4 Cara Mengamankan Login WordPress Anda

Peretas tidak perlu licik atau canggih untuk mendapatkan apa yang mereka inginkan. Seringkali, mereka hanya masuk melalui pintu depan. Menggunakan alat yang tepat dapat membantu, tetapi masih banyak lagi yang dapat Anda lakukan untuk melindungi situs web Anda dan mengamankan login WordPress .

Dalam laporan ini oleh Nathan Finch dari Aussie Hosting , mereka meninjau dan membandingkan berbagai perusahaan hosting berdasarkan kinerja mereka. Mereka menemukan bahwa perusahaan dengan lebih banyak waktu henti juga memiliki server yang tidak terawat dengan baik sehingga meningkatkan risiko masalah keamanan.

Telah dilaporkan bahwa Google membuat daftar hitam sekitar 70.000 situs web per minggu untuk masalah keamanan login WordPress seperti malware dan phishing. Garis pertahanan pertama Anda terhadap penyusupan adalah melindungi login WordPress Anda. Bentuk kontrol akses ini tampaknya tidak perlu dipikirkan lagi, tetapi Anda akan terkejut betapa seringnya langkah-langkah keamanan yang paling sederhana diabaikan atau diabaikan.

Terlepas dari fitur keamanan yang ditawarkan oleh layanan hosting Anda di bagian belakang, sebagai pemilik situs web, tanggung jawab berhenti di tangan Anda.

– Sumber: Wordfence

Apa yang Membuat Login WordPress Rentan?

Popularitas WordPress inilah yang menjadikannya target yang mudah dan menarik. Tapi, apa yang membuat platform ini rentan terhadap serangan dan eksploitasi?

Untuk satu hal, peretas melakukan banyak pengintaian sebelum meretas sistem. Mereka tahu bahwa versi WP tertentu memiliki lebih banyak kerentanan daripada yang lain, dan platform ini telah ada cukup lama bagi para profesional untuk mengetahui apa itu. Nomor versi terletak di halaman web Anda dan di URL Anda kecuali Anda menghapusnya.

Melihat direktori Anda juga memberikan banyak informasi berguna, seperti jenis plugin dan tema yang telah Anda instal. Karena ini berfungsi pada pengkodean sumber terbuka, meninggalkan plugin yang tidak digunakan atau tidak didukung di direktori Anda, meskipun dinonaktifkan, adalah cara sederhana bagi peretas untuk mendapatkan akses ke kode Anda. Begitu masuk, mereka dapat meluncurkan eksploitasi, mengubah pengkodean, membajak sesi, atau mengunci Anda dari situs web Anda sendiri.

Peretas dapat memeriksa pengindeksan direktori Anda dengan menjelajahi lokasi folder dan memeriksa respons "Indeks" seperti ini:

/wp-konten/

/wp-konten/plugin/

/wp-konten/tema/

/upload/

/gambar-gambar/

Mereka dapat mencari plugin yang rentan di direktori Anda melalui pencarian aktif menggunakan alat skrip atau pencarian pasif dengan permintaan HTML biasa. Ini dicapai dengan meninjau kode sumber HTML dan mencari plugin yang diinstal melalui lembar gaya CSS, komentar, dan tautan JS.

Cara lain peretas mengakses situs WordPress adalah melalui enumerasi pengguna . Ini adalah awal sederhana untuk serangan brute force yang melibatkan mengungkap nama pengguna dan menebak kata sandi mereka melalui serangan kamus atau mencoba masuk melalui mekanisme default. Misalnya, pengguna dapat ditemukan dengan mengulangi Id mereka dan menambahkannya ke URL seperti ini:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Jika berhasil, ID login akan terungkap melalui pengalihan 303.

Alat bernama WPScan yang digunakan untuk pengujian kerentanan dapat menyaring ratusan kemungkinan kata sandi dalam waktu kurang dari satu menit. Itu dapat mengembalikan output berikut dari tema murah dalam hitungan detik:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SNIP ******************

[+] Memulai brute force kata sandi

Brute memaksa pengguna 'testadmin' dengan 500 password... 100% selesai.
[+] Selesai pada Kam 18 Jul 03:39:02 2013
[+] Waktu yang berlalu: 00:01:16

4 Cara Mengamankan Login WordPress Anda

Untungnya, pengembang WP dan komunitas pengguna rajin memberikan dukungan. Karena itu, ada alat yang tersedia secara gratis dan praktik terbaik yang dapat Anda pelajari dan terapkan untuk menjaga keamanan situs web Anda.

Berikut adalah empat teknik yang dapat Anda terapkan untuk meningkatkan keamanan login WordPress Anda.

1. Hapus Nomor Versi WP

Karena peretas biasanya mencari nomor versi terlebih dahulu saat memeriksa kerentanan, ini adalah hal pertama yang harus Anda ubah saat menyiapkan situs web Anda. Ini harus dilakukan sedemikian rupa sehingga dihapus dari halaman, URL, dan tag meta tanpa menghapus kait header atau metode buruk lainnya yang disebut-sebut di internet.

Cara terbaik untuk menghapus nomor versi WP Anda adalah dengan menambahkan sedikit kode ini ke file functions.php :

Untuk menghapus dari tajuk:

 remove_action('wp_head', 'wp_generator');

Untuk menghapus dari umpan RSS:

 fungsi hapus_versi_info() {
kembali '';
}
add_filter('the_generator', 'remove_version_info');

Untuk menghapus nomor versi dari skrip dan gaya:

 fungsi remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
kembali $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

Tidak masalah ketika Anda menginstal WP, Anda harus selalu memperbarui WordPress Anda ke versi terbaru segera setelah dirilis. Hal yang sama berlaku untuk plugin dan tema.

Baca Selengkapnya: Pembaruan Sangat Penting untuk Keamanan WordPress !

2. Ubah URL Login Anda

Alamat login default untuk administrator WP adalah yourwebsite.com/wp-admin dan itu adalah sesuatu yang diketahui oleh hampir semua orang yang akrab dengan platform ini. Yang Anda perlukan hanyalah menambahkan /wp-login.php setelah nama domain dan Anda masuk. Perubahan sederhana pada URL adalah semua yang diperlukan untuk mencegah peretas menebak halaman login Anda.

Anda dapat menggunakan plugin seperti iThemes Security untuk melakukannya secara efektif.

3. Kurangi Jumlah Upaya Login

Fitur default WP cacat lainnya adalah memungkinkan upaya login tanpa batas. Ini memungkinkan serangan kamus dan teknik menebak kata sandi lainnya. Plugin Keamanan iThemes memiliki fitur yang mengunci situs web Anda setelah sejumlah upaya login yang gagal dan mengirimkan peringatan kepada Anda.

Jika Anda hanya menginginkan fungsi login logout, Anda dapat menginstal plugin bernama Limit Login Attempts Reloaded dan masuk ke pengaturannya untuk mengonfigurasi jumlah login yang diizinkan.

4. Batasi Akses dan Gunakan Otentikasi Dua Faktor

Sekarang, Anda harus tahu untuk memilih kata sandi yang aman menggunakan plugin otentikasi dua faktor. Langkah selanjutnya untuk membatasi akses adalah membatasi jumlah orang yang memiliki akses ke inner website Anda. Ketiga, gunakan otentikasi 2 Faktor yang menggunakan kombinasi kata sandi dan kunci terenkripsi untuk masuk.

Pikiran Terakhir!

Meskipun tindakan pencegahan keamanan dan tindakan pencegahan yang dijelaskan dalam posting ini tidak akan melindungi situs Anda 100%, mereka akan memberikan ukuran keamanan yang sangat besar.

Penting untuk diingat bahwa peretas dan pihak ketiga yang jahat mencari cara termudah untuk masuk ke situs web Anda. Sebagian besar waktu solusi otomatis digunakan untuk menemukan pintu belakang ini.

Mengamankan login WP Anda membuat pintu-pintu itu tetap tertutup dan memastikan bahwa satu-satunya orang yang memiliki akses ke situs Anda adalah diri Anda sendiri.

Penafian: Ini adalah posting tamu yang disumbangkan oleh Nathan Goldfinch dari AussieHosting .