12 Langkah Cara Melindungi Area Admin WordPress Work 100% - Berikut adalah 12 cara yang bisa Anda lakukan dengan mudah untuk mengamankan website Wordpres. Dengan WordPress, sangat mudah untuk membuat blog atau website . Namun, ada kasus ( yang meningkat setiap hari ) ketika orang menderita karena tidak memperhatikan fitur keamanan situs web atau blog WordPress. Ada banyak kasus ketika Anda melirik situs web lepas, di mana situs web dan blog orang diretas dan mereka meminta sedikit bantuan.
|
√ Cara Melindungi Area Admin WordPress Work 100% |
Kejadian ini menunjukkan bahwa ketika Anda tidak memperhatikan keamanan situs WordPress Anda , ada kemungkinan dapat diserang oleh peretas. Untuk menghindari kasus ini, Anda harus menjaga Area Admin WordPress dan Halaman Loginnya tetap terlindungi. Pada artikel ini, saya akan memberi Anda informasi tentang cara dan langkah untuk melindungi area paling canggih dari situs WordPress Anda, "WordPress admin area". Mari kita mulai,
Cara Melindungi Area Admin WordPress Work 100%
1. Ubah Nama Pengguna Admin Default dan Pilih Kata Sandi yang Kuat
Jika Anda menginstal WordPress, jangan biarkan akun admin default menjadi seperti admin . Ini sangat mudah ditebak untuk mencoba serangan brute force atau serangan lainnya.
Di sini, bahkan jika Anda mengubah nama pengguna admin Anda sebagai iamadmin, itu dapat membuat banyak perbedaan dan menyelamatkan Anda dari banyak masalah (Tapi, jangan gunakan nama ini, ini adalah contoh untuk menunjukkan bagaimana mengubah nama pengguna admin dapat membuat perbedaan).
Dalam hal kata sandi, selalu ikuti panduan WordPress . Ketika Anda memasukkan kata sandi di bawah kotak entri, ini menunjukkan seberapa kuat kata sandi Anda. Selalu buat kata sandi Anda kuat dalam aspek itu.
Sekarang, bahkan jika situs web Anda tidak memberikan hak finansial apa pun kepada peretas, tetapi ini tidak menghentikan peretas untuk mencoba mendapatkan akses ke situs web Anda. Izinkan saya untuk menyajikan kepada Anda skenario sederhana yang agak umum di situs web WordPress. Lihat pada gambar di bawah ini:
Seperti yang Anda lihat, ada upaya peretasan ini di satu situs WordPress dalam satu hari. Jadi, seperti dari gambar, cukup jelas bahwa semua upaya penguncian menargetkan adminnama pengguna. Jadi, saya pikir saya telah membuat poin saya di sini.
Sekarang, pertanyaan merampingkan adalah mengapa mereka terus mencoba? Salah satu alasan paling utama dan paling umum adalah bahwa "WordPress tidak memiliki aturan dasar pelarangan pada penyerang mana pun". Jadi, jika Anda tidak melakukan apa-apa, mereka tidak akan berhenti berusaha.
Ini membawa kita ke poin berikutnya.
2. Buat Tautan Masuk Kustom
Sangat jelas bahwa untuk mengakses panel admin WordPress, yang harus dilakukan hanyalah mengetikkan URL situs dengan ekstensi /wp-login.php. Sekarang jika Anda menggunakan kata sandi yang sama di lebih dari satu lokasi, dan itu membahayakan maka mudah bagi peretas untuk meretas situs Anda.
Sebuah plugin bernama Stealth Login memungkinkan Anda membuat URL khusus untuk masuk, keluar, administrasi, dan mendaftar untuk blog WordPress Anda. Anda juga dapat mengaktifkan "Stealth Mode" yang akan mencegah pengguna untuk dapat mengakses wp-login.php secara langsung. Anda kemudian dapat mengatur URL login Anda ke sesuatu yang lebih samar. Ini tidak akan mengamankan situs web Anda dengan sempurna, tetapi jika seseorang berhasil memecahkan kata sandi Anda, ini dapat mempersulit mereka untuk menemukan tempat untuk benar-benar masuk. Ini juga mencegah bot apa pun yang digunakan untuk maksud jahat mengakses wp-login.php file Anda dan mencoba menerobos masuk.
3. Batasi Upaya Masuk
Saat saya mengakhiri poin sebelumnya dengan mengatakan, WordPress tidak melarang pengguna mencoba masuk ke akun yang gagal. Oleh karena itu Anda harus membatasi login ke area admin Anda dan melarang pengguna untuk waktu tertentu atau mereka akan terus mencoba menebak dengan sukses untuk blog atau situs WordPress Anda.
Untuk tujuan ini, Anda dapat menggunakan plugin seperti Wordfence Security , WP Limit Login Attempts , dan Login LockDown . Di bawah ini adalah screenshot dari WP Limit Login, seperti yang saya gunakan saat ini. Jadi, ketika Anda memasukkan kredensial yang salah, seperti inilah tampilannya,
Mari kita lanjutkan ke poin kita berikutnya yaitu:
4. Paksa SSL di Halaman Login dan Area Admin
Ada kalanya Anda masuk ke situs WordPress Anda melalui jaringan publik. Ini adalah salah satu kasus di mana Anda mungkin terkena "serangan Man-in-the-middle". Peretas dapat mendengarkan lalu lintas dan dapat mengakses permintaan HTTP Anda . Setelah mengakses permintaan Anda di WordPress, mereka dapat melihat kredensial WordPress Anda dalam teks biasa.
Ini dapat dicegah dengan menggunakan login SSL. Login SSL memungkinkan situs WordPress Anda dapat diakses melalui HTTPS. Biasanya, layanan hosting Anda menyediakannya dalam langganan Anda. Jika tidak, maka Anda perlu membeli sertifikat SSL dan memasangnya di server situs web Anda. Anda mungkin ingin memeriksa beberapa opsi dari beberapa toko sertifikat SSL seperti Toko SSL Murah . Atau Anda dapat mengikuti panduan ini untuk menginstal SSL di server Anda jika Anda memilikinya.
Jika situs web Anda sudah memiliki sertifikat SSL dan berjalan di HTTPS, buka wp-config.php file Anda dan edit dengan kode berikut:
// Use SSL (HTTPS) for the login page.
define('FORCE_SSL_LOGIN', true);
// Use SSL (HTTPS) for the whole admin area.
define('FORCE_SSL_ADMIN', true);
Konstanta FORCE_SSL_LOGIN memastikan bahwa halaman login hanya terbuka di HTTPS. Konstanta FORCE_SSL_LOGIN menempatkan koneksi aman tempat ke-2 di seluruh area admin WordPress.
5. Password Protect Direktori WP-Admin
Tidak ada yang salah dengan memiliki dua kata sandi. Itu hanya menambahkan tingkat keamanan lain ke Area Admin WordPress Anda. Ini dapat dilakukan dengan menggunakan plugin bernama Ask Apache Password Protect . Ini mengenkripsi kata sandi Anda dan membuat .htpasswd file, serta mengatur izin file yang ditingkatkan keamanan yang benar pada keduanya. Anda juga dapat menggunakan Perlindungan Kata Sandi cPanel pada Direktori jika Anda menggunakan Host Web cPanel untuk melindungi wp-admin direktori kata sandi .
6. Letakkan CAPTCHA di halaman login
Menggunakan CAPTCHA di area admin dapat mengurangi upaya peretasan karena mencegah skrip otomatis untuk memaksa atau kemungkinan serangan otomatis lainnya pada halaman login Anda. Buka dasbor Anda lalu ke Plugins → Add New lalu ketik, 'CAPTCHA'. Anda akan mendapatkan banyak Plugin WordPress untuk mengaktifkan CAPTCHA di halaman login Anda.
Saat ini saya menggunakan plugin Captcha oleh BestWebSoft. Plugin ini memiliki lebih dari 300.000 pemasangan aktif dan peringkat yang bagus. Plugin ini membuat area baru di halaman login Anda. Cukup mengaktifkan plugin ini akan membuat gambar CAPTCHA, yang tanpanya tidak ada yang bisa masuk bahkan dengan mengetahui nama pengguna dan kata sandi. Ini secara efektif memblokir serangan brute force skrip otomatis. Lihat tangkapan layar yang diberikan dari utilitas plugin.
Selain itu, Anda juga dapat memilih plugin captcha seperti SI CAPTCHA Anti-Spam , CAPTCHA Sangat Sederhana , dan Math Captcha .
7. Hapus Pesan Kesalahan pada Halaman Login
Ketika Anda memasukkan kata sandi yang salah atau nama pengguna yang tidak valid, Anda mendapatkan pesan kesalahan di halaman login. Jadi, jika seorang peretas melakukan satu hal dengan benar, pesan kesalahan akan membantu mereka mengidentifikasinya. Karena itu, Anda harus menghapus pesan kesalahan itu sepenuhnya. Buka functions.php lokasi Anda di folder tema Anda dan rekatkan kode berikut:
add_filter('login_errors',create_function('$a', "return null;"));
Sebuah plugin bernama Secure WordPress juga menyelesaikan ini dan memiliki fitur lain juga. Dan inilah hasilnya:
8. Izinkan Hanya IP Tertentu untuk Masuk.
Sebelum mengambil poin ini lebih jauh, saya ingin memperjelas. Saya merekomendasikan langkah ini hanya untuk mereka yang memiliki alamat IP statis .
Jika Anda mengetahui alamat IP Anda, maka daftar putih IP tersebut menggunakan .htaccess file dari wp-admin folder Anda . Namun Anda dapat mengizinkan banyak alamat IP untuk masuk ke area admin Anda, tetapi tetap saja, rekomendasi saya hanya untuk pemilik IP statis.
Untuk memasukkan IP ke daftar putih, Anda harus membuka wp-admin folder dan mengedit file bernama .htaccess dan cukup tambahkan kode berikut:
order deny,allow
# Replace 99.99.99.99 with the desired IP address
allow from 99.99.99.99
# Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address
# allow from 98.98.98.98
deny from all
Seperti yang Anda lihat, ubah 99.99.99.99dari alamat IP yang Anda inginkan, demikian pula untuk IP kedua.
Ketika Anda tidak menambahkan alamat IP apa pun dan mereka mencoba mengakses area admin Anda, mereka akan mendapatkan pesan ini:
9. Tambahkan Lapisan Ekstra dengan Otentikasi Dua Faktor
Anda dapat menggunakan otentikasi dua faktor untuk menambahkan lapisan keamanan ekstra di area admin WordPress Anda. Untuk menerapkannya di situs web Anda, Anda hanya perlu menginstal dan mengaktifkan plugin. Saat Anda mencari Otentikasi Dua Faktor di halaman plugin situs web WordPress, Anda akan melihat hasil berikut:
10. Gunakan Kata Sandi Terenkripsi untuk Masuk
Saat Anda tidak mengaktifkan SSL, metode ini akan berguna. Ada plugin yang memungkinkan Anda melakukan pekerjaan ini, dan itu disebut Semisecure Login Reimagined . Semisecure Login Reimagined meningkatkan keamanan proses login menggunakan kunci publik RSA untuk mengenkripsi kata sandi di sisi klien ketika pengguna masuk. Server kemudian mendekripsi kata sandi terenkripsi dengan kunci pribadi. JavaScript diperlukan untuk mengaktifkan enkripsi.
11. Kata Sandi Sekali Pakai
Plugin One Time Password memungkinkan Anda untuk masuk ke blog WordPress Anda menggunakan kata sandi yang hanya berlaku untuk satu sesi. Kata sandi satu kali mencegah pencurian kata sandi WordPress utama Anda di lingkungan yang kurang dapat dipercaya, seperti kafe internet, misalnya oleh keyloggers.
12. Perbarui WordPress ke Versi Terbaru
Terakhir namun yang pasti tidak kalah pentingnya adalah tetap update dengan versi terbaru dari WordPress karena setelah setiap versi dirilis, WordPress juga merilis bug dan eksploitasi dari versi sebelumnya yang menempatkan Area Admin Anda dalam risiko jika Anda tidak melakukan upgrade.
Penutup
WordPress sangat mudah digunakan, dan itulah mengapa semua orang menyukainya. Namun, kami lupa bahwa kemudahan fungsionalitas ini dapat menjadi brutal jika orang lain menemukan akses ke situs web Anda. Jadi, rekomendasi saya adalah mengikuti semua langkah yang saya sebutkan di atas dalam artikel.
Jika Anda menghadapi masalah, beri tahu saya melalui komentar, dan saya akan membantu Anda mengatasi masalah itu.
Posting Komentar untuk "√ Cara Melindungi Area Admin WordPress Work 100%"