Keamanan web harus menjadi perhatian permanen dan permanen untuk semua situs web. Terlepas dari tindakan pencegahan yang telah Anda lakukan, selalu ada ruang untuk perbaikan. Ini karena tidak ada keamanan yang sangat mudah. Selain itu, peretas sedang mencari mangsa 24/7, jadi Anda harus selalu waspada. Hosting, sandi lemah, WordPress versi lama, atau tema / plugin yang meragukan adalah kemungkinan titik masuk bot untuk memasuki situs Anda.
Salah satu cara untuk mempersulit peretas adalah dengan meningkatkan perlindungan admin atau halaman login WordPress Anda. Ini adalah pintu gerbang ke situs web Anda, dan Anda dapat menghentikan sebagian besar kerusakan tepat di depan pintu, dengan memperkuat keamanan di halaman ini.
Beberapa cara untuk melindungi halaman admin Anda,
Ubah nama pengguna
Nama pengguna default di WordPress adalah “Admin” dan bot tahu itu. Sekarang jika mereka dapat menebak kata sandi Anda, Anda benar-benar telah memberi mereka undangan untuk masuk. Jadi ubah nama pengguna Anda menjadi sesuatu yang unik dan tidak dapat dibaca. Misalnya, untuk Klub Sepak Bola New York, “NY Soccer” bukanlah nama pengguna yang sesuai.
Anda dapat mengubah nama pengguna dengan mengikuti langkah-langkah sederhana ini,
- Masuk ke WordPress dengan akun pengguna Admin Anda yang sudah ada.
- Tambahkan pengguna baru dengan mengklik Pengguna> Tambahkan baru.
- Pilih “Administrator” sebagai peran untuk pengguna baru ini. Pilih nama pengguna unik di sini karena pengguna yang baru ditambahkan ini akan menjadi pengguna admin baru.
- Keluar dari akun pengguna “Admin” yang lama.
- Silakan masuk lagi dengan nama pengguna unik baru yang Anda buat.
- Hapus pengguna asli “Admin”. Anda perlu memindahkan semua posting lama Anda dari pengguna “Administrator” lama ke pengguna baru.
Anda juga dapat mengubah nama pengguna dengan mengakses phpMyAdmin. Baca tentang itu di SiteGround.
Kata sandi aman
Mengubah nama pengguna hanya setengah jalan. Perkuat kata sandi Anda sehingga bot tidak dapat menebaknya. Ulang tahun, nama hewan peliharaan, atlet favorit bisa ditebak dengan benar. Serangan brute force hanyalah upaya yang sering dan berulang untuk menebak kata sandi dengan coba-coba. Dan mereka pasti berhasil jika kata sandinya lemah. Oleh karena itu, kata sandi yang kuat itu penting.
Kata sandi yang kuat idealnya menggunakan kombinasi angka dan huruf, baik huruf besar maupun kecil. Tambahkan satu atau dua simbol seperti “!” Atau “@”. WordPress menawarkan opsi untuk menghasilkan kata sandi yang kuat, dan Anda juga dapat menggunakannya. Atau gunakan bantuan pembuat kata sandi. Periksa apakah kata sandi Anda kuat di Seberapa kuat kata sandi saya. Dan ubah kata sandi secara teratur.
Apakah sulit bagi Anda untuk mengingat kata sandinya? Lihatlah pengelola kata sandi seperti LastPass, DashLane, KeePass, 1Password, dan RoboForm. Pengelola kata sandi menyimpan semua kata sandi Anda dalam bentuk terenkripsi dan Anda dapat mengaksesnya dari perangkat apa pun.
Jika saya belum menganjurkan kata sandi yang kuat, laporan SplashData ini yang mencantumkan kata sandi terburuk tahun 2015 mungkin dapat membujuk Anda.
Batasi akses pengguna
Jika Anda adalah satu-satunya yang mengakses administrator, ini bukan untuk Anda. Namun jika Anda mengizinkan beberapa pengguna untuk mengakses backend, Anda harus tetap mengontrol hak istimewa mereka. Izinkan akses dan hak istimewa hanya untuk area dan sejauh yang diperlukan bagi mereka untuk melakukan tugasnya.
Tidak hanya itu, pengguna situs Anda juga harus menggunakan password yang kuat. Untuk memastikan ini, Anda dapat menginstal plugin Force Strong Passwords. Plugin ini memungkinkan pengguna untuk mengakses situs hanya jika mereka telah menetapkan kata sandi yang kuat untuk diri mereka sendiri. Atau Anda dapat memeriksa Solusi Keamanan Login, yang juga memeriksa dan menerapkan keamanan kata sandi, tanpa mengganggu pengguna asli.
Batasi upaya login
Bot mendapatkan akses ke situs Anda dengan mencoba berbagai kombinasi nama pengguna dan kata sandi. Mungkin perlu banyak percobaan sebelum mereka bisa masuk. Dengan membatasi jumlah percobaan yang dapat dilakukan dari satu IP, kami dapat secara dramatis mengurangi kemungkinan bot mendapatkan akses.
Ada plugin khusus yang dapat menyelesaikan tugas ini:
-
Batasi Upaya Login – Batasi tingkat upaya login untuk setiap IP. Ini adalah plugin yang umum digunakan, meskipun sudah lama tidak diperbarui.
-
Brute Force Login Protection – Lindungi situs Anda dari serangan brute force menggunakan .htaccess.
-
Jetpack Protect – Untuk melindungi situs WordPress dari serangan bot net.
Perlu juga dicatat bahwa beberapa hosting menawarkan fitur bawaan ini. WP Engine, misalnya, menambahkan ini ke platform hosting mereka pada awal 2015 untuk membuat situs web yang mereka hosting lebih aman (selain SSL gratis, otentikasi dua faktor, pencadangan otomatis, beberapa firewall, pemindaian keamanan, malware dan lainnya).
Ubah URL login Anda
URL untuk masuk ke semua situs WordPress secara default adalah URL utama situs Anda diikuti oleh wp-login.php atau wp-admin – misalnya, mywebsite.com/wp-login.php. Peretas mengetahui hal ini, dan jika Anda dapat mengubah URL ini, akan lebih sulit bagi mereka untuk memasuki situs web Anda.
Anda dapat menginstal Protect WP-Admin untuk mengubah URL panel admin Anda dan memblokir link default. Anda dapat mengubahnya menjadi apa pun yang Anda inginkan, seperti mywebsite.com/allow_admin_access. Saat kueri untuk mywebsite.com/wp-login.php atau mywebsite.com/wp-admin mencapai situs, itu akan dialihkan ke halaman beranda. Dan hanya url khusus yang diizinkan ke panel admin.
Cara yang benar-benar dapat diandalkan untuk melindungi halaman admin Anda adalah dengan memblokir akses sepenuhnya ke halaman wp-admin dan wp-login.php Anda. Tapi ini hanya bisa digunakan jika Anda menggunakan alamat IP yang tidak berubah. Atau, Anda berisiko diblokir dari situs web Anda. Jika Anda dapat melacak beberapa alamat IP, Anda masih dapat melanjutkan dan menggunakan opsi ini.
Anda juga dapat membatasi akses ke file wp-login.php Anda menggunakan otentikasi dasar HTTP. Ini adalah lapisan keamanan eksternal yang harus diatasi pengguna untuk masuk ke halaman login. Anda perlu membuat file .htpasswd untuk mencantumkan semua nama pengguna resmi dan kata sandi terenkripsi masing-masing. Serangan brute force juga dapat diluncurkan terhadap HTTP Basic Authentication, tetapi peretas akan mengambil upaya dua kali lebih banyak untuk memecahkan kedua lapisan tersebut.
Tambahkan SSL ke situs web Anda
SSL adalah teknologi keamanan standar. HTTP adalah Hypertext Transfer Protocol untuk transfer data antara server dan browser. Versi aman dari HTTP adalah HTTPS, “S” adalah singkatan dari Secure. Bersama-sama mereka memverifikasi identitas situs web untuk pengguna dan menjamin kerahasiaan pengguna antara situs web dan browser pengguna.
Setelah Anda mengkonfigurasi SSL / HTTPS, server mengenkripsi data dan hanya browser pengguna yang dapat mendekripsinya. Kepada pihak ketiga yang tidak diinginkan, data tersebut tidak akan berarti dan hanya akan muncul sebagai rangkaian karakter. Sebagai bonus, Anda akan menemukan bahwa Google menyukai HTTPS saat memberi peringkat situs web.
Memperoleh sertifikat SSL mungkin tidak lagi opsional, terutama jika Anda menggunakan browser Chrome. Ini karena Google sedang dalam proses menandai semua situs non-HTTPS sebagai “tidak aman”.
Saat ini, semua situs non-HTTPS bersifat netral dalam hal indikasi status SSL, tetapi itu akan berubah pada Januari 2017. Semua situs web yang memerlukan kata sandi atau mengumpulkan informasi kartu kredit harus dibuat aman atau menjalankan risiko dicap sebagai tidak aman oleh Google.
Ada banyak perusahaan seperti Comodo, DigiCert, dan SSL.com yang menawarkan layanan sertifikasi. Sertifikat dapat dibeli dengan harga murah dari SSLMate dan gratis dari Lets Encrypt. Beberapa penyedia layanan hosting menawarkan SSL gratis dengan paket hosting mereka. Anda dapat membaca lebih lanjut tentang penginstalan SSL di HTTPS dan panduan SSL gratis kami.
Otentikasi dua faktor
Otentikasi dua faktor adalah salah satu cara teraman untuk melindungi situs web Anda dari peretas. Ia bekerja sebagai tambahan dari nama pengguna / kata sandi standar yang sudah Anda miliki. Setelah Anda memasukkan kredensial ini, kode dibuat pada perangkat yang Anda miliki, seringkali ponsel cerdas Anda. Hanya ketika kode ini dimasukkan Anda mendapatkan akses ke situs.
Banyak plugin gratis dan premium tersedia untuk dipasang di situs web mereka. Metode keamanan ini telah ada selama beberapa waktu, tetapi sekarang semakin diterapkan pada akses situs web. Anda dapat membaca lebih lanjut tentang otentikasi dua faktor di posting kami sebelumnya.
Add-on keamanan
Banyak situs web memasang plugin yang menjaga keamanan WordPress secara komprehensif. Mereka mencakup perlindungan firewall, pemindaian malware, daftar hitam dan daftar putih IP, pemantauan aktivitas pengguna, jejak audit, dan umumnya memperkuat keamanan secara keseluruhan. Tersedia pilihan gratis dan premium.
Beberapa plugin yang menyertakan perlindungan login,
-
Wordfence: terapkan kata sandi yang kuat dan hindari serangan brute force.
-
iThemes – Melawan serangan otomatis dan membatasi jumlah upaya login. Ini juga menerapkan kredensial pengguna yang lebih ketat.
-
Firewall dan keamanan all-in-one: Mencegah serangan brute force dan mengaktifkan pemblokiran tingkat IP, memblokir pengguna setelah jangka waktu tertentu. Fitur perlindungan login lainnya termasuk pemblokiran login dan daftar putih serta alamat IP daftar hitam.
-
Keamanan Antipeluru: Login dan perlindungan brute force.
-
McAfee Secure – Menawarkan perlindungan berlapis, termasuk merek situs tepercaya, pemindaian malware, dan cakupan perlindungan identitas untuk toko e-commerce (aset yang hebat).
Pikiran terakhir
Metode yang tercantum dalam posting ini sebagian besar sederhana, tetapi merupakan cara yang sangat efektif untuk mencegah bot, malware, dan pembuat lelucon memasuki situs Anda. Anda juga dapat menambahkan captcha atau tes kecil lainnya untuk memeriksa apakah upaya login dilakukan oleh manusia dan menghindari bot. Jika Anda membutuhkan lebih banyak saran tentang keamanan WordPress, baca apa yang dikatakan Freddy di posting ini.
