18 Plugin & Tips Keamanan Wordpress Untuk Mengamankan Blog Anda

Iklan

Tanpa ragu, untuk blog yang di-hosting sendiri, WordPress adalah CMS blog terbaik yang bisa Anda dapatkan. Namun, sebagai perangkat lunak sumber terbuka dan populer, itu juga berarti bahwa peretas memiliki akses penuh ke Internet kode yang dapat mereka teliti untuk menemukan exploit yang dapat mereka gunakan untuk meretas ke semua WordPress-enabled situs

Sisi baiknya, salah satu hal terbaik tentang WordPress adalah sistem pluginnya yang memungkinkan siapa saja untuk melakukannya instal plugin apa pun atau buat plugin Anda sendiri untuk memperluas fungsinya, termasuk meningkatkan keamanan.

Di sini, saya telah mendaftarkan beberapa plugin keamanan wordpress (dan beberapa trik) yang dapat Anda gunakan untuk mengamankan blog WordPress.

Semua plugin dan trik yang tercantum di bawah ini dimaksudkan untuk WP 2.7 dan di atasnya. Jika Anda masih menggunakan versi WordPress yang lebih lama, sekarang saatnya untuk meningkatkan versi blog Anda.

Melindungi Login Anda

Plugin ini menggunakan BAB protokol untuk mengenkripsi kata sandi Anda. Kata sandi pertama kali diasinkan dengan angka acak (nonce) yang dihasilkan oleh sesi, diikuti oleh algoritma transformasi md5. Hasil ini kemudian dikirim ke server di mana ia decrpyted dan diautentikasi. Ini adalah plugin tanpa konfigurasi, yang berarti Anda dapat menggunakannya segera setelah mengaktifkannya.

2. Stealth Login

Stealth Login mengaburkan halaman login Anda dengan memungkinkan Anda untuk menentukan halaman login kustom daripada wp-login.php default. Jika kata sandi Anda bocor, peretas juga akan kesulitan menemukan URL login yang benar. Penggunaan yang baik dari ini adalah untuk mencegah bot jahat dari mengakses file wp-login.php Anda dan mencoba untuk masuk.

Login Lockdown berguna untuk mencegah serangan brute force. Apa yang dilakukan LockLown Login adalah merekam alamat IP dan stempel waktu dari setiap upaya login yang gagal. Jika lebih dari sejumlah upaya terdeteksi dalam waktu singkat dari rentang IP yang sama, itu akan mengunci fungsi login dan mencegah orang dari rentang IP tersebut untuk masuk.

Plugin ini menambahkan otentikasi HTTP tambahan untuk memberikan lapisan pertahanan kedua untuk blog Anda. Anda dapat mengatur perlindungan kata sandi untuk blog Anda menggunakan HTTP Basic Authentication, atau Anda dapat memilih untuk menggunakan HTTP Digest Authentication yang lebih aman.

Perhatikan bahwa plugin ini mungkin / mungkin tidak berfungsi tergantung pada kemampuan server Anda. Jika situs Anda tidak lulus tes konfigurasi AskApache (tes dijalankan oleh plugin untuk mendeteksi kemampuan server Anda), hubungi host web Anda dan lihat apakah mereka dapat membuat perubahan di server sisi.

Plugin ini menyediakan lingkungan login "semisecure" dengan mengenkripsi kata sandi Anda dengan Kriptografi RSA

Melindungi Database Anda

Mungkin bagi sebagian dari Anda, membuat cadangan basis data bisa berarti pekerjaan teknis yang merepotkan. Dengan WP-DB-Backup, Anda hanya perlu mengonfigurasinya sekali dan menjalankannya secara otomatis secara berkala.

Apa yang dilakukan plugin ini adalah mengotomatiskan pencadangan database Anda dan mengirimkannya ke kotak masuk email Anda. Selain tabel default yang dibuat oleh WordPress, Anda juga dapat membuat cadangan tabel khusus yang dibuat oleh plugin. Jika akun macet, Anda dapat dengan mudah mengimpor dan memulihkan basis data dengan cadangan.

Wp-DBManager seperti phpmyadmin dalam dashboard Anda. Anda dapat dengan mudah mengelola basis data Anda langsung di dalam dasbor Anda. Ada fitur yang berguna seperti mengoptimalkan / memperbaiki / membuat cadangan / memulihkan database Anda dan jika Anda cukup teknis, Anda bahkan dapat menjalankan kueri SQL Anda sendiri dari halaman opsi.

Sisi buruknya, jika ada peretas yang berhasil masuk ke situs Anda, plugin ini akan menjadi gerbang bagi mereka untuk membuat kekacauan di basis data Anda.

8. Ubah awalan tabel database

Awalan default yang digunakan oleh WordPress adalah "wp". Anda dapat dengan mudah mengubah awalan ke istilah lain yang sulit ditebak menggunakan WP-Security-Scan. Lebih detail tentang plugin ini di bawah ini.

9. Lindungi file wp-config.php Anda

File wp-config.php Anda berisi semua kredensial login database Anda dan harus disembunyikan dari tampilan publik dalam segala keadaan. Dalam file htaccess Anda, masukkan baris ini:

pesanan mengizinkan, menolak. tolak dari semua. 

untuk mencegah siapa pun melihat file wp-config.php.

Melindungi Halaman Admin Anda

Plugin ini memaksa SSL di semua halaman tempat kata sandi dapat dimasukkan sehingga semua informasi yang dikirimkan dienkripsi.

Namun satu hal, Anda harus memiliki sertifikat SSL sebelum dapat melakukannya. Jika Anda tidak bersedia mengeluarkan uang ekstra untuk membeli sertifikat SSL pribadi, Anda dapat bertanya kepada host Web Anda tentang Shared SSL. Sebagian besar host web menyediakan Shared SSL untuk semua klien mereka dan mudah dikonfigurasi.

11. Ubah nama pengguna login

Menggunakan "admin" sebagai nama pengguna login Anda adalah hal terakhir yang ingin Anda lakukan. Ketika Anda pertama kali menginstal WordPress, Anda harus segera membuat akun administrator lain dengan nama pengguna dan kata sandi Anda sendiri dan menghapus akun "admin".

Mencegah Orang Lain Melihat Struktur File Internal Anda

12. Menyembunyikan versi WP

Di sebagian besar tema WordPress di bawah

bagian, selalu ada garis kode yang menunjukkan versi WordPress yang Anda gunakan. Memberi nomor versi WordPress Anda berarti memberi tahu peretas eksploitasi apa yang digunakan untuk meretas situs Anda.

Sejak WP2.6.5, WordPress telah membuatnya lebih sulit untuk menghapus versi wp karena menanamkan informasi tersebut di dalamnya wp_header menandai. Plugin yang dapat Anda gunakan untuk menghapus informasi itu WP-Security-Scan.

13. Menyembunyikan konten WP

Folder WP-content adalah tempat Anda menyimpan semua plugin dan file tema Anda. Ini adalah tempat di mana Anda ingin mencegah orang lain melihat ke dalam. Anda dapat mengunggah yang kosong index.html file ke folder konten-wp, atau buat file .htaccess di folder konten-wp dan tambahkan baris ini:

Opsi Semua -Indeks
14. Blokir folder-wp dari pengindeksan oleh mesin pencari
Meskipun Anda ingin mesin pencari mengindeks blog Anda dan mendatangkan banyak traffic, hal terakhir yang ingin Anda lihat adalah membiarkan mesin pencari mengekspos struktur file internal Anda kepada publik. Yang dapat Anda lakukan adalah memblokir semua folder wp Anda dari pengindeksan oleh mesin pencari dengan menambahkan entri berikut ke robot.txt:
Disallow: / wp- * 
Pemeliharaan
Saya telah menyebutkan plugin ini beberapa kali, jadi inilah saatnya bagi saya untuk menjelaskan apa fungsinya. WP-Security-Scan memeriksa WordPress Anda dari kerentanan keamanan dan menyarankan / memberikan tindakan korektif. Tindakan korektif termasuk mengubah awalan basis data Anda, menyembunyikan nomor versi WordPress dari header dan memungkinkan Anda untuk menguji kekuatan kata sandi Anda.
Sekali-sekali, itu adalah ide yang baik untuk menjalankan pemindai keamanan bawaan dan memeriksa blog Anda untuk segala kelemahan keamanan.
16. Ubah kata sandi secara teratur
Anda tidak hanya harus mengubah kata sandi secara teratur, Anda juga harus memastikan bahwa kata sandi itu kuat. Jika Anda mengalami kesulitan dalam membuatnya, temukan bagaimana Anda bisa buat kata sandi yang kuat yang mudah Anda ingat Cara Membuat Kata Sandi Kuat yang Dapat Anda Ingat dengan Mudah Baca lebih banyak .
17. Perbarui WordPress dan semua plugin ke versi terbaru
Tidak perlu dikatakan, meningkatkan ke versi WordPress dan plugin terbaru adalah cara terbaik untuk melindungi diri Anda.
Melindungi Koneksi Anda
18. SFTP
Mentransfer file ke akun online Anda adalah hal yang biasa dilakukan. Namun, alih-alih menggunakan FTP yang tidak aman, Anda harus menggunakan SFTP (FTP Aman). Ini akan membuat koneksi SSH dan mengirim semua file Anda dienkripsi ke server. Jika Anda memerlukan bantuan untuk membuat koneksi SFTP, ini dia panduan.
Informasi di atas harus memadai bagi Anda untuk membuat blog WordPress yang aman. Jika Anda belum menerapkan semua ini, saya ingin Anda melakukannya sekarang.
Apa metode lain yang Anda gunakan untuk mengamankan blog WordPress Anda?