![](\"https:\/\/blogging-techies.com\/wp-content\/uploads\/2020\/03\/Como-NO-asegurar-su-sitio-web-de-WordPress.jpg\")
<\/p>\n\n<\/p>\n
Apa hal pertama yang akan Anda lakukan saat ingin mengamankan situs WordPress Anda? Cari tahu lima pengaya keamanan teratas, pertimbangkan seberapa terjangkau pengaya itu, lalu lanjutkan dan instal satu. Selesai, sekarang Anda bisa duduk dan rileks, bukan? Salah!<\/p>\n
Menggunakan plug-in keamanan tidak menjamin keamanan. Keamanan bukanlah hal yang mutlak dan tidak ada yang bisa menjamin keamanan penuh. Hal terbaik yang dapat kami lakukan adalah mengurangi risiko peretasan. Dan bertentangan dengan kepercayaan populer, pemilik situs harus terlibat untuk menjaga keamanan situs web. Mengetahui apa yang harus dilakukan dan apa yang tidak boleh dilakukan itu penting.<\/p>\n
Meskipun ada beberapa panduan tentang apa yang harus Anda lakukan untuk menjaga situs WordPress Anda tetap aman, kami menawarkan Anda panduan tentang apa yang harus DIHINDARI. Anda akan melihat bahwa tip di sini bertentangan dengan kepercayaan umum. Namun menurut pengalaman kami, banyak tip yang ketinggalan zaman dan menawarkan rasa aman yang palsu.<\/p>\n
Jika masalah keamanan WordPress sangat mengganggu Anda seperti kami, lihat yang berikut ini.<\/p>\n
Mengingat banyaknya plugin yang tersedia, dengan berbagai set fitur, sangat menggoda untuk menggunakan lebih dari satu plugin keamanan WordPress. Sejujurnya, itu berlebihan. Wajar untuk mengkhawatirkan keamanan situs Anda, tetapi Anda harus bertanya pada diri sendiri apakah Anda benar-benar membutuhkan lebih dari satu plugin keamanan. Apa karakteristik penting untuk persyaratan situs Anda? Apakah karakteristiknya akan saling menginjak kaki?<\/p>\n
Misalnya, konflik dapat muncul ketika plugin mulai memodifikasi file seperti wp-config.php atau htaccess. Plugin dapat dengan mudah memanipulasi file-file ini, tetapi mereka tidak memodifikasinya secara bulat. Ini dapat menimbulkan konflik dan membuat situs web Anda lambat.<\/p>\n
Dengan situs WordPress, ada yang salah dari waktu ke waktu. Semua orang membenci White Screen of Death yang ditakuti. Memiliki banyak plugin yang sangat memengaruhi situs web Anda dapat mempersulit masalah debugging. Sekarang jika hanya ada satu plugin, menemukan dan memperbaiki penyebab kesalahan akan lebih mudah dan tidak rumit.<\/p>\n
Ada beberapa cara situs WordPress dapat diretas. Peretas dapat memperoleh akses ke database situs melalui serangan injeksi SQL. Kerentanan dalam sebuah plugin atau tema dapat digunakan untuk membobol database situs (jadi kami menyarankan Anda menggunakan plugin database cadangan WordPress untuk menghindari kesulitan serupa). Metode yang populer untuk mencegah peretas menggali situs Anda adalah dengan mengubah awalan tabel default. Seperti yang Anda lihat pada gambar di bawah ini, di WordPress, awalan tabel default adalah “wp_”. WordPress memungkinkan Anda untuk mengubah prefiks tabel (misalnya “xzy_”) untuk menyembunyikan tabel tertentu.<\/p>\n
![\"Awalan](\"https:\/\/blogging-techies.com\/wp-content\/uploads\/2020\/03\/Como-NO-asegurar-su-sitio-web-de-WordPress.png\")
<\/p>\n
Di permukaan, ini sepertinya ide yang bagus. Jika peretas tidak mengetahui nama tabel tersebut, mereka tidak dapat memulihkan data darinya. Namun, ini adalah alasan yang salah. Setelah seseorang meretas database Anda, masih ada cara untuk mengetahui tabelnya. Jadi mengubah nama awalan tidak ada gunanya. Selain itu, mengubah awalan default dapat menyebabkan berbagai plugin tidak berfungsi dengan baik.<\/p>\n
Selain itu, mengubah awalan database di tengah udara sulit untuk diterapkan dan dapat menyebabkan situs web Anda macet. Ini karena ada banyak perubahan yang perlu dilakukan di semua tingkatan. Setiap kesalahan dalam proses tersebut akan menjadi bencana besar bagi situs Anda.<\/p>\n
Selalu ada seseorang yang mencoba membobol situs Anda dengan memecahkan sandi Anda. Selama serangan brute force, peretas mencoba masuk ke situs web Anda menggunakan kombinasi nama pengguna dan kata sandi populer. Lalu bagaimana jika kita menyembunyikan halaman login? Itu akan membunuh dua burung dengan satu batu, bukan? Peretas tidak akan dapat menemukan halaman login dan beban di server Anda akan berkurang.<\/p>\n
WordPress memiliki halaman login default. URL halaman biasanya terlihat seperti ini example.com\/wp-login.php. Cara yang diketahui untuk menyelamatkan situs Anda dari serangan brute force adalah dengan menyembunyikan atau mengubah halaman login default ke halaman lain seperti example.com\/mylogin.php. Meskipun ini terdengar seperti rencana yang sangat mudah, mari kita lihat seberapa efektif metode ini untuk menjaga keamanan situs WordPress Anda.<\/p>\n
Setelah menyembunyikan atau mengubah lokasi halaman login Anda, setiap kali seseorang mencoba membukanya, mereka akan menghadapi error 404. Namun, upaya login adalah proses yang membosankan. Setiap kali laman kesalahan 404 dimuat, ini menghabiskan banyak sumber daya server. Dan itu akhirnya memperlambat situs web Anda. Oleh karena itu, kepercayaan umum bahwa menyembunyikan halaman login Anda akan mengurangi beban di server adalah salah.<\/p>\n
Bagian dari kesuksesan WordPress sebagai CMS adalah karena plugin yang memudahkan modifikasi situs web. Tidak heran, cara populer untuk menyembunyikan halaman login situs adalah dengan menggunakan plugin. Plugin ini datang dengan satu set url login alternatif default seperti xzy.com\/wplogin.php dll. Kami telah dilatih untuk tetap menggunakan pengaturan default. Setelah kami menginstal plugin dan mengubah URL kami, kami tidak terlalu memikirkannya. Tetapi hanya ada begitu banyak URL yang dapat ditawarkan plugin. Tidak terlalu sulit untuk menemukan URL login prasetel ini. Oleh karena itu, menggunakan URL alternatif bisa jadi tidak efektif dalam banyak kasus.<\/p>\n
Keindahan WordPress adalah mudah digunakan. Ini adalah platform yang familiar. Untuk situs dengan banyak pengguna, mengubah atau menyembunyikan halaman login dapat menimbulkan beberapa masalah. Beberapa kali kami menemukan posting forum WordPress di mana pengguna diblokir dari situs karena perubahan URL login. Dalam kebanyakan kasus, perubahan dilakukan dengan plug-in dan pengguna tidak menyadari situasi yang menyebabkan kekacauan.<\/p>\n
Jika Anda memiliki plugin keamanan yang diinstal di situs Anda, Anda akan menerima pemberitahuan setiap kali seseorang mencoba masuk ke situs Anda. Anda dapat dengan mudah mendapatkan IP dengan mengirimkan permintaan jahat tersebut dan memblokirnya menggunakan file .htaccess. Ini padat karya dan bukan praktik yang sangat nyaman.<\/p>\n
Orang non-teknis yang mencoba mengubah file .htaccess adalah resep bencana. Sistem manajemen konten seperti WordPress memiliki format yang sangat ketat. Bahkan menggunakan alat paling populer seperti FTP \/ SFTP pun sangat berisiko. Bug kecil atau lokasi perintah yang salah dapat menyebabkan situs macet.<\/p>\n
Untuk menghindari daftar hitam, peretas menggunakan alamat IP dari seluruh dunia. Sebelumnya, kita membahas pemblokiran alamat IP secara manual yang terus-menerus mencoba masuk ke situs Anda. Pekerjaan (seperti yang telah kami sebutkan sebelumnya) membutuhkan banyak waktu dan tenaga, tetapi sebenarnya tidak terlalu efisien dalam menggunakan waktu. Tetapi jika Anda menggunakan salah satu plugin keamanan WordPress utama, misalnya Malcare, Anda dapat mengotomatiskan proses pemblokiran. Plugin keamanan semacam itu menangani semua celah keamanan di WP.<\/p>\n
Ada asumsi umum bahwa menyembunyikan CMS akan mempersulit orang yang berniat jahat untuk masuk ke situs Anda. Bagaimana jika kami dapat menyembunyikan fakta bahwa situs web Anda berjalan di WordPress? Itu akan melindungi situs Anda dari peretas yang ingin mengeksploitasi kerentanan umum. Cara mudah untuk melakukannya adalah (Anda dapat menebaknya) menggunakan plugin. Tetapi metode ini gagal ketika peretas tidak peduli platform apa yang menjalankan situs web Anda. Selain itu, ada banyak cara untuk mengetahui apakah suatu situs berjalan di WordPress.<\/p>\n
Selain menggunakan plugin, seseorang dapat memilih untuk melakukan pekerjaannya secara manual. Tapi ini proses yang lambat. Pembaruan tunggal WordPress dapat membatalkan semua pekerjaan Anda dalam hitungan detik. Yang berarti Anda harus mengulangi proses berulang kali atau menghindari pembaruan WP. Melewatkan pembaruan WordPress seperti membuka pintu depan bagi peretas untuk memasuki rumah Anda secara langsung.<\/p>\n
Halaman login WordPress default (yang terlihat seperti ini: example.com\/wp-admin) adalah gateway ke situs Anda. Halaman login biasanya terlihat seperti gambar di bawah ini.<\/p>\n
![\"\"](\"https:\/\/blogging-techies.com\/wp-content\/uploads\/2020\/03\/1584166028_169_Como-NO-asegurar-su-sitio-web-de-WordPress.png\")
<\/p>\n
Di sini Anda perlu menggunakan kredensial Anda untuk mengakses dasbor WordPress. Perlindungan kata sandi pada halaman login membantu menyembunyikan atau melindungi gateway ini ke dasbor. Itu ide yang bagus, tetapi bukan tanpa celahnya.<\/p>\n
Pertama-tama, sulit untuk mempertahankan atau bahkan mengubah kata sandi jika Anda kehilangannya. Selain tidak efektif dalam memberikan keamanan tambahan, modifikasi seperti itu pada situs Anda bisa sangat berbahaya. Misalnya, ketika Anda melindungi halaman admin dengan kata sandi, permintaan seperti \/wp-admin\/admin-ajax.php tidak dapat melewati perlindungan. Ada plugin yang mungkin bergantung pada fungsionalitas Ajax situs Anda. Dan ketika mereka tidak dapat mengakses fungsi ini, mereka mulai berperilaku tidak baik. Oleh karena itu, ini dapat menyebabkan situs web rusak.<\/p>\n
Jika Anda memiliki pertanyaan atau saran tentang apa yang harus dihindari untuk melindungi situs WordPress Anda, beri tahu kami di komentar.<\/p>\n