Cara Meningkatkan Keamanan Blog WordPress Anda

Diterbitkan: 2022-02-26

WordPress adalah sistem manajemen konten (CMS) yang dihosting sendiri paling populer di Internet dan oleh karena itu, seperti Microsoft Windows, WordPress juga merupakan target serangan yang paling populer. Perangkat lunak ini open source, dihosting di Github, dan peretas selalu mencari bug dan kerentanan yang dapat dieksploitasi untuk mendapatkan akses ke situs WordPress lainnya.

WordPress Paling tidak yang dapat Anda lakukan untuk menjaga keamanan instalasi WordPress Anda adalah memastikan bahwa itu selalu menjalankan versi terbaru dari perangkat lunak WordPress.org dan juga berbagai tema dan plugin diperbarui. Berikut adalah beberapa hal lain yang dapat Anda lakukan untuk meningkatkan keamanan blog WordPress Anda:

#1. Masuk dengan akun WordPress Anda

Saat Anda menginstal blog WordPress, pengguna pertama disebut "admin" secara default. Anda harus membuat pengguna yang berbeda untuk mengelola blog WordPress Anda dan menghapus pengguna “admin” atau mengubah peran dari “administrator” menjadi “pelanggan.”

Anda dapat membuat nama pengguna yang benar-benar acak (sulit ditebak) atau alternatif yang lebih baik adalah Anda mengaktifkan sistem masuk tunggal dengan Jetpack dan menggunakan akun WordPress.com Anda untuk masuk ke blog WordPress yang dihosting sendiri.

#2. Jangan mengiklankan versi WordPress Anda ke dunia

Situs WordPress selalu mempublikasikan nomor versi sehingga memudahkan orang untuk menentukan apakah Anda menjalankan versi WordPress yang tidak ditambal atau tidak.

Sangat mudah untuk menghapus versi WordPress dari halaman tetapi Anda perlu membuat satu perubahan lagi. Hapus file readme.html dari direktori instalasi WordPress Anda karena juga mengiklankan versi WordPress Anda ke seluruh dunia.

#3. Jangan biarkan orang lain "Menulis" ke direktori WordPress Anda

Masuk ke shell WordPress Linux Anda dan jalankan perintah berikut untuk mendapatkan daftar semua direktori "terbuka" tempat pengguna lain dapat menulis file.

Temukan . -tipe d -perm -o=w

Anda mungkin juga ingin menjalankan dua perintah berikut di shell Anda untuk mengatur izin yang tepat untuk semua file dan folder WordPress Anda (referensi).

temukan /your/wordpress/folder/ -type d -exec chmod 755 {} \; temukan /your/wordpress/folder/ -type f -exec chmod 644 {} \;

Untuk direktori, 755 (rwxr-xr-x) berarti hanya pemiliknya yang memiliki izin menulis sementara yang lain memiliki izin membaca dan mengeksekusi. Untuk file, 644 (rw-r—r—) berarti pemilik file memiliki izin baca dan tulis sementara yang lain hanya bisa membaca file.

#4. Ganti nama awalan tabel WordPress Anda

Jika Anda telah menginstal WordPress menggunakan opsi default, tabel WordPress Anda memiliki nama seperti wp posts atau wp_users. Oleh karena itu, merupakan ide yang baik untuk mengubah awalan tabel (wp ) ke beberapa nilai acak. Plugin Ubah Awalan DB memungkinkan Anda mengganti nama awalan tabel menjadi string lain dengan sekali klik.

#5. Cegah pengguna menjelajahi direktori WordPress Anda

Ini penting. Buka file .htaccess di direktori root WordPress Anda dan tambahkan baris berikut di bagian atas.

Opsi -Indeks

Ini akan mencegah dunia luar melihat daftar file yang tersedia di direktori Anda jika file index.html atau index.php default tidak ada di direktori tersebut.

#6. Perbarui Kunci Keamanan WordPress

Buka di sini untuk menghasilkan enam kunci keamanan untuk blog WordPress Anda. Buka file wp-config.php di dalam direktori WordPress dan timpa kunci default dengan yang baru.

Garam acak ini membuat kata sandi WordPress Anda yang tersimpan lebih aman dan keuntungan lainnya adalah jika seseorang masuk ke WordPress tanpa sepengetahuan Anda, mereka akan segera keluar karena cookie mereka akan menjadi tidak valid sekarang.

#7. Simpan log kesalahan WordPress PHP dan Database

Log kesalahan terkadang dapat menawarkan petunjuk kuat tentang jenis kueri basis data yang tidak valid dan permintaan file yang mengenai instalasi WordPress Anda. Saya lebih suka Monitor Log Kesalahan karena secara berkala mengirimkan log kesalahan melalui email dan juga menampilkannya sebagai widget di dalam dasbor WordPress Anda.

Untuk mengaktifkan error logging di WordPress, tambahkan kode berikut ke file wp-config.php Anda dan ingat untuk mengganti /path/to/error.log dengan jalur sebenarnya dari file log Anda. File error.log harus ditempatkan di folder yang tidak dapat diakses dari browser (referensi).

define('WP_DEBUG', benar); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', salah); @ini_set('log_errors', 'Aktif'); @ini_set('display_errors', 'Mati'); @ini_set('error_log', '/path/ke/error.log'); }

#9. Lindungi Dasbor Admin dengan Kata Sandi

Itu selalu merupakan ide yang baik untuk melindungi kata sandi folder wp-admin WordPress Anda karena tidak ada file di area ini yang ditujukan untuk orang-orang yang mengunjungi situs web WordPress publik Anda. Setelah dilindungi, bahkan pengguna yang berwenang harus memasukkan dua kata sandi untuk masuk ke dasbor Admin WordPress mereka.

10. Lacak aktivitas login di server WordPress Anda

Anda dapat menggunakan perintah "last -i" di Linux untuk mendapatkan daftar semua pengguna yang telah masuk ke server WordPress Anda bersama dengan alamat IP mereka. Jika Anda menemukan alamat IP yang tidak dikenal dalam daftar ini, sudah pasti saatnya untuk mengubah kata sandi Anda.

Juga, perintah berikut akan menampilkan aktivitas login pengguna untuk jangka waktu yang lebih lama yang dikelompokkan berdasarkan alamat IP (ganti USERNAME dengan nama pengguna shell Anda).

last -if /var/log/wtmp.1 | grep NAMA PENGGUNA | awk '{cetak $3}' | urutkan | unik -c

Pantau WordPress Anda dengan Plugin

Repositori WordPress.org berisi beberapa plugin terkait keamanan yang baik yang akan terus memantau situs WordPress Anda dari gangguan dan aktivitas mencurigakan lainnya. Berikut adalah hal-hal penting yang akan saya rekomendasikan.

  1. Exploit Scanner - Ini akan dengan cepat memindai semua file WordPress dan posting blog Anda dan mencantumkan yang mungkin memiliki kode berbahaya. Tautan spam mungkin disembunyikan di posting blog WordPress Anda menggunakan CSS atau IFRAMES dan plugin juga akan mendeteksinya.
  2. Keamanan WordFence - Ini adalah plugin keamanan yang sangat kuat yang harus Anda miliki. Ini akan membandingkan file inti WordPress Anda dengan file asli di repositori sehingga setiap modifikasi langsung terdeteksi. Selain itu, plugin akan mengunci pengguna setelah 'n' jumlah upaya login yang gagal.
  3. WP Notifier - Jika Anda tidak terlalu sering masuk ke dasbor Admin WordPress, plugin ini cocok untuk Anda. Ini akan mengirimi Anda email peringatan setiap kali pembaruan baru tersedia untuk tema, plugin, dan inti WordPress yang diinstal.
  4. Pemindai VIP - Plugin keamanan "resmi" akan memindai tema WordPress Anda untuk mencari masalah apa pun. Ini juga akan mendeteksi kode iklan apa pun yang mungkin telah disuntikkan ke dalam template WordPress Anda.
  5. Sucuri Security - Ini memonitor WordPress Anda untuk setiap perubahan pada file inti, mengirimkan pemberitahuan email ketika ada file atau posting yang diperbarui dan juga memelihara log aktivitas login pengguna termasuk login yang gagal.

Tip: Anda juga dapat menggunakan perintah Linux berikut untuk mendapatkan daftar semua file yang telah dimodifikasi dalam 3 hari terakhir. Ubah mtime menjadi mmin untuk melihat file yang dimodifikasi “n” menit yang lalu.

Temukan . -ketik f -mtime -3 | grep -v “/Maildir/” | grep -v "/logs/"

Amankan Halaman Login WordPress Anda

Halaman login WordPress Anda dapat diakses oleh seluruh dunia tetapi jika Anda ingin mencegah pengguna yang tidak berwenang masuk ke WordPress, Anda memiliki tiga pilihan.

  1. Perlindungan Kata Sandi dengan .htaccess - Ini melibatkan perlindungan folder wp-admin WordPress Anda dengan nama pengguna dan kata sandi selain kredensial WordPress biasa Anda.
  2. Google Authenticator - Plugin luar biasa ini menambahkan verifikasi dua langkah ke blog WordPress Anda mirip dengan Akun Google Anda. Anda harus memasukkan kata sandi dan juga kode tergantung waktu yang dibuat di ponsel Anda.
  3. Login Tanpa Kata Sandi - Gunakan plugin Clef untuk masuk ke situs WordPress Anda dengan memindai kode QR dan Anda dapat mengakhiri sesi dari jarak jauh dengan ponsel Anda sendiri.

Lihat juga: Plugin WordPress yang harus dimiliki