Panduan Lengkap Keamanan Situs Di Wordpress (Updated 2018)
Keamanan WordPress yaitu topik yang sangat penting bagi setiap pemilik situs web. Setiap minggu, Google blacklist sekitar 20.000 situs web untuk malware dan sekitar 50.000 untuk phishing. Jika Anda serius ihwal situs web Anda, maka Anda perlu memperhatikan praktik terbaik keamanan WordPress. Dalam panduan ini, kami akan membagikan semua tip keamanan WordPress atas untuk membantu Anda melindungi situs web Anda dari peretas dan malware.
Meskipun perangkat lunak inti WordPress sangat aman, dan beliau telah diaudit secara teratur oleh ratusan pengembang, ada banyak hal yang sanggup dilakukan untuk mengeraskan situs WordPress Anda.
Bagi kami, keamanan bukan hanya ihwal peniadaan resiko. Ini juga ihwal pengurangan risiko. Sebagai pemilik situs web, ada banyak hal yang sanggup Anda lakukan untuk meningkatkan keamanan WordPress Anda (meskipun Anda tidak paham teknologi).
Kami mempunyai sejumlah langkah yang sanggup ditindaklanjuti yang sanggup Anda lakukan untuk meningkatkan keamanan WordPress Anda.
Untuk membuatnya mudah, kami telah menciptakan daftar isi untuk membantu Anda dengan gampang menavigasi melalui panduan keamanan utama WordPress kami.
Dasar-dasar Keamanan WordPress
Langkah Praktis Keamanan WordPress (Tanpa Pengodean)
Keamanan WordPress untuk Pengguna DIY
Siap? Mari mulai.
Situs WordPress yang diretas sanggup mengakibatkan kerusakan serius pada pendapatan dan reputasi bisnis Anda. Peretas sanggup mencuri informasi pengguna, kata sandi, menginstal perangkat lunak berbahaya, dan bahkan sanggup mendistribusikan malware ke pengguna Anda.
Yang terburuk, Anda mungkin menemukan diri Anda membayar ransomware kepada peretas hanya untuk mendapatkan kembali saluran ke situs web Anda.
Pada Maret 2016, Google melaporkan bahwa lebih dari 50 juta pengguna situs web telah diperingatkan ihwal situs web yang mereka kunjungi mungkin berisi malware atau mencuri informasi.
Selain itu, Google blacklist sekitar 20.000 situs web untuk malware dan sekitar 50.000 untuk phishing setiap minggu.
Jika situs web Anda yaitu bisnis, maka Anda perlu memberi perhatian ekstra pada keamanan WordPress Anda.
Mirip dengan bagaimana pemilik bisnis bertanggung jawab untuk melindungi bangunan toko fisik mereka, sebagai pemilik bisnis online, itu yaitu tanggung jawab Anda untuk melindungi situs web bisnis Anda.
WordPress yaitu perangkat lunak open source yang secara teratur dipelihara dan diperbarui. Secara default, WordPress secara otomatis menginstal pembaruan kecil. Untuk rilis utama, Anda perlu secara manual memulai pembaruan.
WordPress juga dilengkapi dengan ribuan plugin dan tema yang sanggup Anda pasang di situs web Anda. Plugin dan tema ini dikelola oleh pengembang pihak ketiga yang secara teratur merilis pembaruan juga.
Pembaruan WordPress ini sangat penting untuk keamanan dan stabilitas situs WordPress Anda. Anda perlu memastikan bahwa inti WordPress, plugin, dan tema Anda sudah diperbarui.
Upaya peretasan WordPress yang paling umum memakai kata sandi yang dicuri. Anda sanggup mempersulitnya dengan memakai kata sandi yang lebih besar lengan berkuasa yang unik untuk situs web Anda. Tidak hanya untuk area admin WordPress, tetapi juga untuk akun FTP, database, akun hosting WordPress, dan alamat email profesional Anda.
Alasan utama mengapa pemula tidak suka memakai kata sandi yang besar lengan berkuasa lantaran mereka sulit diingat. Hal yang baik yaitu Anda tidak perlu mengingat kata sandi lagi. Anda sanggup memakai pengelola kata sandi. Lihat panduan kami ihwal cara mengelola kata sandi WordPress.
Cara lain untuk mengurangi risiko yaitu dengan tidak menyampaikan saluran apa pun ke akun admin WordPress Anda kecuali Anda benar-benar harus melakukannya. Jika Anda mempunyai tim besar atau penulis tamu, pastikan Anda memahami tugas dan kemampuan pengguna di WordPress sebelum menambahkan pengguna dan penulis gres ke situs WordPress Anda.
Layanan hosting WordPress Anda memainkan tugas paling penting dalam keamanan situs WordPress Anda. Penyedia hosting bersama yang baik menyerupai BlueHost atau Siteground mengambil tindakan ekstra untuk melindungi server mereka dari ancaman umum.
Namun, pada shared hosting Anda mengembangkan sumber daya server dengan banyak pelanggan lain. Ini membuka risiko kontaminasi lintas situs daerah peretas sanggup memakai situs tetangga untuk menyerang situs web Anda.
Menggunakan layanan hosting WordPress yang dikelola menyediakan platform yang lebih kondusif untuk situs web Anda. Perusahaan hosting WordPress yang dikelola menyampaikan pencadangan otomatis, pembaruan WordPress otomatis, dan konfigurasi keamanan yang lebih canggih untuk melindungi situs web Anda
Kami merekomendasikan WPEngine sebagai penyedia hosting WordPress pilihan kami. Mereka juga yang paling terkenal di industri.
Kami tahu bahwa meningkatkan keamanan WordPress sanggup menjadi ajaran yang angker bagi para pemula. Khususnya bila Anda tidak mahir. Coba tebak - Anda tidak sendirian.
Kami telah membantu ribuan pengguna WordPress dalam pengerasan keamanan WordPress mereka.
Kami akan memperlihatkan kepada Anda bagaimana Anda sanggup meningkatkan keamanan WordPress Anda hanya dengan beberapa klik (tidak perlu coding).
Jika Anda bisa point-and-click, Anda bisa melaksanakan ini!
Backup yaitu pertahanan pertama Anda terhadap serangan WordPress apa pun. Ingat, tidak ada yang 100% aman. Jika situs web pemerintah sanggup diretas, begitu juga milik Anda.
Backup memungkinkan Anda untuk segera memulihkan situs WordPress Anda seandainya terjadi sesuatu yang buruk.
Ada banyak plugin cadangan WordPress gratis dan berbayar yang sanggup Anda gunakan. Yang paling penting yang perlu Anda ketahui ketika tiba ke backup yaitu bahwa Anda harus secara teratur menyimpan cadangan situs-penuh ke lokasi terpencil (bukan akun hosting Anda).
Kami sarankan untuk menyimpannya di layanan cloud menyerupai Amazon, Dropbox, atau awan pribadi menyerupai Stash.
Berdasarkan seberapa sering Anda memperbarui situs web Anda, pengaturan yang ideal mungkin berupa cadangan sekali sehari atau waktu nyata.
Untungnya ini sanggup dengan gampang dilakukan dengan memakai plugin menyerupai VaultPress atau BackupBuddy. Mereka berdua sanggup dipercaya dan yang paling penting gampang dipakai (tidak perlu coding).
Setelah pencadangan, hal berikutnya yang perlu kita lakukan yaitu menyiapkan sistem audit dan pemantauan yang melacak semua yang terjadi di situs web Anda.
Ini termasuk pemantauan integritas file, upaya masuk gagal, pemindaian malware, dll.
Untungnya, ini semua bisa ditangani oleh plugin keamanan WordPress gratis terbaik, Sucuri Scanner.
Anda perlu menginstal dan mengaktifkan plugin Sucuri Security gratis.
Setelah aktivasi, Anda harus membuka sajian Sucuri di admin WordPress Anda.
Hal pertama yang akan diminta yaitu Menghasilkan kunci API gratis. Ini memungkinkan audit logging, pengecekan integritas, pemberitahuan email, dan fitur penting lainnya.
Hal berikutnya, yang perlu Anda lakukan yaitu klik pada tab Pengerasan dari Menu Sucuri. Pergi melalui setiap opsi dan klik pada tombol "Harden".
Opsi ini membantu Anda mengunci area utama yang sering dipakai peretas dalam serangannya. Satu-satunya opsi pengerasan yang merupakan peningkatan berbayar yaitu Firewall Aplikasi Web yang akan kami jelaskan pada langkah berikutnya, jadi lewati saja untuk ketika ini.
Kami juga telah membahas banyak opsi "Pengerasan" ini di artikel ini bagi mereka yang ingin melakukannya tanpa memakai plugin atau yang membutuhkan langkah komplemen menyerupai "Perubahan Prefix Database" atau "Mengubah Nama Pengguna Admin".
Setelah kepingan yang mengeras, sebagian besar pengaturan default plugin ini elok dan tidak perlu diubah. Satu-satunya hal yang kami sarankan untuk menyesuaikan yaitu Email Alerts.
Pengaturan lansiran default sanggup mengacaukan kotak masuk Anda dengan email. Kami merekomendasikan mendapatkan pemberitahuan untuk tindakan utama menyerupai perubahan pada plugin, registrasi pengguna baru, dll. Anda sanggup mengkonfigurasi peringatan dengan masuk ke Pengaturan Sucuri »Peringatan.
Plugin keamanan WordPress ini sangat kuat, jadi telusuri semua tab dan pengaturan untuk melihat semua yang dilakukannya menyerupai pemindaian Malware, log Audit, Pelacakan Mencoba Masuk yang Gagal, dll.
Cara termudah untuk melindungi situs web Anda dan yakin akan keamanan WordPress Anda yaitu dengan memakai firewall aplikasi web (WAF). Firewall memblokir semua kemudian lintas jahat bahkan sebelum mencapai situs web Anda.
Kami memakai dan merekomendasikan Sucuri sebagai firewall web-aplikasi terbaik untuk WordPress.
Bagian terbaik ihwal firewall Sucuri yaitu bahwa ia juga dilengkapi dengan pencucian malware dan jaminan peniadaan daftar hitam. Pada dasarnya bila Anda diretas di bawah pengawasan mereka, mereka menjamin bahwa mereka akan memperbaiki situs web Anda (tidak peduli berapa banyak halaman yang Anda miliki).
Ini yaitu jaminan yang cukup besar lengan berkuasa lantaran memperbaiki situs web yang diretas mahal. Pakar keamanan biasanya mengenakan biaya $ 250 per jam. Sedangkan Anda bisa mendapatkan seluruh tumpukan keamanan Sucuri seharga $ 199 per tahun.
Sucuri bukan satu-satunya penyedia firewall di luar sana. Pesaing terkenal lainnya yaitu Cloudflare. Lihat perbandingan kami antara Sucuri vs Cloudflare (Pro dan Kontra).
Jika Anda melaksanakan semua yang telah kami sebutkan sejauh ini, maka Anda dalam kondisi yang sangat baik.
Namun menyerupai biasa, ada lebih banyak hal yang sanggup Anda lakukan untuk memperkeras keamanan WordPress Anda.
Beberapa langkah ini mungkin memerlukan pengetahuan pengkodean.
Di masa lalu, nama pengguna admin WordPress default yaitu "admin". Karena nama pengguna merupakan setengah dari kredensial masuk, ini mempermudah hacker untuk melaksanakan serangan brute-force.
Untungnya, WordPress telah mengubah ini dan kini mengharuskan Anda untuk menentukan nama pengguna khusus pada ketika menginstal WordPress.
Namun, beberapa penginstal WordPress 1-klik, masih mengatur nama pengguna admin default menjadi "admin". Jika Anda melihat itu sebagai masalahnya, mungkin itu yaitu wangsit yang baik untuk mengalihkan hosting web Anda.
Karena WordPress tidak mengizinkan Anda untuk mengubah nama pengguna secara default, ada tiga metode yang sanggup Anda gunakan untuk mengubah nama pengguna.
Catatan: Kami berbicara ihwal nama pengguna yang disebut "admin", bukan tugas administrator.
WordPress hadir dengan editor isyarat built-in yang memungkinkan Anda untuk mengedit tema dan file plugin eksklusif dari area admin WordPress Anda. Di tangan yang salah, fitur ini sanggup menjadi risiko keamanan, itulah sebabnya kami menyarankan untuk menonaktifkannya.
Anda sanggup dengan gampang melaksanakan ini dengan menambahkan isyarat berikut di file wp-config.php Anda.
// Disallwo file edit
define ('DISALLOW_FILE_EDIT', true);
Sebagai alternatif, Anda sanggup melaksanakan ini dengan 1-klik memakai fitur Hardening pada plugin Sucuri gratis yang kami sebutkan di atas.
Cara lain untuk mengeraskan keamanan WordPress Anda yaitu dengan menonaktifkan sanksi file PHP di direktori yang tidak diharapkan menyerupai / wp-content / uploads /.
Anda sanggup melaksanakan ini dengan membuka editor teks menyerupai Notepad dan tempel isyarat ini:
<File * .php>
deny form all
</ File>
Selanjutnya, Anda perlu menyimpan file ini sebagai .htaccess dan mengunggahnya ke / wp-content / upload / folder di situs web Anda memakai klien FTP.
Untuk klarifikasi lebih rinci, lihat panduan kami ihwal cara menonaktifkan sanksi PHP di direktori WordPress tertentu
Sebagai alternatif, Anda sanggup melaksanakan ini dengan 1-klik memakai fitur Hardening pada plugin Sucuri gratis yang kami sebutkan di atas.
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Ini menciptakan situs WordPress Anda rentan terhadap serangan brute force. Peretas mencoba memecahkan sandi dengan mencoba masuk dengan banyak sekali kombinasi.
Ini sanggup dengan gampang diperbaiki dengan membatasi upaya login gagal yang sanggup dilakukan pengguna. Jika Anda memakai firewall aplikasi web yang disebutkan sebelumnya, maka ini akan secara otomatis diurus.
Namun, bila Anda tidak mempunyai pengaturan firewall, lanjutkan dengan langkah-langkah di bawah ini.
Pertama, Anda perlu menginstal dan mengaktifkan plugin Login LockDown. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami ihwal cara memasang plugin WordPress.
Setelah aktivasi, kunjungi Pengaturan »Halaman Login LockDown untuk mengatur plugin.
Secara default, WordPress memakai wp_ sebagai awalan untuk semua tabel di basis data WordPress Anda. Jika situs WordPress Anda memakai prefiks database default, maka ini mempermudah hacker untuk menebak nama tabel Anda. Inilah mengapa kami menyarankan untuk mengubahnya.
Anda sanggup mengubah awalan basis data Anda dengan mengikuti tutorial langkah demi langkah kami ihwal cara mengubah awalan basis data WordPress untuk meningkatkan keamanan.
Catatan: Ini sanggup merusak situs Anda bila tidak dilakukan dengan benar. Hanya melanjutkan, bila Anda merasa nyaman dengan keterampilan pengkodean Anda.
Biasanya, peretas sanggup meminta folder wp-admin dan halaman masuk tanpa batasan apa pun. Ini memungkinkan peretas untuk mencoba trik peretasan atau menjalankan serangan DDoS.
Anda sanggup menambahkan dukungan kata sandi komplemen di sisi server yang secara efektif akan memblokir ajakan tersebut.
Ikuti petunjuk langkah demi langkah kami ihwal cara melindungi kata sandi direktori admin WordPress (wp-admin) Anda.
Penjelajahan direktori sanggup dipakai oleh peretas untuk mencari tahu apakah Anda mempunyai file dengan kerentanan yang diketahui, sehingga mereka sanggup memanfaatkan file ini untuk mendapatkan akses.
Penjelajahan direktori juga sanggup dipakai oleh orang lain untuk melihat file Anda, menyalin gambar, mencari tahu struktur direktori Anda, dan informasi lainnya. Inilah mengapa sangat disarankan biar Anda mematikan pengindeksan dan penjelajahan direktori.
Anda perlu terhubung ke situs web Anda memakai FTP atau pengelola file cPanel. Selanjutnya, cari file .htaccess di direktori root situs web Anda. Jika Anda tidak sanggup melihatnya di sana, lihat panduan kami ihwal mengapa Anda tidak sanggup melihat file .htaccess di WordPress.
Setelah itu, Anda perlu menambahkan baris berikut di selesai file .htaccess:
Options -Indexes
Jangan lupa simpan dan unggah file .htaccess kembali ke situs Anda. Untuk lebih lanjut ihwal topik ini, lihat artikel kami ihwal cara menonaktifkan penjelajahan direktori di WordPress.
XML-RPC diaktifkan secara default di WordPress 3.5 lantaran membantu menghubungkan situs WordPress Anda dengan aplikasi web dan seluler.
Namun lantaran sifatnya yang kuat, XML-RPC sanggup secara signifikan memperkuat serangan brute-force.
Misalnya, secara tradisional bila peretas ingin mencoba 500 sandi berbeda di situs web Anda, mereka harus melaksanakan 500 upaya masuk yang terpisah yang akan ditangkap dan dicekal oleh plugin kunci-putar masuk.
Tetapi dengan XML-RPC, peretas sanggup memakai fungsi system.multicall untuk mencoba ribuan kata sandi dengan menyampaikan 20 atau 50 permintaan.
Inilah sebabnya mengapa bila Anda tidak memakai XML-RPC, sebaiknya Anda menonaktifkannya.
Kiat: Metode .htaccess yaitu yang terbaik lantaran sumber dayanya paling sedikit intensif.
Jika Anda memakai firewall aplikasi web yang disebutkan sebelumnya, maka ini sanggup dijaga oleh firewall.
Masuk ke pengguna terkadang sanggup berpindah dari layar, dan ini menjadikan risiko keamanan. Seseorang sanggup membajak sesi mereka, mengubah kata sandi, atau menciptakan perubahan pada akun mereka.
Inilah sebabnya mengapa banyak situs perbankan dan keuangan secara otomatis keluar dari pengguna yang tidak aktif. Anda sanggup mengimplementasikan fungsi serupa di situs WordPress Anda juga.
Anda perlu menginstal dan mengaktifkan plugin Logout Pengguna Tidak Aktif. Setelah aktivasi, kunjungi Pengaturan »Halaman Logout Pengguna Kosong untuk mengonfigurasi pengaturan plugin.
Keluar dari pengguna yang tidak aktif
Cukup mengatur durasi waktu dan hapus centang pada kotak di samping opsi ‘Nonaktifkan dalam admin’ admin untuk keamanan yang lebih baik. Jangan lupa klik tombol simpan perubahan untuk menyimpan pengaturan Anda.
Untuk petunjuk lebih rinci, lihat panduan kami ihwal cara otomatis keluar dari pengguna yang tidak aktif di WordPress.
Menambahkan pertanyaan keamanan ke layar masuk WordPress Anda menciptakan lebih sulit bagi seseorang untuk mendapatkan saluran yang tidak sah.
Anda sanggup menambahkan pertanyaan keamanan dengan menginstal plugin Pertanyaan Keamanan WP. Setelah aktivasi, Anda perlu mengunjungi Pengaturan »Pertanyaan Keamanan halaman untuk mengkonfigurasi pengaturan plugin.
Untuk petunjuk lebih rinci, lihat tutorial kami ihwal cara menambahkan pertanyaan keamanan ke layar masuk WordPress.
Banyak pengguna WordPress tidak menyadari pentingnya cadangan dan keamanan situs web hingga situs web mereka diretas.
Membersihkan situs WordPress bisa sangat sulit dan memakan waktu. Saran pertama kami yaitu membiarkan seorang profesional mengurusnya.
Peretas memasang backdoors di situs yang terpengaruh, dan bila backdoors ini tidak diperbaiki dengan benar, maka situs web Anda kemungkinan akan diretas lagi.
Mengizinkan perusahaan keamanan profesional menyerupai Sucuri untuk memperbaiki situs web Anda akan memastikan bahwa situs Anda kondusif untuk dipakai lagi. Ini juga akan melindungi Anda dari serangan apa pun di masa depan.
Untuk pengguna yang suka berpetualang dan DIY, kami telah menyusun panduan langkah demi langkah untuk memperbaiki situs WordPress yang diretas.
Itu saja, kami harap artikel ini membantu Anda mempelajari praktik terbaik keamanan WordPress terbaik serta menemukan plugin keamanan WordPress terbaik untuk situs web Anda.
Meskipun perangkat lunak inti WordPress sangat aman, dan beliau telah diaudit secara teratur oleh ratusan pengembang, ada banyak hal yang sanggup dilakukan untuk mengeraskan situs WordPress Anda.
Bagi kami, keamanan bukan hanya ihwal peniadaan resiko. Ini juga ihwal pengurangan risiko. Sebagai pemilik situs web, ada banyak hal yang sanggup Anda lakukan untuk meningkatkan keamanan WordPress Anda (meskipun Anda tidak paham teknologi).
Kami mempunyai sejumlah langkah yang sanggup ditindaklanjuti yang sanggup Anda lakukan untuk meningkatkan keamanan WordPress Anda.
Untuk membuatnya mudah, kami telah menciptakan daftar isi untuk membantu Anda dengan gampang menavigasi melalui panduan keamanan utama WordPress kami.
Daftar Isi Panduan Keamanan Wordpress
Dasar-dasar Keamanan WordPress
- Mengapa Keamanan WordPress Penting?
- Menjaga WordPress Diperbarui
- Sandi dan Izin Pengguna
- Peran Web Hosting
Langkah Praktis Keamanan WordPress (Tanpa Pengodean)
- Pasang Solusi Backup WordPress
- Plugin Keamanan WordPress Terbaik
- Aktifkan Firewall Aplikasi Web (WAF)
Keamanan WordPress untuk Pengguna DIY
- Ubah nama pengguna "admin" Default
- Nonaktifkan Pengeditan File
- Nonaktifkan PHP File Execution
- Batasi Upaya Login
- Ubah Awalan Database WordPress
- Kata Sandi Lindungi WP-Admin dan Login
- Nonaktifkan Pengindeksan Direktori dan Perambanan
- Nonaktifkan XML-RPC di WordPress
- Secara otomatis keluar Pengguna Menganggur
- Tambahkan Pertanyaan Keamanan ke WordPress Login
- Memperbaiki Situs WordPress yang Diretas
Siap? Mari mulai.
#1 Dasar-dasar Keamanan WordPress
#1.1 Mengapa Keamanan Situs Web itu Penting?
Situs WordPress yang diretas sanggup mengakibatkan kerusakan serius pada pendapatan dan reputasi bisnis Anda. Peretas sanggup mencuri informasi pengguna, kata sandi, menginstal perangkat lunak berbahaya, dan bahkan sanggup mendistribusikan malware ke pengguna Anda.
Yang terburuk, Anda mungkin menemukan diri Anda membayar ransomware kepada peretas hanya untuk mendapatkan kembali saluran ke situs web Anda.
Pada Maret 2016, Google melaporkan bahwa lebih dari 50 juta pengguna situs web telah diperingatkan ihwal situs web yang mereka kunjungi mungkin berisi malware atau mencuri informasi.
Selain itu, Google blacklist sekitar 20.000 situs web untuk malware dan sekitar 50.000 untuk phishing setiap minggu.
Jika situs web Anda yaitu bisnis, maka Anda perlu memberi perhatian ekstra pada keamanan WordPress Anda.
Mirip dengan bagaimana pemilik bisnis bertanggung jawab untuk melindungi bangunan toko fisik mereka, sebagai pemilik bisnis online, itu yaitu tanggung jawab Anda untuk melindungi situs web bisnis Anda.
#1.2 Selalu Perbarui Wordprees (Bagi Pengguna Aplikasi Wordpress)
WordPress yaitu perangkat lunak open source yang secara teratur dipelihara dan diperbarui. Secara default, WordPress secara otomatis menginstal pembaruan kecil. Untuk rilis utama, Anda perlu secara manual memulai pembaruan.
WordPress juga dilengkapi dengan ribuan plugin dan tema yang sanggup Anda pasang di situs web Anda. Plugin dan tema ini dikelola oleh pengembang pihak ketiga yang secara teratur merilis pembaruan juga.
Pembaruan WordPress ini sangat penting untuk keamanan dan stabilitas situs WordPress Anda. Anda perlu memastikan bahwa inti WordPress, plugin, dan tema Anda sudah diperbarui.
#1.3 Sandi yang Kuat dan Izin Pengguna
Upaya peretasan WordPress yang paling umum memakai kata sandi yang dicuri. Anda sanggup mempersulitnya dengan memakai kata sandi yang lebih besar lengan berkuasa yang unik untuk situs web Anda. Tidak hanya untuk area admin WordPress, tetapi juga untuk akun FTP, database, akun hosting WordPress, dan alamat email profesional Anda.
Alasan utama mengapa pemula tidak suka memakai kata sandi yang besar lengan berkuasa lantaran mereka sulit diingat. Hal yang baik yaitu Anda tidak perlu mengingat kata sandi lagi. Anda sanggup memakai pengelola kata sandi. Lihat panduan kami ihwal cara mengelola kata sandi WordPress.
Cara lain untuk mengurangi risiko yaitu dengan tidak menyampaikan saluran apa pun ke akun admin WordPress Anda kecuali Anda benar-benar harus melakukannya. Jika Anda mempunyai tim besar atau penulis tamu, pastikan Anda memahami tugas dan kemampuan pengguna di WordPress sebelum menambahkan pengguna dan penulis gres ke situs WordPress Anda.
#1.4 Peran Web Hosting
Layanan hosting WordPress Anda memainkan tugas paling penting dalam keamanan situs WordPress Anda. Penyedia hosting bersama yang baik menyerupai BlueHost atau Siteground mengambil tindakan ekstra untuk melindungi server mereka dari ancaman umum.
Namun, pada shared hosting Anda mengembangkan sumber daya server dengan banyak pelanggan lain. Ini membuka risiko kontaminasi lintas situs daerah peretas sanggup memakai situs tetangga untuk menyerang situs web Anda.
Menggunakan layanan hosting WordPress yang dikelola menyediakan platform yang lebih kondusif untuk situs web Anda. Perusahaan hosting WordPress yang dikelola menyampaikan pencadangan otomatis, pembaruan WordPress otomatis, dan konfigurasi keamanan yang lebih canggih untuk melindungi situs web Anda
Kami merekomendasikan WPEngine sebagai penyedia hosting WordPress pilihan kami. Mereka juga yang paling terkenal di industri.
#2 Keamanan WordPress dalam Langkah Praktis (Tanpa Pengodean)
Kami tahu bahwa meningkatkan keamanan WordPress sanggup menjadi ajaran yang angker bagi para pemula. Khususnya bila Anda tidak mahir. Coba tebak - Anda tidak sendirian.
Kami telah membantu ribuan pengguna WordPress dalam pengerasan keamanan WordPress mereka.
Kami akan memperlihatkan kepada Anda bagaimana Anda sanggup meningkatkan keamanan WordPress Anda hanya dengan beberapa klik (tidak perlu coding).
Jika Anda bisa point-and-click, Anda bisa melaksanakan ini!
#2.1 Instal Backup WordPress Solution
Backup yaitu pertahanan pertama Anda terhadap serangan WordPress apa pun. Ingat, tidak ada yang 100% aman. Jika situs web pemerintah sanggup diretas, begitu juga milik Anda.
Backup memungkinkan Anda untuk segera memulihkan situs WordPress Anda seandainya terjadi sesuatu yang buruk.
Ada banyak plugin cadangan WordPress gratis dan berbayar yang sanggup Anda gunakan. Yang paling penting yang perlu Anda ketahui ketika tiba ke backup yaitu bahwa Anda harus secara teratur menyimpan cadangan situs-penuh ke lokasi terpencil (bukan akun hosting Anda).
Kami sarankan untuk menyimpannya di layanan cloud menyerupai Amazon, Dropbox, atau awan pribadi menyerupai Stash.
Berdasarkan seberapa sering Anda memperbarui situs web Anda, pengaturan yang ideal mungkin berupa cadangan sekali sehari atau waktu nyata.
Untungnya ini sanggup dengan gampang dilakukan dengan memakai plugin menyerupai VaultPress atau BackupBuddy. Mereka berdua sanggup dipercaya dan yang paling penting gampang dipakai (tidak perlu coding).
#2.2 Plugin Keamanan WordPress Terbaik
Ini termasuk pemantauan integritas file, upaya masuk gagal, pemindaian malware, dll.
Untungnya, ini semua bisa ditangani oleh plugin keamanan WordPress gratis terbaik, Sucuri Scanner.
Anda perlu menginstal dan mengaktifkan plugin Sucuri Security gratis.
Setelah aktivasi, Anda harus membuka sajian Sucuri di admin WordPress Anda.
Hal pertama yang akan diminta yaitu Menghasilkan kunci API gratis. Ini memungkinkan audit logging, pengecekan integritas, pemberitahuan email, dan fitur penting lainnya.
Hal berikutnya, yang perlu Anda lakukan yaitu klik pada tab Pengerasan dari Menu Sucuri. Pergi melalui setiap opsi dan klik pada tombol "Harden".
Opsi ini membantu Anda mengunci area utama yang sering dipakai peretas dalam serangannya. Satu-satunya opsi pengerasan yang merupakan peningkatan berbayar yaitu Firewall Aplikasi Web yang akan kami jelaskan pada langkah berikutnya, jadi lewati saja untuk ketika ini.
Kami juga telah membahas banyak opsi "Pengerasan" ini di artikel ini bagi mereka yang ingin melakukannya tanpa memakai plugin atau yang membutuhkan langkah komplemen menyerupai "Perubahan Prefix Database" atau "Mengubah Nama Pengguna Admin".
Setelah kepingan yang mengeras, sebagian besar pengaturan default plugin ini elok dan tidak perlu diubah. Satu-satunya hal yang kami sarankan untuk menyesuaikan yaitu Email Alerts.
Pengaturan lansiran default sanggup mengacaukan kotak masuk Anda dengan email. Kami merekomendasikan mendapatkan pemberitahuan untuk tindakan utama menyerupai perubahan pada plugin, registrasi pengguna baru, dll. Anda sanggup mengkonfigurasi peringatan dengan masuk ke Pengaturan Sucuri »Peringatan.
Plugin keamanan WordPress ini sangat kuat, jadi telusuri semua tab dan pengaturan untuk melihat semua yang dilakukannya menyerupai pemindaian Malware, log Audit, Pelacakan Mencoba Masuk yang Gagal, dll.
#2.3 Aktifkan Firewall Aplikasi Web (WAF)
Cara termudah untuk melindungi situs web Anda dan yakin akan keamanan WordPress Anda yaitu dengan memakai firewall aplikasi web (WAF). Firewall memblokir semua kemudian lintas jahat bahkan sebelum mencapai situs web Anda.
Kami memakai dan merekomendasikan Sucuri sebagai firewall web-aplikasi terbaik untuk WordPress.
Bagian terbaik ihwal firewall Sucuri yaitu bahwa ia juga dilengkapi dengan pencucian malware dan jaminan peniadaan daftar hitam. Pada dasarnya bila Anda diretas di bawah pengawasan mereka, mereka menjamin bahwa mereka akan memperbaiki situs web Anda (tidak peduli berapa banyak halaman yang Anda miliki).
Ini yaitu jaminan yang cukup besar lengan berkuasa lantaran memperbaiki situs web yang diretas mahal. Pakar keamanan biasanya mengenakan biaya $ 250 per jam. Sedangkan Anda bisa mendapatkan seluruh tumpukan keamanan Sucuri seharga $ 199 per tahun.
Sucuri bukan satu-satunya penyedia firewall di luar sana. Pesaing terkenal lainnya yaitu Cloudflare. Lihat perbandingan kami antara Sucuri vs Cloudflare (Pro dan Kontra).
#3 Keamanan WordPress untuk Pengguna DIY
Jika Anda melaksanakan semua yang telah kami sebutkan sejauh ini, maka Anda dalam kondisi yang sangat baik.
Namun menyerupai biasa, ada lebih banyak hal yang sanggup Anda lakukan untuk memperkeras keamanan WordPress Anda.
Beberapa langkah ini mungkin memerlukan pengetahuan pengkodean.
#3.1 Ubah nama pengguna "admin" Default
Di masa lalu, nama pengguna admin WordPress default yaitu "admin". Karena nama pengguna merupakan setengah dari kredensial masuk, ini mempermudah hacker untuk melaksanakan serangan brute-force.
Untungnya, WordPress telah mengubah ini dan kini mengharuskan Anda untuk menentukan nama pengguna khusus pada ketika menginstal WordPress.
Namun, beberapa penginstal WordPress 1-klik, masih mengatur nama pengguna admin default menjadi "admin". Jika Anda melihat itu sebagai masalahnya, mungkin itu yaitu wangsit yang baik untuk mengalihkan hosting web Anda.
Karena WordPress tidak mengizinkan Anda untuk mengubah nama pengguna secara default, ada tiga metode yang sanggup Anda gunakan untuk mengubah nama pengguna.
- Buat nama pengguna admin gres dan hapus yang lama.
- Gunakan plugin Username Changer
- Perbarui nama pengguna dari phpMyAdmin
Catatan: Kami berbicara ihwal nama pengguna yang disebut "admin", bukan tugas administrator.
#3.2 Nonaktifkan Pengeditan File
WordPress hadir dengan editor isyarat built-in yang memungkinkan Anda untuk mengedit tema dan file plugin eksklusif dari area admin WordPress Anda. Di tangan yang salah, fitur ini sanggup menjadi risiko keamanan, itulah sebabnya kami menyarankan untuk menonaktifkannya.
Anda sanggup dengan gampang melaksanakan ini dengan menambahkan isyarat berikut di file wp-config.php Anda.
// Disallwo file edit
define ('DISALLOW_FILE_EDIT', true);
Sebagai alternatif, Anda sanggup melaksanakan ini dengan 1-klik memakai fitur Hardening pada plugin Sucuri gratis yang kami sebutkan di atas.
#3.3 Nonaktifkan Eksekusi File PHP di Direktori WordPress Tertentu
Cara lain untuk mengeraskan keamanan WordPress Anda yaitu dengan menonaktifkan sanksi file PHP di direktori yang tidak diharapkan menyerupai / wp-content / uploads /.
Anda sanggup melaksanakan ini dengan membuka editor teks menyerupai Notepad dan tempel isyarat ini:
<File * .php>
deny form all
</ File>
Selanjutnya, Anda perlu menyimpan file ini sebagai .htaccess dan mengunggahnya ke / wp-content / upload / folder di situs web Anda memakai klien FTP.
Untuk klarifikasi lebih rinci, lihat panduan kami ihwal cara menonaktifkan sanksi PHP di direktori WordPress tertentu
Sebagai alternatif, Anda sanggup melaksanakan ini dengan 1-klik memakai fitur Hardening pada plugin Sucuri gratis yang kami sebutkan di atas.
#3.4 Batasi Upaya Login
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Ini menciptakan situs WordPress Anda rentan terhadap serangan brute force. Peretas mencoba memecahkan sandi dengan mencoba masuk dengan banyak sekali kombinasi.
Ini sanggup dengan gampang diperbaiki dengan membatasi upaya login gagal yang sanggup dilakukan pengguna. Jika Anda memakai firewall aplikasi web yang disebutkan sebelumnya, maka ini akan secara otomatis diurus.
Namun, bila Anda tidak mempunyai pengaturan firewall, lanjutkan dengan langkah-langkah di bawah ini.
Pertama, Anda perlu menginstal dan mengaktifkan plugin Login LockDown. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami ihwal cara memasang plugin WordPress.
Setelah aktivasi, kunjungi Pengaturan »Halaman Login LockDown untuk mengatur plugin.
#3.5 Ubah Awalan Database WordPress
Secara default, WordPress memakai wp_ sebagai awalan untuk semua tabel di basis data WordPress Anda. Jika situs WordPress Anda memakai prefiks database default, maka ini mempermudah hacker untuk menebak nama tabel Anda. Inilah mengapa kami menyarankan untuk mengubahnya.
Anda sanggup mengubah awalan basis data Anda dengan mengikuti tutorial langkah demi langkah kami ihwal cara mengubah awalan basis data WordPress untuk meningkatkan keamanan.
Catatan: Ini sanggup merusak situs Anda bila tidak dilakukan dengan benar. Hanya melanjutkan, bila Anda merasa nyaman dengan keterampilan pengkodean Anda.
#3.6 Password Protect WordPress Admin dan Halaman Login
Biasanya, peretas sanggup meminta folder wp-admin dan halaman masuk tanpa batasan apa pun. Ini memungkinkan peretas untuk mencoba trik peretasan atau menjalankan serangan DDoS.
Anda sanggup menambahkan dukungan kata sandi komplemen di sisi server yang secara efektif akan memblokir ajakan tersebut.
Ikuti petunjuk langkah demi langkah kami ihwal cara melindungi kata sandi direktori admin WordPress (wp-admin) Anda.
#3.7 Nonaktifkan Pengindeksan Direktori dan Perambanan
Penjelajahan direktori sanggup dipakai oleh peretas untuk mencari tahu apakah Anda mempunyai file dengan kerentanan yang diketahui, sehingga mereka sanggup memanfaatkan file ini untuk mendapatkan akses.
Penjelajahan direktori juga sanggup dipakai oleh orang lain untuk melihat file Anda, menyalin gambar, mencari tahu struktur direktori Anda, dan informasi lainnya. Inilah mengapa sangat disarankan biar Anda mematikan pengindeksan dan penjelajahan direktori.
Anda perlu terhubung ke situs web Anda memakai FTP atau pengelola file cPanel. Selanjutnya, cari file .htaccess di direktori root situs web Anda. Jika Anda tidak sanggup melihatnya di sana, lihat panduan kami ihwal mengapa Anda tidak sanggup melihat file .htaccess di WordPress.
Setelah itu, Anda perlu menambahkan baris berikut di selesai file .htaccess:
Options -Indexes
Jangan lupa simpan dan unggah file .htaccess kembali ke situs Anda. Untuk lebih lanjut ihwal topik ini, lihat artikel kami ihwal cara menonaktifkan penjelajahan direktori di WordPress.
#3.8 Nonaktifkan XML-RPC di WordPress
XML-RPC diaktifkan secara default di WordPress 3.5 lantaran membantu menghubungkan situs WordPress Anda dengan aplikasi web dan seluler.
Namun lantaran sifatnya yang kuat, XML-RPC sanggup secara signifikan memperkuat serangan brute-force.
Misalnya, secara tradisional bila peretas ingin mencoba 500 sandi berbeda di situs web Anda, mereka harus melaksanakan 500 upaya masuk yang terpisah yang akan ditangkap dan dicekal oleh plugin kunci-putar masuk.
Tetapi dengan XML-RPC, peretas sanggup memakai fungsi system.multicall untuk mencoba ribuan kata sandi dengan menyampaikan 20 atau 50 permintaan.
Inilah sebabnya mengapa bila Anda tidak memakai XML-RPC, sebaiknya Anda menonaktifkannya.
Kiat: Metode .htaccess yaitu yang terbaik lantaran sumber dayanya paling sedikit intensif.
Jika Anda memakai firewall aplikasi web yang disebutkan sebelumnya, maka ini sanggup dijaga oleh firewall.
#3.9 Secara otomatis logout Pengguna Idle di WordPress
Masuk ke pengguna terkadang sanggup berpindah dari layar, dan ini menjadikan risiko keamanan. Seseorang sanggup membajak sesi mereka, mengubah kata sandi, atau menciptakan perubahan pada akun mereka.
Inilah sebabnya mengapa banyak situs perbankan dan keuangan secara otomatis keluar dari pengguna yang tidak aktif. Anda sanggup mengimplementasikan fungsi serupa di situs WordPress Anda juga.
Anda perlu menginstal dan mengaktifkan plugin Logout Pengguna Tidak Aktif. Setelah aktivasi, kunjungi Pengaturan »Halaman Logout Pengguna Kosong untuk mengonfigurasi pengaturan plugin.
Keluar dari pengguna yang tidak aktif
Cukup mengatur durasi waktu dan hapus centang pada kotak di samping opsi ‘Nonaktifkan dalam admin’ admin untuk keamanan yang lebih baik. Jangan lupa klik tombol simpan perubahan untuk menyimpan pengaturan Anda.
Untuk petunjuk lebih rinci, lihat panduan kami ihwal cara otomatis keluar dari pengguna yang tidak aktif di WordPress.
#3.10 Tambahkan Pertanyaan Keamanan ke Layar Masuk WordPress
Menambahkan pertanyaan keamanan ke layar masuk WordPress Anda menciptakan lebih sulit bagi seseorang untuk mendapatkan saluran yang tidak sah.
Anda sanggup menambahkan pertanyaan keamanan dengan menginstal plugin Pertanyaan Keamanan WP. Setelah aktivasi, Anda perlu mengunjungi Pengaturan »Pertanyaan Keamanan halaman untuk mengkonfigurasi pengaturan plugin.
Untuk petunjuk lebih rinci, lihat tutorial kami ihwal cara menambahkan pertanyaan keamanan ke layar masuk WordPress.
#3.11 Memperbaiki Situs WordPress yang Diretas
Banyak pengguna WordPress tidak menyadari pentingnya cadangan dan keamanan situs web hingga situs web mereka diretas.
Membersihkan situs WordPress bisa sangat sulit dan memakan waktu. Saran pertama kami yaitu membiarkan seorang profesional mengurusnya.
Peretas memasang backdoors di situs yang terpengaruh, dan bila backdoors ini tidak diperbaiki dengan benar, maka situs web Anda kemungkinan akan diretas lagi.
Mengizinkan perusahaan keamanan profesional menyerupai Sucuri untuk memperbaiki situs web Anda akan memastikan bahwa situs Anda kondusif untuk dipakai lagi. Ini juga akan melindungi Anda dari serangan apa pun di masa depan.
Untuk pengguna yang suka berpetualang dan DIY, kami telah menyusun panduan langkah demi langkah untuk memperbaiki situs WordPress yang diretas.
Itu saja, kami harap artikel ini membantu Anda mempelajari praktik terbaik keamanan WordPress terbaik serta menemukan plugin keamanan WordPress terbaik untuk situs web Anda.