22 Tips Mencegah Blog Wordpress Anda Diretas

Cara Menghindari Situs WordPress Anda Diretas

Apakah Anda menggunakan langkah-langkah keamanan dalam situs web atau blog Anda sekarang atau tidak, faktanya adalah…

Blogger yang Bijaksana menganggap serius keamanan situs web dan melakukan segala yang mereka bisa untuk mencegah blog WordPress mereka diretas.

Keamanan online adalah masalah yang sangat nyata.

Banyak orang lupa memperbarui plugin dan tidak menggunakan WordPress versi terbaru. Tidak melakukan ini bisa berarti bencana jika Anda tidak mengambil langkah-langkah untuk mencegah blog Anda diretas.

Kehilangan konten blog atau situs web Anda dapat menghancurkan bisnis, reputasi, atau hanya keberadaan online yang Anda coba tingkatkan; bayangkan memiliki blog yang memiliki ratusan posting, komentar, dan bahkan tautan afiliasi hanya untuk mengetahui bahwa itu telah dihancurkan pada hari berikutnya! Bukan perasaan yang menyenangkan. Namun, ada beberapa cara untuk membuat keamanan situs web Anda lebih kuat dari yang lebih baik.

Anda dapat menambahkan plugin, memperbarui kerangka kerja blog Anda, pada dasarnya, ada banyak cara untuk mengamankan blog atau situs web Anda. Jadi untuk membantu Anda, saya telah menulis artikel singkat namun informatif ini. Saya harap ini membantu beberapa dari Anda.

Posting ini dibuat oleh saya sendiri, tetapi juga teman blogging jenius saya, Julius yang menjalankan And Break! Lihat blognya untuk tips hebat saya.

Bagaimana menjaga situs WordPress Anda agar tidak diretas

Cadangkan Blog Anda

Sebelum membuat perubahan apa pun pada blog Anda, pastikan untuk membuat cadangan blog Anda. Masalah dengan sebagian besar plugin gratis adalah mereka tidak mencadangkan semua data Anda. Misalnya, jika blog WordPress Anda terhapus dan Anda memulihkan cadangan dari plugin gratis, Anda masih akan kehilangan banyak data seperti gambar, karena tidak dicadangkan dengan plugin ini. Itu sebabnya saya akan merekomendasikan menggunakan Backup Buddy yang mencadangkan blog WordPress lengkap Anda dan memungkinkan Anda memulihkannya dengan mudah di lain waktu.

Jika Anda khawatir apakah blog Anda bisa diretas, pastikan untuk melihat Backup Buddy.

Gunakan Kata Sandi yang Kuat

Kata sandi yang kuat sangat penting untuk pengguna dengan hak istimewa tinggi seperti administrator. Tanpa mereka, blog Anda akan rentan terhadap serangan brute force. Pada dasarnya ini adalah serangan di mana penyerang mencoba menebak kata sandi dengan melewati banyak kata sandi – kombinasi pengguna. Jika Anda menggunakan kata sandi yang aman maka kemungkinan serangan brute force yang berhasil menjadi sangat rendah.

Berikut adalah beberapa tip tentang kata sandi aman yang harus disertakan:

• gunakan setidaknya 1-2 angka gunakan karakter huruf besar dan kecil
• gunakan karakter khusus seperti !@#…

Anda juga tidak boleh menggunakan kata sandi seperti tanggal lahir atau hobi Anda. Kata sandi semacam ini sangat tidak aman karena peretas dapat menemukan informasi pribadi dengan mudah.

Langkah penting lainnya yang harus Anda ambil adalah memiliki banyak kata sandi yang berbeda. Sangat menyenangkan memiliki hanya satu kata sandi tunggal dan mengakses semuanya melalui itu, tetapi bayangkan apa yang terjadi jika seseorang mengetahui kata sandi ini. Dia pada dasarnya dapat mengakses semua akun Anda.

Untuk alasan itu gunakan banyak kata sandi yang berbeda.

Ikuti terus Patch dan Pembaruan

Ini adalah langkah penting lainnya dalam mengamankan blog Anda. Tambalan dan pembaruan dibuat untuk memperbaiki lubang keamanan dan untuk menambah fungsionalitas perangkat lunak. Tidak ada alasan untuk tidak menginstalnya.

Pada dasarnya Anda juga harus selalu memberi tahu diri Anda tentang perubahan di WordPress dan kerentanan secara umum. Oleh karena itu, saya menyarankan Anda untuk mengikuti dua feed ini:

• Pengembangan WordPress
• BlogSecurity.net

Yang pertama adalah umpan pengembangan WordPress di mana rilis baru dan pembaruan terbaru untuk WordPress diposting. Yang lainnya adalah umpan dari BlogSecurity.net. Orang-orang ini sering memposting kerentanan yang ada di plugin WordPress atau di WordPress itu sendiri.

Gunakan SSH alih-alih FTP

FTP pada umumnya tidak seaman yang dipikirkan orang. Kredensial FTP Anda biasanya tidak dienkripsi dan mudah ditangkap.

Alternatif yang sangat aman untuk FTP adalah SSH. SSH menggunakan algoritme langsung untuk mengenkripsi semua data yang dikirim melaluinya, termasuk file. Baca cerita ini dan Anda mungkin berubah pikiran tentang menggunakan FTP untuk mengunggah!

Gunakan Tema WordPress yang Didukung

Kebanyakan orang berpikir bahwa tema WordPress sendiri tidak menimbulkan risiko keamanan tetapi beberapa melakukannya. Tema dapat menimbulkan risiko keamanan karena tidak semua pengembang web tahu cara menulis kode yang aman.

Untuk alasan ini, sebaiknya tetap menggunakan tema yang didukung dan diperbarui dari waktu ke waktu. Tema WordPress yang didukung umumnya tersedia untuk sejumlah uang, tetapi lebih baik aman daripada menyesal. Tema berbayar ini disebut tema premium. Tema semacam itu ditawarkan oleh situs web seperti Woo Themes atau Thesis.

Keuntungan lain dari template profesional adalah ketika Anda mengalami masalah, Anda memiliki tempat yang dapat Anda tuju.

Pindai Plugin untuk Virus Setelah Diunduh

Hari ini Anda dapat dengan mudah mengunduh plugin dan menginstalnya dalam hitungan detik di blog Anda. Tetapi Anda harus berhati-hati dengan jenis ekstensi apa yang Anda unduh. Plugin dapat berisi kode berbahaya. Karena itu, masuk akal untuk memindai malware segera setelah mengunduhnya.

Anda terutama perlu melakukannya dengan plugin yang Anda unduh di beberapa tempat selain direktori plugin WordPress.

Untuk tugas ini, yang terbaik adalah menggunakan perangkat lunak anti-virus. Sistem operasi yang lebih baru secara otomatis memeriksa virus setelah mengunduh file. Jika Anda menggunakan sistem operasi lama, saya sarankan untuk memindai direktori unduhan Anda mungkin seminggu sekali atau tepat setelah mengunduh file baru.

Ubah Awalan Tabel Database

Untuk membuat database Anda lebih aman, Anda harus mengubah awalan tabel database Anda. Awalan default adalah wp_ dan harus diubah menjadi sesuatu yang berbeda, sesuatu yang lebih rumit dan lebih sulit ditebak seperti 5rt30k_ .

Di situlah WP Security Scan berguna karena akan melakukan ini untuk Anda. Anda harus tetap menginstal plugin WP Security karena akan menunjukkan potensi risiko keamanan di blog Anda.

Batasi Akses ke Direktori Konten-Wp

Wp-content adalah direktori Wordpress yang penting. Pengguna seharusnya hanya dapat mengakses jenis file tertentu dalam direktori ini. Jenis file ini termasuk gambar ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) dan XML ( .xml ).

Oleh karena itu, masuk akal untuk melarang akses ke semua jenis data lainnya. Kode di bawah ini akan mengizinkan akses ke file gambar, Javascript, CSS, dan XML tetapi tidak mengizinkan akses ke data lain. Kode di bawah ini harus ditempatkan di file .htaccess di dalam folder wp-content .

Perintah tolak, izinkan
Tolak dari semua
<File ~ “.(xml|css|jpe?g|png|gif|js)$”>
Izinkan dari semua
</File>

Itu saja yang perlu Anda lakukan.

Amankan wp-config.php

Wp-config.php adalah file yang sangat penting karena berisi semua informasi akses dan kunci yang penting untuk mengamankan blog Anda. Kami dapat mengamankan file dengan menambahkan baris ini ke file .htaccess di direktori root WordPress (di mana file wp-config berada):

# lindungi wp-config.php
<file wp-config.php>
Perintah tolak, izinkan
Tolak dari semua
</file>

Kode ini menolak akses semua orang ke file wp-config.php .

Tidak ada Penjelajahan Direktori

Perubahan penting lainnya mengenai keamanan WordPress adalah melarang orang menjelajahi struktur direktori situs web Anda. Jika Anda ingin melihat seperti apa ini, cukup masukkan "indeks" ke Google dan Google akan mencantumkan semua situs web yang memungkinkan penelusuran direktori.

Untuk menghentikan perilaku ini, yang harus Anda lakukan adalah menambahkan baris kode dari bawah ke file .htaccess Anda di direktori root WordPress.

Opsi Semua -Indeks

Ini akan menghentikan perilaku sekali dan untuk semua.

Jauhkan Mesin Pencari dari Mengindeks Bagian Admin

Perayap mesin pencari mengindeks hampir setiap konten selama mereka diberitahu untuk tidak melakukannya. Bagian admin Anda yang diindeks di mesin telusur dapat menjadi ancaman keamanan utama.

Oleh karena itu, sebaiknya jauhkan crawler dari semua direktori WordPress. Cara termudah untuk melakukannya adalah dengan membuat file robots.txt di direktori root Anda. Kemudian tempatkan kode berikut dalam file:

Larang: /wp-*

Amankan Direktori Plugin Anda

Plugin yang Anda gunakan dapat memberi tahu banyak pengguna jahat tentang situs web Anda, oleh karena itu sebaiknya Anda menyembunyikannya.

Anda dapat dengan mudah menyembunyikan plugin. Pertama-tama, buka editor teks dan buat file kosong bernama index.html . Kemudian unggah file ini ke direktori wp-content/plugins/ Anda.

Hapus Akun Admin Default

Dengan menghapus akun admin , pengguna jahat tidak dapat mengetahui nama pengguna Anda dengan mudah. Karena setiap instalasi WordPress dilengkapi dengan akun admin, peretas akan lebih mudah membobol akun Anda karena mereka sudah mengetahui nama pengguna.

Anda tidak dapat langsung menghapus akun administrator jika tidak memiliki akun admin baru, jadi ikuti langkah-langkah berikut:

1. Buat akun administrator baru (dengan nama pengguna yang lebih sulit ditebak)
2. Keluar
3. Masuk menggunakan akun administrator dan kata sandi baru
4. Hapus akun lama

Ubah Hak Akses Default untuk Pengguna

Hak akses default cukup aman tetapi jika Anda ingin berada di sisi yang aman dan memiliki kontrol lebih besar atas hak yang dimiliki setiap pengguna di blog Anda, maka ini penting.

Ini cukup sederhana untuk mengaturnya. Yang harus Anda lakukan adalah:

1. Unduh plug-in Manajer Peran
2. Unggah ke blog WordPress Anda
3. Aktifkan itu

Lalu pergi ke bagian Pengguna blog Anda. Di sana Anda dapat mengatur plugin Role Manager sesuai dengan kebutuhan Anda.

Hapus Akun Pengguna Tidak Aktif

Akun pengguna yang tidak aktif mengganggu dan juga merupakan risiko keamanan. Beberapa orang memilih kata sandi yang lemah ketika mereka mendaftar ke blog Anda. Jika akun tidak aktif tetapi masih ada di blog Anda, pengguna jahat dapat menggunakan akun ini untuk mendapatkan akses ke blog Anda.

Oleh karena itu, hal terbaik yang harus dilakukan adalah menghapus akun pengguna yang tidak aktif di WordPress (walaupun Anda perlu memastikan bahwa itu tidak merusak apa pun). Untuk melakukannya, buka dasbor WordPress Anda dan klik Users . Ini membawa Anda ke halaman di mana setiap pengguna akan terdaftar.

Kemudian lanjutkan dan hapus yang Anda tahu tidak aktif.

Tambahkan Kunci Otentikasi WordPress ke wp-config.php

Menambahkan kunci WordPress adalah langkah keamanan penting lainnya. Kunci ini harus acak dan berfungsi sebagai garam untuk cookie WordPress sehingga memastikan enkripsi data pengguna yang lebih baik.

Gunakan Generator Kunci Wordpress untuk menghasilkan kunci-kunci ini dan cukup ganti, di file wp-config.php , baris di bawah ini dengan yang dihasilkan:

define('AUTH_KEY', 'letakkan frase unik anda disini');
define('SECURE_AUTH_KEY', 'letakkan frasa unik Anda di sini');
define('LOGGED_IN_KEY', 'letakkan frase unik anda disini');
define('NONCE_KEY', 'letakkan frase unik anda disini');

Itu sebenarnya semua yang harus Anda lakukan.

Cegah Blog WordPress Diretas – Instal Firewall WordPress

Ada plugin di luar sana yang disebut WordPress Firewall 2 yang sebenarnya melindungi blog Anda dari peretas jahat. Apa yang dilakukannya adalah mengingatkan Anda setiap kali seseorang mencoba meretas blog Anda. Ini juga tentu saja akan memblokir upaya peretas.

Masalah dengan plugin ini adalah ia melakukan tugasnya dengan sangat baik. Itu berarti biasanya juga memblokir Anda dari membuat perubahan apa pun pada blog Anda. Jika Anda mengedit file tema WordPress Anda dan kemudian mengklik simpan, plugin Firewall akan memblokirnya. Hal ini juga terjadi pada saya ketika menggunakan plugin Smush.it secara manual.

Ini sangat menjengkelkan tetapi setidaknya ini menunjukkan kepada Anda bahwa plugin memang berfungsi. Satu-satunya hal yang dapat Anda lakukan jika ingin mengedit file seperti ini adalah menonaktifkan plugin dan mengaktifkannya kembali nanti.

Jatuhkan String Versi Wordpress

<meta content=”Wordpress 2.5″ />

String versi yang ditambahkan WordPress secara otomatis ke tema Anda penting karena memberikan informasi pengguna yang jahat tentang apakah sebuah blog ditambal atau tidak. Jika ini adalah versi usang, penyerang akan segera mulai mencari celah keamanan yang dipublikasikan tentang versi WordPress tertentu.

WordPress biasanya secara otomatis menambahkan string versi ini ke tema Anda. Baris kode di bawah ini akan memberi tahu WordPress untuk tidak menambahkan string versi ke header Anda. Yang harus Anda lakukan adalah menambahkan kode ke file functions.php Anda.

<?php remove_action('wp_head', 'wp_generator'); ?>

Sekarang lihat kode sumber situs web Anda. Jika tag meta generator masih ada maka Anda harus memeriksa apakah header.php Anda berisi baris seperti itu:

<meta name=”generator” content=”WordPress <?php bloginfo('versi'); ?>” />

Jika itu masalahnya, silakan dan hapus.

Cegah Blog WordPress Diretas – Selalu Gunakan HTTPS Saat Masuk ke Dasbor Anda

HTTPS adalah versi aman dari HTTP. Saat menggunakan HTTPS, data Anda, yaitu kata sandi dan nama pengguna, jangan dikirim dalam bentuk teks yang jelas, melainkan dienkripsi. Ini mempersulit orang untuk mencegat dan memecahkan kode sandi dan nama pengguna Anda dengan benar.

Jika Anda ingin menggunakan HTTPS saat masuk ke dasbor WordPress, Anda dapat menggunakan salah satu kode di bawah ini dan menambahkannya ke wp-config.php .

define('FORCE_SSL_LOGIN', benar);

Kode di atas memaksa WordPress untuk menggunakan SSL saat masuk ke panel administrasi Anda tetapi hanya saat masuk. Itu tidak memaksakan penggunaan SSL saat menggunakan dasbor Anda.

Alih-alih melakukan ini secara manual, Anda juga dapat menambahkan plugin seperti WordPress HTTPS (SSL)

Untuk Mencegah Blog WordPress Diretas – Blokir Upaya Akses ke Direktori wp-admin

Folder wp-admin adalah salah satu direktori terpenting di blog Anda. Anda dapat mengakses dasbor Anda melaluinya. Memblokir orang lain untuk mengakses direktori ini merupakan langkah penting dalam mengamankan blog Anda.

Anda dapat melakukannya dengan membuat file .htaccess di direktori wp-admin . Tambahkan kode di bawah ini tetapi ubah alamat IP menjadi milik Anda sendiri. Jika Anda tidak tahu apa alamat IP Anda, kunjungi saja WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Kontrol Akses"
AuthType Dasar
perintah tolak, izinkan
tolak dari semua
# alamat IP rumah daftar putih
izinkan dari 64.233.169.99
# alamat IP kerja daftar putih
izinkan dari 69.147.114.210
izinkan dari 199.239.136.200

Tidak masuk akal untuk menggunakan kode ini jika Anda memiliki banyak orang yang menulis di blog Anda, terutama jika mereka terus berubah. Masalahnya adalah Anda selalu perlu menambah/menghapus alamat IP, berdasarkan siapa yang membutuhkan akses ke blog Anda saat ini.

Kelemahan lain adalah ketika penyedia Internet Anda memberi Anda alamat IP dinamis, yang berarti bahwa alamat IP Anda terus berubah. Jika demikian, jangan tambahkan kode ke file .htaccess .

Untuk Mencegah Blog WordPress Diretas – Batasi Jumlah Upaya Login WordPress yang Gagal

Membatasi jumlah upaya yang gagal mencegah pengguna menggunakan teknik brute force di akun WordPress Anda. Serangan brute force adalah upaya untuk mengetahui kata sandi pengguna dengan mencoba setiap kemungkinan kata sandi.

Sebagai tindakan balasan, ada plugin yang secara otomatis melarang pengguna selama satu jam jika dia salah memasukkan kata sandi tiga kali berturut-turut. Login Lockdown adalah salah satu plugin WordPress ini.

Sembunyikan Kesalahan Masuk Dasbor

Pernahkah Anda memperhatikan bahwa ketika Anda mencoba masuk dengan nama pengguna yang ada dan kata sandi yang salah, Anda mendapatkan pesan yang mengatakan Kesalahan: Kata Sandi Salah . Jika Anda masuk dengan nama pengguna yang tidak ada dan beberapa kata sandi, pesan yang berbeda muncul melaporkan Kesalahan: Nama Pengguna Tidak Valid .

Ini membantu pengguna jahat untuk mengetahui jenis nama pengguna yang ada.

Oleh karena itu saya menyarankan Anda untuk menambahkan baris berikut ke file functions.php Anda:

add_filter('login_errors',create_function('$a', “return null;”));

Setiap kali kesalahan sekarang terjadi, baris kosong akan muncul. Cobalah.

Artikel yang Direkomendasikan: 10 Cara Meningkatkan Keamanan Blog