WordPress sekarang mendukung lebih dari 40% dari semua situs web. Itu adalah bukti fleksibilitas, kemudahan penggunaan, dan banyak plugin dan tema gratis yang tersedia. Tapi itu juga berarti WordPress memiliki target raksasa di belakangnya dari peretas dan bot jahat.
Mereka terus-menerus memindai instalasi usang dan kerentanan zero-day. Serangan login brute force menyerang bahkan situs yang paling sedikit diperdagangkan.
Sudah menjadi sangat penting bahwa pemilik situs mengambil langkah-langkah keamanan ekstra. Beberapa di antaranya dilakukan di tingkat server, tetapi Anda dapat melakukan banyak hal di dalam WordPress itu sendiri. Faktanya, ada banyak sekali plugin gratis di luar sana yang akan memperkuat WordPress dan memberi Anda lapisan perlindungan ekstra.
Serangan login brute force sangat mengganggu sehingga ada seluruh kategori plugin yang didedikasikan untuk menghentikannya. Batasi Upaya Masuk yang Dimuat Ulang dapat membantu Anda mengendalikan situasi. Ini memberikan kemampuan untuk menetapkan batas login dan memblokir alamat IP yang menyinggung untuk jangka waktu tertentu.
Selain itu, Anda dapat memilih untuk diberi tahu saat IP diblokir. Itu mungkin agak berlebihan untuk situs yang melihat banyak serangan. Dengan demikian, mungkin lebih efisien untuk memeriksa log upaya yang diblokir secara berkala.
Sucuri Security mencakup serangkaian fitur yang ditujukan untuk memberi informasi kepada administrator situs. Plugin akan memindai file Anda untuk mencari kode yang mencurigakan, kerentanan yang diketahui, dan memberi tahu Anda tentang masalah apa pun yang ditemukannya. Selain itu, situs Anda akan diperiksa terhadap mesin daftar blokir dan akan melaporkan jika telah ditandai.
Anda juga akan menemukan log aktivitas terkait keamanan yang berguna, membantu Anda melacak perubahan yang dibuat pada situs Anda. Naik level ke premium versi untuk mengaktifkan firewall, pengoptimalan kinerja, dan lainnya.
Dengan jutaan pemasangan aktif, WordFence adalah salah satu plugin paling populer di luar sana. Ini akan secara rutin memindai pemasangan Anda untuk mencari kode berbahaya dan memiliki firewall waktu nyata yang akan membantu mengamankan situs Anda dari ancaman yang diketahui (dan tidak dikenal).
Fitur-fitur canggih seperti pemblokiran IP dan perlindungan login brute-force dapat memberikan ketenangan pikiran bagi pemilik situs. Versi premium termasuk pemblokiran negara, otentikasi dua faktor, dan firewall diperbarui secara real time.
Jack-of-all-trade WordPress, JetPack telah menambahkan beberapa fitur keamanan hebat dalam beberapa tahun terakhir. Perlindungan login brute-force disertakan (dan dengan bangga akan menampilkan berapa banyak upaya login berbahaya yang telah digagalkan di Dasbor WP).
Ada juga fitur masuk tunggal yang berfungsi dengan akun WordPress.com Anda. Paket berbayar menambahkan pemblokiran spam, pemindaian malware, dan banyak lagi.
Rangkaian keamanan ini (dalam bentuk plugin) akan melindungi situs Anda dengan perlindungan brute-force, deteksi perubahan file, mengharuskan pengguna untuk menerapkan kata sandi yang kuat, dan bahkan membantu Anda menjalankan seluruh situs Anda di SSL. Versi Pro memungkinkan pemindaian malware, kedaluwarsa kata sandi, dan banyak lagi.
Plugin ini akan memindai akun pengguna situs Anda untuk memastikan bahwa nama pengguna dan nama tampilan pengguna tidak sama – metode kunci yang digunakan bot untuk mengambil login. Pendaftaran pengguna juga dapat diatur untuk persetujuan admin – artinya Anda akan memiliki kemampuan untuk menolak akun yang tidak Anda percayai.
Anda juga akan menemukan perlindungan brute force, firewall, pemindaian malware, dan perlindungan untuk file konfigurasi.
BulletProof Security akan memberikan keamanan ekstra untuk file .htaccess situs Anda, login, kedaluwarsa cookie auth, dan memungkinkan pencadangan basis data. Anda juga dapat menetapkan batas waktu pada sesi WordPress yang tidak aktif, yang akan mengeluarkan pengguna dari sistem setelah periode tidak aktif yang ditentukan.
Salah satu hal terbaik mutlak yang dapat Anda lakukan untuk keamanan adalah mengaktifkan SSL di situs Anda. Setelah Anda memperoleh sertifikat SSL dan menginstalnya di server Anda, SSL Benar-Benar Sederhana akan memastikan instalasi WordPress Anda dioptimalkan untuk berjalan di bawah HTTPS.
Sebelumnya dikenal sebagai WordPress Simple Firewall, plugin ini akan secara otomatis memblokir URL dan permintaan berbahaya. Ini juga akan melindungi blog Anda dari komentar spambot dan menambahkan otentikasi dua faktor.
Salah satu tanda situs menjalankan WordPress adalah penggunaan default /wp-admin/ dan wp-login.php URL. Hide My WordPress memungkinkan Anda mengganti nama gateway login ini dengan aman untuk membantu menghindari serangan.
Perhatikan bahwa Anda harus berhati-hati saat mengaktifkan lebih dari satu plugin keamanan. Beberapa dapat berkonflik satu sama lain dan mengarah ke situs yang mogok atau hit kinerja utama. Jika Anda berencana untuk menggunakan lebih dari satu plugin keamanan, lakukan riset untuk melihat bagaimana mereka hidup berdampingan.
Meskipun tidak ada peluru perak untuk mengamankan WordPress (atau CMS lainnya), ada beberapa langkah yang dapat Anda ambil untuk menggagalkan serangan berbahaya. Sebagian besar bot dan peretas mencari sasaran empuk. Menggunakan plugin keamanan membuat segalanya lebih sulit untuk dipecahkan.
.