Apakah Anda khawatir tentang keamanan situs WordPress Anda? Apakah Anda menerima email spam setiap hari tentang upaya login yang tidak sah? Setiap hari jumlah user WordPress semakin meningkat. Sementara hampir 40% situs web di seluruh dunia dikembangkan di WordPress, wajar bagi banyak pemula untuk bergabung dengan tren setiap hari. Sebagian besar user WordPress baru tidak terlalu mementingkan keamanan halaman login WordPress mereka. Tetapi dengan alat serangan brute force mutakhir, lagi dan lagi, dimungkinkan untuk melewati halaman login WordPress yang dilindungi password.
Situs WordPress adalah salah satu target paling menguntungkan bagi pencuri dan peretas digital karena berbagai alasan. Setiap bulan, ratusan kasus baru muncul di mana seseorang kehilangan situs WordPress mereka karena penyerang brutal ini. Jika beberapa peretas terus mengirimkan permintaan akses menggunakan halaman login Anda, aksesibilitas situs web Anda akan dibatasi secara otomatis karena beban besar di ujung server. Pada akhirnya, Anda mungkin akan kehilangan situs web berharga Anda dari penyerang.
Ada beberapa metode yang teruji & terbukti dalam praktiknya yang dapat membantu seseorang mengamankan situs WordPress-nya. Juga, ada banyak plugin WordPress yang tersedia yang dapat membantu Anda lebih mengamankan situs WordPress Anda. Dengan menggunakan tindakan pencegahan dan plugin WordPress, Anda dapat menjaga situs Anda aman dari akses tidak sah dan serangan brute force.
Selalu Gunakan Kata Sandi Panjang & Rumit
Kata sandi yang kuat bisa menjadi mimpi buruk bagi peretas brutal. Sebenarnya, alat yang digunakan para peretas sial ini juga tidak lain adalah program komputer. Mereka juga bekerja pada beberapa logika yang telah ditentukan sebelumnya. Jika Anda menggunakan password berekor panjang yang juga memiliki angka dan simbol di dalamnya, password tersebut menjadi cukup rumit untuk menembus algoritme aplikasi penyerang brute force. Kata sandi seperti “admin”, “root”, id email, “1234”, dll tidak boleh digunakan dalam keadaan apa pun untuk login WordPress.
Anda dapat menggunakan Pengelola Kata Sandi untuk membuat password yang aman dan kompleks, yang dibuat dengan huruf, angka, dan simbol acak. Tetapi para ahli merekomendasikan untuk membuat password dari dalam pikiran Anda, karena pikiran manusia jauh lebih kompleks daripada engine apa pun. Cobalah untuk menjaga password/frasa sandi Anda sangat acak, tidak berarti dan membuatnya sangat-sangat sulit untuk diingat menggunakan simbol acak dan banyak angka. Anda juga dapat menggunakan berbagai plugin pembuat password dari toko WordPress.
Batasi Jumlah Upaya Masuk
Ini adalah salah satu senjata terbaik melawan penyerang brute force. Secara default, jumlah upaya login di WordPress tidak terbatas, yang merupakan masalah serius. Anda dapat menangani risiko keamanan ini hanya dengan menggunakan plug-in “ Batasi Upaya Masuk ”. Plugin ini memungkinkan Anda membatasi upaya login per alamat IP, dan memungkinkan Anda memasukkan alamat IP tepat waktu untuk waktu tertentu. Misalnya, Anda dapat mengatur untuk 3 upaya, setelah itu memasukkan password yang salah akan membuat alamat IP time out selama 12 jam.
Dengan menggunakan plug-in seperti itu, Anda tidak perlu mengimplementasikan pengkodean atau proses implementasi yang rumit. Sangat mudah, cepat, dan aman. Jika Anda mencari Plug-in Pembatas Upaya Masuk, ada banyak opsi lain untuk digunakan seperti – Batas Upaya Masuk Reloaded, Upaya Masuk Batas WP, Keamanan Wordfence, Keamanan WP Semua dalam Satu, Upaya Masuk WP, Penguncian Masuk, dll Dengan menggunakan plug-in “Limit Login Attempts”, Anda cukup membuat serangan brute force menjadi usang, karena tidak dapat menjalankan lebih dari jumlah upaya login yang diizinkan oleh plugin.
Aktifkan Otentikasi Ganda Dengan Google Authenticator
Proses ini juga dikenal sebagai otentikasi dua faktor, dan dianggap sebagai salah satu metode login yang paling aman. Anda harus memiliki Aplikasi Google Authentication dan plugin Google Authenticator WordPress, untuk menyiapkan autentikasi dua faktor. Semuanya bekerja sedemikian rupa di mana Anda harus memasukkan nama user dan password Anda setiap saat, bersama dengan kode tambahan yang dihasilkan oleh aplikasi Google Authenticator. Kode tambahan ini dibuat setiap kali Anda mencoba masuk, jadi kodenya unik setiap saat.
Untuk menggunakan metode ini, Anda harus membawa ponsel cerdas saat Anda masuk ke admin WordPress Anda. Prosesnya mungkin tampak agak rumit pada awalnya, tetapi ia menawarkan perlindungan tambahan yang sangat aman terhadap penyerang login.
Meskipun prosesnya terlihat rumit, proses konfigurasinya sangat mudah. Pertama, unduh plugin WordPress “Google Authenticator” dan instal. Setelah menginstal plugin, unduh dan instal “aplikasi Google Authenticator” di ( aplikasi Android, aplikasi iOS ) ponsel cerdas Anda. Di sini Anda cukup menggunakan kode batang di pengaturan plugin WordPress untuk menautkan plugin WordPress ke aplikasi ponsel cerdas Anda.
Sekarang setiap kali Anda membuka aplikasi Google Authenticator, kode login untuk situs WordPress Anda akan dibuat berulang kali secara berkala. Anda dapat memeriksa dan memasukkan kode di layar login WordPress Anda setiap kali Anda mencoba masuk ke panel admin WordPress Anda. Anda juga dapat menggunakan “aplikasi Google Authenticator” yang sama dengan beberapa situs web dan service untuk autentikasi dua faktor.
Siapkan Kata Sandi Ekstra melalui File.htaccess
Sebagai pemilik dan admin situs WordPress, Anda memiliki akses ke file.htaccess. Dengan akses file.htaccess, Anda juga memiliki opsi untuk mengatur password tambahan. Jika Anda melakukannya, Anda dapat memiliki keunggulan khusus dibandingkan peretas kasar karena login WordPress yang sebenarnya bahkan tidak dapat dipanggil oleh user pihak ketiga. Jadi serangan brute force dapat diblokir sebelum upaya serangan yang sebenarnya terjadi.
Dengan cara ini Anda dapat secara besar-besaran menyisihkan panggilan ke situs WordPress Anda dan aksesibilitas situs web selalu dijamin dalam hal apa pun. Menyiapkan login.htaccess juga tidak serumit kedengarannya. Anda harus memiliki akses ke file.htaccess Anda melalui akses FTP Anda, tetapi masalahnya adalah, itu tergantung pada penawaran hosting dari penyedia service hosting Anda. Jika tersedia, Anda akan memiliki editor kode untuk mengedit file.htaccess dan file.htpasswd baru (file ini berisi password Anda) untuk dibuat.
Cara Mengatur Kata Sandi.htaccess – Begini Cara Kerjanya
1. Pertama, Anda harus membuat file baru yang kosong dengan nama.htpasswd di direktori utama situs web Anda (yaitu di mana seharusnya file.htaccess berada) melalui akses FTP Anda. Ingat, itu hanya mungkin jika penyedia service Anda memberi Anda akses seperti itu melalui penawaran paket hosting Anda.
2. Jika penyedia hosting Anda menawarkan Cpanel maka Anda dapat dengan mudah menggunakan File manager untuk mengedit dan membuat file. Dan jika tidak maka Anda harus mendownload file.htpasswd yang masih kosong secara lokal di komputer Anda dan membuka dan mengeditnya menggunakan Notepad atau editor kode.
3. Dalam file tambahkan nama user dan password yang ingin Anda gunakan untuk mengamankan situs web Anda dalam format berikut:
Nama Pengguna: Kata Sandi
Catatan : Ganti nama user dan password dengan yang ingin Anda atur.
Misalnya – Saya ingin menambahkan empat user dan mereka yang sesuai dapat mengakses situs web:
user1:sandi1 user2:sandi2 user3:sandi3
4. Simpan file dan upload ke server hosting Anda.
Dengan cara ini, kita dapat menambahkan satu atau beberapa user yang dapat mengakses situs web.
5. Sekarang, edit file. htaccess. Tambahkan kode yang diberikan berikut tetapi ingat untuk menentukan jalur AuthUserFile ke file. htpasswd dan ganti dalam kode.
[code] <Files wp-login.php> AuthType Basic AuthName “My Protected Area” AuthUserFile /path/to/.htpasswd Memerlukan valid-user </Files> [/ code]
Setelah Anda selesai memasukkan kode ke dalam file.htaccess dan juga selesai dengan mengunggah file.htpasswd baru dengan kode Anda ke direktori utama situs web Anda, kueri password sekarang akan muncul di browser dan dengan demikian menambahkan lapisan tambahan perlindungan.
Selalu Gunakan Nama Pengguna yang Unik
Langkah ini biasanya diabaikan oleh sebagian besar user, tetapi ingat bahwa nama user yang unik juga dapat berfungsi sebagai pencegah upaya masuk yang tidak sah. Saat melakukan serangan brute force, penyerang tidak hanya harus meretas password, tetapi dia juga perlu meretas nama user untuk password itu. Jika Anda menggunakan email atau memberi nama id user Anda, lebih mudah ditebak. Menggunakan alat penyerang brute force, dalam satu menit penyerang mana pun dapat menentukan id admin jika Anda menggunakan id user yang sederhana. Dengan cara ini Anda membantu penyerang dengan menyiapkan id user minggu dengan sengaja.
Jadi jangan pernah menggunakan id email, nama, atau nama123, [email protected], anyword123 Anda sebagai id user Anda. Sama seperti membuat password ekor panjang, membuat ekor panjang, sulit untuk mendeteksi id user menggunakan kombinasi huruf, simbol, dan angka.
Pastikan Anda Menggunakan Plugin Firewall Aplikasi Situs Web
Tugas plugin firewall aplikasi situs web (WAF) adalah untuk memantau lalu lintas situs web. Itu juga memblokir setiap permintaan yang mencurigakan atau upaya login admin dari server jarak jauh dan IP. Anda dapat menggunakan plugin WAF seperti Wordfence Security, MalCare Security, Cloudflare, Sucuri Security, Shield Security, dll.
Menggunakan plugin firewall aplikasi semacam itu memastikan lalu lintas masuk apa pun melewati proxy cloud mereka terlebih dahulu, di mana ia dapat dipindai dan dianalisis. Ini meningkatkan keamanan situs web, melindungi situs Anda dari serangan phishing, upaya peretasan, infeksi malware, dll. Juga dengan plugin semacam itu sering memblokir sebagian besar lalu lintas masuk yang tidak diinginkan dan mencurigakan dari mengakses data situs.
Lindungi Direktori Admin Menggunakan Kata Sandi
Bersamaan dengan panel Admin WordPress, Anda juga harus melindungi Direktori Admin WordPress menggunakan password yang kuat. Kebanyakan orang tidak menggunakan password apa pun untuk melindungi Direktori Admin mereka, yang bukan merupakan praktik yang baik, terutama jika Anda mengkhawatirkan keamanan Situs WordPress Anda.
Cara Mengatur Kata Sandi Di Direktori Admin WordPress
1. Pertama, masuk ke dasbor cPanel Anda dari hosting WordPress; 2. Sekarang klik ikon ‘ Password Protect Directories ‘ atau ‘ Directory Privacy ‘; 3. Sekarang pilih folder wp-admin Anda, (biasanya terletak di – /public_html/directory); 4. Kemudian klik pada kotak centang opsi “Password protect this directory”, dan beri nama untuk direktori admin. 5. Sekarang, Anda harus mengklik tombol “ Simpan ” dan izin akan ditetapkan. 6. Kemudian pergi ke halaman sebelumnya dan buat user baru. Masukkan ” nama user & password ” saat diminta dan “simpan” setelah Anda selesai. 7. Mulai sekarang, untuk mengunjungi direktori admin WordPress situs web Anda, nama user dan password akan diminta.
Nonaktifkan Fungsi Petunjuk Masuk
Fitur ini tidak diperlukan sama sekali, dan entah bagaimana melemahkan fitur keamanan situs Anda. Jadi, pastikan Anda menghapus fitur Login Hints dari halaman login WordPress. Sebagian besar tema WordPress memang memiliki fitur ini secara otomatis dan diaktifkan setiap saat. Untuk menyembunyikan petunjuk Login, Anda dapat menyalin dan menempelkan kode berikut ke file functions.php tema Anda (rekatkan di bagian akhir dan simpan kode yang sama).
function no_wordpress_errors(){ return ‘Ada yang salah!’; } add_filter( ‘login_errors’, ‘no_wordpress_errors’ );
Selalu Perbarui WordPress
Menjaga plugin WordPress dan versi WordPress Anda sangat penting untuk keamanan dan kinerja. Dengan pembaruan dari waktu ke waktu, Anda menjaga situs Anda tetap kompatibel dengan plugin baru dan juga meningkatkan kemampuan plugin yang diinstal, yang memastikan kinerja yang lebih baik dan keamanan yang lebih baik.
Jika Anda menggunakan WordPress versi lama, Anda mungkin tidak akan pernah tahu ancaman dan celah keamanan apa yang didapatnya. Peretas dapat mengeksploitasi kerentanan tersebut untuk menghapus sistem keamanan usang Anda. Logika yang sama juga berlaku untuk plugin. Anda harus selalu memperbarui semua plugin Anda, terutama plugin keamanan. Pembaruan memperbaiki bug, meningkatkan keamanan, dan sering menambahkan fitur dan opsi baru, jadi jangan lewatkan pembaruan.
Gunakan Halaman Login Kustom Jika Memungkinkan
Jika Anda adalah pengembang tingkat lanjut, atau jika Anda memiliki anggaran, maka Anda harus mempertimbangkan untuk mengembangkan halaman Login dan halaman pendaftaran khusus dan khusus. Banyak situs web memiliki sistem seperti itu, tetapi biasanya pemilik situs WordPress, blogger, dan pemilik situs e-niaga skala kecil tidak menggunakan ini sebagai aturan praktis.
Namun, menggunakan g halaman login kustom dan halaman registrasi kustom, membuat penyerang brute force dan penyerang login konvensional hampir tidak mungkin melakukan login yang tidak sah.
Membungkus
Seperti yang Anda lihat, ada banyak sekali metode yang tersedia untuk melindungi login WordPress Anda dari akses yang tidak sah. Jika ada tips, trik, atau metode lain yang Anda ketahui untuk melindungi login WordPress, yang mungkin saya lewatkan, beri komentar di bawah. Saya sangat senang dengan tanggapan dan tips Anda!