10 Masalah Keamanan WordPress Teratas Dan Cara Memperbaikinya

Sebagai tindakan pencegahan umum, selalu unduh tema dan plugin versi terbaru dari sumber tepercaya untuk memastikan bahwa plugin atau tema tidak membuka celah keamanan baru di situs Anda.

Yang Tidak-Begitu-Dasar

SEKARANG Anda memiliki pemahaman tentang dasar-dasar keamanan WordPress, sekarang saatnya untuk memeriksa tips lanjutan berikut untuk meningkatkan keamanan situs web Anda.

TIP #8: Cegah Injeksi SQL dan Peretasan URL

Injeksi SQL adalah serangan di mana penyerang menanamkan perintah SQL di berbagai area situs web (khususnya kotak komentar dan area teks). Perintah-perintah ini dapat membahayakan database SQL dan mungkin mengungkapkan informasi sensitif yang disimpan dalam database.

Memodifikasi URL dengan menambahkan pernyataan PHP adalah ancaman potensial lain untuk keamanan WordPress di mana penyerang dapat memicu serangan pada database dan komponen situs web lainnya.

Sebagian besar situs web WordPress dihosting di server Apache yang memiliki trik cerdas untuk melawan serangan ini. Semua server Apache memiliki file .htaccess yang menentukan aturan akses untuk situs web.

Untuk mengurangi insiden injeksi SQL dan peretasan URL, tambahkan kode berikut ke file .htaccess untuk menetapkan seperangkat aturan yang kuat.

 <IfModule mod_rewrite.c>
Mesin Tulis Ulang Hidup
Basis Tulis Ulang /
Penulisan Ulang %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
Aturan Penulisan Ulang ^(.*)$ - [F,L]
Tulis Ulang %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
Tulis ulang tag %{QUERY_STRING}\= [NC,OR]
Tulis Ulang %{QUERY_STRING} ftp\: [NC,OR]
Penulisan Ulang %{QUERY_STRING} http\: [NC,OR]
Tulis Ulang %{QUERY_STRING} https\: [NC,OR]
Tulis Ulang %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
Tulis Ulang %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
Tulis Ulang %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
Tulis Ulang %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,ATAU]
Tulis Ulang %{QUERY_STRING} ^.*(&#x22;|&#x27;|&#x3C;|&#x3E;|&#x5C;|&#x7B;|&#x7C;).* [NC,ATAU ]
Tulis Ulang %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
Tulis Ulang %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
Tulis Ulang %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
Tulis Ulang %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
Tulis Ulang %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
Aturan Penulisan Ulang ^(.*)$ - [F,L]
</JikaModul>

Seperti yang Anda lihat, kode "membersihkan" data yang masuk ke bidang input. Selain itu, semua input tersebut diperlakukan sebagai string, bukan pernyataan kueri SQL.

TIP #9: Tolak Akses ke File Sensitif di WordPress

Instalasi WordPress berisi beberapa file sensitif, seperti file wp-config.php , install.php, dan readme.html . File-file ini harus disembunyikan dari semua akses luar.

Sekali lagi, .htaccess adalah teman terbaik Anda. Anda dapat menambahkan baris berikut ke file untuk mencegah file penting agar tidak dirusak. Cuplikan kode berikut juga mencegah akses ke daftar direktori pengguna dan menyembunyikan server sensitif dan file WordPress dari akses yang tidak sah.

 Opsi Semua -Indeks

<file .htaccess>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file readme.html>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file license.txt>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file install.php>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file wp-config.php>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file error_log>
Pesan izinkan, tolak
Tolak dari semua
</file>

<files fantastico_fileslist.txt>
Pesan izinkan, tolak
Tolak dari semua
</file>

<file fantversion.php>
Pesan izinkan, tolak
Tolak dari semua
</file>

Jika Anda ingin menggali lebih dalam tentang penggunaan file .htaccess untuk mengoptimalkan WordPress Anda, berikut adalah penjelasan rinci tentang file .htaccess WordPress.

TIP #10: Ubah Awalan Default Untuk Basis Data

Sembunyikan Versi WordPress : Secara default, WordPress secara otomatis menambahkan nomor versi saat ini ke bagian kepala tema. Tip keamanan yang bagus adalah JANGAN PERNAH menampilkan versi WordPress secara publik, hanya karena fakta bahwa penyerang dapat meluncurkan serangan terhadap semua kerentanan yang diketahui dari versi yang disebutkan di header.

Baris kode sederhana berikut harus disertakan dalam file functions.php tema Anda untuk menyembunyikan versi WordPress.

 remove_action('wp_head', 'wp_generator');

Ubah Awalan WordPress Default Untuk Database : Semua tabel dalam database WordPress memiliki nama yang dimulai dengan awalan Meskipun ini tampaknya merupakan fitur yang hebat, untuk peretas WordPress, ini sangat menyederhanakan banyak hal dengan menghilangkan beberapa dugaan.

Seorang pengguna dapat membatasi prediktabilitas ini dengan mengubah awalan WordPress default dari tabel database pengguna saat menginstal WordPress. Ini juga dapat dilakukan untuk situs web yang sudah aktif dengan memanipulasi basis data pengguna di beberapa tempat. Saya sarankan menggunakan salah satu plugin keamanan WordPress terbaik yang menerapkan berbagai pertahanan untuk situs web WordPress.

Cloudways Membantu Mengamankan Situs WordPress

Setelah panduan terperinci untuk mengamankan situs web WordPress ini, perlu disebutkan bahwa WordPress tidak dapat diamankan secara terpisah. Pengguna WordPress juga harus memilih lingkungan hosting aman yang menawarkan lingkungan aman untuk situs web.

Inilah cara Cloudways menyediakan lingkungan hosting WordPress yang aman.

• Infrastruktur Cloud Kelas Satu : Cloudways telah bermitra dengan penyedia infrastruktur cloud terkemuka yang memiliki keamanan sebagai perhatian nomor SATU mereka. Hosting situs WordPress di cloud memastikan tingkat keamanan yang tinggi.
• Firewall : Semua server yang diluncurkan melalui Cloudways dilengkapi dengan firewall pra-instal yang bertindak sebagai garis pertahanan pertama situs web.
• Pemantauan Server : Memantau server membantu mengidentifikasi lonjakan lalu lintas tinggi yang tidak terduga yang dapat menurunkan situs web.
• Perlindungan Bot: Perlindungan Bot bertujuan untuk mengidentifikasi dan memblokir lalu lintas berbahaya, melindungi dari serangan seperti serangan Kamus, Pengikisan Web, dan serangan Brute Force. Ini juga membantu mengurangi penggunaan sumber daya server untuk aplikasi WordPress. Serangan ini ditargetkan untuk mendapatkan akses tidak sah ke situs web Anda atau membanjirinya, tetapi Perlindungan Bot memantau semua aktivitas ini dan secara proaktif memblokir saat terdeteksi.
• Akses SSH & SFTP : Banyak penyedia hosting masih menggunakan FTP untuk mengakses file. Namun, dengan Cloudways SFTP (Secure File Transfer Protocol) koneksi Anda dienkripsi dan aman. Jika beberapa tim sedang mengerjakan proyek yang dihosting di server, mereka dapat diberi akses ke aplikasi tertentu alih-alih seluruh server.
• OS dan Aplikasi yang Diperbarui : Para ahli di Cloudways mengawasi rilis terbaru dan memastikan ketersediaannya setelah uji stabilitas dan kompatibilitas.
• Kredensial yang Dihasilkan Secara Acak : Semua aplikasi yang diluncurkan melalui Cloudways memiliki kredensial default yang dibuat secara acak yang sulit ditebak.
• Cadangan : Jika terjadi bencana, cadangan situs adalah pilihan terbaik Anda untuk pemulihan bencana yang lebih cepat. Anda dapat mengatur frekuensi pencadangan serendah satu jam.
• Sertifikat SSL Gratis : Cloudways menyediakan instalasi sertifikat SSL sekali klik dengan fitur pembaruan otomatis.
• Lingkungan Pementasan Gratis: Cloudways menawarkan lingkungan pementasan WordPress gratis untuk memastikan semuanya terus berfungsi sebagaimana mestinya.
• Dukungan Obrolan Langsung 24/7 : Masih khawatir tentang keamanan dan kinerja server? Dukungan Cloudways selalu ada sepanjang waktu.
• Dukungan Telepon: Ini adalah tambahan dukungan premium jika Anda memerlukan bantuan, Anda juga dapat menghubungi dan insinyur senior kami dengan langsung merespons kapan saja.

Pertanyaan yang Sering Ditanyakan

T: Bagaimana cara memperbaiki WordPress yang tidak aman?

A: Ikuti panduan ini dan lihat semua poin yang telah saya sebutkan, saya harap ini akan banyak membantu Anda.

T: Haruskah saya menggunakan sertifikat SSL untuk mengamankan situs WordPress saya?

J: Ya, Anda harus, sebagian besar perusahaan hosting menawarkan sertifikat SSL sekali klik gratis.

T: Apakah WordPress memiliki masalah keamanan?

A: WordPress adalah Content Management System (CMS) yang paling banyak digunakan saat ini. Dengan bantuan banyak tema dan plug-in, seseorang dapat dengan mudah menyesuaikan situs web mereka sesuai dengan selera dan preferensi mereka. Namun, Keamanan WordPress adalah salah satu masalah utama yang menjadi perhatian banyak orang.

Intinya

Kiat keamanan WordPress memastikan situs web yang efektif dan aman. Namun, banyak orang lupa bahwa mempertahankan situs WordPress adalah proses berkelanjutan yang membutuhkan perhatian terus menerus dalam menghadapi alat dan trik baru yang muncul di dunia maya.

Saya sangat menyarankan pengguna WordPress menyimpan log tentang apa yang terjadi di WordPress dengan menggunakan plugin audit keamanan dan menggunakan plugin keamanan WordPress pilihan yang memperkuat lingkungan WordPress terhadap ancaman keamanan.

Jangan ragu untuk menambahkan jika menurut Anda saya melewatkan sesuatu. Saya akan menambahkannya ke daftar ASAP. Jika Anda memiliki pertanyaan, silakan posting di komentar di bawah.