5 Ancaman Keamanan Default di WordPress dan Cara Memperbaikinya

Keamanan WordPress

WordPress adalah perangkat lunak sumber terbuka yang sangat populer dan sepenuhnya open source. Hal hebat tentang keamanan itu, adalah ada komunitas besar yang bekerja dengannya, yang dapat menemukan bug serta risiko keamanan lebih cepat daripada orang yang mungkin dengan solusi CMS internal. (Sulit untuk mencari tahu tentang kelemahan ketika satu cara untuk mengetahuinya sebenarnya adalah memiliki kelemahan yang dieksploitasi, dan memiliki basis pengguna yang besar membuat penemuan jauh lebih mungkin.)


Kelemahannya adalah bahwa peretas dengan niat buruk tahu persis bagaimana situs web Anda dibangun. Mereka sudah memiliki ‘cetak biru’ di situs Anda. Dan jika ada kelemahan pada inti, tema, atau plugin yang Anda gunakan, itu adalah sesuatu yang mereka akan dapat mengetahuinya tanpa pernah mendapatkan akses ke bagian belakang situs Anda.

Jadi dalam posting ini, saya akan menunjukkan kepada Anda bagaimana cara memperbaiki 5 ancaman keamanan yang ada di semua instalasi WordPress yang sepenuhnya default. (Jika Anda sudah mengambil beberapa tindakan pencegahan, Anda mungkin menemukan bahwa Anda telah memperbaiki satu atau dua, tetapi penting untuk memperbaiki kelima untuk meminimalkan risiko diretas.)

Situs Anda Menunjukkan Anda Menggunakan WordPress, Plus Versi

Versi WordPress

Versi default WordPress akan memiliki baris kode yang memberikan bahwa situs Anda dibangun menggunakan WordPress, bahkan hingga versi ke orang yang tahu ke mana harus mencari. Tergantung pada temanya, bahkan mungkin akan ditampilkan secara visual di setiap halaman situs web Anda.

Alasan ini bisa menjadi risiko keamanan, adalah bahwa orang mungkin menargetkan situs Anda tanpa alasan lain selain karena itu dibuat di WordPress. Jika seseorang menemukan kelemahan keamanan di inti WordPress, sebuah tema atau plugin, mereka mungkin menemukan jalan ke situs Anda untuk mengeksploitasinya. Sedangkan jika Anda berhasil menyembunyikan bahwa situs Anda dibuat dengan WordPress, orang yang mencari situs WordPress menggunakan bot atau perayap akan tertipu dengan berpikir bahwa situs Anda bukanlah target yang layak..

Bagaimana memperbaikinya:
Untuk memperbaikinya, Anda dapat menggunakan Plugin Hide My WP. Dengan plugin kecil yang bermanfaat ini Anda dapat menghindari lalu lintas yang tidak perlu di server Anda, dan pada saat yang sama, tetap aman dari serangan yang secara khusus menargetkan situs WordPress.

Semua Orang Tahu Di Mana Halaman Login / Admin Anda Berada

Login WordPress

Jika Anda masih menunjukkan bahwa Anda menggunakan WordPress (alias, tidak menyembunyikannya secara aktif dengan misalnya menggunakan plugin seperti Hide My WP), orang-orang dengan niat buruk akan tahu di mana harus mencoba serangan brute-force di situs Anda.

Bagaimana memperbaikinya:
Untuk memperbaiki ancaman ini, dan secara drastis menurunkan peluang untuk diretas, dan untuk mengurangi stres server, kita perlu menghentikan orang jahat dan bot untuk mencapai halaman login kami.

Ada dua cara utama untuk melakukan ini. Anda dapat mengubah lokasi fisik halaman login Anda menjadi sesuatu yang lain dengan menggunakan plugin (atau beberapa baris kode), atau Anda dapat membatasi akses ke halaman login dan area admin Anda dengan alamat IP. Anda dapat melakukan ini dengan plugin yang didedikasikan untuk hal khusus ini, atau dengan plugin keamanan seperti Sucuri, Wordfence, iThemes Security Pro atau Keamanan All In One WP & Firewall.

WordPress Memiliki Awalan Tabel Default yang Digunakan Semua Orang

Awalan Tabel WordPress

Awalan tabel adalah apa yang muncul sebelum nama tabel di database Anda. Alih-alih pengguna, dengan awalan standar WordPress, itu akan menjadi wp_users. Jika Anda menggunakan awalan tabel default, ini memudahkan orang untuk mendapatkan akses ke situs Anda dengan mengeksploitasi kelemahan injeksi sql yang mungkin. Karena mereka tahu persis di mana menyuntikkan info ke dalam basis data Anda untuk kemudian mendapatkan akses ke situs Anda.

Saya sebenarnya salah satu situs web saya diretas karena injeksi sql, jadi ini adalah ancaman yang sangat nyata bahwa Anda perlu mengambil tindakan balasan terhadap.

Bagaimana memperbaikinya:
Untungnya sangat mudah untuk menghapus ancaman ini. Jika Anda sudah menginstal WordPress menggunakan awalan wp_ default, Anda dapat dengan mudah mengubahnya menggunakan plugin seperti Sucuri. Pertama, Anda perlu membuat cadangan basis data sebelum menggunakan opsi itu karena ada kemungkinan kecil terjadi kesalahan. Anda dapat melakukan ini dengan mengklik tombol. Kemudian Anda dapat memilih awalan baru, atau biarkan Sucuri secara acak menghasilkan awalan baru untuk Anda.

Catatan: Jika Anda baru saja menginstal WordPress untuk pertama kali, Anda dapat mengubahnya di antarmuka instalasi.

File Tema & Plugin WordPress Dapat Diedit Melalui Dasbor

Editor Plugin WordPress

Masalah dengan ini, adalah bahwa jika seorang hacker mendapatkan akses ke situs web Anda, mereka dapat melakukan banyak kerusakan. Mereka dapat membuat situs web Anda menginfeksi orang lain dengan perangkat lunak perusak (yang dapat diakhiri dengan situs Anda dimasukkan ke dalam daftar hitam Google dan dihapus dari mesin pencari), merusak situs web Anda, atau dengan mudah membuka backdoors.

Bagaimana memperbaikinya:
Anda dapat menambahkan baris kode ini ke file wp-config.php Anda:

define ('DISALLOW_FILE_EDIT', true);

Atau gunakan plugin keamanan untuk melakukannya untuk Anda (yang pada dasarnya hanya akan menyisipkan baris kode untuk Anda). Satu-satunya masalah adalah bahwa ada plugin yang memungkinkan orang untuk menghidupkan dan mematikan kemampuan ini, sehingga peretas yang sangat berdedikasi mungkin dapat menginstal plugin, menyalakan plugin, dan kemudian mendapatkan akses ke kode pengeditan tanpa akses FTP.

Jika Anda ingin sangat teliti dan melindungi dari ini, Anda dapat menonaktifkan semua plugin / pembaruan tema / instalasi dengan menambahkan baris kode ini ke wp-config.php:

define ('DISALLOW_FILE_MODS', true);

Tapi jelas ini berarti Anda harus mengubah nilainya menjadi false setiap kali Anda ingin memperbarui atau menginstal plugin atau tema (kami tidak benar-benar merekomendasikan opsi ini, karena menjaga agar tema dan plugin tetap terbaru adalah salah satu cara terbaik untuk memastikan situs Anda tidak terlalu rentan).

WordPress Memiliki Pengaturan Firewall Yang Sangat Terbuka Yang Dapat Mengizinkan Bot Berbahaya Yang Dikenal Bahkan Untuk Mencoba Menyerang

WordPress Firewall Serrings

Pengaturan firewall default WordPress sebenarnya di sisi liberal. Ini berarti bahwa beberapa bot yang tidak diinginkan dan pengunjung lain yang tidak diinginkan mendapat lampu hijau.

Bagaimana memperbaikinya:
Anda dapat memperbaikinya dengan menginstal aturan dasar firewall 5G blacklist, dengan menyalinnya secara manual ke file .htaccess Anda, (Anda dapat menemukannya di sini) atau dengan menginstal plugin ini, atau gunakan plugin keamanan untuk lebih mengoptimalkan aturan di .htaccess Anda.

Upaya Login WordPress Tanpa Batas

Meskipun pengaturan default memang merupakan upaya login tanpa batas, Anda mungkin telah memilih untuk membatasi upaya login ketika Anda menginstal WordPress di situs Anda. Namun, jika tidak, ini adalah perbaikan yang sangat mudah.

Bagaimana memperbaikinya:
Cukup instal Batasi upaya Mencoba plugin. Atau, jika Anda menggunakan hosting WPEngine ini adalah fitur yang sudah mereka miliki untuk Anda – tidak diperlukan plugin! Jika Anda sudah melindungi area login Anda dengan hanya mengizinkan alamat IP Anda sendiri untuk mengakses dasbhboard, Anda tidak perlu melakukan ini. Tetapi jika Anda hanya menyembunyikan alamat halaman login Anda, itu adalah perlindungan ganda yang bagus dari potensi serangan brute-force.

Kesimpulan

Kejahatan dunia maya berkembang pesat dan internet sedang dalam perjalanan menjadi rumah bagi lebih banyak penjahat daripada ‘dunia nyata’. Di beberapa negara ini sudah terjadi. Dan sementara sebagian besar dari ini adalah kartu kredit dan penipuan bank, ada semakin banyak peretas di luar sana, dan sebagai pemilik situs web kita harus melindungi diri kita sendiri dan situs kita sebaik mungkin.

Sementara instalasi default WordPress memiliki beberapa kelemahan, keindahan WordPress benar-benar dalam kemudahan yang Anda dapat menyelesaikan hampir semua masalah Anda dengan situs Anda, termasuk ancaman keamanan yang disebutkan dalam posting ini. Selain memiliki nama pengguna yang unik dan kata sandi yang kuat, dengan menginstal plugin keamanan, mengedit beberapa pengaturan dan mungkin memasukkan satu atau dua baris kode, Anda sudah dapat secara signifikan mengurangi risiko situs diretas atau diserang malware..

Sudahkah Anda mengambil tindakan untuk meningkatkan keamanan situs WordPress Anda? Jenis apa? Kami senang mendengar beberapa kiat & trik Anda! Beri tahu kami di komentar.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map