hari ini untuk mengurangi kerentanan keamanan situs WordPress Anda.

Aku tahu ada hal lebih menarik hal-hal di dunia daripada berurusan dengan keamanan situs, tapi itu tidak berarti itu adalah sesuatu yang Anda harus mengabaikan.

Share This Post

Leave Comment

Get more stuff like this
in your inbox

Subscribe to our mailing list and get interesting stuff and updates to your email inbox.