Iklan

lindungi wordpressBotnet di seluruh dunia telah mengalihkan perhatian mereka dari mengirimkan email spam ke peretasan sistematis ke instalasi WordPress; ini adalah bisnis yang menguntungkan karena WordPress memberi kekuatan pada 40% dari semua blog. Terutama mengingat bahwa meskipun kami menjadi korban hal ini, sudah saatnya kami melakukan pos komprehensif tentang cara melindungi instalasi WordPress yang di-host-sendiri.

Catatan: saran ini hanya berlaku untuk instalasi WordPress yang di-host sendiri. Jika Anda menggunakan WordPress.com, Anda biasanya tidak perlu peduli dengan keamanan, karena mereka menangani semuanya untuk Anda.Apa perbedaan antara WordPress.com dan WordPress.org? Apa Perbedaan Antara Menjalankan Blog Anda Di Wordpress.com & Wordpress.org?Dengan Wordpress sekarang memberdayakan 1 di setiap 6 situs web, mereka pasti melakukan sesuatu yang benar. Untuk pengembang berpengalaman dan pemula lengkap, Wordpress menawarkan sesuatu untuk Anda. Tapi sama seperti Anda mulai ... Baca lebih banyak

instagram viewer

Pasang Google autentikator dua langkah

Jika Anda sudah mengaktifkan otentikasi dua langkah untuk akun Gmail atau layanan lain, Anda dapat menggunakan aplikasi autentikator yang sama plugin ini untuk WordPress.

Untungnya, Anda dapat membatasi otentikasi dua langkah hanya untuk digunakan pada akun tingkat atas sehingga Anda tidak perlu mengganggu semua pengguna Anda.

lindungi wordpress

Penguncian Login

Plugin lama, tetapi masih berfungsi sebagaimana mestinya; Penguncian Login memeriksa IP upaya masuk dan memblokir rentang IP selama satu jam jika gagal 3 kali dalam 5 menit. Sederhana, efektif.

Ambil Cadangan Reguler

Peretas tidak akan hanya mengubah satu file, tetapi akan menempatkan panel kontrol mereka sendiri disembunyikan di suatu tempat dan lainnya pintu belakang tersembunyi - sehingga bahkan jika Anda memperbaiki retas asli, mereka segera kembali dan melakukan semuanya lagi. Ambil cadangan harian atau mingguan sehingga Anda dapat dengan mudah mengembalikan kembali ke titik di mana tidak ada jejak peretas - dan pastikan untuk menambal apa pun yang mereka lakukan untuk masuk. Secara pribadi, saya baru saja berinvestasi $ 150 Sobat Cadangan lisensi pengembang - ini adalah solusi cadangan termudah dan terlengkap yang pernah saya temukan.

lindungi situs wordpress

Cegah Pengindeksan Folder

Periksa akar instalasi WordPress Anda untuk file .htaccess (perhatikan periode di awal - Anda mungkin perlu menampilkan file yang tidak terlihat untuk melihatnya), dan pastikan memiliki baris berikut. Jika tidak, tambahkan - tetapi buat cadangan terlebih dahulu karena file ini sangat penting.

Opsi Semua -Indeks

Tetap Diperbarui

Jangan melakukan kesalahan yang sama seperti yang kami lakukan: selalu tingkatkan WordPress segera setelah pembaruan tersedia. Terkadang pembaruan berisi perbaikan bug kecil dan bukan perbaikan keamanan, tetapi biasakanlah dan Anda tidak akan memiliki masalah. Jika Anda memiliki lebih dari satu pemasangan WordPress dan tidak dapat melacak semuanya, periksa ManageWp.com, dasbor premium untuk semua blog Anda yang mencakup pemindaian keamanan.

Bukan hanya file inti WordPress, tetapi juga plugin: salah satu peretasan WordPress terbesar di masa lalu melibatkan kerentanan dalam skrip generator gambar mini umum yang disebut timthumb.php, dan masih ada tema di luar sana yang menggunakan versi lama. Meskipun plugin dengan cepat diperbarui, menjaga tema tetap lebih sulit, tentu saja - WordPress tidak akan memberi tahu Anda jika tema Anda rentan, dan untuk itu Anda akan menemukan semacam plugin pemindaian keamanan - gulir ke bawah ke itu Plugin Keamanan bagian di bawah untuk beberapa saran.

Jangan Pernah Mengunduh Tema Acak

Kecuali Anda tahu apa yang Anda lakukan dengan kode PHP, sangat mudah untuk jatuh ke dalam jebakan mengunduh tema acak yang indah dari di suatu tempat, hanya untuk menemukan ada kode jahat di sana - paling umum backlink yang tidak dapat Anda hapus, tetapi yang lebih buruk adalah ditemukan. Tetap berpegang pada desainer tema premium dan terkenal (seperti Majalah Hancur atau WPShower), atau untuk tema gratis hanya menggunakan direktori tema WordPress.

Hapus Plugin dan Tema yang Tidak Digunakan

Semakin sedikit kode yang dapat dieksekusi yang Anda miliki di server Anda, semakin baik - hapus peluang memiliki kode lama yang rentan dengan menghapus tema dan plugin yang tidak Anda gunakan lagi. Menonaktifkannya hanya akan menghentikan pemuatan fungsionalitasnya dengan WordPress, tetapi kode itu sendiri mungkin masih dapat dieksekusi oleh peretas.

Hapus Meta Tahu di Header Anda

Secara default, WordPress menyiarkan versinya ke seluruh dunia dalam kode file header Anda - cara mudah bagi peretas untuk mengidentifikasi pemasangan yang lebih lama. Tambahkan baris berikut ke tema Anda functions.php file untuk menghapus versi WordPress, info Windows Live Writer dan garis yang membantu klien jarak jauh menemukan file XML-RPC Anda.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Hapus Akun "admin"

Sebagian besar serangan brute force di WordPress melibatkan berulang kali mencoba admin akun - default untuk semua pemasangan WordPress - dan kamus kata sandi umum. Jika Anda masuk dengan admin atau memiliki akun admin terdaftar di tabel pengguna Anda, Anda rentan terhadap ini.

Dua cara untuk memperbaikinya: gunakan keduanya plugin wp-optimalkan - sebuah plugin hebat yang di antaranya, memungkinkan Anda untuk menonaktifkan revisi posting dan melakukan optimasi database - untuk mengganti nama akun admin. Atau cukup buat akun lain dengan hak admin, masuk sebagai pengguna baru, lalu hapus akun “admin” tetapkan semua posting ke pengguna baru Anda.

lindungi situs wordpress

Kata sandi aman

Bahkan jika Anda telah menonaktifkan akun admin, dimungkinkan untuk mengidentifikasi nama pengguna akun administrator Anda - pada titik mana Anda rentan terhadap serangan brute force lagi. Menerapkan kebijakan kata sandi yang kuat dari 16 atau lebih karakter acak yang terdiri dari huruf besar dan kecil, tanda baca dan angka.

Atau cukup gunakan reallyLongSentenceThatsEasyToRememberMetode.

Nonaktifkan Pengeditan File di dalam WordPress

Bagi mereka yang tidak ingin masuk melalui FTP, WordPress menyertakan editor mudah di dasbor admin untuk file PHP tema dan plugin - tetapi itu membuat instalasi Anda rentan jika seseorang mendapatkan akses. Sebenarnya, ini adalah bagaimana seseorang berhasil menyuntikkan pengalihan malware ke header kami. Tambahkan baris berikut ke bawah wp-config.php (di folder root) untuk menonaktifkan semua fitur pengeditan file - dan gunakan SFTP Apa SSH & Apa Bedanya Dengan FTP [Dijelaskan Teknologi] Baca lebih banyak untuk masuk ke server Anda sebagai gantinya.

define ('DISALLOW_FILE_EDIT', true);

Sembunyikan Kesalahan Login

Kata sandi yang salah atau nama pengguna yang salah dapat diidentifikasi oleh kesalahan yang diberikan saat masuk, yang dapat digunakan untuk mengidentifikasi akun yang memaksa. Ini tidak baik, tentu saja, jadi bunuh kesalahan dengan penambahan pada tema Anda ini functions.php mengajukan

function no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Aktifkan Cloudflare

Selain mempercepat situs Anda, CloudFlare memitigasi banyak botnet dan pemindai yang terkenal bahkan dari mulai mengunjungi blog Anda. Baca semua tentang CloudFlare Lindungi & Percepat Situs Web Anda Secara Gratis dengan CloudFlareCloudFlare adalah permulaan yang menarik dari pencipta Project Honey Pot yang mengklaim dilindungi situs web Anda dari spammer, bot, dan monster web jahat lainnya - serta mempercepat situs Anda agak... Baca lebih banyak sini. Instalasi satu klik jika Anda dihosting di MediaTemple, jika tidak, Anda akan memerlukan akses ke panel kontrol domain untuk mengubah server nama.

lindungi situs wordpress

Plugin Keamanan

  • Keamanan WP yang lebih baik mengimplementasikan banyak perbaikan ini untuk Anda dan merupakan solusi gratis terlengkap yang ada.lindungi wordpress
  • WordFence adalah paket premium yang secara aktif memindai file Anda untuk mencari tautan malware, pengalihan, kerentanan yang diketahui, dll. - dan memperbaikinya. Harga mulai dari $ 18 / tahun untuk 1 situs.
  • Solusi keamanan masuk keduanya membatasi upaya login dan memberlakukan kata sandi aman.
  • Keamanan anti peluru adalah plugin yang komprehensif namun kompleks yang berhubungan dengan beberapa aspek yang lebih teknis seperti injeksi XSS dan masalah .htaccess. Pro verison plugin juga tersedia yang mengotomatiskan sebagian besar proses.

Saya pikir Anda akan setuju ini daftar langkah yang cukup komprehensif untuk memperkeras WordPress, tetapi saya tidak menyarankan Anda menerapkannya semua dari mereka. Jika saya harus melakukan semua ini untuk setiap situs yang pernah saya set up, saya masih akan menyiapkannya sekarang. Menjalankan segala jenis sistem menimbulkan risiko, dan pada akhirnya terserah Anda untuk menemukan keseimbangan di antara keduanya tingkat keamanan yang Anda inginkan dan upaya yang ingin Anda lakukan untuk mengamankannya - tidak ada yang akan 100% aman. Buah gantung rendah di sini adalah:

  • Selalu memperbarui WordPress
  • Menonaktifkan akun admin
  • Menambahkan otentikasi dua langkah
  • Menginstal plugin keamanan

Melakukan itu sendiri harus menempatkan Anda di atas 99% dari semua blog lain di luar sana, yang cukup untuk membuat peretas potensial beralih ke target yang lebih mudah.

Apakah Anda pikir saya melewatkan sesuatu? Ceritakan di komentar.

James memiliki gelar BSc dalam Artificial Intelligence, dan bersertifikat CompTIA A + dan Network +. Dia adalah pengembang utama MakeUseOf, dan menghabiskan waktu luangnya bermain VR paintball dan boardgames. Dia telah membangun PC sejak dia masih kecil.