Bagaimana TIDAK untuk Mengamankan Situs WordPress Anda

Bagaimana TIDAK untuk Mengamankan Situs WordPress Anda

Apa hal pertama yang akan Anda lakukan ketika Anda ingin mengamankan situs WordPress Anda? Cari tahu lima plugin keamanan teratas, pertimbangkan betapa terjangkau harganya dan kemudian lanjutkan dan instal satu. Itu selesai, sekarang Anda bisa duduk dan rileks, kan? Salah!


Menggunakan plugin keamanan tidak menjamin keamanan. Keamanan bukanlah hal yang mutlak dan tidak ada yang bisa menjamin keamanan lengkap. Yang terbaik yang bisa kita lakukan adalah mengurangi risiko peretasan. Dan bertentangan dengan kepercayaan populer, pemilik situs harus terlibat dalam menjaga keamanan situs web. Mengetahui apa yang harus Anda lakukan dan tidak penting.

Meskipun ada beberapa panduan tentang apa yang harus Anda lakukan untuk menjaga situs WordPress Anda tetap aman, kami menawarkan Anda panduan tentang apa yang harus Anda HINDARI lakukan sebagai gantinya. Anda akan mencatat bahwa saran di sini bertentangan dengan kepercayaan umum. Tapi dari pengalaman kami, banyak saran di luar sana yang sudah ketinggalan zaman dan menawarkan rasa aman yang salah.

Jika masalah keamanan WordPress mengganggu Anda seperti halnya kami, lihat yang berikut ini.

1. Jangan Gunakan Plugin Keamanan Terlalu Banyak

Mengingat berbagai macam plugin tersedia di sana, dengan berbagai set fitur, tergoda untuk menggunakan lebih dari satu plugin keamanan WordPress. Sejujurnya, ini adalah kerja keras. Menjadi cemas tentang keamanan situs Anda adalah normal tetapi Anda harus bertanya pada diri sendiri apakah Anda benar-benar membutuhkan lebih dari satu plugin keamanan? Apa saja fitur yang penting untuk kebutuhan situs Anda? Apakah fitur-fitur tersebut akan saling menginjak kaki masing-masing?

Misalnya, konflik dapat muncul ketika plugin mulai memodifikasi file seperti wp-config.php atau htaccess. Plugin dapat dengan mudah mengutak-atik file-file ini tetapi mereka tidak memodifikasinya dengan satu suara bulat. Ini dapat membuat konflik dan membuat situs web Anda lambat.

Dengan situs WordPress, ada yang salah saat ini dan kemudian. Semua orang membenci Layar Putih Kematian yang ditakuti. Memiliki banyak plugin yang sangat memengaruhi situs web Anda dapat mempersulit masalah debugging. Sekarang, seandainya ada hanya satu plugin, mencari dan memperbaiki penyebab kesalahan akan lebih mudah dan tidak rumit.

2. Jangan Ubah Awalan DB

Ada beberapa cara di mana situs WordPress dapat dikompromikan. Peretas dapat memperoleh akses ke basis data situs melalui serangan injeksi SQL. Kerentanan dalam plugin atau tema dapat digunakan untuk masuk ke basis data situs (itulah sebabnya kami menyarankan Anda untuk menggunakan Plugin cadangan basis data WordPress untuk menghindari perangkap serupa). Salah satu metode populer untuk mencegah peretas masuk lebih dalam ke situs Anda adalah dengan mengubah awalan tabel default. Seperti yang Anda lihat pada gambar di bawah, di WordPress, awalan tabel default adalah is wp_. ’WordPress memungkinkan Anda untuk mengubah awalan tabel (untuk mengatakan,‘ xzy_ ’) sehingga dapat menyembunyikan tabel tertentu.

Awalan Basis Data WordPress

Di permukaan, ini sepertinya ide yang bagus. Jika peretas tidak tahu nama tabel, maka mereka tidak dapat mengambil data dari itu. Namun, ini adalah alasan yang salah. Setelah seseorang meretas basis data Anda, masih ada cara untuk mengetahui tabelnya. Karenanya mengubah nama awalan tidak ada gunanya. Selain itu, memodifikasi awalan default dapat menyebabkan beberapa plugin mengalami kesalahan perilaku.

Selain itu, mengubah midflight awalan basis data sulit untuk diterapkan dan dapat menyebabkan situs web Anda mogok. Ini karena ada banyak perubahan yang perlu dilakukan pada setiap level. Setiap kesalahan dalam proses akan terbukti menjadi bencana besar bagi situs Anda.

3. Hindari Menyembunyikan Halaman Login Anda

Selalu ada seseorang yang mencoba masuk ke situs Anda dengan memecahkan kata sandi Anda. Selama serangan brute force, peretas mencoba masuk ke situs web Anda menggunakan kombinasi nama pengguna dan kata sandi populer. Jadi bagaimana jika kita menyembunyikan halaman login? Itu akan membunuh dua burung dengan satu batu, bukan? Peretas tidak akan dapat menemukan halaman login dan beban di server Anda akan berkurang.

WordPress memiliki halaman login default. URL ke halaman biasanya terlihat seperti contoh ini.com/wp-login.php. Salah satu cara terkenal untuk menyelamatkan situs web Anda dari serangan brute force adalah dengan menyembunyikan atau mengubah halaman login default menjadi sesuatu yang lain seperti example.com/mylogin.php. Meskipun ini terdengar seperti rencana yang sangat mudah, mari cari tahu seberapa efektif metode ini dalam menjaga keamanan situs WordPress Anda.

Pengurangan Beban Server

Setelah Anda menyembunyikan atau mengubah lokasi halaman login Anda, setiap kali seseorang mencoba membukanya, mereka akan menghadapi kesalahan 404. Namun, upaya masuk adalah proses yang berat. Setiap kali halaman kesalahan 404 dimuat, ia memakan banyak sumber daya server Anda. Dan akhirnya memperlambat situs web Anda. Karenanya, kepercayaan umum bahwa menyembunyikan halaman login Anda akan mengurangi beban server yang salah.

URL Alternatif Tidak Sulit Ditebak

Bagian dari keberhasilan WordPress sebagai CMS adalah karena plugin yang membuat modifikasi ke situs web menjadi lebih mudah. Tidak mengherankan bahwa cara populer untuk menyembunyikan halaman login suatu situs adalah dengan menggunakan plugin. Plugin ini datang dengan satu set URL login alternatif default seperti xzy.com/wplogin.php, dll. Kami telah dilatih untuk hanya pergi dengan pengaturan default. Setelah kami memasang plugin dan mengubah URL kami, kami tidak terlalu memikirkannya. Tetapi hanya ada begitu banyak URL yang bisa ditawarkan oleh plugin. Tidak terlalu sulit untuk mengetahui URL login yang telah ditetapkan ini. Karenanya, menggunakan URL alternatif mungkin tidak efektif dalam banyak kasus.

Masalah Kegunaan

Keindahan WordPress adalah mudah digunakan. Ini adalah platform yang akrab. Untuk situs dengan banyak pengguna, mengubah atau menyembunyikan halaman login bisa menimbulkan masalah tertentu. Beberapa kali kami menemukan posting di forum WordPress di mana pengguna dikunci dari suatu situs karena perubahan dalam URL login. Dalam kebanyakan kasus, perubahan dilakukan menggunakan plugin dan pengguna tidak diberitahu tentang situasi yang menyebabkan kekacauan.

4. Jangan Memblokir Alamat IP secara Manual

Jika Anda memasang plugin keamanan di situs Anda, Anda akan diberi tahu setiap kali seseorang mencoba masuk ke situs web Anda. Anda dapat dengan mudah memperoleh IP yang mengirimkan permintaan jahat dan blokir mereka menggunakan file .htaccess. Ini adalah pekerjaan yang intensif secara manual dan bukan praktik yang sangat nyaman.

Tidak Ramah Pengguna

Orang non-teknis yang mencoba mengubah file .htaccess adalah resep untuk bencana. Sistem manajemen konten seperti WordPress memiliki format yang sangat ketat. Bahkan menggunakan alat paling populer seperti FTP / SFTP sangat berisiko. Kesalahan kecil atau penempatan perintah yang salah dapat menyebabkan situs mogok.

Terlalu Banyak IP untuk Diblokir

Untuk menghindari daftar hitam, peretas menggunakan alamat IP dari seluruh dunia. Sebelumnya, kami membahas tentang memblokir alamat IP secara manual yang terus-menerus mencoba masuk ke situs Anda. Pekerjaan (seperti yang telah kami sebutkan sebelumnya) membutuhkan banyak waktu dan upaya tetapi bukan penggunaan waktu yang sangat efisien. Tetapi jika Anda menggunakan salah satu plugin keamanan WordPress teratas, misalnya, Malcare, Anda dapat mengotomatiskan proses pemblokiran. Plugin keamanan semacam itu menangani semua celah keamanan WP.

5. Menyembunyikan WordPress

Ada asumsi umum bahwa menyembunyikan CMS Anda membuat lebih sulit bagi orang-orang dengan niat jahat untuk masuk ke situs Anda. Bagaimana jika kita bisa menyembunyikan fakta bahwa situs web Anda berjalan di WordPress. Itu akan melindungi situs Anda dari peretas yang ingin mengeksploitasi kerentanan umum. Cara mudah untuk melakukan ini adalah dengan (Anda dapat menebaknya) menggunakan sebuah plugin. Tetapi metode ini gagal ketika para peretas tidak peduli pada platform apa situs web Anda berjalan. Selain itu, ada banyak cara untuk mengetahui apakah suatu situs berjalan di WordPress.

Selain menggunakan plugin, orang dapat memilih untuk melakukan pekerjaan secara manual. Tapi ini proses yang menghabiskan waktu. Pembaruan WordPress tunggal dapat membatalkan semua pekerjaan Anda dalam beberapa detik. Yang berarti, Anda harus mengulangi proses berulang-ulang atau menghindar dari pembaruan WP. Melewatkan pembaruan WordPress seperti membuka pintu depan bagi peretas untuk masuk ke rumah Anda.

6. Melindungi Kata Sandi wp-admin Tidak Berfungsi

Halaman login WordPress default (yang terlihat seperti ini – example.com/wp-admin) adalah pintu gerbang ke situs Anda. Halaman login yang khas terlihat seperti gambar di bawah ini.

Di sini Anda harus menggunakan kredensial Anda untuk mengakses dasbor WordPress. Kata sandi yang melindungi halaman login membantu menyembunyikan atau melindungi gateway ini ke dasbor. Itu ide yang bagus tetapi tidak tanpa celahnya.

Contoh Pelindung Kata Sandi LookLinux

Foto milik: LookLinux

Pertama-tama, sulit untuk mempertahankan atau bahkan mengubah kata sandi, jika Anda kehilangannya. Selain tidak efektif dalam memberikan keamanan tambahan, modifikasi semacam itu ke situs Anda dapat terbukti sangat berbahaya. Misalnya, ketika kata sandi Anda melindungi halaman admin, permintaan seperti /wp-admin/admin-ajax.php tidak dapat mem-bypass perlindungan. Ada plugin yang dapat bergantung pada fungsi Ajax situs Anda. Dan ketika mereka tidak dapat mengakses fungsi ini, mereka mulai melakukan kesalahan. Oleh karena itu, ini dapat menyebabkan situs web rusak.

Ke Anda

Jika Anda memiliki pertanyaan atau saran mengenai apa yang perlu dihindari seseorang untuk mengamankan situs WordPress seseorang, beri tahu kami di komentar.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map