Apakah Anda melihat banyak serangan di area admin WordPress Anda? Melindungi area admin dari akses yang tidak sah memungkinkan Anda memblokir banyak ancaman keamanan bersama. Pada artikel ini, kami akan menunjukkan beberapa tip dan hacks penting untuk melindungi area admin WordPress Anda.
1. Gunakan Firewall Aplikasi Website
Firewall aplikasi situs web atau WAF memonitor lalu lintas situs web dan memblokir permintaan yang mencurigakan agar tidak sampai ke situs web Anda.
Meskipun ada beberapa plugin firewall WordPress di luar sana, sebaiknya gunakan Sucuri. Ini adalah layanan keamanan dan pemantauan situs web yang menawarkan WAF berbasis awan untuk melindungi situs Anda.
Semua lalu lintas situs web Anda melewati proxy awan mereka terlebih dulu, di mana mereka menganalisis setiap permintaan dan mencekal yang mencurigakan dari situs web Anda yang pernah ada. Ini mencegah situs web Anda melakukan upaya hacking, phishing, malware, dan aktivitas berbahaya lainnya.
Untuk lebih jelasnya, lihat bagaimana Sucuri membantu kami memblokir 450.000 serangan dalam satu bulan.
2. Password Protect WordPress Admin Directory
Area admin WordPress Anda sudah dilindungi oleh kata sandi WordPress Anda. Namun, menambahkan proteksi password ke direktori admin WordPress menambahkan lapisan keamanan lainnya ke situs web Anda.
Pertama masuk ke dashboard hosting cPanel WordPress Anda lalu klik ikon ‘Password Protect Directories’ atau ‘Directory Privacy’.
Selanjutnya, Anda perlu memilih folder wp-admin Anda, yang biasanya berada di dalam / public_html / directory.
Pada layar berikutnya, Anda perlu mencentang kotak di samping opsi ‘Password protect this directory’ dan memberikan nama untuk direktori yang dilindungi.
Setelah itu, klik tombol simpan untuk mengatur hak akses.
Selanjutnya, Anda perlu menekan tombol back dan kemudian membuat user. Anda akan diminta memberikan username / password lalu klik pada tombol simpan.
Sekarang ketika seseorang mencoba mengunjungi admin WordPress atau direktori wp-admin di situs Anda, mereka akan diminta untuk memasukkan username dan password.
Untuk petunjuk lebih rinci
3. Selalu Pakai Kata Sandi yang Kuat
Selalu gunakan kata sandi yang kuat untuk semua akun online Anda termasuk situs WordPress Anda. Sebaiknya gunakan kombinasi huruf, angka, dan karakter khusus di kata sandi Anda. Hal ini membuat hacker sulit menebak kata sandi Anda.
Kita sering ditanya oleh pemula bagaimana cara mengingat semua kata sandinya. Jawaban yang paling sederhana adalah Anda tidak perlu melakukannya. Ada beberapa aplikasi pengelola sandi hebat yang dapat Anda pasang di komputer dan ponsel Anda.
Untuk informasi lebih lanjut tentang topik ini
4. Gunakan Two Step Verification to WordPress Login Screen
Dua langkah verifikasi menambahkan lapisan keamanan lain ke kata sandi Anda. Alih-alih menggunakan sandi saja, ia meminta Anda untuk memasukkan kode verifikasi yang dihasilkan oleh aplikasi Google Authenticator di ponsel Anda.
Bahkan jika seseorang dapat menebak kata kunci WordPress Anda, mereka masih memerlukan kode Google Authenticator untuk masuk.
5. Batasi Login Attempts
Secara default, WordPress memungkinkan pengguna memasukkan kata kunci sebanyak yang mereka inginkan. Ini berarti seseorang dapat terus mencoba menebak kata kunci WordPress Anda dengan memasukkan kombinasi yang berbeda. Ini juga memungkinkan hacker menggunakan skrip otomatis untuk memecahkan kata sandi.
Untuk memperbaikinya, Anda perlu menginstal dan mengaktifkan plugin Login LockDown. Setelah aktivasi, pergilah berkunjung Pengaturan »Masuk LockDown halaman untuk mengkonfigurasi pengaturan plugin.
Untuk petunjuk terperinci
6. Batasi Login Akses ke Alamat IP
Cara lain yang bagus untuk mengamankan login WordPress adalah dengan membatasi akses ke alamat IP tertentu. Tip ini sangat berguna jika Anda atau hanya beberapa pengguna terpercaya memerlukan akses ke area admin.
Cukup tambahkan kode ini ke file .htaccess Anda.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Kontrol Akses Admin WordPress" Dasar AuthTypeperintah menolak, memungkinkan menyangkal dari semua # daftar putih alamat IP Syed biarkan dari xx.xx.xx.xxx # tulis putih alamat IP David biarkan dari xx.xx.xx.xxx
Jangan lupa ganti nilai xx dengan alamat IP anda sendiri. Jika Anda menggunakan lebih dari satu alamat IP untuk mengakses internet, maka pastikan Anda menambahkannya juga.
Untuk petunjuk terperinci
7. Nonaktifkan Petunjuk Login
Pada usaha login yang gagal, WordPress menunjukkan kesalahan yang memberitahu pengguna apakah nama pengguna mereka salah atau kata sandinya. Petunjuk login ini dapat digunakan oleh seseorang untuk usaha jahat.
Anda dapat dengan mudah menyembunyikan petunjuk masuk ini dengan menambahkan kode ini ke file functions.php tema Anda atau plugin khusus situs.
fungsi no_wordpress_errors () {
kembali 'Ada yang salah!';
}
add_filter ('login_errors', 'no_wordpress_errors');
8. Mengharuskan Pengguna untuk Menggunakan Kata Sandi yang Kuat
Jika Anda menjalankan situs WordPress multi-penulis, pengguna tersebut dapat mengedit profil mereka dan menggunakan kata sandi yang lemah. Kata sandi ini bisa di-crack dan memberi seseorang akses ke area admin WordPress.
Untuk mengatasinya, Anda dapat menginstal dan mengaktifkan plugin Force Strong Passwords. Ia bekerja di luar kotak, dan tidak ada pengaturan untuk Anda konfigurasikan. Setelah diaktifkan, akan menghentikan pengguna untuk menyimpan kata sandi yang lebih lemah.
Ini tidak akan memeriksa kekuatan kata sandi untuk akun pengguna yang ada. Jika pengguna sudah menggunakan kata sandi yang lemah, maka mereka akan dapat terus menggunakan kata sandinya.
9. Reset Password untuk Semua Pengguna
Prihatin dengan keamanan kata sandi di situs WordPress multi pengguna Anda? Anda dapat dengan mudah meminta semua pengguna untuk menyetel ulang kata sandinya.
Pertama, Anda perlu menginstal dan mengaktifkan plugin Reset Password Darurat. Setelah aktivasi, pergilah berkunjung Pengguna »Reset Password Darurat dan klik tombol ‘Reset All Passwords’.
10. Keep WordPress Diperbarui
WordPress sering merilis versi baru dari perangkat lunak. Setiap rilis baru WordPress berisi perbaikan bug, fitur baru, dan perbaikan keamanan yang penting.
Menggunakan versi lama WordPress di situs Anda membuat Anda terbuka terhadap eksploitasi dan potensi kerentanan yang diketahui. Untuk memperbaikinya
Demikian pula, plugin WordPress juga sering diperbarui untuk mengenalkan fitur baru atau memperbaiki keamanan dan masalah lainnya. Pastikan plugin WordPress Anda juga up to date.
11. Buat Halaman Login dan Registrasi Kustom
Banyak situs WordPress mengharuskan pengguna untuk mendaftar. Misalnya, situs keanggotaan, situs pengelolaan pembelajaran, atau toko online membutuhkan pengguna untuk membuat akun.
Namun, pengguna ini bisa menggunakan akun mereka untuk masuk ke area admin WordPress. Ini bukan masalah besar, karena mereka hanya bisa melakukan hal-hal yang diperbolehkan oleh peran dan kemampuan pengguna mereka. Namun, ini menghentikan Anda untuk benar-benar membatasi akses ke halaman login dan registrasi saat Anda memerlukan halaman tersebut bagi pengguna untuk mendaftar, mengelola profil mereka, dan login.
Cara mudah untuk memperbaikinya adalah dengan membuat halaman login dan pendaftaran kustom, sehingga pengguna bisa mendaftar dan login langsung dari situs Anda.
Untuk petunjuk langkah demi langkah rinci
12. Pelajari Tentang Pengguna dan Izin Pengguna WordPress
WordPress hadir dengan sistem manajemen pengguna yang hebat dengan peran dan kemampuan pengguna yang berbeda. Saat menambahkan pengguna baru ke situs WordPress Anda, Anda dapat memilih peran pengguna untuk mereka. Peran pengguna ini mendefinisikan apa yang bisa mereka lakukan di situs WordPress Anda.
Menugaskan peran pengguna yang salah dapat memberi orang lebih banyak kemampuan daripada yang mereka butuhkan
13. Batasi Akses Dashboard
Beberapa situs WordPress memiliki pengguna tertentu yang membutuhkan akses ke dasbor dan beberapa pengguna yang tidak. Namun, secara default mereka semua bisa mengakses area admin.
Untuk memperbaikinya, Anda perlu menginstal dan mengaktifkan plugin Remove Dashboard Access. Setelah aktivasi, pergilah ke Pengaturan »Akses Dasbor dan pilih peran pengguna mana yang memiliki akses ke area admin di situs Anda.
Untuk petunjuk lebih rinci
14. Log out Idle User
WordPress tidak secara otomatis mengeluarkan pengguna sampai mereka secara eksplisit keluar atau menutup jendela browser mereka. Ini bisa menjadi perhatian situs WordPress dengan informasi sensitif. Itulah mengapa situs dan aplikasi lembaga keuangan secara otomatis mengeluarkan pengguna jika mereka belum aktif.
Untuk mengatasinya, Anda dapat menginstal dan mengaktifkan plugin Idle User Logout. Setelah aktivasi, pergilah ke Pengaturan »Idle User Logout halaman dan masukkan waktu setelah Anda ingin pengguna secara otomatis log out.
Untuk lebih jelasnya
Kami berharap artikel ini membantu Anda mempelajari beberapa tip dan hacks baru untuk melindungi area admin WordPress Anda