Keamanan WordPress – Cara Melindungi Instalasi WordPress Anda Dari Peretas

Diposting pada

Ada beberapa langkah sederhana yang dapat Anda lakukan untuk melindungi setiap instalasi WordPress yang Anda siapkan. Tetapi mengapa khawatir tentang keamanan?

Ini sebabnya:

Saya pernah meretas dua blog WordPress di masa lalu. Itu terjadi pada saat saya melakukan pemasaran internet yang sangat sedikit, dan sampai saya menemukan waktu untuk mengatasi situasi tersebut (beberapa bulan kemudian), situs-situs ini dihukum di mesin pencari. Mereka tidak disingkirkan, tetapi peringkatnya dikurangi.

Saya memperbaikinya pada akhirnya, tetapi saya tidak menanganinya selama beberapa bulan. Untuk waktu yang cukup lama, saya bahkan tidak menyadari masalahnya.

Hasil? Saya memperkirakan bahwa saya kehilangan beberapa ratus pon pendapatan iklan.

Sebagian besar keamanan WordPress hanyalah akal sehat. Apakah Anda menggunakan kata sandi yang kuat? Apakah Anda menggunakan kata sandi yang berbeda untuk setiap situs web?

Selama bertahun-tahun, saya tidak melakukan itu. Saya memiliki tiga atau empat kata sandi yang biasa saya gunakan. Namun ada dua cara agar Anda selalu dapat menghasilkan kata sandi yang bagus dan kuat untuk setiap situs yang Anda daftarkan. (Tentu saja, ini termasuk blog WordPress Anda.)

Pendekatan yang lebih lemah (tapi masih cukup bagus) adalah memulai dengan kata sandi yang umum; tambahkan beberapa nomor yang mungkin Anda ingat, seperti nomor rumah dari alamat pertama Anda; lalu tambahkan beberapa, misalnya, lima huruf pertama dari nama domain. Misalnya, jika sandi yang Anda gunakan untuk memulai adalah reindeer230, jika Anda menggunakan situs bernama example.com, itu akan menjadi reindeer230examp. Itu adalah kata sandi yang cukup kuat. Teknik ini melindungi dari serangan kamus di mana penyerang mungkin berulang kali mencoba masuk ke akun Anda menggunakan kata-kata bahasa Inggris, kata-kata dalam bahasa lain, nama, dan sebagainya.

Pendekatan yang lebih kuat, dan yang saya rekomendasikan secara pribadi, adalah menggunakan salah satu plugin pembuat dan penyimpanan kata sandi yang tersedia untuk browser Anda. Banyak orang menyukai RoboForm, tetapi menurut saya setelah masa uji coba gratis, Anda harus membayarnya. Saya menggunakan Lastpass versi gratis, dan saya merekomendasikannya bagi Anda yang menggunakan Internet Explorer atau Firefox. Itu akan menghasilkan kata sandi yang aman untuk Anda; Anda kemudian menggunakan satu kata sandi utama untuk masuk.

Sekarang kita membahas hal-hal khusus untuk WordPress. Setiap kali Anda menginstal WordPress, Anda harus mengedit file config-sample.php dan mengganti namanya menjadi config.php. Anda perlu menginstal detail database di sana.

Ada beberapa perubahan lain yang harus Anda lakukan juga.

Ada bagian config-sample.php yang menuju “Authentication Unique Keys.” Ada empat definisi yang muncul di dalam blok tersebut. Ada hyperlink di dalam bagian kode itu. Anda perlu memasukkan tautan itu ke browser Anda, menyalin konten yang Anda dapatkan kembali, dan mengganti kunci yang Anda miliki dengan kunci pseudo-random unik yang disediakan oleh situs. Hal ini mempersulit penyerang untuk secara otomatis membuat cookie “masuk” untuk situs Anda.

Langkah selanjutnya adalah mengubah awalan tabel dari default “wp_”. Ini ada di bagian Awalan Tabel Database WordPress. Tidak masalah Anda mengubahnya menjadi apa; Anda dapat menggunakan karakter alfanumerik, tanda hubung, dan garis bawah. Ini harus menggagalkan apa yang disebut serangan injeksi SQL, di mana upaya dilakukan oleh penyerang untuk menyebabkan WordPress menjalankan beberapa kode SQL yang memiliki efek yang tidak diinginkan di situs Anda. Kode itu dapat menambahkan pengguna baru dengan hak superuser ke situs WordPress Anda.

Perhatikan bahwa Anda hanya melakukan langkah terakhir ini untuk instalasi baru. Jika Anda ingin melakukannya untuk penginstalan yang sudah ada, Anda juga harus mengubah semua nama tabel di database.

Terakhir, menginstal plugin WordPress Security Scan akan memeriksa sebagian besar dari ini untuk Anda, dan memberi tahu Anda tentang apa pun yang mungkin Anda lewatkan. Ini juga akan memberi tahu Anda bahwa pengguna bernama “admin” ada. Tentu saja, itu adalah nama pengguna administratif Anda. Anda dapat mengikuti tautan dan menemukan petunjuk untuk mengubah nama itu, jika Anda mau. Saya pribadi percaya bahwa kata sandi yang kuat adalah perlindungan yang cukup baik, dan sejak saya mengikuti langkah-langkah ini, tidak ada serangan yang berhasil di banyak blog yang saya jalankan.

Terakhir, Keamanan WordPress juga akan memberi tahu Anda bahwa tidak ada htaccess di direktori wp-admin /. Anda dapat meletakkan file a.htaccess ke direktori ini jika diinginkan, dan Anda dapat menggunakannya untuk mengontrol akses ke direktori wp-admin berdasarkan alamat IP atau rentang alamat. Rincian tentang bagaimana melakukannya sudah tersedia di internet.

Namun, saya menyarankan Anda menginstal plugin Login LockDown sebagai pengganti kontrol any.htaccess. Itu akan menghentikan permintaan masuk dari diizinkan dari alamat IP tertentu selama satu jam setelah tiga upaya masuk yang gagal. Jika Anda melakukan itu, Anda masih dapat mengakses panel admin Anda saat jauh dari kantor Anda, namun Anda masih memiliki perlindungan yang baik terhadap peretas.



Source by Dave Thomas

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *