by Cara Melindungi Situs WordPress Dari Peretas – Bagi banyak situs WordPress, hanya mengambil langkah-langkah kecil untuk mengamankan situs web sudah cukup untuk menjaga situs agar tidak diretas. Baca tentang itu di sini.
Cara Melindungi Situs WordPress Dari Peretas
phpbbstyles – WordPress sering menjadi target peretasan. Peretas menargetkan tema, file inti WordPress, plugin, dan bahkan halaman login.
Ini adalah langkah-langkah yang harus diambil untuk membuatnya lebih kecil kemungkinannya untuk diretas dan untuk dapat memulihkan lebih mudah jika itu masih terjadi.
Bagaimana Peretas Menyerang WordPress
Semua situs di web terus-menerus diserang – apakah itu forum phpBB atau situs WordPress – semua situs sedang diselidiki oleh peretas. Bukan hal yang aneh bagi peretas untuk memindai ribuan halaman atau mencoba masuk ratusan kali sehari.
Baca Juga : Panduan Pemasangan phpBB di Situs Web Anda
Dan itu hanya satu peretas. Situs diserang oleh beberapa peretas secara bersamaan.
Biasanya bukan orang yang mencoba meretas Anda. Peretas menggunakan perangkat lunak otomatis untuk merayapi web guna menyelidiki kelemahan tertentu di situs web.
Program perangkat lunak otomatis yang merayapi web ini disebut bot. Saya menyebutnya bot peretas untuk membedakannya dari bot pengikis (perangkat lunak yang mencoba menyalin konten).
- Amankan Situs WordPress Anda Dengan Firewall
- Firewall adalah program perangkat lunak yang memblokir penyusup. Menurut saya, firewall WordPress terbaik adalah plugin bernama Wordfence.
Apa yang dilakukan Wordfence adalah memeriksa apakah perilaku pengunjung situs web cocok dengan perilaku bot yang kasar. Jika bot melanggar aturan tertentu, seperti meminta terlalu banyak halaman web dalam waktu singkat, Wordfence akan secara otomatis memblokir bot tersebut.
Wordfence juga diprogram untuk mengizinkan bot yang sah seperti Google dan Bing di situs.
Ada fitur-fitur canggih yang memungkinkan penerbit melihat bot apa yang menyerang situs dan untuk melihat dari mana bot itu berasal, seperti apakah itu bot buruk yang berasal dari Amazon Web Services atau Bluehost misalnya. Wordfence memberi penerbit kemampuan untuk memblokir bot berdasarkan alamat IP mereka, seluruh rentang alamat IP, atau bahkan oleh agen pengguna browser palsu yang digunakan bot.
Tentang Agen Pengguna (UA)
Seorang agen pengguna adalah mengidentifikasi informasi yang browser mengirimkan yang memberitahu website apa browser itu (Chrome, Firefox, Vivaldi), dan apa sistem operasi itu beroperasi pada (Windows 10, Mac OS X).
Misalnya, ini adalah string agen pengguna untuk browser Safari 11 di komputer Mac OS X:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, seperti Gecko) Versi/11.1.2 Safari/605.1.15
Bot menggunakan banyak agen pengguna yang berbeda untuk mengelabui situs web dan menyelinap masuk. Misalnya, beberapa bot berpura-pura menjadi browser di Windows XP.
Jumlah sebenarnya pengguna nyata di Win XP mendekati nol, saya dapat membuat aturan dengan Wordfence untuk memblokir semua agen pengguna dengan Windows XP sebagai sistem operasi dan dengan satu aturan itu, saya dapat memblokir ribuan bot jahat, terlepas dari apa negara asal mereka atau alamat IP.
Bot jahat terkadang akan merespons dengan mengubah ke agen pengguna lain, jadi dengan menggabungkan aturan ini, penerbit memiliki peluang untuk memblokir berbagai bot peretas jahat.
Dan itu dengan Wordfence versi gratis.
Versi berbayar dapat memblokir seluruh negara. Jadi, jika Anda tidak memiliki pengunjung situs yang sah dari negara tertentu, Anda dapat memblokir setiap pengunjung yang datang dari negara tersebut.
Pertahanan WordPress Terhadap Eksploitasi
Selain itu, Wordfence versi berbayar akan melindungi Anda terlebih dahulu dari banyak tema dan plugin yang disusupi sebelum plugin tersebut diperbaiki.
Setelah peneliti Wordfence mengetahui eksploitasi, mereka akan memperbarui versi premium firewall untuk memberikan perlindungan kepada pelanggan dari eksploitasi tersebut, terkadang berminggu-minggu sebelum eksploitasi diperbaiki oleh pengembang tema atau plugin yang disusupi.
Pengerasan Keamanan Situs Web
Plugin gratis lain yang memberikan lapisan perlindungan tambahan disebut Sucuri Security. Sucuri (dimiliki oleh GoDaddy) membantu memperkuat keamanan WordPress untuk memblokir bot jahat agar tidak memanfaatkan jenis serangan tertentu. Ini juga memiliki fitur pemindaian malware yang memeriksa semua file untuk melihat apakah mereka telah diubah.
Sucuri akan mengingatkan Anda setiap kali seseorang masuk ke situs Anda, membantu penerbit untuk mengidentifikasi apakah seorang peretas masuk. Sucuri juga dapat memperingatkan penerbit jika file diubah, sesuatu yang dilakukan peretas.
Ini adalah fitur dari Sucuri versi gratis:
- Audit Aktivitas Keamanan.
- Pemantauan Integritas File.
- Pemindaian Malware Jarak Jauh.
- Pemantauan Daftar Hitam.
- Pengerasan Keamanan yang Efektif.
- Tindakan Keamanan Pasca-Peretasan.
- Pemberitahuan Keamanan.
- Versi berbayar Sucuri menyertakan firewall situs web.
Batasi Login ke Situs Anda
WordFence mampu memblokir bot yang berulang kali mengisi nama pengguna dan kata sandi di halaman login WordPress.
Tetapi jika Anda ingin fokus membatasi login tersebut, ada sebuah plugin bernama, Limit Login Attempts Reloaded yang memungkinkan penerbit untuk secara otomatis memblokir semua peretas yang memasukkan sejumlah kombinasi nama dan kata sandi yang gagal.
Misalnya, Anda dapat mengaturnya untuk memblokir peretas setelah tiga kali mencoba menebak kata sandi.
Ini adalah fitur pemblokir login:
- Batasi jumlah percobaan ulang saat masuk (per setiap IP). Ini sepenuhnya dapat disesuaikan.
- Menginformasikan pengguna tentang percobaan ulang yang tersisa atau waktu penguncian pada halaman login.
- Logging opsional dan pemberitahuan email opsional.
- Dimungkinkan untuk membuat daftar putih/daftar hitam IP dan Nama Pengguna.
- Kompatibilitas Firewall Situs Web Sucuri.
- Perlindungan gerbang XMLRPC.
- Perlindungan halaman login Woocommerce.
- Kompatibilitas multi-situs dengan pengaturan MU ekstra.
- Sesuai dengan GDPR. Dengan mengaktifkan fitur ini, semua IP yang dicatat akan dikaburkan (md5-hash).
- Dukungan asal IP khusus (Cloudflare, Sucuri, dll.)
- Plugin Limit Login Reloaded menyediakan cara cepat untuk mematikan hack bot yang mencoba menebak kata sandi.
Cadangkan Situs WordPress Anda
Penting untuk secara otomatis membuat cadangan harian situs web Anda. Setiap peristiwa bencana yang mematikan situs dapat dipulihkan dengan cadangan.
Ada banyak solusi pencadangan tetapi yang menurut saya sangat berguna disebut Plugin Cadangan WordPress UpdraftPlus. UpdraftPlus dipercaya oleh lebih dari dua juta pengguna, ini adalah pilihan yang dianggap baik.
Itu dapat dikonfigurasi untuk mengirim email cadangan setiap hari atau mengirimnya ke lokasi penyimpanan cloud seperti Dropbox.
Saya pernah secara tidak sengaja menghapus semua file tata letak tema dari sebuah situs, benar-benar menghapus tampilan situs. Tetapi saya dapat memulihkan situs seperti semula dengan menggunakan cadangan UpdraftPlus. Itu mudah dilakukan dan saya sangat bersyukur.
Perbarui Semua Tema dan Plugin
Sangat penting untuk selalu memperbarui semua tema dan plugin. WordPress menyediakan cara untuk memperbarui semua plugin secara otomatis, yang nyaman bagi penerbit atau bisnis yang tidak masuk dan sering melakukan pembaruan.
Dengan mengaktifkan fitur pembaruan otomatis, penerbit dapat yakin memiliki perangkat lunak paling mutakhir. Memiliki plugin yang kedaluwarsa adalah salah satu penyebab utama peretasan.
Ada alasan untuk tidak mengaktifkan fitur pembaruan otomatis, tetapi hal negatif cenderung jarang terjadi. Misalnya, plugin yang diperbarui mungkin tidak kompatibel dengan plugin lain.
Tetapi untuk situs yang tidak sering berubah, fitur pembaruan otomatis mungkin merupakan hal yang baik untuk diaktifkan.
Waspadalah terhadap Plugin yang Terbengkalai
Peringatan terakhir tentang plugin yang ditinggalkan. Beberapa plugin dapat terus bekerja bertahun-tahun setelah ditinggalkan oleh pengembangnya. Apa yang bisa terjadi adalah bahwa plugin lama ini mungkin mengandung kerentanan. Tetapi karena mereka ditinggalkan, mereka tidak akan pernah diperbaiki.
Masalah lainnya adalah peretas terkadang membeli plugin lama dan memperbaruinya dengan malware dan virus.
Periksa semua plugin WordPress Anda untuk memastikan bahwa mereka tidak ditinggalkan dan tampaknya diperbarui secara cukup sering.
Baca Juga : Moesia Theme, Tema WordPress Bisnis Yang Elegan
Lindungi Situs WordPress Anda dari Peretas
Bagi banyak situs, hanya mengambil langkah-langkah kecil ini untuk mengamankan situs web sudah cukup untuk menjaga situs agar tidak diretas. Versi gratis dari plugin ini memberikan perlindungan yang luar biasa dan versi premium memberikan perlindungan lebih.
Ada banyak plugin tipe keamanan dan beberapa di antaranya sebenarnya mengandung kerentanan. Wordfence dan Sucuri menurut saya adalah pilihan utama untuk keamanan WordPress.
