Iklan
Menjalankan situs web berbasis WordPress seringkali menyenangkan, memungkinkan Anda untuk fokus pada konten dan membangun hubungan dengan pembaca dan situs web lain.
Namun, tidak semua orang di web ramah seperti Anda. Di suatu tempat di luar sana ada daftar dengan nama blog Anda di atasnya, di mana ia duduk, menunggu untuk ditargetkan oleh peretas. Ketika mereka berkeliling ke blog Anda, mereka akan mencoba berbagai taktik untuk mendapatkan akses ke sana, mungkin dengan tujuan menjual obat-obatan legal atau menginfeksi komputer pengunjung Anda dengan malware.
Untungnya, ada berbagai cara untuk melindungi blog WordPress Anda dari peretas.
Perbarui WordPress secara teratur
Salah satu solusi paling kuat tetapi sering diabaikan untuk menjaga WordPress aman dari peretas adalah untuk memastikan itu diperbarui secara teratur.
Jelas ada sisi negatifnya - sebagian dari Anda plugin WordPress terbaik Plugin WordPress Terbaik Baca lebih banyak mungkin berhenti bekerja jika WordPress diperbarui - tetapi pada saat yang sama harus dilihat sebagai peluang untuk segarkan plugin Anda, temukan penggantian yang aman dan andal dan pada dasarnya kencangkan situs web Anda atau blog. Menempel plugin yang ditemukan di direktori WordPress juga merupakan cara yang baik untuk menjaga semuanya tetap terkendali.
Memperbarui WordPress dimungkinkan dari dalam Dashboard, tetapi selalu mengambil cadangan dari database Anda sebelum melakukannya.
Simpan Backup Biasa
Prosedur penting untuk semua pemilik blog WordPress adalah untuk memastikan bahwa cadangan dibuat secara teratur dan bahwa mereka dapat dengan mudah dipulihkan jika hal buruk terjadi.
Solusi banyak, tetapi Cloudsafe365 adalah salah satu yang paling kuat, menggabungkan cadangan cloud (Dropbox dapat digunakan) dengan berbagai alat perlindungan yang aman terhadap teknik seperti scripting lintas situs, injeksi SQL, dan bahkan memonitor konten pencurian.
Cloudsafe365, tersedia dari menu Situs plugin WordPress, hadir dalam tiga rasa. Opsi gratis mencakup hal-hal yang tercantum di atas, sedangkan opsi berbayar menawarkan fitur lebih lanjut seperti perlindungan terhadap injeksi kode dan serangan brute force.
Instal Plugin Login Terenkripsi
Melindungi tindakan aktual masuk ke situs web berbasis WordPress Anda paling baik dilakukan dengan menggunakan plugin login terenkripsi, karena perangkat lunak situs web tidak memiliki fasilitas ini secara default. Mungkin solusi terbaik untuk ini - sempurna untuk melindungi detail login blog Anda dari paket sniffer pada jaringan nirkabel - adalah Chap Secure Login, yang menggunakan algoritma SHA-256 untuk melindungi nama pengguna dan kata sandi Anda.
Sementara itu Penguncian Login plugin adalah cara yang berguna untuk memblokir IP yang mencatat upaya berulang yang gagal untuk mengakses situs Anda.
Langkah-langkah perlindungan login lainnya yang dapat Anda ambil termasuk menginstal plugin CAPTCHA yang kuat. RetinaPost adalah plugin yang sangat mengesankan, mengharuskan pengguna untuk memasukkan karakter yang disorot dari frasa daripada mencoba dan menguraikan gambar teks yang kacau atau melakukan tantangan matematika. Segala upaya untuk mengacaukan blog Anda menggunakan sistem komentar dapat dikurangi secara nyata menggunakan plugin ini.
Sembunyikan “Didukung oleh WordPress”
Peretas memiliki taktik berbeda untuk setiap jenis perangkat lunak situs web yang digunakan, tetapi Anda dapat membuat hal-hal lebih sulit untuk mereka dengan tidak mengiklankan fakta bahwa situs web Anda “Didukung oleh WordPress ”.
Secara default, informasi ini dapat ditemukan di file footer.php, dijangkau dengan memasukkan Dasbor blog Anda, memilih Penampilan> Editor untuk mengedit di dalam jendela browser. Tema yang berbeda akan membutuhkan metode yang berbeda untuk menghapus teks ini, jadi Anda harus memeriksa online untuk menemukan pendekatan terbaik (jika teks biasa digunakan untuk menampilkan legenda, maka hapus ini; jika kode PHP digunakan, telusuri dengan hati-hati kecuali Anda tahu apa yang Anda lakukan).
Ubah Nama Pengguna Admin
Salah satu cara di mana peretas dapat menemukan jalan ke situs Anda adalah dengan menggunakan perangkat lunak brute force yang akan berusaha banyak login menggunakan kata-kata dan frase umum sebagai kata sandi, ditambah dengan pilihan yang jelas nama pengguna.
Nama pengguna administrator di WordPress dapat dipilih ketika perangkat lunak diatur, tetapi dalam terburu-buru untuk menyelesaikan sesuatu banyak pengguna meninggalkannya pada pilihan default "admin". Seperti nama pengguna yang jelas, ini datang di bagian atas daftar, itulah sebabnya mengubah itu penting.
Ada dua cara untuk mengubah nama pengguna admin. Pertama, Anda dapat membuat akun administrator kedua dengan nama pengguna yang tidak jelas, dan kemudian menghapus pengguna asli. Namun, perhatikan bahwa ini mungkin berdampak pada artikel apa pun yang ditulis di bawah akun administrator (mungkin tidak akan diterbitkan hingga nama baru ditetapkan, atau menampilkan kesalahan pada halaman posting).
Mungkin cara paling efektif untuk melakukan ini adalah mengakses phpMyAdmin situs Anda, pilih WordPress database, cari tabel wp_users ("wp_" adalah awalan default yang mungkin telah diubah saat instalasi) dan menggunakan Telusuri ikon untuk menemukan nama pengguna "admin".
Setelah ditemukan, cari kolom user_login, klik sunting tombol pada baris yang sesuai dan kemudian ubah “admin” ke nama login akun administrator yang Anda inginkan, klik Pergilah ketika kamu selesai.
Pindahkan File wp-config
Masalah mencolok dengan WordPress adalah detail keamanan utama disimpan dalam satu file tunggal yang tidak dienkripsi yang dapat diretas dan digunakan untuk mengendalikan blog Anda. File wp-config.php berisi rincian login admin serta nama pengguna dan kata sandi untuk database MySQL.
Oleh karena itu, mengamankan file ini sangat penting jika Anda ingin melindungi situs dari peretas.
Namun, satu hal yang tidak boleh Anda lakukan adalah menghapus wp-config - ini akan membuat situs Anda tidak dapat digunakan (dan agak kosong). Jadi bagaimana Anda melindungi situs Anda dari kerentanan aneh ini?
Sejak rilis WordPress 2.8, pemilik blog telah memiliki kemampuan untuk memindahkan file ke direktori web root di server. Apa artinya ini, misalnya, adalah jika Anda menginstal situs Anda www.mysite.com/wordpress, file wp-config.php dapat dipindahkan ke atas, ke direktori mysite.
Kesimpulan
Terlepas dari seberapa teknis atau non-teknis Anda, jika Anda menjalankan blog WordPress, tidak ada alasan untuk tidak menerapkan salah satu atau semua alat ini untuk melindungi situs web Anda dari peretas.
Lagi pula, apa gunanya menempatkan semua kerja keras itu hanya untuk menemukan bahwa seseorang telah mengambil alih situs tersebut dan sekarang membebani Anda pengunjung reguler Anda dengan mengiklankan Viagra?
Langkah-langkah ini dapat diterapkan hanya dalam beberapa jam - mungkin satu pagi di akhir pekan jika Anda terdesak waktu - jadi jangan abaikan, bertindaklah sekarang.
Christian Cawley adalah Wakil Editor untuk Keamanan, Linux, DIY, Pemrograman, dan Penjelasan Teknologi. Ia juga memproduksi The Really Useful Podcast dan memiliki pengalaman luas dalam dukungan desktop dan perangkat lunak. Sebagai kontributor majalah Linux Format, Christian adalah seorang penggerutu Raspberry Pi, pencinta Lego dan penggemar game retro.