Tips dan Trik Keamanan WordPress Untuk Pemula

Keamanan WordPress sama seperti keamanan untuk rumah atau apartemen Anda.

Ketika Anda meninggalkan rumah, Anda mengunci pintu dan menutup jendela, bukan? Mengapa Anda tidak melakukan hal yang sama untuk situs web Anda?

Keamanan WordPress

Setelah semua - seperti tempat tinggal Anda, itu juga merupakan investasi yang cukup besar dalam waktu, tenaga dan sering uang. Kehadiran web Anda mungkin terikat langsung untuk mendapatkan penghasilan Anda. Ini akan menjadi sumber pendapatan langsung (seperti toko online) atau untuk mengiklankan layanan kami ke seluruh dunia.

Oleh karena itu, dalam posting ini, saya ingin menyelami secara mendalam bagaimana menjaga situs WordPress Anda tetap aman. Bagian pertama dari posting ini akan berbicara tentang risiko yang terlibat dalam menjalankan situs web. Bagian kedua adalah tentang cara meningkatkan keamanan WordPress agar situs Anda tidak dikompromikan.

Ini adalah posting yang sangat rinci (dan karenanya panjang). Jadi ambillah kopi untuk diri sendiri dan mari kita mulai!

Bagaimana Situs Web WordPress Menjadi Berkompromi?

Untuk mengambil pendekatan proaktif, Anda harus terlebih dahulu mengetahui cara situs diretas. Hanya ketika Anda tahu titik-titik lemah, Anda dapat mengambil langkah-langkah untuk menjaga mereka.

Sebuah studi dari 2012 menunjukkan jalan utama berikut dari upaya peretasan yang berhasil:
  • 41% datang melalui kerentanan di platform hosting
  • 29% melalui tema WordPress yang rentan
  • 22% ditargetkan melalui masalah keamanan dari plugin WordPress
  • 8% peretasan dilakukan melalui informasi login yang lemah

Mengetahui hal ini memberi kita banyak wawasan tentang cara meningkatkan keamanan WordPress. Dalam artikel ini, Anda akan belajar bagaimana melindungi diri Anda dari situs Anda yang dikompromikan dalam semua cara yang disebutkan di atas.

Tips untuk Mengamankan WordPress Anda

Menempatkan langkah-langkah keamanan dasar di tempat dapat pergi jauh untuk melindungi diri dari sebagian besar serangan. Orang-orang yang menyerang situs web tidak suka bekerja keras dan pergi untuk buah-buahan rendah. Karena itu, mengatasi masalah yang paling umum akan menangani sebagian besar upaya peretasan.

1. Jaga Komputer Anda
Keamanan untuk situs Anda dimulai dengan mesin yang Anda gunakan untuk mengurusnya. Jika PC Anda dikompromikan, itu dapat dengan mudah memperpanjang ke keberadaan web Anda. Oleh karena itu, penting untuk mengikuti panduan keamanan dasar.
  • Instal pemindai virus dan malware di komputer Anda dan jalankan pemindaian secara rutin.
  • Atur firewall komputer. Unduh satu atau gunakan yang dikirimkan dengan sistem operasi Anda.
  • Jangan masuk ke situs WordPress Anda melalui wifi publik atau koneksi yang tidak aman. Jika Anda melakukannya, kredensial Anda dapat dilacak. Juga, berhati-hatilah agar tidak ada yang melihat layar Anda saat masuk.
  • Saat mengakses server Anda, gunakan FTPS (File Transfer Protocol Secure) alih-alih FTP yang tidak aman untuk mencegah koneksi Anda dimonitor.

2. Gunakan Perusahaan Hosting yang Baik
Ukuran dasar lainnya adalah memilih tuan rumah yang berkualitas. Seperti yang terlihat di atas, sebagian besar serangan yang sukses datang dari platform hosting. Ini adalah barisan pertahanan pertama Anda dan Anda akan melakukannya dengan baik untuk mendapatkan keamanan yang serius.

Bagaimana Anda menemukan salah satunya?
  • mendukung versi terbaru dari teknologi web dasar seperti PHP dan MySQL
  • menawarkan hosting yang dioptimalkan untuk WordPress
  • memiliki firewall di tempat yang juga diarahkan ke WordPress
  • menawarkan pemindaian malware dan deteksi intrusi
  • Selain itu, dilengkapi dengan CDN yang dapat memilah serangan dan spam sebelum mereka mencapai situs Anda

Ini juga layak meluangkan waktu untuk membaca tentang berbagai jenis hosting sehingga Anda akan lebih memahami apa yang Anda hadapi.

3. Ubah Awalan Tabel WordPress Saat Instalasi
Selain membangun situs Anda dengan host berkualitas, ada juga hal-hal yang dapat Anda lakukan selama instalasi untuk membuat WordPress lebih aman. Salah satunya adalah pengaturan awalan tabel khusus.

Jika Anda melihat ke dalam basis data WordPress dari instalasi standar, Anda akan melihat bahwa semua tabel dimulai dengan wp_.

Ubah Awalan Tabel WordPress Saat Instalasi

Menjaga itu membuat situs Anda lebih rentan terhadap injeksi SQL. Itu karena, untuk serangan semacam ini, peretas perlu mengetahui awalan tabel. Tentu saja, pengaturan WordPress standar adalah pengetahuan umum.

Cara sederhana untuk meningkatkan keamanan WordPress adalah dengan mengubahnya menjadi sesuatu yang acak 8uh7zgokm_. Anda dapat melakukan ini selama instalasi atau, jika Anda memiliki situs web yang ada, dengan mengubah pengaturan di bawah ini wp-config.php.

$ table_prefix = 'wp_' ;

Jika Anda tidak tahu, Anda dapat menemukan file ini di direktori root dari instalasi WordPress Anda. Saya akan membicarakannya lebih jauh di bawah. Jika Anda telah menemukan garis yang tepat, ubah ke awalan kustom Anda seperti ini:

$ table_prefix = '8uh7zgokm_' ;

Setelah itu, Anda masih harus memperbarui awalan di dalam database Anda. Salah satu cara termudah untuk melakukannya adalah melalui plugin keamanan seperti iThemes Security . Atau, Anda juga dapat melakukannya secara manual seperti yang dijelaskan dalam posting ini .

4. Pilih Tema dan Plugin Berkualitas
Baris berikutnya untuk serangan yang paling umum adalah tema dan plugin. Bersama-sama, mereka menyumbang lebih dari separuh dari semua situs web yang diretas. Berikut cara menghilangkannya sebagai gateway untuk peretas:

Hanya memiliki apa yang Anda butuhkan
Memiliki lusinan plugin yang aktif di situs Anda tidak hanya mengurangi  kinerja situs web Anda, tetapi juga membuatnya kurang aman. Semakin banyak komponen yang Anda miliki, semakin tinggi risikonya. Oleh karena itu, periksa secara teratur apakah Anda dapat menonaktifkan dan menghapus plugin dan tema.

Carilah plugin dan tema yang didukung dengan baik
Jika tema atau plugin belum diperbarui dalam waktu yang lama, ada kemungkinan besar itu berisi lubang keamanan yang tidak di-patch atau hanya beberapa kode buruk yang membuat situs Anda lebih rentan. Untuk itu, perhatikan tingkat dukungan sebelum menginstal.

Selain itu, sangat penting bahwa Anda tidak mengunduh dari sumber yang tidak dikenal . Tidak semua dari mereka memiliki minat terbaik dalam pikiran Anda.

Dalam skenario terbaik, Anda mendapatkan plugin atau tema yang diprogram dengan buruk yang membuat situs Anda tidak aman. Paling buruk, pembuat telah dengan sengaja menyertakan kode berbahaya untuk menyusupi situs Anda. Itu terutama benar jika Anda mengunduh plugin premium "gratis". Oleh karena itu, sebaiknya tetap menggunakan sumber berkualitas seperti direktori WordPress dan vendor yang terbukti.

5. Simpan WordPress dan Komponennya Hingga Tanggal
Versi baru WordPress tidak hanya membawa fitur dan peningkatan baru, mereka juga memperbaiki lubang keamanan yang diidentifikasi pada iterasi sebelumnya. Itu terutama berlaku untuk pembaruan kecil (yang dapat Anda identifikasi dengan digit ketiga dalam nomor versi mereka, misalnya 4.9.1). Mereka keluar khusus untuk tujuan itu.

Akibatnya, sangat penting bahwa Anda menerapkan versi baru ke situs Anda sesegera mungkin.

WordPress 3.7 pembaruan kecil diterapkan secara otomatis. Ini ditambahkan untuk memastikan situs web tetap diperbarui dalam hal keamanan. Namun, pembaruan besar masih menjadi tanggung jawab Anda. Buatlah titik untuk membuat cadangan dan perbarui situs Anda setelah Anda melihat peringatan di bagian belakang. Lakukan hal yang sama untuk tema dan plugin.

Simpan WordPress dan Komponennya Hingga Tanggal

Perhatikan bahwa adalah mungkin untuk memiliki WordPress secara otomatis menerapkan pembaruan besar serta pembaruan untuk plugin dan tema. Kami akan membicarakan hal ini di bawah ini. Namun, risiko terjadinya sesuatu tanpa Anda sadari terlalu besar. Oleh karena itu, sangat tidak  dianjurkan.

6. Hanya Berikan Akses ke Orang yang Anda Percayai
Cara pertama adalah hanya memberikan akses situs kepada orang yang Anda yakini tidak akan menggunakannya untuk tujuan buruk. Siapa pun yang tidak benar-benar membutuhkan akses tidak boleh ada di sana. Terlalu banyak koki dan semua itu.

Bahkan dengan mereka yang Anda anggap dapat dipercaya, penting untuk memberi mereka hanya peran dan kemampuan yang benar-benar mereka butuhkan. Dengan begitu peluang kecelakaan (atau tindakan buruk dengan sengaja) sangat berkurang.

By the way, kebijaksanaan yang sama harus diterapkan untuk akses ke akun hosting Anda, server FTP dan informasi sensitif lainnya.

7. Perkuat Informasi Login Anda
Cara paling mendasar untuk meningkatkan keamanan WordPress adalah dengan menggunakan informasi masuk yang aman. Ini berjalan jauh untuk menggagalkan serangan brute force, di mana peretas secara otomatis mencoba ratusan kombinasi nama pengguna / kata sandi berbeda melalui skrip hingga berhasil.

WordFence sendiri mendaftarkan sekitar 35 juta jenis serangan ini pada Juli 2017 per hari ! Dan itu hanya di situs yang menjalankan plugin mereka.

Sebagai akibatnya, lebih baik untuk memperhatikan praktik terbaik ini:

Jangan gunakan nama pengguna admin
Pada versi WordPress sebelumnya, admin adalah nama pengguna default untuk administrator. Peretas menemukan ini sasaran yang mudah jadi itu diubah. Namun, beberapa orang masih membuat nama pengguna ini secara manual. Jangan! Ini adalah salah satu hal pertama yang akan diperiksa oleh peretas apa pun.

Memiliki akun penerbitan terpisah
Dengan catatan menjaga kerahasiaan nama pengguna Anda, ada baiknya memiliki akun terpisah untuk administrasi dan publikasi konten. Jika Anda mempublikasikan artikel dengan akun admin Anda, nama pengguna akan muncul di URL arsip penulis. Selain itu, memiliki akun terpisah untuk konten dan administrasi juga mengurangi kemungkinan kecelakaan.

Pilih kata sandi yang kuat
WordPress akan mengajukan kata sandi yang kuat selama instalasi dan kapan pun Anda ingin mengubahnya. Meskipun Anda mungkin ingin mencari sesuatu yang Anda ingat, pastikan untuk memperhatikan indikator. Anda juga dapat menggunakan layanan seperti  Strong Random Password Generator untuk membuat satu untuk Anda.

Anda mungkin juga ingin menggunakan layanan untuk menjaga keamanan kata sandi Anda, misalnya,  LastPass . Plus, jika Anda memiliki orang lain dengan tingkat izin tinggi di situs Anda, Anda mungkin ingin memaksa mereka untuk menggunakan informasi masuk yang baik juga. Alih-alih memohon mereka melalui email, lakukan melalui Force Strong Passwords . Jika Anda perlu mengubah nama pengguna admin Anda, ikuti petunjuk ini .

8. Ubah Pesan Galat Login
Secara default, jika seseorang mencoba masuk ke situs Anda dengan kredensial yang salah, WordPress akan memberi tahu mereka apakah masalahnya ada pada nama pengguna atau kata sandi mereka.

Itu pasti terlalu banyak informasi, karena memberikan setengah dari apa yang seseorang perlu masuk ke situs Anda. Untuk mengubahnya, gunakan cuplikan kode ini di Anda functions.php untuk mengubah pesan.

function custom_wordpress_error_message(){
  return 'That was not quite correct...';
}
add_filter( 'login_errors', 'custom_wordpress_error_message' );

Ubah That was not quite correct...ke apa pun yang Anda ingin pesan Anda katakan. Sederhana tetapi efektif.

Ubah Pesan Galat Login

9. Batasi Upaya Login
Informasi login yang kuat hanya merupakan salah satu bagian dari persamaan. Dengan waktu yang cukup dan mencoba, seseorang masih mungkin memecahkannya.

Oleh karena itu, merupakan ide yang bagus untuk meningkatkan level keamanan dengan membatasi jumlah percobaan. Plugin seperti  Upaya Login Batas WP memungkinkan Anda untuk mengatur seberapa sering alamat IP yang diberikan dibiarkan gagal saat login sebelum dicekal dari situs Anda untuk sementara atau secara permanen.

10. Menerapkan Otentikasi Dua Faktor
Otentikasi dua faktor tidak berarti apa-apa selain membuat langkah tambahan bagi orang untuk masuk ke situs Anda. Ini bisa berupa sesuatu seperti harus memasukkan kode yang dikirimkan ke ponsel mereka. Ini memblokir serangan otomatis, meskipun meningkatkan upaya.

Berikut beberapa plugin yang memungkinkan Anda menerapkan autentikasi dua faktor:

11. Sembunyikan Halaman Login secara keseluruhan
Cara lain untuk menjaga halaman login WordPress aman adalah menyembunyikannya. Karena setiap orang yang pernah bekerja dengan WordPress tahu, Anda biasanya mencapainya melalui yourdomain.com/wp-admin atau yourdomain.com/wp-login.php .

Memindahkannya ke alamat yang berbeda berarti skrip otomatis akan mengarah ke tempat yang salah. Banyak plugin keamanan di atas dapat melakukan ini untuk Anda. Selain itu,  Cerber Security & Antispam dan  WP Hide & Security Enhancer juga memiliki kemampuan itu.

12. Siapkan SSL dan HTTPS
Penggunaan enkripsi SSL akan menjaga informasi sensitif agar tidak ditangkap. Jika Anda memiliki toko e-commerce atau barang lain yang perlu dilindungi, itu harus dimiliki.

Namun, enkripsi juga berfungsi untuk melindungi detail login Anda dan menjadi semakin wajib. 

13. Secara Otomatis Menjaga Situs Anda Hingga Tanggal
Saya berbicara tentang pembaruan otomatis sebelumnya. Selain pembaruan untuk versi minor, Anda juga dapat mengaktifkan fitur yang sama untuk pembaruan besar, plugin, dan tema. Ini berfungsi dengan menambahkan baris berikut ke wp-config.php:

define ( 'WP_AUTO_UPDATE_CORE' , true ) ;
add_filter ( 'auto_update_plugin' , '__return_true' ) ;  
add_filter ( 'auto_update_theme' , '__return_true' ) ;  

Namun, saya harus memperingatkan Anda lagi bahwa risiko melanggar situs Anda lebih besar dengan menggunakan plugin dan pembaruan WordPress utama. Karena itu, mungkin lebih baik menerapkannya secara manual.

14. Tambahkan Kunci Keamanan
Kunci keamanan WordPress, juga disebut SALT, mengenkripsi informasi yang disimpan di cookie browser. Dengan begitu, mereka melindungi kata sandi dan informasi sensitif lainnya. Kunci itu sendiri adalah frasa yang digunakan untuk mengacak informasi itu dan disimpan di dalam di wp-config.phpmana ia mengatakan ini:

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Anda harus menambahkannya secara manual (seperti yang bisa dilihat dari prompt). Untungnya, Anda tidak perlu mengajukan frasa sendiri. Sebaliknya, cukup klik ke generator kunci dan salin dan tempelkan apa yang Anda temukan di sana. Ini akan terlihat seperti ini:

Tambahkan Kunci Keamanan

15. Nonaktifkan Editor Tema dan Plugin
Untuk membuat perubahan pada situs Anda, WordPress berisi editor internal untuk tema dan file plugin. Meskipun dapat berguna dalam beberapa situasi, itu juga sangat berisiko.

Alasannya adalah jika seseorang mendapatkan akses ke situs Anda, mereka dapat menggunakan editor untuk mengambil situs web Anda tanpa harus memiliki akses ke server Anda.

Untuk menghindarinya, nonaktifkan editor dengan menambahkan baris ini ke wp-config.php file terpercaya Anda :

define ( 'DISALLOW_FILE_EDIT' , true ) ;

16. Nonaktifkan Pelaporan Kesalahan PHP
Ketika plugin atau tema menyebabkan kesalahan di situs Anda, WordPress akan menampilkan pesan di ujung depan Anda.

pelaporan kesalahan php

Pesan ini mungkin berisi jalur ke file yang bermasalah. Peretas dapat menggunakan informasi ini untuk lebih memahami tata letak server Anda dan menyerang situs Anda. Beginilah cara mematikannya di dalam wp-config.php:

error_reporting ( 0 ) ;
@ ini_set ( 'display_errors', 0 ) ;

Jika tidak berhasil, mungkin karena pengaturan host. Dalam hal ini, Anda perlu berbicara dengan mereka tentang mematikannya.

17. Lindungi File Penting dari Akses
.htaccess adalah file penting lainnya yang mengonfigurasi server Anda. Di antara hal-hal lain, ia memegang kode yang memungkinkan menggunakan permalink yang cukup di WordPress. Ini juga dapat mengatur pengalihan dan - Anda menebaknya dengan benar - meningkatkan keamanan WordPress.

Untuk yang terakhir, Anda harus terlebih dahulu mengakses file, yang terletak di direktori root server Anda dan disembunyikan secara default. Oleh karena itu, untuk mengeditnya, pastikan untuk mengatur klien FTP Anda untuk menampilkan file tersembunyi ( Server> Force menampilkan file tersembunyi di FileZilla). Setelah itu, ambil langkah-langkah berikut.

Kode di bawah ini akan mencegah akses ke file penting seperti wp-config.php,, php.ini log kesalahan, dan .htaccess itu sendiri.

<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>

Sesuaikan nama php.ini file Anda jika diperlukan (misalnya php5.ini atau php7.ini). Pastikan untuk menempatkan kode di luar #BEGIN WordPress dan #END braket WordPress . Segala sesuatu di dalam ruang itu dapat diedit oleh WordPress dan dapat menyebabkan Anda kehilangan perubahan.

18. Batasi Akses ke File PHP
Selain itu, Anda dapat mencegah orang lain mengakses file PHP dan menyuntikkan malware ke dalamnya:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

19. Mencegah File PHP dari Dieksekusi
Tempat umum bagi peretas untuk mengunggah malware adalah di wp-content / upload . Untuk mencegah mereka mengeksekusi kode buruk jika terjadi peretasan, gunakan potongan kode ini:

<Directory "/var/www/wp-content/uploads/">
<Files "*.php">
Order Deny,Allow
Deny from All
</Files>
</Directory>

20. Nonaktifkan Injeksi Skrip
Saat Anda melakukannya, gunakan cuplikan ini untuk mencegah orang luar agar tidak dapat menyuntikkan kode berbahaya ke dalam file PHP Anda yang ada:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

21. Secure wp-includes
The wp-includesrumah folder WordPress inti file yang tak harus memiliki kebutuhan untuk mengutak-atik. Untuk memastikan itu tidak terjadi, gunakan kode berikut.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Jangan khawatir, ini tidak akan memengaruhi tema atau file plugin Anda karena ditempatkan di lokasi yang berbeda.

22. Batasi Akses Admin ke Alamat IP Tertentu
Dengan .htaccess Anda juga dapat membatasi akses ke halaman login WordPress Anda berdasarkan alamat IP. Dengan begitu, hanya Anda yang bisa sampai di sana. Untuk mencapai ini, salin dan tempel kode berikut ke dalamnya:

ErrorDocument 401 default
ErrorDocument 403 default
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 198.101.159.98
</Files>

Ingat untuk mengganti contoh alamat IP dengan alamat yang ingin Anda beri akses. Anda juga dapat menambahkan lebih banyak alamat dengan menyalin dan menempelkan  Allow from...baris. Semua orang akan mendarat di halaman kesalahan. Jika Anda tidak tahu IP Anda, cukup periksa di  sini .

Perlu diketahui bahwa untuk masuk ke area admin WordPress dari alamat IP lain, Anda perlu mengubah atau menambahkannya ke file terlebih dahulu.

23. Mengunci Alamat IP Tertentu
Teknik serupa tersedia untuk memblokir alamat IP yang secara konsisten mencoba masuk ke situs Anda. Jika Anda melihat sesuatu seperti itu (dari log server Anda misalnya), Anda dapat mengunci mereka keluar dari situs Anda dengan tambahan ini ke .htaccess:

order allow,deny
deny from 456.123.8.9
allow from all

24. Mencegah Penjelajahan Direktori
Secara default, siapa pun dapat melihat struktur direktori dari setiap situs WordPress hanya dengan menyertakan jalur lengkap ke direktori pada bilah peramban mereka.

Mencegah Penjelajahan Direktori

Meskipun hal itu tidak memungkinkan peretas melakukan perubahan, pengetahuan tentang struktur situs Anda masih akan membantu mereka. Karena Anda ingin membuat semuanya sesulit mungkin bagi mereka, matikan penjelajahan direktori di dalam .htaccess :

Options All -Indexes

25. Perhatikan Hak Akses File
Menggunakan hak akses file yang benar di server Anda adalah cara menjaga pihak yang tidak berkepentingan dari memodifikasi file Anda.

Bagaimana Anda dapat mengubah izin file?

Dengan FileZilla, semudah menandai item yang ingin Anda modifikasi, klik kanan, lalu pilih izin File ...

Perhatikan Hak Akses File
Di jendela mendatang, Anda dapat mengatur tingkat izin dengan nilai numerik.

mengatur tingkat izin


Seperti yang Anda lihat, itu juga mungkin untuk menerapkan hal yang sama ke file dan / atau direktori di tingkat yang lebih rendah. Jauh lebih praktis daripada mengubah izin secara individual.

Untuk apa Anda harus mengubahnya, WordPress merekomendasikan pengaturan berikut:
  • 755 atau 750 untuk direktori
  • 644 atau 640 untuk file
  • 600 untuk wp-config.php

26. Hapus Nomor Versi WordPress
Secara default, WordPress mengandung meta tag di dalam kode sumber yang akan menampilkan versi situs Anda dan juga menambahkannya ke skrip yang dimuat di <head> bagian Anda .

Hapus Nomor Versi WordPress

Sayangnya, informasi ini sangat berguna bagi siapa pun yang mencoba meretas situs Anda, terutama jika Anda menggunakan versi WordPress yang lebih lama yang memiliki kerentanan keamanan yang diketahui. Untungnya, menghapus nomor versi semudah menambahkan yang berikut ini ke bagian atas function.php file tema Anda :

function remove_wordpress_version_number() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version_number');
function remove_version_from_scripts( $src ) {
    if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_version_from_scripts');
add_filter( 'script_loader_src', 'remove_version_from_scripts');

27. Nonaktifkan XML-RPC
Akronim ini adalah nama fitur yang memungkinkan koneksi ke WordPress dari jarak jauh. Sebagai contoh, klien blogging menggunakannya dan itu juga digunakan untuk trackback dan pingback. Sayangnya, terkadang juga merupakan target peretas, itulah sebabnya Anda harus melindunginya dengan plugin Nonaktifkan Pingback XML-RPC .

28. Cadangkan Sering
Tindakan pencegahan yang disebutkan di atas semuanya baik untuk menjaga keamanan WordPress. Namun, kecelakaan masih terjadi. Untuk asuransi ekstra, pastikan untuk selalu memiliki cadangan baru.

Ada banyak pilihan di luar sana untuk membuat cadangan WordPress, itulah sebabnya kami telah membuat panduan ekstensif tentang topik ini. Di dalamnya, Anda akan menemukan semua yang perlu Anda ketahui tentang membuat cadangan dari situs WordPress Anda.

Pikirkan Anda Telah Diretas?
Jika menurut Anda saran di atas terlambat dan Anda mungkin sudah diretas, ada cara untuk mengetahuinya. Gunakan alat ini untuk melihat apakah ketakutan Anda dibuktikan (atau hanya menjalankannya sebagai tindakan pencegahan):

Masalah keamanan umum - Gunakan Unmask Parasites dan Web Inspector untuk memeriksa kerentanan umum.

SpamMX Toolbox akan memberi tahu Anda jika situs Anda telah dimasukkan dalam lebih dari seratus daftar hitam email.

Malware  - Situs Web Sucuri Malware Scanner gratis akan memeriksa situs web Anda untuk kode berbahaya dan masalah keamanan lainnya.

Bagaimana Keamanan WordPress Anda?
Sama seperti di dunia nyata, penting untuk melindungi aset digital Anda. Bagi banyak dari kita, yang terbesar adalah situs web kami. Oleh karena itu, investasi dalam keamanan WordPress sama dengan membeli asuransi penyewa atau memasang kunci yang lebih baik di pintu Anda.

Di atas, Anda telah belajar tentang bahaya yang dihadapi oleh situs WordPress serta banyak cara untuk menangkal mereka. Dari praktik dasar terbaik atas perlindungan masuk, pengerasan keamanan WordPress melalui wp-config.php dan .htaccess semua cara untuk plugin keamanan all-in-one, ada banyak yang dapat Anda lakukan.

Ketahuilah bahwa Anda tidak perlu mengambil semua tindakan di atas. Bahkan jika Anda hanya meliput dasar-dasar, Anda akan lebih siap daripada banyak orang lain di luar sana.

Namun, sebagian besar tindakan hanya membutuhkan sedikit waktu untuk diterapkan. Akibatnya, Anda mungkin ingin berpikir tentang menghabiskan sepuluh menit di sana-sini untuk lebih meningkatkan sistem keamanan WordPress Anda. Percayalah, Anda akan berterima kasih pada diri sendiri pada akhirnya.

Apa ukuran keamanan WordPress favorit Anda? Apa saja untuk ditambahkan ke atas? Beri tahu kami di bagian komentar di bawah ini.
Aprie adalah sarana belajar tentang Teknologi yang lengkap secara online. Aprie juga menyediakan tempat Download Software, Tutorial, Download APK, Download Games, Android, Ubuntu, dll.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel