16 Tips Keamanan WordPress Untuk Menjaga Situs Anda Aman (2023)

Diterbitkan: 2023-10-27

Apakah Anda memerlukan daftar lengkap tips keamanan WordPress yang akan melindungi situs Anda dari bahaya umum yang umum terjadi di WordPress.

Dalam postingan ini, Anda akan menemukan lebih dari selusin tip keamanan dasar dan lanjutan yang dapat Anda terapkan untuk menjaga situs Anda aman dari kerentanan dan peretasan.

Berikut adalah tip keamanan WordPress yang akan kami bahas dalam posting ini:

  1. Pilih host WordPress yang berkualitas.
  2. Kelola inti, tema, dan plugin WordPress.
  3. Instal plugin keamanan WordPress.
  4. Instal plugin cadangan.
  5. Pilih tema dan plugin pihak ketiga dengan hati-hati.
  6. Ketahui tentang peran pengguna WordPress dan izinnya.
  7. Terapkan protokol perlindungan pada halaman login backend situs Anda.
  8. Gunakan nama pengguna dan kata sandi yang aman.
  9. Aktifkan sertifikat SSL untuk situs Anda.
  10. Nonaktifkan pengeditan file.
  11. Nonaktifkan eksekusi PHP.
  12. Ubah awalan basis data WordPress.
  13. Amankan file wp-config.php Anda.
  14. Ganti nama halaman login WordPress.
  15. Nonaktifkan penjelajahan direktori.
  16. Logout pengguna yang tidak aktif.

Kami telah menyusunnya menjadi dua daftar terpisah: kiat keamanan dasar dan kiat keamanan lanjutan.

Mari kita mulai dari atas dengan tips keamanan dasar.

Kiat keamanan dasar WordPress untuk semua pengguna

1. Pilih host WordPress yang berkualitas

Semuanya dimulai di sini.

Jika Anda tidak memilih host WordPress berkualitas dengan reputasi baik, situs Anda akan rentan terhadap serangan tidak peduli seberapa besar keamanan yang Anda terapkan di WordPress.

Meskipun situs Anda terdiri dari kode, kode itu ada di dalam file, file yang perlu diinstal di server web.

Paling tidak, pilihlah host yang terkenal dalam memelihara server yang cepat dan aman, selalu memperbarui teknologi servernya, dan menyediakan akses ke versi PHP terbaru.

Kami menggunakan Cloudways untuk menghosting Blogging Wizard. Ini cepat dan terjangkau. Skalabilitasnya juga merupakan faktor penting karena kami mendapatkan banyak lalu lintas.

Mereka menawarkan fitur keamanan berikut:

  • Add-on Cloudflare Enterprise yang mengimplementasikan perlindungan DDoS dan firewall aplikasi web (WAF).
  • Firewall server.
  • Keamanan masuk.
  • Keamanan basis data.
  • Perlindungan bot.
  • Sertifikat SSL gratis.
  • Manajemen peran pengguna.
  • Manajemen sistem operasi yang aman.
  • Otentikasi dua faktor.

Namun, dalam hal keamanan WordPress, Anda mungkin lebih baik menggunakan host WordPress yang dikelola, terutama jika Anda bukan pengguna WordPress tingkat lanjut.

Hosting WordPress yang dikelola

Hosting WordPress terkelola adalah bentuk hosting WordPress di mana host Anda mengelola banyak aspek pemeliharaan situs WordPress untuk Anda.

Ini biasanya mencakup aspek keamanan WordPress.

Berikut ini contoh penggunaan host WordPress terkelola WPX Hosting yang paling kami rekomendasikan. Penyedia hosting ini menawarkan fitur keamanan berikut:

  • Penghapusan malware disertakan di semua paket.
  • Perbaikan situs jika situs Anda offline.
  • Perlindungan DDoS.
  • Pencadangan otomatis dengan penyimpanan pencadangan hingga 28 hari.
  • CDN berpemilik dengan 35 lokasi edge.
  • Sertifikat SSL gratis.
  • Area persiapan untuk menguji pembaruan sebelum Anda meluncurkannya secara langsung.
  • Otentikasi dua faktor.
  • Keamanan akun tingkat lanjut yang memungkinkan Anda membatasi akses ke akun WPX Hosting Anda pada tingkat perangkat keras.
beranda hosting wpx

2. Kelola inti, tema, dan plugin WordPress dengan benar

Seperti yang kami katakan, situs WordPress Anda terdiri dari file dan kode. Itu termasuk tema WordPress dan plugin WordPress serta WordPress itu sendiri, yang dikenal sebagai “inti WordPress.”

Seperti aplikasi komputer dan telepon yang Anda gunakan, file WordPress menerima pembaruan rutin untuk menerapkan fitur baru dan perbaikan keamanan.

pembaruan wordpress

Inilah sebabnya mengapa sangat penting bagi Anda untuk selalu memperbarui WordPress, tema, dan plugin Anda sesering mungkin. Gagal melakukan hal ini dapat mengakibatkan situs Anda terkena kelemahan keamanan yang parah.

Anda harus selalu mencoba menggunakan versi WordPress terbaru di situs Anda.

Untungnya, WordPress sudah mengimplementasikan pembaruan keamanan darurat secara otomatis, dan Anda juga dapat mengatur pembaruan WordPress otomatis secara menyeluruh.

Namun, yang terbaik adalah melakukan sebagian besar pembaruan WordPress secara manual melalui area pementasan (seperti yang dapat Anda buat oleh WPX Hosting) sehingga Anda dapat menguji perubahan yang dilakukan pembaruan tersebut pada situs Anda dalam lingkungan terkendali sebelum Anda mendorongnya ke versi produksi langsung. situs Anda.

Secara keseluruhan, luangkan waktu setiap minggu untuk memeriksa, menguji, dan menerapkan pembaruan WordPress ke situs Anda agar tetap seaman mungkin.

Selain itu, pastikan untuk menghapus tema dan plugin yang tidak lagi Anda gunakan.

Mengaktifkan pembaruan otomatis untuk tema dan plugin

Anda dapat mengaktifkan pembaruan WordPress otomatis untuk tema dan plugin tanpa plugin di dalam WordPress.

Untuk tema, buka Penampilan → Tema, klik tema, dan klik tombol Aktifkan Pembaruan Otomatis.

wordpress mengaktifkan pembaruan otomatis

Mengaktifkan pembaruan otomatis untuk plugin bekerja dengan cara yang sama.

Buka Plugin → Plugin Terpasang, dan klik tombol Aktifkan Pembaruan Otomatis untuk plugin mana pun yang ingin Anda aktifkan pembaruan otomatisnya.

Anda bahkan dapat menggunakan opsi massal untuk mengaktifkan pembaruan otomatis untuk semua plugin sekaligus.

pembaruan otomatis wordpress secara massal

3. Instal plugin keamanan WordPress khusus

Jika Anda tidak menghosting situs WordPress Anda dengan host WordPress yang dikelola, cara terbaik adalah menggunakan plugin keamanan WordPress khusus.

Kami merekomendasikan plugin keamanan WordPress MalCare atau Sucuri.

MalCare mengimplementasikan fitur-fitur berikut ke situs WordPress Anda:

  • Pemindai malware.
  • Penghapusan perangkat lunak jahat.
  • Firewall dibuat khusus untuk WordPress.
  • Perlindungan masuk.
  • Pemantauan waktu aktif.
  • Pencadangan tambahan dan pemulihan situs sekali klik.
  • Perlindungan bot.
  • Pemindai kerentanan.
  • Log aktivitas yang memungkinkan Anda mengidentifikasi perilaku mencurigakan.
  • Peringatan email tentang malware dan kerentanan.
statistik malcare

Sucuri juga menawarkan banyak fitur ini, tetapi sebagian besar dikenal karena fitur pemindaian dan penghapusan malware serta kemampuannya untuk menerapkan firewall untuk melindungi situs WordPress Anda.

MalCare lebih terjangkau daripada Sucuri dan bahkan mencakup paket gratis terbatas.

4. Instal plugin kembali WordPress

Cadangan memberikan salah satu cara terbaik untuk mengamankan situs web Anda jika aspek keamanan lainnya gagal.

Jika situs Anda diretas atau rusak atau pembaruan merusak beberapa hal, Anda dapat menggunakan cadangan untuk memulihkannya ke waktu di mana situs berfungsi normal.

Jika host Anda tidak menawarkan cadangan dan Anda tidak mendapatkan fitur ini dari plugin keamanan, Anda sebaiknya menggunakan plugin cadangan khusus.

Kami merekomendasikan WP STAGING.

beranda pementasan wp

Ini berspesialisasi dalam pementasan situs, seperti namanya, tetapi juga menawarkan fitur pencadangan, migrasi, dan kloning.

Plugin ini menawarkan pencadangan otomatis dan memungkinkan Anda menyimpannya di luar lokasi di Google Drive atau Amazon S3.

Jika Anda menginginkan pencadangan tambahan dan banyak fitur serupa yang ditawarkan WP STAGING, cobalah BlogVault.

Kedua solusi tersebut memungkinkan Anda memulihkan situs Anda dari cadangan.

Catatan: Meskipun memilih host WordPress yang berkualitas berarti Anda tidak mungkin menggunakan cadangan pihak ketiga, kami tetap menyarankan untuk menggunakan salah satu solusi di atas sebagai tindakan pencegahan.

5. Berhati-hatilah dengan tema dan plugin WordPress pihak ketiga

Saat Anda mendengar tentang situs WordPress yang diretas, biasanya hal itu disebabkan oleh salah satu dari dua alasan: versi inti WordPress yang sudah ketinggalan zaman serta tema dan plugin pihak ketiga.

Inilah mengapa sangat penting untuk terus mengikuti pembaruan WordPress. Meski begitu, semua pembaruan di dunia tidak dapat melindungi situs Anda dari tema atau plugin pihak ketiga yang berbahaya atau berkode buruk.

Sebelum Anda memutuskan untuk memasang tema atau plugin di situs Anda, lakukan riset.

Sebagai permulaan, kapan tema atau plugin terakhir diperbarui? Ini bukan pertanda baik jika tema atau plugin belum diperbarui selama lebih dari setahun.

plugin wordpress sudah ketinggalan jaman

Pastikan untuk membaca ulasan tema atau plugin serta rangkaian dukungannya juga. Ini akan memberi Anda indikator yang lebih baik tentang seberapa baik dukungan tema atau plugin tersebut.

Pastikan juga untuk menjalankan nama tema atau plugin melalui pencarian media sosial juga, terutama di Twitter, Reddit, dan Facebook.

Situs-situs ini mungkin memiliki keluhan yang tidak dibahas pada halaman resmi tema atau plugin di WordPress.org.

6. Waspadai peran pengguna WordPress dan izinnya

Sebagai pemilik situs WordPress, penting untuk mengetahui perbedaan antara peran pengguna WordPress dan izin yang diberikan masing-masing peran.

Berikut ini ikhtisar singkat izin yang dapat diakses oleh setiap peran:

  • Administrator (Admin) – Dapat mengakses seluruh area dashboard WordPress dan melakukan perubahan pada bagian mana pun dari situs web serta pengguna mana pun di situs tersebut.
  • Editor – Memiliki akses ke postingan dan halaman WordPress dan memiliki kemampuan untuk menambah, menerbitkan, menghapus, dan mengedit konten ini, meskipun mereka tidak membuatnya sendiri.
  • Penulis – Memiliki kemampuan untuk menambah, mengedit, dan mempublikasikan postingannya sendiri.
  • Kontributor – Memiliki kemampuan untuk menambah dan mengedit postingannya sendiri.
  • Pelanggan – Dapat mengedit profil pengguna mereka dan meninggalkan komentar dengan sistem komentar asli WordPress.

Jadi, jika Anda menyewa editor untuk blog Anda, Anda harus menetapkan peran Editor kepada mereka, bukan peran Admin.

Dengan cara ini, mereka dapat menangani konten di situs Anda tetapi tidak dapat membuat perubahan pada tema, plugin, dan pengaturan WordPress Anda.

7. Lindungi halaman login WordPress

Halaman login WordPress adalah halaman yang Anda gunakan untuk login ke dashboard WordPress.

halaman masuk wordpress

Anda biasanya dapat mengaksesnya dengan membuka domainanda.com/wp-login.php.

Ada sejumlah teknik berbeda yang dapat kita gunakan untuk mengamankan halaman login WordPress.

Kami akan menyebutkan dua teknik di bagian ini, tetapi ada teknik tambahan di bagian lanjutan artikel ini.

Teknik pertama yang akan kami sebutkan adalah dengan menambahkan formulir CAPTCHA ke halaman login situs Anda.

Jika Anda memutuskan untuk menggunakan plugin keamanan MalCare yang kami sebutkan sebelumnya, Anda tidak memerlukan plugin terpisah untuk menambahkan fungsi ini ke situs web Anda.

Plugin ini memungkinkan Anda membatasi upaya masuk dengan secara otomatis menampilkan CAPTCHA untuk dipecahkan pengunjung jika mereka gagal masuk setelah tiga kali mencoba.

Jika Anda tidak menggunakan MalCare, gunakan plugin seperti Advanced Google reCAPTCHA.

google recaptcha tingkat lanjut

Ini adalah plugin yang sangat sederhana yang memungkinkan Anda menambahkan formulir CAPTCHA ke formulir login, formulir pendaftaran, dan banyak lagi.

Saat plugin ini diaktifkan, Anda dan siapa pun yang menemukan halaman login Anda harus melengkapi formulir CAPTCHA untuk bisa login.

Selain itu, cara sederhana lainnya untuk melindungi halaman login WordPress adalah dengan mengaktifkan otentikasi dua faktor.

Gunakan plugin seperti Otentikasi Dua Faktor (dari pembuat UpdraftPlus) untuk menambahkan otentikasi dua faktor ke halaman login Anda. Plugin ini terintegrasi dengan Google Authenticator.

8. Gunakan kredensial login yang aman

Formulir CAPTCHA dan teknik autentikasi dua faktor mempersulit penyerang untuk masuk ke situs Anda, namun bukan berarti tidak mungkin.

Inilah sebabnya mengapa menggunakan kredensial login yang aman itu penting. Ini menambahkan lapisan keamanan ekstra ke situs Anda.

Sebagai permulaan, Anda tidak boleh menggunakan “admin” sebagai nama pengguna atau nama Anda sendiri.

Gabungkan bagian-bagian nama Anda sebagai gantinya. Misalnya, jika nama Anda David Smith dan Anda lahir pada tanggal 10 Oktober 1980, gunakan “dasm1080” sebagai nama pengguna Anda atau yang serupa.

Dengan cara ini, jika penyerang mencoba masuk ke situs web Anda, mereka harus mengetahui nama pengguna Anda terlebih dahulu.

Ini sedikit tip lanjutan, tetapi Anda sebenarnya dapat menyembunyikan nama pengguna WordPress dan membuatnya lebih sulit ditemukan oleh penyerang. Ini bagus karena nama pengguna terkadang dapat ditemukan di kode sumber halaman.

Selain itu, URL yang dihasilkan WordPress untuk halaman arsip penulis biasanya berisi nama pengguna masing-masing penulis.

Untuk mengatasi hal ini, buka profil pengguna penulis tersebut di WordPress dan isi kolom Depan, Belakang, Nama Panggilan, dan Nama Tampilan Sebagai dengan sesuatu selain nama pengguna pengguna.

Untuk melangkah lebih jauh, dan di sinilah tip lanjutan berperan, akses database situs Anda melalui phpMyAdmin, dan temukan tabel wp_users. Bit “wp” mungkin terlihat sedikit berbeda jika Anda atau host Anda mengubah awalan database Anda, tetapi bagian “_users” masih melekat padanya.

Apa yang ingin Anda lakukan adalah mengedit entri database setiap pengguna dan mengubah nilai "nama_pengguna" menjadi nilai selain nama pengguna yang ditetapkan.

Nama pengguna akan baik-baik saja. Pastikan untuk mengisi ruang dengan tanda hubung, seperti “david-smith”.

Untuk kata sandi, gunakan pembuat kata sandi untuk menghasilkan kata sandi yang aman, dan pertimbangkan untuk menyimpannya di pengelola kata sandi untuk memudahkan akses.

9. Siapkan SSL untuk situs Anda

SSL, atau Secure Sockets Layer, adalah protokol keamanan yang mengenkripsi data saat ditransfer antara dua jaringan.

Ini biasanya digunakan untuk mengenkripsi informasi pembayaran dan data sensitif pelanggan.

Ada dua cara untuk melihat apakah situs dienkripsi dengan sertifikat SSL: gembok yang ditampilkan di bilah alamat dan penggunaan “https” alih-alih “http.”

penyihir blogging ssl

Karena SSL adalah faktor peringkat Google yang ringan, semua situs dianjurkan untuk menyiapkan SSL, meskipun mereka tidak pernah berencana menerima pembayaran.

Untungnya, sebagian besar host menawarkan sertifikat SSL gratis melalui Let's Encrypt saat ini, jadi sekarang lebih mudah dan murah untuk menyiapkan semuanya.

Lihat basis pengetahuan host Anda untuk mengetahui cara melakukan hal ini karena setiap host menanganinya secara berbeda.

Kiat keamanan WordPress untuk pengguna tingkat lanjut

10. Nonaktifkan pengeditan file

Dasbor WordPress, atau admin WordPress, untuk admin memiliki dua editor file yang memungkinkan Anda mengedit file tema dan plugin.

Anda dapat menemukannya dengan membuka Appearance → Theme File Editor and Plugins → Plugin File Editor.

editor file tema wordpress

Melakukan perubahan pada file ini dapat merusak situs Anda. Lebih buruk lagi, jika seorang peretas mendapatkan akses ke salah satu akun admin Anda, mereka akan dapat menggunakan editor ini untuk memasukkan kode berbahaya ke situs Anda.

Inilah sebabnya mengapa pemilik situs WordPress disarankan untuk menonaktifkan pengeditan file sepenuhnya.

Yang perlu Anda lakukan adalah menambahkan kode berikut ke file wp-config.php Anda:

 mendefinisikan('DISALLOW_FILE_EDIT', benar);

Jika host Anda tidak memiliki pengelola file, Anda harus mengakses file situs Anda melalui FTP, unduh file wp-config.php Anda, edit dengan editor teks biasa, simpan, lalu unggah ulang ke file yang sama lokasi di sistem file untuk instalasi WordPress Anda.

Pastikan untuk menimpa yang asli.

Selain itu, pastikan Anda membuat cadangan situs Anda sebelum melakukan perubahan pada sistem file Anda. Mungkin ada baiknya juga untuk mengunduh salinan file wp-config.php Anda sebelum Anda menerapkan perubahan padanya.

11. Nonaktifkan eksekusi PHP

Peretas sering kali membuat pintu belakang di sistem file situs Anda dengan mengeksekusi file PHP di dalamnya.

Anda dapat memblokir serangan semacam ini dengan menonaktifkan eksekusi file PHP di folder yang awalnya tidak berisi file PHP, seperti folder Uploads tempat file media Anda disimpan.

Memblokir eksekusi PHP di folder yang berisi PHP sebenarnya dapat merusak situs Anda, jadi sering kali disarankan untuk hanya menonaktifkan eksekusi PHP untuk folder di mana PHP tidak pernah ditemukan hanya untuk berjaga-jaga.

Jika Anda menggunakan plugin keamanan MalCare, Anda dapat menonaktifkan eksekusi PHP dengan memasukkan kredensial FTP situs Anda.

Jika tidak, Anda harus melakukannya secara manual dengan mengedit sistem file situs Anda.

Mulailah dengan membuka editor teks biasa di komputer Anda, dan tambahkan kode berikut ke dalamnya:

 <File *.php>

menyangkal dari semua

</File>

Kemudian, simpan file ini, dan beri nama “.htaccess”. Pastikan untuk menyertakan titik “.” sebelum "htaccess".

htaccess notepad

Sekarang, yang perlu Anda lakukan hanyalah mengakses sistem file situs Anda, dan mengunggah file .htaccess baru Anda ke folder Uploads, dan menyimpan perubahan Anda.

12. Ubah awalan database WordPress

Kami telah mengatakannya berkali-kali, namun situs Anda terdiri dari kode yang disimpan dalam file.

Apa yang belum kami sebutkan adalah bagaimana situs Anda juga terdiri dari tabel database. Seperti kode atau file, menghapus atau membuat perubahan pada tabel ini dapat menyebabkan banyak kerusakan pada situs Anda.

Sayangnya, jika peretas mengetahui awalan database Anda, mereka dapat menggunakannya untuk menyerang situs Anda tanpa benar-benar mengaksesnya secara manual.

Semua situs WordPress dirancang untuk menggunakan awalan “wp” secara default, itulah mengapa sangat penting bagi Anda untuk mengubahnya karena peretas sudah familiar dengan awalan ini.

Untungnya, banyak host sudah mengubah awalan default situs Anda secara otomatis segera setelah Anda membuat situs dengan mereka.

Anda akan mengetahuinya jika tabel database Anda memiliki sesuatu selain “wp” sebelum setiap nilai garis bawah, seperti “fx87_user” dan bukan “wp_user” biasa.

Sebenarnya hal ini cukup mudah dilakukan, asalkan Anda terbiasa mengakses sistem file situs Anda.

Tip ini memerlukan file wp-config.php lagi. Sama seperti sebelumnya, ada baiknya untuk menyimpan situs Anda serta salinan file wp-config.php Anda sebelum Anda melakukan perubahan.

Berikut langkah-langkah untuk mengubah awalan database WordPress Anda:

  1. Unduh file wp-config.php situs Anda.
  2. Buka file dalam editor teks teks biasa.
  3. Temukan baris yang bertuliskan “$table_prefix”. Jika seluruh baris mengatakan “$table_prefix = 'wp_'; Anda perlu mengubahnya.
  4. Ubah awalan “wp” menjadi dua hingga lima huruf dan angka yang sulit ditebak oleh penyerang.
  5. Pastikan awalan baru Anda masih memiliki tanda kutip dan titik koma. Contoh: $table_prefix = “fx87_';
  6. Simpan file wp-config.php Anda, dan unggah ke lokasi yang sama di sistem file situs Anda.
  7. Timpa file wp-config.php asli saat diminta.
awalan basis data wordpress

13. Amankan file wp-config.php Anda dengan memindahkannya

Beberapa strategi serangan melibatkan memasukkan kode ke dalam file wp-config.php Anda, yang mengharuskan penyerang mengunduhnya terlebih dahulu.

Anda dapat mempersulit peretas menemukan file wp-config.php Anda dengan memindahkannya.

WordPress memungkinkan Anda memindahkan file wp-config.php satu direktori ke atas tanpa harus melakukan hal lain. Situs Anda masih dapat mengaksesnya dari sana.

Namun, karena satu direktori di atas mungkin masih merupakan folder publik, lebih baik memindahkannya sedikit lebih jauh dari itu.

Tip ini tidak sulit untuk diikuti, namun perubahan yang dilakukan pada situs Anda cukup canggih, terutama jika terjadi kesalahan, jadi lanjutkan hanya jika Anda tahu apa yang Anda lakukan.

Berikut langkah-langkah untuk memindahkan file wp-config.php Anda:

  1. Buat salinan file wp-config.php Anda, dan simpan di komputer Anda.
  2. Akses sistem file situs Anda, dan temukan folder yang berisi folder public_html Anda.
  3. Buat folder baru di direktori ini, dan beri nama dengan sesuatu yang tidak mengidentifikasinya sebagai folder yang berisi file wp-config.php Anda. Sesuatu seperti "aset bw" akan berhasil. Catatan: Jangan gunakan bw-assets di situs Anda sendiri. Gunakan sesuatu yang orisinal yang Anda buat agar lebih aman.
  4. Setel tingkat izin folder baru Anda ke 700.
  5. Salin dan tempel file wp-config.php Anda ke folder yang baru Anda buat, dan ganti namanya menjadi sesuatu yang tidak mengidentifikasinya sebagai file wp-config.php Anda. Sekali lagi, sesuatu seperti “bw-asset.php” akan berfungsi dengan baik.
  6. Ubah tingkat izin file baru ini menjadi 600.

Edit file wp-config.php asli Anda, hapus kode di dalamnya, dan ganti dengan ini:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Jalur file di antara tanda kutip harus sesuai dengan jalur file absolut situs Anda, termasuk cara Anda memberi nama folder dan file yang baru dibuat.

Simpan file setelahnya.

14. Ganti nama halaman login WordPress

Halaman login WordPress ada di /wp-login.php dan jalur URL serupa secara default. Jadi, jika Anda ingin login ke situs WordPress Anda, cukup buka domainanda.com/wp-login.php atau domainanda.com/wp-admin.

Peretas sangat mengetahui hal ini. Begitu mereka mengakses formulir login situs Anda, mereka dapat memulai serangan brute force untuk mencoba menembus pertahanan Anda.

Mudah-mudahan, pertahanan tersebut mencakup membatasi upaya login dengan plugin keamanan atau formulir CAPTCHA, namun Anda juga dapat menyembunyikan halaman login sama sekali.

Gunakan plugin seperti WPS Hide Login untuk mengimplementasikan fitur ini.

Plugin ini menambahkan pengaturan sederhana ke halaman pengaturan Umum WordPress, pengaturan yang memungkinkan Anda mengubah URL login dengan memasukkan URL yang Anda inginkan di kolom teks.

Gunakan sesuatu yang aman dan tidak umum sehingga peretas tidak dapat menebaknya dengan mudah. Mungkin coba gunakan kombinasi kata yang terkesan tidak masuk akal, seperti “einsteinbananafrisbee”.

wps sembunyikan login

Setelah Anda melakukan perubahan ini, Anda tidak lagi dapat mengakses halaman login Anda dari wp-login.php atau URL serupa. Anda hanya dapat menggunakan domainanda.com/einsteinbananafrisbee, jadi pastikan itu adalah sesuatu yang dapat Anda ingat.

15. Nonaktifkan penjelajahan direktori

Penjelajahan direktori adalah fitur desain web yang memungkinkan pengguna memasukkan direktori sebagai URL di bilah alamat dan melihat konten direktori tersebut.

Peretas menggunakan ini sebagai cara untuk melihat direktori tanpa harus mengakses situs dengan cara yang jahat. Ketika mereka melakukan hal ini, mereka berpotensi menemukan file dan kerentanan yang dapat mereka eksploitasi.

Cara terbaik untuk mengatasi masalah ini adalah dengan menonaktifkan penelusuran direktori sepenuhnya.

Mulailah dengan melihat apakah penjelajahan direktori diaktifkan untuk situs Anda. Anda dapat mengetahuinya dengan membuka domainanda.com/wp-includes. Jika Anda terkena kesalahan 403 Forbidden, penelusuran direktori sudah dinonaktifkan, dan Anda tidak perlu khawatir.

Namun, jika Anda melihat daftar file, Anda harus menonaktifkan penelusuran direktori sendiri.

Mulailah dengan mengakses sistem file situs Anda dan temukan file .htaccess Anda.

Sama seperti yang Anda lakukan dengan file wp-config.php, Anda harus membuat cadangan situs Anda dan membuat salinan .htaccess Anda sebelum melakukan perubahan.

Kemudian, unduh, buka di editor teks biasa, dan tambahkan cuplikan kode ini di akhir:

 Opsi Semua -Indeks
wizard blogging menonaktifkan penjelajahan

Simpan file, dan unggah ulang ke situs WordPress Anda, pastikan untuk menimpa file aslinya.

16. Logout pengguna yang tidak aktif

Rekan admin, editor, dan penulis mungkin menganggap ruang kerja mereka aman, namun Anda tidak boleh terlalu berhati-hati.

Jika admin atau editor meninggalkan komputernya saat masuk ke situs Anda, mereka berpotensi membuka situs Anda terhadap kerentanan tanpa menyadarinya, terutama jika mereka berada di tempat umum dan komputernya dicuri.

Untuk mengatasi hal ini, sebaiknya logout pengguna yang tidak aktif. Plugin Inactive Logout menawarkan salah satu cara paling sederhana untuk menyelesaikan pekerjaan.

Plugin ini memungkinkan Anda mengatur logout otomatis berdasarkan ketidakaktifan selama jangka waktu tertentu.

pengaturan logout wordpress tidak aktif

Anda bahkan dapat mengatur pesan peringatan jika pengguna benar-benar menggunakan komputer mereka, hanya saja tidak berinteraksi dengan situs web.

Ini adalah plugin yang cukup sederhana dan lugas yang memungkinkan Anda menerapkan lapisan tambahan keamanan situs WordPress.

Pemikiran terakhir dan apa yang harus dilakukan jika situs Anda diretas

Jika situs Anda diretas, Anda mungkin melihat beberapa tanda peringatan berikut saat mencoba berinteraksi dengannya:

  • Tidak bisa masuk.
  • Perubahan pada frontend yang tidak Anda buat.
  • Semua halaman di situs web Anda dialihkan ke situs yang sama sekali berbeda.

Ini tidak termasuk peringatan yang mungkin Anda terima dari host atau plugin keamanan Anda.

Apa pun yang terjadi dengan situs Anda, kini Anda tahu bahwa situs tersebut bermasalah. Inilah yang harus dilakukan ketika ini terjadi.

Hal pertama yang harus Anda lakukan adalah menempatkan situs Anda dalam mode pemeliharaan dengan plugin mode pemeliharaan.

Plugin Segera Hadir dan Mode Pemeliharaan adalah plugin terkenal yang sangat bagus untuk tujuan ini.

Situs yang diretas membuat pengguna Anda juga rentan terhadap serangan, jadi semakin cepat Anda memblokir akses luar ke situs Anda saat situs tersebut masih disusupi, semakin baik.

Setelah situs Anda offline, ikuti langkah-langkah berikut untuk mengamankannya:

  • Ubah kata sandi untuk semua pengguna di situs Anda, terutama akun administrator.
  • Lihat semua pengguna di situs Anda, dan hapus akun administratif yang tidak Anda kenal.
  • Instal pembaruan WordPress jika Anda melewatkan pembaruan keamanan penting untuk tema atau plugin pihak ketiga.
  • Gunakan plugin keamanan Anda untuk memindai dan menghapus malware. Jika Anda menggunakan host seperti WPX Hosting, mereka akan menghapus malware untuk Anda. Jika Anda telah menginstal MalCare, plugin tersebut seharusnya dapat menghapusnya untuk Anda. Jika tidak, Anda mungkin perlu menggunakan layanan eksternal seperti Sucuri yang akan menghapusnya secara manual.
  • Buat ulang peta situs Anda, dan kirimkan ulang situs Anda ke Google melalui Google Search Console. Ini jika file peta situs Anda rusak.
  • Instal ulang versi inti WordPress yang bersih serta tema dan plugin yang Anda miliki di situs Anda.
  • Bersihkan database Anda dengan plugin WordPress seperti WP-Optimize.
  • Nonaktifkan mode pemeliharaan setelah situs Anda stabil.
  • Selesaikan audit keamanan untuk mengidentifikasi kerentanan keamanan yang mungkin menyebabkan peretasan.

Meskipun Anda mungkin tergoda untuk memulihkan situs Anda dari cadangan, Anda tidak tahu berapa lama kode berbahaya tersebut telah disembunyikan di dalam situs web Anda.

Oleh karena itu, sebaiknya jangan menggunakan pencadangan saat membersihkan situs yang terinfeksi.

Pengungkapan: Konten kami didukung oleh pembaca. Jika Anda mengklik tautan tertentu, kami mungkin mendapat komisi. Hal ini berkontribusi terhadap biaya operasional Blogging Wizard. Dukungan Anda sangat dihargai.