28 Praktik & Tip Terbaik Keamanan WordPress Teratas
Diterbitkan: 2024-01-05WordPress adalah sistem manajemen konten (CMS) yang kuat, namun popularitasnya berarti perhatian yang sama sebagai target di kalangan peretas. Tanpa langkah-langkah keamanan yang diperlukan, situs Anda bisa rentan terhadap serangan.
Untungnya, ada beberapa hal yang dapat Anda lakukan untuk menjaga keamanan situs Anda. Mulai dari tugas sederhana seperti memperbarui plugin dan melakukan pencadangan hingga strategi yang lebih rumit, seperti bermigrasi ke penyedia hosting dengan langkah keamanan yang lebih kuat.
Pada artikel ini, kami akan memandu Anda melalui 28 praktik terbaik keamanan WordPress untuk membantu Anda memastikan bahwa situs Anda terlindungi.
1. Selalu perbarui WordPress, plugin, dan tema
Perangkat lunak yang ketinggalan jaman menimbulkan ancaman besar bagi situs web. Ketika plugin atau tema belum diperbarui selama berbulan-bulan atau bertahun-tahun, peretas akan memiliki lebih banyak waktu untuk mencari kerentanan dalam perangkat lunak dan mencari jalan ke situs yang menggunakannya.
Sederhananya: Jika Anda menggunakan WordPress versi lama, situs Anda rentan terhadap serangan. Ini juga berlaku untuk plugin atau tema apa pun di situs web Anda.
Penting untuk diingat bahwa WordPress sangat populer. Ini mendukung sekitar 43 persen dari semua situs web yang dikenal. Artinya, satu plugin yang memiliki masalah keamanan dapat menyebabkan ratusan atau ribuan situs membuka pintu bagi penjahat dunia maya.
Cara termudah untuk melindungi diri Anda dari kerentanan ini adalah dengan selalu memperbarui WordPress dan semua komponennya. Ini bisa sesederhana memeriksa dasbor setiap hari untuk melihat pembaruan apa yang tersedia dan menjalankannya.
Dalam hal plugin, Anda dapat mengonfigurasinya untuk memperbarui secara otomatis satu per satu. Untuk melakukan ini, buka Plugin → Plugin Terpasang dan klik Aktifkan pembaruan otomatis untuk plugin yang ingin Anda perbarui secara otomatis.
2. Ubah nama pengguna default “admin”.
Salah satu kesalahan keamanan terbesar yang dapat dilakukan pengguna WordPress adalah memilih nama pengguna seperti “admin” atau “administrator”. Itu adalah nama pengguna default yang ditetapkan WordPress untuk Anda, dan mempertahankannya akan memudahkan penyerang untuk memaksa masuk.
Banyak hacker yang mencoba membobol sebuah website dengan mencoba sebanyak mungkin kombinasi nama pengguna dan kata sandi. Ini disebut serangan brute force. Jika seseorang sudah mengetahui nama pengguna Anda, berarti mereka hanya perlu menebak satu faktor login saja.
WordPress tidak mengizinkan Anda mengubah nama pengguna untuk akun administrator setelah Anda mengaturnya. Untuk melakukan perubahan, Anda perlu membuat akun baru, memberinya peran pengguna Administrator , dan menghapus akun lama.
Anda dapat melakukannya dengan membuka Pengguna → Tambah Baru . Lalu, masukkan detail akun, termasuk nama pengguna yang sulit ditebak, dan pilih Administrator dari menu Peran .
Saat berikutnya Anda membuat situs WordPress, Anda perlu mengatur nama pengguna administrator ke sesuatu yang berbeda. Perubahan sederhana ini akan mempersulit penyerang untuk mengakses akun.
3. Gunakan kata sandi yang kuat dan ubah secara berkala
Jika Anda menggunakan kata sandi yang mudah seperti “1234” atau memiliki kata sandi yang sama untuk setiap akun, hanya masalah waktu sampai seseorang mendapatkan akses ke situs Anda.
Meskipun ada cara untuk mendapatkan kembali akses ke akun yang dicuri, prosesnya mungkin sulit. Selain itu, peretas mungkin melakukan kerusakan yang tidak dapat diperbaiki pada konten dan reputasi Anda.
Saat Anda membuat akun baru di WordPress, CMS akan membuatkan kata sandi yang kuat untuk Anda. Ini biasanya berupa kombinasi huruf, angka, dan karakter khusus.
Anda dapat menggunakan kata sandi ini atau mengubahnya menjadi sesuatu yang lebih mudah diingat (dengan tetap mempertahankan campuran huruf dan angka).
Anda bahkan dapat menggunakan pengelola kredensial jika Anda kesulitan mengingatnya. Pengelola kata sandi dapat membantu Anda membuat kata sandi yang aman untuk semua akun Anda dan menjaganya tetap aman.
Untuk keamanan tambahan, Anda sebaiknya mengubah kata sandi secara berkala. Dengan cara ini, jika ada kebocoran kredensial, akun Anda akan aman.
4. Menerapkan otentikasi dua faktor (2FA)
Seperti banyak situs web lainnya, WordPress memerlukan nama pengguna dan kata sandi untuk login. Ini berarti keamanan login sangat bergantung pada seberapa kuat kredensial Anda.
Bahkan dengan kata sandi terkuat sekalipun, ada kemungkinan seseorang mendapatkan akses ke akun Anda atau orang lain di situs Anda. Cara efektif untuk menghindari pelanggaran ini adalah dengan menggunakan otentikasi dua faktor (2FA).
Saat Anda mengaktifkan 2FA, situs Anda akan memerlukan metode verifikasi tambahan agar pengguna dapat masuk. Biasanya, ini adalah kode satu kali yang dikirim melalui SMS, email, atau aplikasi autentikasi.
Karena peretas tidak memiliki akses ke perangkat seluler atau email Anda, mereka tidak akan bisa masuk ke akun Anda. Beberapa situs web menawarkan opsi untuk menggunakan 2FA, sementara situs lain menerapkannya.
Jika Anda menggunakan Jetpack, Anda dapat memungkinkan pengguna untuk masuk dengan akun WordPress.com mereka. Ada juga opsi untuk menggunakan fungsionalitas 2FA WordPress.com.
Anda dapat menemukan pengaturan ini dengan membuka Jetpack → Pengaturan dan mencari bagian login WordPress.com . Kemudian, cukup alihkan tombol yang sesuai.
5. Gunakan enkripsi HTTPS melalui sertifikat SSL
Sertifikat lapisan soket aman (SSL) memungkinkan situs web Anda dimuat melalui HTTPS, yang merupakan versi aman dari HTTP. Sertifikat memverifikasi bahwa situs web Anda asli dan komunikasi antara browser dan server dienkripsi.
Anda bisa mendapatkan sertifikat SSL gratis dari beberapa otoritas, seperti Let's Encrypt. Banyak web host WordPress yang secara otomatis menyiapkan sertifikat SSL untuk situs web Anda. Host web lain memungkinkan Anda menyiapkan sertifikat secara manual melalui cPanel.
6. Instal plugin keamanan yang memiliki reputasi baik
Plugin keamanan WordPress sering kali dilengkapi dengan kumpulan fitur dan alat yang membantu Anda melindungi situs web Anda. Ini biasanya meliputi:
- Proteksi spam
- Perlindungan serangan penolakan layanan (DDoS).
- Firewall aplikasi web (WAF)
- Pemindaian dan pembersihan malware
- Pencadangan otomatis
Anda dapat menemukan plugin WordPress individual yang melakukan masing-masing tugas tersebut secara terpisah. Namun jika Anda memilih alat keamanan komprehensif, Anda akan dapat mengelola beberapa fitur dari satu tempat, yang dapat mempermudah pekerjaan Anda.
Faktanya, menggunakan plugin yang tepat dapat membantu Anda memeriksa beberapa item dalam daftar praktik keamanan WordPress terbaik ini. Jetpack Security mencakup semua fitur yang baru saja disebutkan, dan banyak fitur lainnya.
7. Cadangkan situs web Anda secara teratur
Mencadangkan data Anda secara rutin bisa dibilang merupakan hal terpenting yang dapat Anda lakukan agar tetap aman. Ketika berbicara tentang situs web, cadangan lengkap dapat menjadi penyelamat jika terjadi pelanggaran keamanan atau kegagalan fungsi.
Jika situs Anda diretas atau tidak lagi berfungsi dengan baik, cara termudah untuk mengatasi masalah tersebut adalah dengan memulihkan cadangan terbaru. Semakin baru pencadangannya, semakin kecil kemungkinan Anda kehilangan informasi penting.
Setelah situs berfungsi kembali dengan baik, Anda dapat mengambil langkah-langkah yang diperlukan untuk mengamankannya dari serangan lebih lanjut.
Ada banyak opsi cadangan untuk WordPress. Beberapa host web menawarkan pencadangan otomatis sebagai bagian dari paket hosting Anda (biasanya jika itu adalah layanan terkelola). Namun, sebaiknya jangan hanya mengandalkan cadangan ini. Jika server Anda disusupi — karena kesalahan pengkodean, kesalahan host, atau peretasan — cadangannya juga bisa mengalami hal yang sama.
Pilihan yang lebih baik adalah menggunakan plugin yang menyimpan cadangan di luar situs. Jetpack VaultPress Backup adalah salah satu opsi tersebut. Alat ini tersedia sebagai plugin individual dan sebagai bagian dari paket Keamanan Jetpack yang disebutkan sebelumnya. Ini mencadangkan situs Anda secara otomatis setiap kali Anda melakukan perubahan.
Pencadangan waktu nyata ini ideal jika Anda terus-menerus menambahkan konten baru ke situs web Anda. Artinya Anda akan selalu memiliki salinan versi terbaru. Selain itu, cadangan disimpan di luar situs, sehingga Anda akan selalu memiliki akses ke cadangan tersebut, meskipun situs Anda benar-benar tidak aktif.
8. Gunakan firewall aplikasi web (WAF)
WAF adalah jenis firewall yang dirancang untuk memfilter lalu lintas ke dan dari situs web. Ia menggunakan aturan untuk memfilter jenis lalu lintas tertentu dan dapat memblokir IP berbahaya yang diketahui.
WAF dirancang untuk membantu Anda menghentikan jenis serangan siber yang umum, termasuk injeksi SQL, pembuatan skrip lintas situs (XSS), dan pemalsuan permintaan lintas situs (CSRF). Mereka mampu melakukan hal ini berkat sistem aturan mereka yang rumit.
Semakin komprehensif aturan firewall, semakin efektif firewall tersebut. Banyak plugin keamanan (termasuk Jetpack Security) yang memiliki WAF canggih dengan seperangkat aturan yang dirancang berdasarkan pengalaman bertahun-tahun menangani serangan WordPress.
Meskipun Anda dapat mengatur dan mengonfigurasi WAF secara manual, cara terbaik Anda adalah menggunakan host web atau plugin keamanan yang menyiapkannya untuk Anda. Dengan cara ini, Anda dapat memanfaatkan basis data ancaman yang ada dan cukup mengaktifkan firewall.
9. Pindai malware secara teratur
Memindai situs web Anda dari malware melibatkan penggunaan alat pihak ketiga atau plugin keamanan. Perangkat lunak ini memeriksa file, plugin, dan tema situs Anda untuk mencari infeksi malware. Jika mendeteksi ada sesuatu yang salah, ia akan memberi tahu Anda di mana letak masalahnya.
Ingatkah saat Anda menjalankan pemindaian antivirus di komputer Anda dan itu akan memakan waktu lama? Saat ini, sebagian besar perangkat lunak antivirus hanya berjalan di latar belakang dan hanya mengganggu Anda jika ada masalah. Pemindaian malware dengan Jetpack Security berfungsi dengan lancar.
Dan, tidak seperti alat lain yang hanya memberi tahu Anda bahwa ada masalah, jika Jetpack menemukan sesuatu, biasanya Jetpack akan memberikan solusi untuk memperbaiki masalah tersebut — seringkali dengan satu klik.
Jika Anda mengambil langkah untuk mengamankan situs Anda, infeksi malware akan sangat jarang terjadi. Meski begitu, tidak ada salahnya untuk menyiapkan pemindaian malware otomatis jika Anda terkena eksploitasi zero-day atau jenis serangan lain yang sulit dihentikan.
10. Blokir formulir dan komentar spam
Situs WordPress mana pun dengan bagian atau formulir komentar terbuka mungkin mengalami spam. Hal ini dapat berkisar dari pesaing yang memposting tautan ke situs mereka hingga penyerang yang membagikan URL berbahaya atau mencoba menggunakan skrip untuk mendapatkan akses tidak sah.
Solusi sederhana untuk masalah ini adalah dengan memoderasi komentar di situs Anda. Namun seiring berkembangnya situs Anda, memfilter komentar spam bisa menjadi pekerjaan penuh waktu. Bukan hal yang aneh jika ribuan pesan menunggu untuk dimoderasi.
Anda dapat mencoba menggunakan CAPTCHA untuk menghentikan pengiriman robot spam, namun Anda pasti akan mengganggu beberapa pengguna dan mengurangi keterlibatan dan konversi sah yang dibutuhkan situs Anda untuk berkembang.
Pilihan terbaik adalah menggunakan Akismet. Alat ini bekerja sepenuhnya di latar belakang untuk menghentikan pengiriman spam pada komentar dan formulir, sehingga Anda bahkan tidak menyadarinya. Pengguna yang sah diizinkan untuk melanjutkan tanpa perlu memecahkan teka-teki, menjawab teka-teki, atau bahkan mengklik kotak.
Semua ini terjadi dengan akurasi 98%.
Akismet juga dapat disesuaikan, untuk segera menghapus komentar tertentu dan menyimpan komentar lain untuk Anda tinjau dan setujui atau tolak secara manual.
Anda bisa mendapatkan Akismet sebagai pluginnya sendiri, namun jika Anda berkomitmen untuk meningkatkan keamanan keseluruhan dan pengalaman pengguna dengan sedikit usaha (dan biaya), Anda juga bisa mendapatkannya sebagai bagian dari paket Keamanan Jetpack.
11. Terapkan izin file yang aman menggunakan FTP
Setiap file dan folder dalam sistem berbasis UNIX memiliki seperangkat izin. Izin ini diwakili oleh kumpulan tiga angka. Misalnya, “777” berarti setiap pengguna memiliki izin penuh menulis, membaca, dan mengeksekusi suatu file atau direktori.
Angka pertama dari tiga angka mewakili siapa pemilik file atau direktori. Angka kedua mewakili akun dalam grup pemilik, dan angka ketiga mewakili setiap pengguna lainnya.
Dalam contoh di atas, masing-masing tujuh berarti setiap jenis pengguna tersebut memiliki izin baca (empat), tulis (2), dan eksekusi (1). Jika Anda menjumlahkan nilai-nilai itu, Anda mendapatkan tujuh.
Izin file yang Anda tetapkan pada file dan direktori WordPress akan mengatur siapa yang dapat mengakses, membaca, dan mengeditnya. Izin file yang disarankan untuk WordPress adalah 755 untuk direktori dan 644 untuk file.
Untuk mengatur izin ini, Anda harus terhubung ke situs web Anda melalui alat protokol transfer file (FTP) seperti FileZilla. Anda bisa mendapatkan kredensial FTP dari akun hosting Anda.
Setelah Anda terhubung ke situs Anda, navigasikan ke direktori root (biasanya diberi label public_html ). Di dalam folder ini, Anda dapat memilih subdirektori atau file apa pun yang Anda inginkan, klik kanan padanya, dan pilih opsi yang bertuliskan Izin file .
Jendela baru akan muncul di mana Anda dapat mengatur izin untuk file atau direktori yang Anda pilih melalui bidang Nilai numerik .
Jika Anda mengubah izin untuk direktori, Anda juga akan melihat opsi yang bertuliskan Recurse into subdirectories . Ini akan memungkinkan Anda mengatur izin yang sama untuk semua subdirektori atau file.
Perhatikan bahwa ada beberapa pengecualian terhadap aturan terkait izin optimal untuk file WordPress. Salah satunya adalah file wp-config.php yang akan kita bahas pada bagian selanjutnya.
12. Amankan file wp-config.php Anda
File wp-config.php berisi informasi penting tentang situs web Anda dan databasenya. Ini adalah salah satu file inti WordPress yang paling penting, yang berarti Anda harus mengambil langkah tambahan untuk mengamankannya.
Dalam hal izin, yang terbaik adalah mengatur wp-config.php ke 400 atau 440. Jika Anda ingat rincian dari bagian sebelumnya, Anda akan mengetahui bahwa nilai izin tersebut diterjemahkan menjadi:
- 400: Hanya pemilik yang dapat membaca file tersebut.
- 440: Hanya pemilik dan pengguna di grup pemilik yang dapat membaca file.
Ini menghilangkan izin menulis dari wp-config.php sama sekali. Ini biasanya merupakan pilihan yang aman, karena mencegah siapa pun mengubah pengaturan file.
Cara lain untuk mengamankan wp-config.php adalah dengan berpindah satu tingkat di atas direktori root. WordPress akan mencari file satu direktori ke atas jika tidak dapat menemukannya di lokasi default.
Artinya, WordPress akan tetap berfungsi seperti biasa, namun penyerang mungkin tertipu karena mereka tidak dapat menemukan file tersebut.
13. Nonaktifkan pengeditan file di file wp-config.php Anda
WordPress menawarkan beberapa opsi untuk mengedit file. Salah satunya adalah dengan menggunakan plugin dan editor file tema yang tersedia di dashboard.
Editor file ini memungkinkan Anda membuat perubahan pada kode situs Anda tanpa harus terhubung melalui FTP. Kelemahan dari pendekatan ini adalah jika peretas mendapatkan akses ke akun yang memiliki izin untuk menggunakan editor ini, mereka dapat membuat kekacauan di situs web Anda.
Oleh karena itu, Anda mungkin ingin mempertimbangkan untuk menonaktifkan pengeditan file di WordPress. Anda dapat melakukan ini dengan membuka file wp-config.php dan menambahkan baris kode berikut ke dalamnya:
define('DISALLOW_FILE_EDIT', true);
Perhatikan bahwa beberapa tema dan plugin akan secara otomatis menonaktifkan pengeditan file. Jika Anda tidak melihat editor file atau tema di dasbor, kemungkinan Anda menggunakan salah satu alat berikut.
14. Batasi penjelajahan direktori di file .htaccess Anda
Jika penelusuran direktori diaktifkan, Anda dapat mengunjungi situs web Anda.com/content/ . Alih-alih mendapatkan kesalahan terlarang 403, Anda akan melihat daftar subdirektori dan file di dalam folder itu.
Menonaktifkan penjelajahan direktori adalah suatu keharusan jika Anda ingin melindungi situs Anda. Jika ada yang bisa melihat isi folder situs Anda, mereka bisa mendapatkan banyak informasi, seperti tema dan plugin apa yang Anda gunakan. Mereka juga akan dapat menavigasi file media tanpa batasan, yang sangat buruk dari sudut pandang privasi.
Sebagian besar host web WordPress menonaktifkan penelusuran direktori secara default. Jika Anda tidak menawarkan fitur ini, Anda dapat mengaktifkannya sendiri dengan mengedit file .htaccess di direktori root .
Untuk melakukannya, buka file dan tambahkan baris kode berikut:
Options -Indexes
Simpan perubahan dan tutup file. Sekarang, jika Anda mencoba menavigasi ke direktori melalui browser, Anda akan mendapatkan pesan kesalahan yang mengatakan Anda tidak memiliki akses ke direktori tersebut.
15. Batasi akses ke direktori wp-admin
wp-admin adalah lokasi default untuk direktori WordPress. Jika Anda mengunjungi beranda situs web Anda dan menambahkan /wp-admin di akhir URL, Anda akan masuk ke dashboard WordPress (setelah melalui halaman login).
Struktur ini adalah standar untuk situs WordPress. Hal ini memudahkan untuk menemukan dan mengakses dasbor, baik untuk Anda maupun penyerang.
Salah satu cara untuk melindungi admin WordPress adalah dengan mengamankannya dengan kata sandi. Dengan cara ini, pengguna perlu memasukkan kata sandi yang berbeda setelah berhasil melalui halaman login.
Jika host web Anda menggunakan cPanel, Anda dapat menambahkan kata sandi ke direktori wp-admin dengan menggunakan Privasi Direktori alat.
Setelah Anda berada di dalam alat ini, telusuri folder hingga Anda menemukan direktori wp-admin . Klik pada EDIT tombol di sebelahnya, dan di halaman berikutnya, centang opsi yang mengatakan Kata sandi melindungi direktori ini .
Sekarang alat privasi direktori akan meminta Anda mengatur kata sandi untuk wp-admin . Setelah Anda menyimpan password, coba akses dashboard WordPress. Pop-up kata sandi akan muncul langsung di dalam browser.
16. Sembunyikan URL login wp-admin Anda
Cara lain untuk melindungi admin WordPress adalah dengan mengubah URL yang mengarah ke halaman login. Jika Anda menggabungkan strategi ini dengan perlindungan kata sandi tambahan yang dibahas pada bagian di atas, tidak ada penyerang yang dapat masuk ke dasbor situs Anda.
Anda dapat mengubah URL wp-login secara manual, tetapi menggunakan plugin dapat menyederhanakan prosesnya. WPS Hide Login adalah alat sederhana yang memungkinkan Anda mengatur URL login baru tanpa perlu mengedit kode situs Anda.
Setelah Anda menginstal plugin, buka Pengaturan → WPS Sembunyikan Login dan cari bagian yang bertuliskan URL login. Gunakan bidang di sebelah opsi itu dan ganti URL login default dengan yang khusus.
Anda mungkin ingin menggunakan campuran huruf dan angka secara acak. Hal ini akan membuat penyerang lebih sulit menebaknya. Pastikan untuk menandai halaman login baru, atau atur URL yang dapat Anda ingat.
17. Batasi upaya login
Seperti disebutkan sebelumnya, penyerang dapat memperoleh akses ke situs Anda dengan mencoba beberapa kombinasi nama pengguna dan kata sandi. Menetapkan kata sandi yang kuat dapat menjadi cara efektif untuk memblokir upaya mereka, namun ada hal lain yang dapat Anda lakukan untuk menghentikan serangan brute force.
Hal ini melibatkan pembatasan jumlah upaya login yang dapat dilakukan pengguna dalam jangka waktu tertentu. Batasan ini tidak akan mempengaruhi pengguna biasa, namun seharusnya cukup untuk menggagalkan serangan brute force yang menggunakan bot. Dengan membatasi kecepatan mereka mencoba kredensial baru, Anda dapat meminimalkan peluang mereka berhasil.
Ada banyak alat yang dapat Anda gunakan untuk membatasi upaya login di WordPress. Jika Anda menggunakan Jetpack, Anda memiliki akses ke fitur perlindungan brute force. Hal ini secara otomatis membatasi upaya login yang diidentifikasi Jetpack sebagai berbahaya.
Jetpack juga dapat membantu Anda mengizinkan alamat IP, sehingga alamat tersebut tidak diblokir oleh alat perlindungan brute force. Anda dapat menggunakan ini untuk alamat IP Anda dan rekan kerja Anda untuk mencegah tanda palsu.
18. Keluarkan pengguna yang menganggur secara otomatis
Banyak situs web yang akan mengeluarkan Anda dari akun Anda setelah jangka waktu tertentu. Ini adalah langkah keamanan yang dirancang untuk mencegah orang lain membajak sesi Anda jika mereka mendapatkan akses ke komputer Anda.
Ini mungkin tidak menjadi masalah tergantung dari mana Anda masuk, namun ini tetap merupakan tindakan keamanan yang layak diterapkan. Hal ini berlaku terutama jika ada orang lain yang memiliki akses ke dashboard situs Anda.
WordPress tidak mengeluarkan pengguna secara otomatis. Untuk menambahkan fungsi ini, Anda perlu menggunakan plugin seperti Inactive Logout.
Setelah Anda menginstal plugin, buka Pengaturan → Keluar Tidak Aktif → Pengaturan Umum . Cari opsi Idle Timeout dan atur nilainya ke pengatur waktu apa pun yang Anda inginkan, dalam hitungan menit.
Sekarang, pengguna akan logout secara otomatis jika mereka menganggur selama jangka waktu tersebut. Plugin ini juga memungkinkan Anda mengonfigurasi pesan yang memberi tahu mereka mengapa sesi mereka ditutup, sehingga mereka tidak bingung saat kembali.
19. Ubah awalan database default WordPress
Setiap database WordPress memiliki nama. Secara default, nama itu adalah wp_something, dengan “sesuatu” yang mewakili nama sebenarnya dari database.
Yang penting di sini adalah awalannya. Secara default, WordPress menggunakan awalan wp_ , yang berarti penyerang dapat dengan mudah menebak nama lengkap database.
Mengubah awalan saja dapat mempersulit penyerang. Sayangnya, mengubah awalan database WordPress tidak semudah itu.
Proses ini mengharuskan Anda mengedit kedua file inti dan membuat perubahan pada database itu sendiri. Jadi sebelum Anda melakukan hal lain, Anda perlu melakukan pencadangan situs web secara lengkap, yang mencakup semua file dan database. Dengan begitu, jika terjadi kesalahan, Anda dapat memulihkan cadangannya.
Untuk memulai, akses situs web melalui FTP dan buka file wp-config.php . Buka file dan cari baris ini di dalamnya:
$table_prefix = 'wp_';
Anda dapat melanjutkan dan mengganti awalan “wp_” dengan yang lain, seperti “newprefix_”. Tapi itu hanya sebuah contoh. Anda pasti ingin memilih sesuatu yang sulit ditebak.
Sekarang simpan file dan akses database menggunakan phpMyAdmin. Pilih database WordPress dari daftar di sebelah kiri dan klik SQL pada menu di bagian atas layar di atas daftar tabel.
Ini akan membuka halaman di mana Anda dapat menjalankan perintah SQL yang mempengaruhi database. Yang perlu Anda lakukan sekarang adalah mengganti awalan tabel yang ada untuk semua tabel di database. Secara default, itu berarti tabel berikut:
- wp_options
- wp_postmeta
- wp_posts
- wp_term_relationships
- wp_term_taxonomy
- wp_terms
- wp_commentmeta.dll
- wp_comments
- wp_links
Perlu diingat bahwa beberapa plugin mungkin juga menambahkan tabel baru ke database. Anda juga harus memperbarui awalan tabel ini.
Untuk setiap tabel, Anda harus menjalankan perintah SQL berikut:
RENAME table wp_xxxx TO newname_xxxx;
Placeholder “xxxx” mewakili nama setiap tabel setelah garis bawah. Demikian pula, Anda harus mengubah awalan newname_ ke awalan yang Anda atur sebelumnya saat memodifikasi wp-config.php .
Ulangi proses ini sesuai kebutuhan untuk setiap tabel dalam database. Jika sudah siap, Anda dapat kembali ke dasbor.
Mengubah awalan database dapat merusak plugin dan tema apa pun yang aktif di situs Anda. Alat-alat ini tidak akan mengenali database yang diperbarui sampai Anda menonaktifkan dan mengaktifkannya kembali.
Oleh karena itu, Anda harus memeriksa setiap plugin dan tema di situs Anda dan mengikuti prosesnya. Setelah selesai, periksa situs Anda untuk memastikan semuanya berfungsi sebagaimana mestinya.
20. Sembunyikan versi WordPress Anda
Di masa lalu, WordPress digunakan untuk menampilkan versi perangkat lunak yang digunakan suatu situs di footer. Idenya adalah bahwa informasi ini dapat berguna untuk tujuan pemecahan masalah, dan akan lebih mudah menemukannya jika tersedia bagi pengunjung front-end.
Masalah dengan pendekatan tersebut adalah dengan menampilkan nomor versi berarti penyerang dapat mencari kerentanan khusus untuk rilis tersebut. Hal ini memberikan banyak informasi kepada pelaku kejahatan yang dapat mereka gunakan untuk melakukan serangan terhadap situs web Anda.
Ditambah lagi, fitur ini tidak memiliki manfaat praktis bagi Anda. Lagi pula, Anda selalu dapat memeriksa versi WordPress situs Anda dari dasbor.
Versi WordPress yang lebih baru tidak lagi menampilkan informasi tersebut di bagian depan. Jika Anda dapat melihat nomor versi di footer, itu berarti situs web Anda sudah terlambat untuk pembaruan WordPress.
21. Selalu perbarui versi PHP Anda
Seperti yang mungkin Anda ketahui, WordPress sebagian besar dibangun di atas PHP. Itu bergantung pada bahasa pemrograman ini untuk melakukan sebagian besar tugas admin.
PHP juga merupakan perangkat lunak. Artinya, ia mendapat pembaruan rutin dengan fitur dan fungsi baru, serta peningkatan kinerja.
WordPress mengharuskan server Anda menjalankan PHP versi 7.4 atau lebih tinggi. Ada versi PHP yang lebih baru, dan masing-masing versi tersebut menghadirkan peningkatan kinerja dan keamanan pada perangkat lunaknya. Peningkatan tersebut juga diterapkan pada WordPress itu sendiri.
Sebagian besar host web terkemuka memperbarui PHP di server mereka saat versi baru keluar. Beberapa penyedia bahkan mengizinkan Anda untuk beralih antar versi secara manual (yang mungkin diperlukan untuk memecahkan masalah kesalahan di situs WordPress Anda).
Anda dapat memeriksa versi PHP yang dijalankan situs Anda dengan membuka Pengaturan → Kesehatan Situs → Info → Server di dasbor WordPress Anda. Di sini Anda akan melihat ikhtisar konfigurasi server Anda, termasuk versi PHP yang digunakannya.
Jika versi tersebut sudah usang, Anda mungkin ingin menghubungi host web Anda. Mereka mungkin dapat memperbarui PHP untuk Anda. Meski begitu, ini adalah sesuatu yang tidak boleh Anda lakukan perlu dilakukan jika Anda menggunakan penyedia hosting yang memiliki reputasi baik, karena mereka akan mengurusnya untuk Anda.
22. Matikan pelaporan kesalahan PHP
WordPress dilengkapi dengan alat debugging yang memungkinkan CMS mencatat kesalahan PHP. Anda dapat menggunakan laporan kesalahan ini untuk memecahkan masalah teknis di situs web Anda.
Sayangnya, laporan ini juga dapat menimbulkan masalah keamanan. Jika penyerang mendapatkan akses ke log kesalahan PHP, mereka bisa mendapatkan banyak informasi tentang cara kerja situs Anda. Mereka mungkin dapat melihat plugin apa yang aktif di situs Anda (jika menampilkan kesalahan), serta file penting di situs Anda yang mengalami masalah PHP.
Kecuali Anda secara aktif memecahkan masalah kesalahan di WordPress, Anda tidak perlu mengaktifkan pelaporan kesalahan PHP. Jika Anda menggunakannya untuk mendiagnosis masalah, Anda sebaiknya menonaktifkan mode debug WordPress segera setelah Anda mendapatkan informasi yang Anda perlukan.
Menonaktifkan pelaporan kesalahan PHP mengharuskan Anda memodifikasi file wp-config.php , yang terletak di root WordPress direktori. Anda dapat mengakses direktori melalui FTP, seperti yang ditunjukkan sebelumnya.
Kemudian, buka file wp-config.php dan tambahkan baris kode berikut:
define ( 'WP_DEBUG', true );
Ubah yang sebenarnya nilai menjadi salah dan simpan filenya. Ini akan menonaktifkan log kesalahan di WordPress.
Anda dapat mengaktifkannya kembali kapan saja sesuai kebutuhan. Anda hanya perlu mengubah nilainya kembali menjadi true .
23. Hapus plugin dan tema yang tidak diperlukan
Plugin dan tema inilah yang menjadikan WordPress sebagai platform serbaguna. Mereka menambahkan fitur baru ke situs Anda dan memungkinkan Anda menyesuaikan desainnya.
Masalahnya adalah beberapa orang menginstal puluhan plugin dan tema, tetapi hanya menggunakan sedikit saja. Misalnya, Anda mungkin mencoba banyak tema berbeda sebelum memilih favorit Anda, namun jangan pernah menghapus instalasi sisanya.
Setiap plugin aktif di situs web Anda menimbulkan risiko keamanan. Biasanya, risiko ini minimal untuk plugin yang mendapatkan pembaruan rutin dan memiliki tim pengembangan yang memiliki reputasi baik di belakangnya. Untuk plugin yang sudah ketinggalan jaman atau yang tidak lagi menerima pembaruan, risiko tersebut meningkat secara drastis.
Hal yang sama berlaku untuk tema. Memiliki tema yang tidak Anda gunakan di situs Anda dapat menyebabkan kerentanan.
Jika Anda tidak aktif menggunakan tema atau plugin tertentu, cara paling aman adalah mencopot pemasangannya (bukan hanya menonaktifkannya). Ini hanya membutuhkan waktu beberapa menit, namun dapat memberikan perbedaan besar pada keamanan situs Anda. Selain itu, jika Anda berubah pikiran, Anda selalu dapat menginstal ulang plugin atau tema yang telah dihapus.
Namun, ada pengecualian di sini. Anda mungkin ingin tetap menginstal tema default seperti Dua Puluh Dua Puluh Tiga , tetapi tidak aktif, untuk tujuan pemecahan masalah.
24. Hapus akun pengguna yang tidak diperlukan
Sebagai aturan praktis, tidak seorang pun boleh memiliki akses ke situs web Anda kecuali benar-benar diperlukan. Jika Anda perlu memberikan akses kepada seseorang (untuk mempublikasikan konten, melakukan pemeliharaan, atau memperbarui situs), pastikan Anda tidak menetapkan peran pengguna dengan izin lebih dari yang mereka perlukan.
Setelah seseorang tidak lagi memerlukan akses ke situs web, Anda dapat melanjutkan dan menghapus akunnya. Ini akan mencegah mereka mengubah situs web tanpa persetujuan Anda.
Akun pengguna ini menimbulkan risiko lain. Beberapa orang mungkin menggunakan kembali kredensial dari akun pribadi mereka untuk masuk ke situs web Anda. Jika kredensial ini bocor karena pelanggaran keamanan, penyerang akan dapat menggunakannya untuk mendapatkan akses ke situs web Anda.
Menghapus akun pengguna di WordPress itu sederhana. Untuk melakukan ini, buka Pengguna → Semua Pengguna dan pilih akun. Setelah Anda mengidentifikasi akun yang ingin Anda hapus, arahkan kursor ke akun tersebut dan klik Hapus .
Perhatikan bahwa opsi ini hanya akan muncul jika Anda adalah administratornya. Selama tidak ada orang lain yang memiliki akses ke akun admin, Anda harus menjadi satu-satunya orang yang memiliki kemampuan untuk menghapus akun pengguna.
25. Pantau aktivitas pengguna
Jika Anda menjalankan situs WordPress di mana orang lain memiliki akses ke dasbor untuk mempublikasikan konten, membuat perubahan pada situs, dan memperbaruinya, cepat atau lambat Anda mungkin akan mengalami masalah keamanan. Misalnya, kredensial seseorang mungkin dicuri atau memasang plugin yang menimbulkan risiko keamanan pada situs.
Oleh karena itu, sebaiknya administrator mengawasi apa yang dilakukan orang lain saat mereka menggunakan situs ini.
Log aktivitas adalah alat yang memantau peristiwa tertentu dan mencatat kapan peristiwa itu terjadi. Anda dapat mengakses log itu dan melihat siapa melakukan apa dan kapan. Hal ini memungkinkan Anda mengenali peristiwa dan tindakan yang dapat berdampak negatif pada keamanan situs Anda.
Fitur ini tidak tersedia di WordPress secara default, tetapi Anda dapat menambahkannya dengan plugin. Keamanan Jetpack menyertakan log aktivitas yang menyimpan data dari 30 hari terakhir.
Log di-host di luar lokasi. Oleh karena itu, jika Anda kehilangan akses ke situs tersebut, Anda dapat memeriksa log untuk melihat apa yang terjadi, sebelum memulihkan cadangan terbaru.
26. Gunakan CDN untuk mengurangi risiko serangan DDoS
Jaringan pengiriman konten (CDN) dapat membantu Anda mengurangi waktu muat secara drastis. Mereka melakukan ini dengan melakukan cache situs web Anda menggunakan jaringan pusat data yang tersebar di seluruh dunia. Ketika seseorang mengunjungi situs tersebut, CDN mencegat permintaan tersebut dan memuat salinan dari server terdekat.
Menggunakan CDN menawarkan sejumlah manfaat selain mengurangi waktu muat. Misalnya, beban pada server Anda berkurang, yang berarti situs web Anda akan memiliki posisi yang lebih baik untuk menangani lonjakan lalu lintas yang besar. Selain itu, CDN dapat bertindak sebagai penghalang jika terjadi serangan.
Jika situs web Anda menjadi sasaran serangan DDoS, CDN dapat mematikannya dengan cepat. Banyak CDN mungkin meminta pengunjung untuk memverifikasi apakah mereka manusia jika jaringan mendeteksi sesuatu yang aneh dengan koneksinya. Karena serangan DDoS mengandalkan bot, sering kali serangan tersebut tidak dapat melewati pemeriksaan keamanan jenis ini.
Sekalipun serangan DDoS berhasil mencapai CDN, pusat datanya dibangun untuk mengelola arus lalu lintas dalam jumlah besar. Sementara itu, website Anda sendiri akan dilindungi oleh CDN.
Anda dapat mengintegrasikan CDN apa pun yang Anda inginkan dengan WordPress. Jetpack CDN sangat mudah diatur. Anda dapat mengaktifkannya secara gratis di plugin Jetpack, dan CDN akan mulai menyimpan file media dari situs web Anda.
27. Bermigrasi ke penyedia hosting yang berfokus pada keamanan
Setiap web host memiliki nilai jualnya sendiri. Misalnya, beberapa penyedia hosting lebih fokus pada keamanan dan kinerja, sementara penyedia lainnya memprioritaskan harga yang terjangkau.
Idealnya, Anda memilih host web yang menjanjikan kinerja dan keamanan terbaik (dan tidak membebankan tarif yang tidak adil untuk itu). Ada banyak web host yang memenuhi kriteria ini dan menangani tugas keamanan penting untuk Anda. Tugas-tugas tersebut mungkin termasuk:
- Cadangan
- Menyiapkan WAF
- Melindungi Anda dari serangan DDoS
- Pemindaian dan pembersihan malware
Jika Anda ingin menghabiskan lebih banyak waktu dan energi untuk menjalankan situs web Anda dan lebih sedikit melindunginya dari serangan, Anda sebaiknya memilih host yang menghargai keamanan. Untuk memulai, Anda mungkin ingin mengambil daftar host WordPress yang direkomendasikan.
Host web yang menyediakan paket hosting terkelola cenderung menawarkan lebih banyak dalam hal keamanan. Tentu saja, layanan ini akan sedikit lebih mahal dibandingkan paket yang tidak dikelola, namun dapat membantu menenangkan pikiran Anda.
28. Pertimbangkan solusi keamanan perusahaan
Jika Anda menjalankan situs web tingkat perusahaan, langkah-langkah keamanan Anda harus melampaui memperbarui plugin dan membuat cadangan. Anda akan memerlukan solusi keamanan yang memberikan perlindungan ujung ke ujung untuk situs web Anda.
WPSCAN memiliki database terbesar kerentanan keamanan WordPress di pasar.
WPSCAN menawarkan solusi keamanan yang berfokus pada perusahaan. Ini dapat disesuaikan dengan kebutuhan perusahaan Anda dan jenis situs web yang Anda miliki. Anda dapat menghubungi WPSCan langsung untuk mendapatkan penilaian keamanan situs Anda dan meminta penawaran.
Pertanyaan yang sering diajukan
Daftar tips keamanan WordPress ini telah mencakup langkah -langkah terpenting untuk melindungi situs Anda. Jika Anda masih memiliki pertanyaan tentang cara meningkatkan keamanan situs web Anda, bagian ini akan bertujuan untuk menjawabnya.
Ancaman umum apa yang dapat dikurangi oleh praktik terbaik keamanan WordPress ini?
Panduan ini mencakup segala sesuatu mulai dari langkah -langkah perlindungan dasar hingga praktik keamanan yang lebih maju. Jika Anda meluangkan waktu untuk mengimplementasikan setiap ukuran yang diuraikan dalam artikel ini, situs web Anda harus dilindungi terhadap ancaman yang paling umum. Ini termasuk serangan brute force, pencurian data, dan malware.
Tujuan akhir dari langkah -langkah ini adalah untuk memastikan bahwa tidak ada aktor jahat yang dapat mengakses situs Anda dan menyebabkan kerusakan. Mereka juga dapat mencegah kesalahan oleh pengguna yang tidak berpengalaman, seperti memasang plugin yang buruk.
Apa cara termudah untuk meningkatkan keamanan WordPress?
Jika Anda tidak punya waktu untuk mengimplementasikan setiap ukuran dalam panduan ini, hal terbaik yang dapat Anda lakukan adalah mengatur plugin keamanan WordPress. Alat -alat ini secara otomatis akan mengaktifkan berbagai fitur yang membantu melindungi situs web Anda.
Jetpack Security adalah solusi all-in-one yang mengotomatiskan banyak tugas penting. Ini melakukan cadangan real-time, mengatur firewall, memindai dan memberikan perbaikan cepat untuk malware, melindungi situs Anda dari spam, dan banyak lagi. Ini juga memberi Anda akses ke log aktivitas, sehingga Anda dapat mengidentifikasi tindakan apa pun di situs Anda yang mungkin menyebabkan masalah keamanan (dan siapa yang melakukannya).
Apa plugin keamanan terbaik untuk WordPress?
Ada banyak plugin WordPress Security untuk dipilih, tetapi Jetpack Security adalah salah satu solusi paling komprehensif di pasaran. Ini menangani sebagian besar praktik keamanan yang dibahas dalam posting ini, termasuk cadangan, pemindaian dan penghapusan malware, dan perlindungan spam.
Bagaimana cara membuat cadangan situs WordPress saya, dan di mana saya harus menyimpan cadangan?
Ada beberapa cara untuk mendukung situs web WordPress. Anda dapat mencadangkan semua file dan database secara manual, menggunakan plugin yang melakukannya untuk Anda, atau mendaftar untuk rencana hosting yang mencakup beberapa cadangan terbatas.
Dalam kebanyakan kasus, Anda tidak ingin menyimpan cadangan secara lokal atau hanya di satu lokasi. Inilah sebabnya mengapa biasanya tidak disarankan untuk mengandalkan hosting cadangan saja. Cadangan cloud cenderung lebih aman, karena sebagian besar penyedia menyimpan banyak salinan demi redundansi.
Jetpack Security termasuk cadangan cloud real-time. Semuanya disimpan di luar kantor, dan cadangan baru dibuat setiap kali Anda membuat perubahan pada situs web Anda.
Seberapa sering saya harus memperbarui situs WordPress saya?
Idealnya, Anda harus memperbarui WordPress dan komponennya segera setelah ada pembaruan yang tersedia. Menggunakan versi terbaru dari perangkat lunak apa pun akan meningkatkan keamanan dan kinerja situs Anda. Plus, ini memberi Anda akses ke fitur terbaru.
Banyak pembaruan difokuskan pada penambalan kerentanan keamanan. Idealnya, Anda ingin memeriksa situs Anda untuk pembaruan setiap hari. Anda bahkan dapat mengaktifkan pembaruan otomatis untuk plugin. Semua ini dan banyak lagi dimungkinkan dengan Jetpack Security, plugin keamanan dan cadangan waktu nyata.
Seberapa sering saya harus memindai situs WordPress saya untuk malware?
Jika Anda bisa, Anda harus memindai situs web Anda untuk malware setiap hari. Karena ini adalah tugas yang sangat penting, masuk akal untuk mengotomatiskannya. Dengan begitu, plugin keamanan Anda atau pemindai malware masih akan mencari kerentanan bahkan jika Anda tidak tersedia.
Jetpack Security termasuk pemindaian malware otomatis. Plugin memindai situs Anda secara berkala dan memberi tahu Anda jika menemukan sesuatu yang mencurigakan.
Jetpack Security: Perlindungan dan cadangan WordPress sepanjang waktu
Melindungi situs web WordPress bisa menjadi banyak pekerjaan. Anda harus melakukan cadangan reguler, melakukan pembaruan, memindai situs Anda untuk malware, dan banyak lagi. Selain itu, Anda ingin memastikan bahwa siapa pun yang memiliki akses ke situs Anda menggunakan nama pengguna dan kata sandi yang kuat.
Solusi all-in-one seperti Jetpack Security dapat menangani sebagian besar tugas ini untuk Anda. Anda akan mendapatkan cadangan dan pemindaian otomatis, perlindungan spam, firewall yang kuat, dan banyak lagi. Yang perlu Anda lakukan adalah menginstal plugin dan mengaktifkan fitur -fitur ini.
Apakah Anda siap untuk meningkatkan keamanan situs Anda? Mulailah dengan Jetpack Security hari ini!