GNU/Linux >> Belajar Linux >  >> Panels >> Plesk

Cara Mengamankan atau Memperkuat Situs WordPress Anda

Artikel ini awalnya ditulis pada Februari 2014 dan menerima pembaruan rutin seiring perubahan taktik.

Kiat:Jika situs web Anda saat ini diretas, ini bukan panduan yang Anda inginkan. Lihat panduan kami untuk membersihkan situs WordPress yang diretas. Kemudian kembali ke sini untuk mengeraskannya setelah situs web telah dibersihkan.

Bagaimana dan mengapa situs web dirusak, diretas, atau rusak?

Sebagian besar situs disusupi oleh kerentanan yang diketahui di skrip dan aplikasi berbasis web yang sudah usang . Sederhananya, ini berarti jika Anda menjalankan perangkat lunak populer versi usang seperti papan pesan, perangkat lunak blog, atau sistem manajemen konten, situs web Anda dapat berisiko. Cara lain situs web biasanya disusupi adalah karena kata sandi yang tidak aman atau dicuri dan izin file yang salah.

Mengapa ada orang yang ingin meretas situs web saya? Saya tidak menyimpan informasi pribadi atau keuangan apa pun di situs saya, jadi saya tidak perlu khawatir tentang hal ini, bukan? Banyak orang merasa bahwa karena menurut mereka tidak ada orang yang mau menyusupi situs web mereka, mereka tidak perlu mengkhawatirkan keamanannya. Hentikan .

Meskipun mereka mungkin tidak menginginkan informasi apa pun di situs Anda, sering kali situs Anda akan digunakan untuk menyebarkan virus, spyware, atau menipu pengunjung agar mengunjungi situs bersama mereka. Sebagian besar situs yang disusupi yang kami lihat memiliki kode berbahaya yang disuntikkan ke dalam file untuk melakukan hal ini.

Plugin dan Alat Keamanan

Berhati-hatilah dengan plugin dan alat keamanan WordPress. Sebagian besar dari mereka cenderung berfokus pada pencegahan kerusakan lebih lanjut setelah seseorang telah meretas ke situs Anda, atau menyembunyikan hal-hal seperti halaman login WordPress Anda (yang seperti melemparkan selembar kertas ke pintu Anda dan berharap tidak ada yang memperhatikan), daripada benar-benar mencegah penyusupan.

Setelah seseorang mendapatkan akses, sangat sulit untuk memastikan apa yang telah mereka lakukan, jadi jauh lebih penting untuk memblokirnya sejak awal. Oleh karena itu, kiat kami berfokus pada jenis perubahan yang dapat Anda lakukan pada situs Anda yang akan mencegah penyusupan .

Anda mungkin berpikir “tetapi apakah Anda melewatkan puluhan praktik keamanan lainnya?!” Mungkin Anda pernah membacanya di blog lain atau dari penyedia hosting lain atau pakar WordPress. Ada banyak artikel di luar sana dengan 50+ peningkatan keamanan yang dapat Anda lakukan untuk WordPress… menurut pendapat kami, lebih dari apa yang Anda lihat di bawah ini berlebihan. Sebagian besar dari 50+ tweak tersebut dirancang untuk menghentikan alat otomatis dari menimbulkan kerusakan setelah mereka sudah mendapatkan akses admin ke situs web Anda. Mengikuti setiap langkah dalam panduan ini malah akan mengarahkan Anda ke jalur untuk mencegah akses ke situs web WordPress Anda.

10 cara memperkuat situs web Anda

Tips #1 :Ambil cadangan reguler! (Jika Anda menghosting dengan kami, berikut cara mengotomatiskan pencadangan) Jika Anda memiliki cadangan, memulihkan cadangan jauh lebih cepat dan lebih mudah daripada membersihkan situs WordPress yang diretas.

1. Instal Plugin Limit Login Attempts

Catatan:ini opsional jika Anda menghosting dengan kami. Alasan mengapa dapat ditemukan di kotak di bawah ini.

Plugin ini memungkinkan Anda membatasi jumlah upaya login yang gagal untuk dasbor WordPress Anda. Ini akan melindungi dari orang yang mencoba masuk ke situs web Anda dengan kata sandi acak berulang kali dalam upaya untuk "memaksa" sistem. Anda dapat mengunduh plugin di sini, yang akan membatasi hingga 3 percobaan.

Jika Anda telah menggunakan penginstal aplikasi web sekali klik kami, maka plugin ini harus diinstal secara default. Jika belum, Anda dapat memasangnya dengan menggunakan tautan di atas.

Tahukah Anda bahwa hosting WordPress kami dilengkapi dengan alat tingkat server untuk secara otomatis mendeteksi beberapa upaya login dari IP yang sama dan mencekal alamat IP jahat? Tidak ada salahnya memasang plugin, tetapi dengan hosting kami, itu tidak lagi penting!

2. Pengguna Admin:Gunakan kata sandi yang aman &audit mereka

Jangan pernah menggunakan kata sandi "sementara" yang Anda rencanakan untuk diubah lagi nanti – terlalu mudah untuk lupa menyesuaikannya. Saat Anda mengubah kata sandi di WordPress di bawah Pengguna, defaultnya adalah memberikan kata sandi aman yang dibuat secara otomatis. Harap gunakan apa yang disediakan dan jangan mencoba menggunakan milik Anda sendiri, yang kemungkinan akan lebih lemah.

Jika Anda kesulitan menyimpan/mengingat kata sandi yang panjang, kami tidak menyalahkan Anda:gunakan pengelola kata sandi seperti LastPass atau 1Password yang akan melacak semua kata sandi yang dibuat secara acak untuk Anda dan mengunci semuanya dengan satu kata sandi utama yang kuat.

Anda juga disarankan untuk mengaudit pengguna admin Anda setiap beberapa bulan dengan menghapus pengguna admin yang tidak Anda perlukan. Tetapkan tugas di perangkat lunak daftar tugas pilihan Anda untuk melakukannya setiap tiga bulan.

3. Selalu perbarui perangkat lunak Anda

Catatan:pembaruan 100% otomatis jika Anda menghosting situs wordpress Anda dengan kami, pastikan semua plugin atau tema premium telah mengaktifkan lisensinya, dan mengaktifkan pembaruan otomatis di aplikasi web 1-klik.

Ini termasuk perangkat lunak inti WordPress, semua plugin, dan semua tema yang telah Anda instal. Langkah ini digabungkan dengan kata sandi yang aman, adalah dua langkah terpenting . WordPress dan pengembang plugin dan tema merilis pembaruan untuk menambahkan fitur dan memperbaiki kelemahan keamanan. Anda harus memperbarui perangkat lunak setiap kali versi baru tersedia.

Jika Anda menggunakan plugin atau tema komersial, pastikan untuk mengikuti petunjuknya untuk menyimpan kunci lisensi ke pengaturan plugin untuk mengaktifkan pembaruan otomatis. Ini adalah opsi untuk sebagian besar plugin komersial seperti ekstensi BeaverBuilder, Gravity Forms, dan WooCommerce.

Jika tema atau plugin komersial Anda tidak mendukung pembaruan otomatis, Anda perlu menambahkan tugas berulang ke perangkat lunak daftar tugas pilihan Anda untuk memeriksa pembaruan secara teratur dan menginstalnya secara manual. Ketika kami menemukan plugin semacam itu, kami pengembang menambahkan pembaruan otomatis dan, jika mereka tidak bermaksud demikian, kami akan mencari alternatif. Hal ini karena tidak sebanding dengan waktu yang diperlukan untuk terus memantau plugin manual atau pembaruan tema.

4. Hapus perangkat lunak lama

Jika Anda memiliki beberapa versi WordPress yang terinstal di situs web Anda (atau perangkat lunak lainnya dalam hal ini) dan Anda tidak menggunakan salah satunya lagi, Anda masih harus memastikannya diperbarui atau menghapusnya seluruhnya. Penginstalan perangkat lunak yang usang dan terlupakan adalah metode yang sangat umum yang membuat alat peretasan otomatis mendapatkan akses ke situs web Anda.

Hal yang sama berlaku untuk plugin dan tema yang diinstal. Jika Anda tidak menggunakannya, hapus!

5. Aktifkan dan Paksa HTTPS

Menggunakan HTTPS alih-alih HTTP tidak aman sekarang ini mudah!

  1. Klik di sini untuk mempelajari cara memasang sertifikat Let's Encrypt di domain Anda
  2. Ikuti panduan kami untuk mempelajari cara memaksa HTTPS di seluruh situs web Anda.

Sekarang semua login ke WordPress akan sepenuhnya aman dari ujung ke ujung. Tidak ada kata sandi yang dapat diendus melalui kabel!

6. Gunakan plugin keamanan seperti WordFence atau Sucuri

Ada beberapa hal yang perlu diperhatikan tentang ini:

  • Jika Anda dihosting bersama kami, ini bukan alat penting. Kami menggunakan kombinasi firewall yang memblokir hampir semua jenis upaya penyusupan yang sama seperti WordFence, mulai dari serangan bruteforce hingga pemeriksaan kerentanan.
  • Banyak plugin keamanan palsu yang hanya membuat rekomendasi dan tidak melindungi situs web Anda secara aktif. Kami menemukan WordFence sebagai yang terbaik dari kelompok itu, dengan Sucuri di urutan kedua.
  • WordFence juga berguna saat membersihkan situs web yang diretas karena cenderung menemukan paling file yang terinfeksi dan bersihkan secara otomatis.
  • Jika Anda menggunakan VPS, tidak ada salahnya untuk mengaktifkan pemindaian WordFence mingguan. Jika Anda menggunakan hosting bersama yang memungkinkan pemindaian tersebut dapat menghabiskan sumber daya secara tidak perlu, terutama jika Anda akan menerapkan semua hal lain dalam daftar ini dan jika Anda menerima tamu dengan kami.

Catatan:kami telah menguji banyak alat ini untuk sampai pada kesimpulan ini. Kami bahkan telah melihat beberapa yang disebut plugin keamanan yang dipasang sebelumnya di situs yang telah diretas — banyak hal baik yang mereka lakukan!

7. Tolak akses untuk masuk ke siapa pun kecuali diri Anda sendiri

Langkah ini tidak penting jika Anda sudah memiliki kata sandi yang sangat aman untuk semua pengguna tingkat admin Anda, namun tidak ada salahnya menerapkannya jika Anda suka mengenakan topi kertas timah.

Baca panduan kami untuk mempelajari cara melindungi folder wp-admin Anda dengan otentikasi HTTP. Saat mengikuti panduan, folder yang akan dimasukkan adalah folder wp-admin.

Setelah selesai, Anda akan memiliki dua tingkat entri sandi sebelum mencapai admin, HTTP Auth, dan login admin WordPress standar Anda. Pastikan untuk membuat kata sandi berbeda; jika keduanya sama, maka bot yang mencoba menebaknya tidak akan mengalami masalah setelah melewati lapisan pertama.

8. Jalankan PHP terbaru dalam mode Fast-CGI atau FPM jika memungkinkan.

Jika Anda menggunakan panel kontrol saat ini, Anda dapat memilih antara menjalankan PHP dengan FastCGI atau Apache PHP. Pilih metode FastCGI atau FPM jika memungkinkan.

Di WordPress, ada banyak tema dan plugin yang menurut mereka memerlukan izin akses global 777 untuk menulis ke folder dengan benar dan mengunggah konten. Mereka salah dalam banyak kasus. “777” berarti semua orang yang dihosting di server tersebut dapat membaca, menulis, dan mengeksekusi file apa pun yang memiliki izin tersebut.

Ini adalah risiko keamanan yang besar dan merupakan masalah besar jika Anda berada di lingkungan hosting web bersama. Jika situs web lain disusupi di server yang sama, mereka akan dapat mengakses file dan folder mana pun yang memiliki izin 777.

Menggunakan mode FastCGI atau FPM memaksa PHP untuk berjalan sebagai nama pengguna Anda dan akan menghindari masalah ini sama sekali dan berfungsi dengan baik dengan izin file dan folder default. Jika Anda menghosting dengan kami, mode FPM atau FastCGI adalah default untuk situs web Anda.

Pastikan Anda menjalankan versi terbaru PHP. Hanya beberapa versi utama terbaru yang didukung secara rutin oleh pengembang PHP, jadi menjalankan versi lama seperti 7.0 atau lebih lama (per Desember 2019) dapat menimbulkan risiko keamanan untuk situs Anda.

9. Jangan pernah menyimpan kata sandi Anda di komputer Anda kecuali kata sandi tersebut dienkripsi

Banyak program di komputer Anda sebenarnya menyimpan kata sandi Anda dalam teks biasa. Ini berarti bahwa jika Anda memiliki virus atau spyware tertentu di komputer Anda, itu mungkin dapat mengakses FTP atau kredensial berbasis web untuk penginstalan WordPress atau situs web Anda.

Jika Anda ingin menyimpan kata sandi di aplikasi Anda, pastikan untuk memverifikasi apakah kata sandi tersebut dienkripsi atau disimpan dalam teks biasa. Misalnya, aplikasi apa pun yang menyimpan kata sandi menggunakan sistem Rantai Kunci Apple, memiliki penyimpanan kata sandi yang sepenuhnya aman. Sayangnya FileZilla tidak salah satu aplikasi ini, jadi menyimpan kata sandi Anda di alat pengelola situs FileZilla dapat menjadi masalah jika komputer Anda pernah terinfeksi oleh virus yang mengetahui untuk mencari file data FileZilla.

10. Pastikan Anda selalu menjalankan software anti-malware di komputer Anda

Meskipun yang ini tidak perlu dikatakan lagi, sangat umum bahwa orang tidak menjalankan salah satu dari ini. Tidak masalah seberapa aman situs web atau server Anda jika orang bisa mendapatkan sandi Anda dari komputer pribadi Anda .

Jika Anda mengikuti tips ini, hanya ada dua metode tersisa yang dapat digunakan untuk meretas situs Anda:

  1. Kerentanan nol hari, yang tidak mungkin diprediksi dan dilindungi, meskipun jawaban terbaik untuknya adalah cepat pembaruan, yang ditangani utilitas aplikasi web 1-klik kami untuk Anda.
  2. Rekayasa sosial, di mana seseorang mengelabui Anda agar memberikan sandi. Untuk mencegah hal ini, cukup waspada dan jangan berikan kata sandi Anda.

Plesk

  1. Cara Melakukan Backup Website Anda Di cPanel

  2. Cara mengkloning situs WordPress di Plesk

  3. Bagaimana cara menambahkan Google Analytics ke Situs WordPress Anda

  1. Cara mentransfer situs web dari wordpress.com ke WordPress yang dihosting sendiri

  2. Cara memperbaiki situs WordPress yang diretas

  3. Cara membuat cadangan situs web Anda

  1. Bagaimana cara mencadangkan situs web Anda?

  2. Cara Menggandakan Situs Web Anda

  3. Cara mengaktifkan HTTPS di situs WordPress Anda