10 Actionable WordPress Security Tips untuk Orang Awam

Artikel ditulis oleh:
  • WordPress
  • Diperbarui: Jun 06, 2018

Sejak pertama kali diperkenalkan di lebih dari dua dekade yang lalu, WordPress telah tumbuh (dan tumbuh) sekarang dengan aman disebut sebagai sistem manajemen konten paling populer di dunia. Hari ini, lebih dari seperempat situs web yang ada dijalankan di WordPress.

Namun sejak jaman dahulu, semakin populer sesuatu, semakin banyak orang yang ingin memanfaatkannya untuk maksud jahat. Lihat saja Microsoft Windows dan sejumlah besar malware, virus, dan eksploitasi lainnya dirancang untuk menargetkan hanya satu sistem operasi khusus ini.

Versi Wordpress 10 dengan Kerentanan Terbanyak (sumber). Penelitian di 2017 mengidentifikasi 74 versi WordPress yang berbeda di Alexa Top 1 juta situs web; 11 dari versi ini tidak valid - misalnya versi 6.6.6 (sumber).

Mengapa blog WordPress Anda adalah target yang berharga?

Jika Anda bertanya-tanya mengapa hacker ingin mengendalikan blog WordPress Anda, ada beberapa alasan termasuk;

  • Menggunakannya untuk mengirim email spam secara diam-diam
  • Mencuri data Anda seperti milis atau informasi kartu kredit
  • Menambahkan situs Anda ke botnet yang dapat mereka gunakan nanti

Untungnya, WordPress adalah platform yang menawarkan Anda banyak kesempatan untuk membela diri. Setelah membantu menyiapkan dan mengelola beberapa situs web dan blog, saya ingin berbagi beberapa hal mendasar yang dapat Anda lakukan untuk membantu mengamankan situs WordPress Anda.

Berikut adalah kiat keamanan yang dapat ditindaklanjuti 10 yang dapat Anda gunakan.

Kiat #1. Pilih nama pengguna administrator yang baik

Dari pengalaman, sebagian besar upaya retas situs mencoba masuk dengan tiga pilihan utama nama pengguna. Dua yang pertama selalu 'admin' atau 'administrator', sedangkan yang ketiga biasanya berdasarkan nama domain Anda.

Misalnya, jika situs Anda adalah crazymonkey33.com, peretas mungkin mencoba masuk dengan 'crazymonkey33'.

Bukan ide yang bagus.

Tip #2. Pastikan untuk menggunakan kata sandi yang kuat

Saat ini Anda mungkin akan berpikir bahwa orang akan tahu untuk menggunakan kata sandi yang kuat dan rumit untuk melindungi akun mereka, tetapi masih banyak yang berpikir bahwa 'sandi' adalah kata sandi yang hebat.

Kata sandi yang kuat akan mencakup campuran:

  • Karakter huruf besar atas dan bawah
  • Menjadi alfanumerik (AZ dan az)
  • Sertakan karakter khusus (!, @, #, $, Dll)
  • Setidaknya panjang 8 karakter

Semakin acak kata sandi Anda, semakin aman kata sandi itu. Coba pembuat kata sandi acak ini jika Anda mengalami kesulitan untuk mendapatkannya. https://passwordsgenerator.net/

Kiat #3. Terapkan reCAPTCHA

Dinding bots dari blog WP Anda.

reCaptcha dirancang untuk menghentikan alat otomatis bekerja di situs. Tentu saja, mengingat kerumitan alat peretasan saat ini, ini dapat dengan mudah dilewati, tetapi setidaknya ada lapisan keamanan tambahan.

Ada sejumlah plugin reCaptcha Anda dapat menggunakan dengan instalasi Anda yang akan bekerja cukup banyak di luar kotak.

Kiat #4. Gunakan Otentikasi Dua Faktor (2FA)

2FA adalah metode otentikasi yang memerlukan verifikasi pada login Anda. Misalnya, setelah Anda masuk dengan nama pengguna dan kata sandi Anda, sistem mungkin mengirim SMS ke ponsel Anda atau mengirim email berisi kode yang perlu Anda masukkan untuk memverifikasi identitas Anda.

Metode otentikasi ini menawarkan perlindungan yang baik dan digunakan oleh banyak bank dan lembaga keuangan saat ini. Sekali lagi, kebutuhan ini dapat dengan mudah dipenuhi dengan Plugin 2FA.

Lihat bagaimana miniOrange (plugin 2FA) berfungsi dengan login WordPress dalam video berikut.

T

Kiat #5. Ubah nama URL login Anda

Sebagian besar peretas akan mencoba masuk melalui halaman login wordpress default, yang biasanya seperti sample.com/wp-admin.

Untuk menambahkan lapisan perlindungan lain, ubah URL halaman masuk dengan cepat dan mudah dengan alat seperti WPS Menyembunyikan Login.

Tip #6. Lindungi direktori wp-admin Anda

Tambahkan lapisan keamanan ekstra ke direktori host Anda.

Direktori wp-admin adalah jantung dari instalasi WordPress Anda. Sebagai perlindungan tambahan, kata sandi melindungi direktori ini.

Untuk melakukannya, Anda harus masuk ke panel kontrol akun hosting Anda. Apakah Anda menggunakan cPanel or Plesk, opsi yang Anda cari adalah 'Direktori yang melindungi kata sandi'.

Tip #7. Gunakan SSL untuk mengenkripsi data

Koneksi HTTP vs HTTPS (Sumber: Sucuri)

Selain dari situs itu sendiri, Anda juga ingin menjaga koneksi antara Anda dan server dan ini adalah tempat SSL datang untuk mengenkripsi komunikasi Anda. Dengan memiliki koneksi terenkripsi, peretas tidak akan dapat menyadap data (seperti kata sandi Anda) ketika Anda berkomunikasi dengan server Anda.

Selain dari ini, itu juga praktik yang baik untuk menerapkan SSL sekarang karena mesin pencari semakin menghukum situs yang mereka anggap 'tidak aman'.

Pelajari lebih lanjut tentang SSL di bagian kami yang komprehensif Panduan AZ ke SSL.

Kiat #8. Pastikan SEMUA perangkat lunak Anda sudah diperbarui

Tidak peduli seberapa baik atau mahal perangkat lunak, akan selalu ada kelemahan baru yang ditemukan di dalamnya yang dapat membuat mereka terbuka untuk dieksploitasi. WordPress tidak terkecuali dan tim terus merilis versi terbaru dengan perbaikan dan pembaruan.

Peretas hampir selalu mencari untuk memanfaatkan kelemahan dan eksploit yang diketahui yang dibiarkan tidak tetap hanya meminta masalah. Ini berlaku dua kali lipat untuk plugin yang sering dibuat oleh perusahaan yang lebih kecil dengan sumber daya yang lebih sedikit.

Jika Anda menggunakan plugin, pastikan bahwa pembaruan dirilis secara berkala, atau pertimbangkan untuk mencari yang memiliki fungsi serupa yang terus diperbarui.

Setelah mengatakan ini, saya tidak menyarankan Anda menggunakan pembaruan WordPress dan Plugin otomatis, terutama jika Anda menjalankan situs langsung. Beberapa pembaruan dapat menimbulkan masalah, baik secara internal atau melalui konflik dengan plugin dan pengaturan lainnya.

Idealnya, buat lingkungan uji yang mencerminkan situs langsung Anda dan uji pembaruan di sana. Setelah Anda yakin semuanya berfungsi dengan baik maka Anda dapat menerapkan pembaruan ke situs langsung.

Panel kontrol seperti Plesk memberi Anda pilihan untuk membuat klon situs untuk tujuan ini.

Kiat #9. Memanfaatkan Jaringan Distribusi Konten (CDN)

Meskipun ini mungkin tidak menyelamatkan situs Anda dari peretasan, hal ini membantu mengurangi serangan jahat terhadapnya. Beberapa peretas bertujuan untuk meruntuhkan situs web, membuatnya tidak dapat diakses oleh publik. Sebuah CDN akan membantu meredam pukulan serangan Denial of Service Terdistribusi di situs Anda.

Selain itu, itu juga membantu mempercepat situs Anda sedikit dengan menyembunyikan beberapa konten. Untuk menjelajahi opsi ini, lihatlah ke CloudFlare sebagai contoh. CloudFlare menawarkan layanan CDN pada tingkat harga multi-tier, sehingga Anda bahkan dapat menggunakan fitur dasar secara gratis. https://www.cloudflare.com

Kiat #10. Cadangan, cadangan, dan cadangan!

Tidak peduli apa tindakan keamanan atau seberapa waspada Anda, kecelakaan terjadi. Selamatkan diri Anda dari kerusakan hati dan ratusan jam kerja hanya dengan memastikan Anda memiliki layanan cadangan yang memadai.

Biasanya web host Anda akan datang dengan beberapa fitur cadangan dasar setidaknya, tetapi jika Anda paranoid seperti saya, selalu pastikan Anda melakukan backup independen Anda sendiri. Mencadangkan tidak sesederhana hanya menyalin beberapa file, tetapi juga mempertimbangkan informasi dalam database Anda.

Carilah solusi cadangan yang dicoba dan terbukti. Bahkan investasi kecil berharga untuk menghemat air mata dalam keadaan darurat. Sesuatu seperti BackupBuddy dapat membantu Anda menyimpan semua termasuk database Anda sekaligus.

Tip Bonus: Jumlah host web Anda!

Meskipun secara tradisional, perusahaan web hosting hanya menawarkan ruang bagi kita untuk meng-host situs web kami, waktu telah berubah. Penyedia hosting web, yang mengakui kebutuhan mendesak untuk peningkatan keamanan, telah meningkatkan, dengan banyak menawarkan layanan bernilai tambah untuk melengkapi hosting web mereka.

Ambil contoh HostGator, salah satu nama yang lebih mapan dalam gim. Selain fitur Cloudflare dasar, HostGator (dengan harga $ 10 + / mo) juga dilengkapi dengan Perlindungan Spam Gratis, Penghapusan Malware Otomatis, Pencadangan Otomatis, Privasi Domain, dan lainnya.

Penyedia hosting WordPress yang dikelola, Kinsta, membangun firewall perangkat keras dan secara aktif memantau server mereka untuk serangan malware dan DDoS dengan sistem yang dibuat khusus.

Jika ini adalah sesuatu yang belum terpikirkan oleh Anda, saya sangat mendorong Anda untuk melihat fitur keamanan apa yang disediakan host Anda dan bandingkan dengan apa yang saat ini tersedia.

Untuk daftar lengkap, Anda bisa memeriksanya Kompilasi web host WHSR di sini.

Sekarang apa?

Sebelum Anda berlari liar dan mulai menjelajahi Internet dengan panik mencari satu juta dan satu solusi keamanan - ambil napas dalam-dalam. Seperti yang lainnya, seseorang telah membantu Anda panik dan mencari solusi.

Bahkan jika Anda menerapkan banyak solusi keamanan yang dapat Anda temukan, apakah Anda yakin kamu aman?

Di sinilah sesuatu seperti Keamanan Ninja masuk, yang membantu Anda memeriksa situs Anda untuk kelemahan.

Demo cepat: Cara kerja Keamanan Ninja.

Ada beberapa alasan kuat untuk menggunakan sesuatu seperti Keamanan Ninja, tetapi izinkan saya mengatakan bahwa itu adalah alat yang saya sarankan untuk digunakan pada beberapa tahap dalam perjalanan Anda untuk mengamankan situs Anda.

Pertama, jalankan di situs web Anda 'apa adanya' - sebelum melakukan perubahan apa pun. Biarkan plugin menyodok dan mendorong situs Anda sebelum memberi Anda hasilnya.

Kemudian berdasarkan hasil tersebut, bekerjalah untuk mengamankan situs Anda. Keamanan Ninja melakukan lebih dari 50 tes untuk menyelidiki pertahanan Anda. Bahkan setelah Anda membuat perubahan, jalankan lagi (dan setiap kali ada perubahan situs atau pembaruan plugin) hanya untuk menguji situs Anda.

Jika ini terdengar seperti terlalu banyak pekerjaan untuk Anda, Security Ninja juga dilengkapi dengan sejumlah modul tambahan (versi pro, situs tunggal $ 29) yang dapat membantu Anda memperbaiki masalah yang ditemukannya.

Beberapa fitur utama lainnya dalam modul ini termasuk:

  • Pindai file inti WP untuk mengidentifikasi file yang bermasalah
  • Kembalikan file yang diubah dengan satu klik
  • Perbaiki pembaruan otomatis WP yang rusak
  • Larang 600 juta IP buruk yang dikumpulkan dari jutaan situs yang diserang
  • Daftar pembaruan otomatis, tidak perlu pemeliharaan atau pekerjaan manual
  • Lindungi formulir masuk dari serangan brute-force

Final Thoughts

Sementara semua ini mungkin tampak sedikit berlebihan bagi pengguna WordPress rata-rata, saya jamin bahwa semua itu (dan lebih) diperlukan. Mengabaikan statistik peretasan di seluruh dunia dan yang lainnya untuk sementara waktu, izinkan saya berbagi dengan Anda beberapa informasi pribadi di salah satu situs yang paling tidak jelas yang saya bantu kelola.

Awalnya dimulai sebagai situs biografi sederhana, saya buat www.timothyshim.com. Jelas, itu hanya sesuatu yang saya setup dan sebagian besar waktu biarkan sendirian, hanya sebagai titik referensi. Pada setiap periode bulan-lama, situs ini yang pada dasarnya tidak melakukan apa-apa dan tidak mengumpulkan data, menghadapi serangan 30 - kombinasi dari kekerasan dan yang rumit.

Yang dibutuhkan adalah salah satu dari mereka untuk berhasil dan saya akan memiliki benar-benar hari yang buruk.

Artikel oleh Timothy Shim

Timothy Shim adalah seorang penulis, editor, dan pakar teknologi. Memulai karirnya di bidang Teknologi Informasi, ia dengan cepat menemukan jalannya untuk mencetak dan sejak itu bekerja dengan judul media internasional, regional dan domestik termasuk ComputerWorld, PC.com, Bisnis Hari Ini, dan The Asian Banker. Keahliannya terletak di bidang teknologi baik dari sudut pandang konsumen maupun perusahaan.

Terhubung: