Mengamankan Instalasi WordPress Anda

Beberapa tahun yang lalu, hanya peretas yang dapat memecahkan situs web dan menurunkannya karena tingkat pengetahuan mereka dalam sistem, jaringan, dan pengkodean. Namun belakangan ini, banyak hal telah berubah dan hampir semua orang dapat menemukan tutorial di Internet yang menunjukkan prosedur langkah demi langkah untuk menembus situs web yang menjalankan perangkat lunak yang rentan.

Di NetComm, kami menjaga keamanan dengan serius, dan telah menerapkan beberapa sistem untuk melindungi aplikasi Anda agar tidak dieksploitasi. Namun, kami tidak dapat melindungi setiap perangkat lunak yang dioperasikan klien di situs mereka, karena tidak ada cara yang dijamin untuk melindungi situs web Anda agar tidak dieksploitasi karena kerentanan akibat tidak meningkatkan ke rilis terbaru, plugin berkode buruk, atau kode kustom.

Tutorial ini bertujuan untuk fokus pada aplikasi web umum yang digunakan oleh klien kami - WordPress. Kami akan memberikan beberapa tip dan saran yang akan membantu Anda menambahkan lapisan keamanan ekstra ke instalasi WordPress Anda.

Poin Penting:

  1. Selalu perbarui instalasi WordPress Anda, termasuk (yang terpenting!) Plugin apa pun yang telah Anda instal
  2. Buat pengguna admin baru dengan nama pengguna khusus, lalu hapus pengguna 'admin' default karena banyak serangan akan menargetkan nama pengguna standar
  3. Ubah kata sandi akun admin Anda secara teratur
  4. Hanya instal plugin yang ditinjau dengan baik oleh komunitas WordPress, dan dikembangkan secara aktif
  5. Ubah prefix database default. Semua penginstalan WordPress default menggunakan awalan database "wp_" yang membuat pengeksploitasi apa pun pekerjaan jauh lebih mudah. Anda dapat mengubah awalan ini menjadi sesuatu yang unik - plugin berikut dapat dengan mudah membantu Anda mengubah awalan basis data WordPress dengan beberapa klik: http://wordpress.org/extend/plugins/db-prefix-change/

Mengamankan WordPress

Di bawah ini adalah daftar modifikasi atau penyesuaian yang disarankan untuk dilakukan pada instalasi WordPress Anda. Bacalah dengan cermat dan jika Anda memiliki pertanyaan, jangan ragu untuk menghubungi tim dukungan kami sebelum melanjutkan.

  1. Sembunyikan versi WP Anda. Menyembunyikan versi WP mempersulit bot mengumpulkan informasi tentang situs Anda dari mengidentifikasi apakah Anda menjalankan versi yang rentan atau tidak. Anda dapat menggunakan plugin berikut untuk melakukannya untuk Anda: http://wordpress.org/extend/plugins/hide-wordpress-version/
  2. Batasi akses ke area admin (direktori wp-admin) menggunakan alat perlindungan kata sandi di antarmuka cPanel akun Anda

    Untuk langkah 3 dan 4, harap diingat bahwa setiap perubahan yang dilakukan pada file .htaccess harus ditempatkan di luar tag # BEGIN WordPress dan # END WordPress. Apa pun yang ditulis di antara tag tersebut, dapat ditimpa oleh aplikasi WordPress.
  3. Akses aman ke file kunci dengan menambahkan baris berikut ke file .htaccess di direktori instalasi WordPress Anda:
    <files .htaccess wp-config.php>
    order deny,allow
    deny from all
    </files>
  4. Akses aman ke direktori wp-include Anda. Ini sering digunakan oleh peretas untuk menempatkan file berbahaya ketika mereka menemukan instalasi yang rentan. Tambahkan baris berikut ke file .htaccess di direktori instalasi WordPress Anda:
    # Block include-only files.
    RewriteEngine On
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
    # End block include-only files
    Perhatikan bahwa ini tidak akan berfungsi dengan baik pada penginstalan WordPress Multisite, karena RewriteRule ^ wp-include / [^ /] + \. Php $ - [F, L] akan mencegah file ms-files.php menghasilkan gambar. Menghilangkan baris itu akan memungkinkan kode berfungsi, tetapi menawarkan keamanan yang lebih sedikit.
  5. Blokir bot mesin pencari dari menjelajahi direktori Anda. Google dan mesin telusur lainnya dapat merayapi url yang tidak diinginkan dan memaparkannya kepada peretas. Sebaiknya cegah bot Google dan bot lain yang mengikuti robots.txt (tidak semuanya) mengindeks apa pun kecuali konten Anda. Robot.txt masuk ke folder root situs Anda dan hanya berupa file teks. Edit / Buat file robots.txt Anda di folder public_html dan pastikan file tersebut memiliki parameter berikut
    User-agent: *
    Crawl-delay: 5
    Disallow: /wp-admin/
    Disallow: /wp-admin/admin-ajax.php
    Disallow: /cgi-bin/
    Disallow: /wp-includes/
    Disallow: /wp-content/
    Disallow: /xmlrpc.php
    Disallow: /wp-content/plugins/
    Disallow: /wp-content/cache/
    Disallow: /wp-content/themes/
    Disallow: /trackback/
    Disallow: /feed/
    Disallow: /comments/
    Disallow: /category/
    Disallow: /*?
    Disallow: /tmp/

Tindakan Pencegahan Ekstra:

Kami menyarankan Anda mempertimbangkan untuk menginstal plugin berikut ke dalam instalasi WordPress Anda untuk menambahkan lapisan keamanan ekstra. Harap diperhatikan bahwa Anda tidak perlu menginstal semuanya, cukup pilih yang paling sesuai untuk Anda:

  1. http://wordpress.org/extend/plugins/limit-login-attempts/ - Batasi Upaya Masuk: Ini memblokir IP setelah beberapa kegagalan otentikasi.
  2. http://wordpress.org/extend/plugins/stealth-login-page/ - Mengubah halaman login Anda menjadi alamat yang hanya Anda yang tahu
  3. http://wordpress.org/extend/plugins/bulletproof-security/ - Perlindungan Keamanan Situs Web WordPress: Keamanan BulletProof melindungi situs WordPress Anda dari upaya peretasan XSS, RFI, CRLF, CSRF, Base64, Injeksi Kode, dan Injeksi SQL.
  4. http://wordpress.org/extend/plugins/wordfence/ - Wordfence Security adalah plugin keamanan kelas perusahaan gratis yang mencakup firewall, pemindaian anti-malware, pemindaian URL berbahaya, dan lalu lintas langsung termasuk perayap. Wordfence adalah satu-satunya plugin keamanan WordPress yang dapat memverifikasi dan memperbaiki file inti, tema, dan plugin Anda, meskipun Anda tidak memiliki cadangan.
  5. http://wordpress.org/extend/plugins/better-wp-security/ - iThemes Security (sebelumnya Better WP Security) menggunakan fitur dan teknik keamanan WordPress terbaik dan menggabungkannya dalam satu plugin sehingga memastikan lubang keamanan sebanyak mungkin ditambal tanpa harus khawatir tentang fitur yang bertentangan atau kemungkinan kehilangan apa pun di situs Anda.

Kami harap Anda menikmati tutorial ini. Ingat, tim teknis kami siap membantu 24/7 untuk setiap pertanyaan yang Anda miliki.

  • 0 Users Found This Useful
Was this answer helpful?

Related Articles

Bagaimana melindungi WordPress dari serangan XML-RPC

XML-RPC adalah protokol remote jarak jauh. Sesuai namanya, ia menggunakan XML (Extensible Markup...

Pembaruan Otomatis WordPress

Banyak pengguna bertanya kepada kami bagaimana cara mengaktifkan pembaruan otomatis di WordPress....

Blokir bot jahat melalui .htaccess

Apakah Anda melihat banyak lalu lintas ke situs Anda dari bot yang buruk? Jika Anda memiliki...

Cara yang benar menginstal WordPress melalui Softaculous

Menginstal WordPress melalui sistem sekali klik kami sangat mudah dilakukan. Untuk melakukan ini,...

Plugin WordPress: Sahabat Terbaik dan Musuh Terburuk Anda

Salah satu keluhan yang paling sering kami dapatkan adalah bahwa situs web seseorang lambat atau...

Powered by WHMCompleteSolution