12 Tips dan Teknik Terbaik untuk Mengamankan Area Admin WordPress
Diterbitkan: 2023-05-01Di blog ini, kami akan membahas teknik terbaik untuk mengamankan area admin situs web WordPress Anda secara efektif.
Orang sering berpikir bahwa situs web mereka terlalu kecil untuk dimasuki oleh peretas. Tapi itu akan menjadi kesalahan besar. Situs web apa pun mungkin rentan terhadap ancaman dunia maya seperti spam, malware, serangan kasar, injeksi SQL, dll. Selain itu, Peretas bahkan dapat menggunakan situs web Anda untuk menyebarkan malware ke situs web lain.
Jelas, Anda tidak ingin bangun suatu hari dan menemukan situs web Anda diretas dan semua data sensitif Anda bocor. Jadi, sebaiknya perkuat area admin situs web WordPress Anda dengan beberapa alat yang andal.
- Kiat & teknik terbaik untuk mengamankan area admin situs web WordPress Anda
- 1. Pembaruan versi WordPress
- 2. Plugin keamanan
- 3. Ubah nama pengguna dan kata sandi admin
- 4. Buat URL masuk khusus
- 5. Batasi upaya login
- 6. Amankan halaman login & area admin dengan sertifikat SSL
- 7. Amankan direktori wp-admin dengan kata sandi
- 8. Sertakan captcha di halaman login
- 9. Hapus pesan error dari halaman login
- 10. Izinkan IP tertentu untuk masuk
- 11. Tambahkan lapisan ekstra dengan Otentikasi Dua Faktor
- 12. Kata sandi satu kali (OTP)
- Akhirnya!
Kiat & teknik terbaik untuk mengamankan area admin situs web WordPress Anda
Kiat keamanan ini sangat penting untuk melindungi situs web dari kerentanan seperti:
- Distributed Denial-of-service (DDoS) Attack: DDoS melumpuhkan situs web Anda dengan membanjirinya dengan koneksi yang berlebihan, sehingga merusaknya.
- Injeksi SQL (SQLi): Ini secara paksa mengeksekusi kueri SQL berbahaya pada sistem untuk memanipulasi data.
- Penyertaan file lokal (LFI): LFI memaksa situs untuk memproses file berbahaya yang ditempatkan di server web.
- Pemalsuan permintaan lintas situs (CSRF): Ini dapat memaksa pengguna web untuk melakukan tindakan yang tidak diinginkan dalam aplikasi web yang dapat diandalkan.
- Pintasan autentikasi: Ancaman keamanan ini memberi peretas akses ke sumber daya sensitif situs web Anda tanpa verifikasi keaslian.
- Skrip lintas situs (XSS): XSS menyuntikkan kode berbahaya untuk mengirimkan malware melalui situs web Anda.
Untuk memastikan situs web Anda tidak rentan terhadap ancaman keamanan ini, pastikan Anda menerapkan kiat dan teknik yang disebutkan di bawah ini:
Direkomendasikan untuk Anda: 10 Alasan Mengapa Situs WordPress Anda Perlu Pemeliharaan.
1. Pembaruan versi WordPress
Cara sederhana untuk memperkuat keamanan situs web Anda adalah dengan memperbarui WordPress dan semua plugin keamanan yang terpasang ke versi terbarunya. WordPress adalah open source, sehingga kontributor bekerja tanpa lelah untuk meningkatkan fitur dan keamanan di setiap versi baru. Itu sebabnya Anda harus memperbarui CMS ke versi terbaru untuk meningkatkan keamanan situs web.
2. Plugin keamanan
Salah satu hal terbaik tentang WordPress adalah Anda dapat menemukan plugin untuk hampir semua fitur dan fungsionalitas situs web. Namun, tidak semua plugin keamanan cocok untuk melindungi halaman login. Jadi, cara terbaik untuk memperkuat keamanan area admin situs web Anda adalah melalui plugin WordPress seperti Sucuri, MalCare, Wordfence, dll.
Plugin ini membantu memblokir lalu lintas berbahaya tanpa sedikit pun berdampak pada kinerja situs web.
3. Ubah nama pengguna dan kata sandi admin
Salah satu cara pertama untuk mengamankan situs web adalah dengan mengubah nama pengguna dan kata sandi default. Untuk setiap instalasi WordPress, username login pertama secara default adalah Admin. Nama pengguna semacam ini hanyalah umpan bagi peretas; mereka hanya perlu memprediksi kata sandi setelah itu.
Jadi, Anda harus mengubah nama pengguna dan kata sandi menjadi sesuatu yang lebih disesuaikan. Pertama, buka dasbor WordPress. Pilih Pengguna dan klik "Semua Pengguna".
Bahkan mengubah nama pengguna dari “admin” menjadi “mynameisadmin” dapat membantu melindungi situs web Anda dari peretas. Untuk kata sandi, ada sedikit tampilan yang menunjukkan seberapa kuatnya. Jadi, coba kata sandi yang berbeda dengan kombinasi huruf besar dan kecil, simbol, dan angka sampai Anda puas dengan satu. Selalu pastikan kata sandi sekuat mungkin untuk melindungi situs web dari peretas. Para ahli bahkan menyarankan untuk menggunakan simbol dan angka daripada huruf dalam kata sandi untuk membuatnya lebih tidak jelas. Misalnya, jika Anda ingin kata sandi Anda menjadi "California", pilih sesuatu seperti "[dilindungi email][dilindungi email]". Itu akan membuatnya lebih sulit untuk ditebak.
Seringkali, ketika orang mencoba masuk di tempat yang tidak seharusnya, mereka hanya fokus pada kata sandi dan mempertahankan nama pengguna yang sama selama upaya yang berbeda. Jadi, mengubah nama pengguna dan kata sandi akan menjadi ide yang bagus.
4. Buat URL masuk khusus
Anda dapat mengakses halaman login situs web WordPress mana pun dengan menulis /wp-login.php setelah URL-nya. Misalnya, jika URL situs web WordPress Anda adalah www.mywebsitename.com, Anda dapat mengakses halaman loginnya melalui www.mywebsitename.com/wp-login.php.
Akses halaman login yang begitu mudah membuat situs web Anda lebih rentan terhadap ancaman dunia maya. Jadi, ubah slug URL login menjadi sesuatu yang lebih disesuaikan melalui plugin seperti WPS Hide Login. Plugin ini mengubah URL halaman formulir login menjadi apa pun yang Anda inginkan dan membuat direktori wp-admin dan halaman wp-login.php tidak dapat diakses. Jadi, yang terbaik adalah mem-bookmark halaman-halaman ini karena Anda mungkin kehilangannya.
Setelah menginstal WPS Hide Login, buka Pengaturan dan pilih WPS Hide Login di dasbor WordPress Anda. Lalu, masukkan URL baru di bidang URL Login dan simpan perubahannya. Setelah itu, halaman admin website Anda hanya dapat diakses melalui halaman tersebut.
Jadi sekarang, bahkan jika seseorang memiliki nama pengguna dan kata sandi Anda tanpa sepengetahuan Anda, mereka tetap tidak dapat mengakses halaman login Anda, yang sangat melegakan. Itu sebabnya URL login yang dipersonalisasi selalu disertakan dalam pengembangan WordPress khusus.
5. Batasi upaya login
Tahukah Anda meskipun peretas mungkin tidak mengetahui kata sandi situs web Anda, mereka masih dapat meretas situs web Anda? Melalui skrip otomatis, mereka dapat mencoba ribuan kata sandi potensial dalam waktu singkat untuk menemukan kata sandi yang tepat dan akhirnya berhasil. Untuk menghentikan hal ini terjadi, Anda dapat membatasi upaya login di situs web Anda.
Untuk tujuan ini, WordPress memiliki plugin tertentu seperti Wordfence Security dan Login Lockdown di perpustakaan resmi yang mungkin dapat membantu. Setelah menginstal salah satu dari plugin ini, Anda dapat menentukan pengaturan untuk berapa banyak upaya login yang diizinkan dan berapa lama orang tersebut akan dikunci setelah melewati batas login.
Misalnya, Anda dapat menetapkan batas jumlah upaya sebanyak 3 kali dan waktu penguncian selama 24 jam. Jadi, jika seseorang gagal lebih dari 3 kali, IP mereka akan dikunci selama 24 jam ke depan, setelah itu mereka dapat mencoba lagi.
6. Amankan halaman login & area admin dengan sertifikat SSL
Terkadang, Anda mungkin harus masuk ke situs web Anda di jaringan publik, membuatnya rentan terhadap peretas dalam situasi serangan yang sewenang-wenang. Di jaringan publik, peretas dapat mengakses permintaan HTTP Anda dan melihat kredensial login Anda setiap hari.
Untuk mencegah serangan sewenang-wenang ini, Anda dapat menggunakan login SSL, yang dengannya Anda dapat mengakses situs web Anda melalui HTTPS. Biasanya, Anda dapat memiliki sertifikat login SSL dari penyedia hosting. Tetapi jika tidak, Anda harus membelinya dan memasangnya di server situs web Anda.
Jika Anda sudah memiliki sertifikat SSL di situs web Anda untuk dijalankan di HTTPS, buka file wp-config.php Anda dan edit seperti itu:
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
Dengan FORCE_SSL_LOGIN, halaman login Anda hanya akan terbuka di HTTPS, dan koneksi aman akan dipertahankan di seluruh area admin situs web Anda. Itu sebabnya ketika Anda mempekerjakan pengembang WordPress, salah satu pengaturan keamanan pertama yang mereka tangani adalah menggunakan sertifikat SSL untuk halaman login dan area admin.
Anda mungkin menyukai: Ingin Membuat Situs Web WordPress? Ikuti 13 Langkah Mudah ini.
7. Amankan direktori wp-admin dengan kata sandi
Melindungi kata sandi direktori "wp-admin" seperti menambahkan lapisan keamanan kedua di situs web Anda dan area admin WordPress-nya. Salah satu cara terbaik untuk mendekatinya adalah melalui pengaturan “Privasi Direktori” hosting Anda. Jika Anda menggunakan host web cPanel untuk melindungi kata sandi direktori wp-admin Anda, Anda juga dapat menggunakan Perlindungan Kata Sandi cPanel pada Direktori.
8. Sertakan captcha di halaman login
Captcha di area admin dapat membantu mencegah serangan cyber brute-force yang didorong oleh skrip otomatis. Anda dapat menambahkan captcha ke halaman login Anda melalui plugin WordPress seperti Google reCAPTCHA, reCaptcha oleh BestWebSoft, WPForms, dll.
Teknik ini cukup efektif untuk menghentikan upaya peretasan melalui skrip otomatis.
9. Hapus pesan error dari halaman login
Termasuk captcha, ada tiga hal yang diinginkan peretas untuk masuk ke situs web Anda. Biasanya, ketika mereka mencoba masuk dan gagal, muncul pesan kesalahan yang mengatakan satu atau lebih kredensial salah.
Jadi, misalkan peretas memasukkan nama pengguna, kata sandi, dan captcha, dan salah satu kredensialnya salah; mereka akan melihat pesan kesalahan "Nama Pengguna Salah" atau "Kata Sandi Salah". Dalam hal ini, mereka akan tahu bahwa salah satu kredensial itu benar, dan mereka hanya perlu mengerjakan yang lain.
Tetapi jika Anda menghapus pesan kesalahan, mereka akan salah arah apakah mereka salah memasukkan salah satu atau keduanya. Kemudian, mereka akan mulai mengerjakan keduanya lagi. Sekarang, jika Anda telah membatasi jumlah upaya masuk selain strategi ini, ini akan memberi Anda lebih banyak waktu melawan peretas.
Jadi, hapus pesan kesalahan dari halaman login.
10. Izinkan IP tertentu untuk masuk
Anda dapat membatasi akses ke IP statis tertentu untuk mengamankan situs web. Jika Anda mengetahui alamat IP Anda sendiri, berikan akses melalui file .htaccess dari folder wp-admin.
Cukup buka folder wp-admin, edit file bernama .htaccess, dan tambahkan kode ini:
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
Yang perlu Anda lakukan adalah mengganti 99.99.99.99 dengan IP Anda atau yang ingin Anda akses.
Jadi sekarang, jika seseorang tanpa akses mencoba masuk, mereka akan melihat pesan ini.
11. Tambahkan lapisan ekstra dengan Otentikasi Dua Faktor
Cara lain untuk meningkatkan keamanan situs web Anda adalah dengan menggunakan plugin WordPress untuk menambahkan lapisan lain dengan autentikasi dua faktor. Yang perlu Anda lakukan hanyalah menginstal dan menyiapkan plugin seperti WP 2FA, dan situs web Anda akan aman dari ancaman dunia maya seperti skrip otomatis dan serangan brute force.
12. Kata sandi satu kali (OTP)
Seperti namanya, kata sandi satu kali memungkinkan Anda masuk ke situs web melalui kata sandi yang hanya baik untuk satu kali. Anda menerima kata sandi ini di surat atau nomor ponsel Anda. Karena OTP dikirim melalui surat dan nomor ponsel dan bagus hanya untuk satu sesi, Anda tidak perlu khawatir kata sandi utama Anda dicuri saat masuk dari tempat-tempat seperti warnet. Tak perlu dikatakan, beberapa plugin WordPress dapat membantu menambahkan fungsi OTP ke halaman login Anda.
Teknik-teknik ini akan membantu mengamankan area admin situs web WordPress Anda dari ancaman dunia maya seperti serangan brute force, spam, bot jahat, injeksi SQL, dan yang terpenting, skrip otomatis (untuk menghasilkan kata sandi).
Anda mungkin juga menyukai: Apa itu Skema? Bagaimana Cara Menambahkan Skema Markup ke Situs WordPress Anda?
Akhirnya!
Saat Anda mendesain situs web WordPress baru, gagasan untuk meretasnya jauh dari jauh. Tapi itu masih kemungkinan. Jadi, Anda perlu menjadikan keamanan sebagai bagian berbeda dari pengembangan WordPress khusus untuk melindungi dan mengamankan area admin sehingga peretas tidak dapat mengakses informasi sensitif situs web Anda.
Itu sebabnya kami telah mencantumkan tip dan teknik ini seperti pembaruan WordPress, plugin keamanan, OTP, kata sandi terenkripsi, autentikasi dua faktor, captcha, dll., untuk memastikan situs web Anda aman dari peretas. Pastikan Anda mendiskusikan teknik ini saat menyewa pengembang WordPress untuk membuat situs web baru atau memperbarui situs web lama Anda.
Pengarang: Palak Shah
Artikel ini ditulis oleh Palak Shah. Palak adalah penulis konten berkualitas untuk WPWeb Infotech dan dia suka menulis tentang WordPress, teknologi, dan bisnis kecil. Dia adalah pemain tim yang luar biasa dan bekerja sama dengan tim untuk mencapai hasil yang luar biasa. Dia menonton Netflix dan membaca Non-fiksi, swadaya, dan otobiografi tokoh-tokoh hebat.