30 May

10 Tips untuk Menjaga Situs WordPress Anda Aman

1. Pastikan Situs terdaftar di Webmaster Tools
Menakutkan seperti itu untuk mendapatkan email dari Google membiarkan saya tahu situs saya telah dikompromikan, syukurlah mereka diberitahu saya! Hal terakhir yang Anda inginkan terjadi adalah mengalami sebuah situs web mengeksploitasi dan bahkan tidak tahu tentang hal itu.

Dengan memverifikasi situs Anda dengan Alat Webmaster Anda dapat memiliki akses ke data penting yang dapat digunakan untuk menemukan masalah potensial seperti lalu lintas, pertanyaan, dan pesan tindakan manual. Bahkan, Google memiliki seluruh bagian di panel Webmaster Tools mereka yang didedikasikan untuk masalah keamanan untuk membantu Anda menentukan di mana situs web Anda mengalami masalah.

Saya pribadi telah menemukan “Ambil sebagai Google” fungsi yang akan sangat membantu karena Anda memiliki kemampuan untuk melihat halaman cara Google melihatnya. Hal ini sangat berguna dalam kasus hack farmasi, yang saya alami di salah satu situs saya, di mana halaman spam yang dibuat oleh hack yang tidak terlihat dengan user biasa dan hanya muncul di crawler Google.

Ini juga penting untuk memiliki situs Anda diverifikasi sebagai bekerja dengan Google melalui platform Webmaster Tools mereka sehingga Anda dapat meminta bahwa situs Anda akan dihapus dari daftar hitam sekali hack situs telah diselesaikan.

2. Perbarui & Perbarui
Dalam ekosistem WordPress, ada tiga komponen yang perlu terus-menerus memperbarui: WordPress itu sendiri, plugin, dan tema.

WordPress Update: Salah satu hal terbaik tentang WordPress adalah seberapa cepat mereka untuk menambal lubang keamanan dan menggelar update. Bahkan, sejak WordPress 3.7, update keamanan otomatis telah diaktifkan pada sebagian besar situs. Versi baru membangun WordPress namun sering perlu diperbarui secara manual, dan itu penting bahwa Anda melakukannya WordPress terus meningkatkan platform dengan setiap rilis. Jika Anda tidak yakin bagaimana pembaruan Anda ditangani ketika WordPress membuat perubahan, belajar bagaimana mengkonfigurasi mereka di sini.

Plugin Update: WordPress membuatnya sangat mudah untuk melihat mana plugin perlu diperbarui dengan mengklik “Plugins” tab pada dashboard admin. Beberapa plugin pihak ketiga menawarkan pilihan untuk auto update, yang saya benar-benar akan merekomendasikan melakukan.

Anda juga dapat memaksa plugin untuk auto update dengan menambahkan kode berikut ke file wp-config.php Anda:

add_filter (‘auto_update_plugin’, ‘__return_true’);

Update tema: Tema juga rentan terhadap serangan, dan pengembang tema yang baik akan menambal dan menggunakan versi terbaru setiap kali kerentanan ditemukan.

Banyak tema juga memiliki kemampuan untuk mengatur auto update, tapi jika tidak, di sini adalah cara mudah untuk memaksa update otomatis dengan mengubah file wp-config.php Anda: add_filter (‘auto_update_theme’, ‘__return_true’);

3. Hati-hati yang Anda Percaya
Salah satu hal terbaik tentang WordPress adalah jumlah yang mengejutkan dari plugin pihak ketiga yang dapat didownload untuk menambah fungsionalitas dan fitur untuk website Anda. Saat Plugin Directory WordPress adalah menghitung 37,723+ plugin yang dapat diinstal – yang buttload plugin!

Realitas yang menyedihkan adalah bahwa setiap kali Anda lapisan sesuatu di atas platform awal, dapat menciptakan satu set baru dari lubang keamanan dan kerentanan. Sebagian besar serangan WordPress sering terjadi melalui kerentanan ditemukan di plugin dan tema.

Ini juga penting untuk dicatat bahwa ada plugin gratis serta plugin premium. Kebanyakan orang berpikir bahwa jika mereka membayar untuk plugin bahwa mereka otomatis aman dari kerentanan. Sementara memiliki tim pengembangan dibayar pasti membantu untuk menggagalkan serangan, bukan berarti itu adalah jaminan 100% bahwa itu tidak akan pernah terjadi. Bahkan ketika pengembang premium patch ancaman dikenal, Anda sebagai webmaster masih beresiko sampai plugin telah diperbarui di situs Anda sendiri.

Distrust – trust

Ini adalah kasus dengan website saya dan serangan Revolusi Slider yang dikompromikan lebih dari 100.000 situs pada akhir tahun lalu. Karena tema saya yang telah pra-dikemas dengan plugin premium, saya tidak diberitahu bahwa ada update untuk plugin karena saya tidak memiliki sendiri lisensi premium (pengembang tema saya kemungkinan besar memiliki lisensi pengembang untuk memasukkan plugin di tema yang tidak transfer ke saya sebagai pengguna ketika saya membeli tema). Saya tidak dapat memperbarui plugin sampai setelah membeli lisensi dari saya sendiri, tapi saat itu sudah terlambat untuk mencegah kerusakan yang sudah dilakukan.

Sejak serangan ini, penerbit plugin ini telah berubah beberapa hal untuk menjadi lebih transparan, tapi sangat waspada terhadap plugin yang datang dengan tema dan pastikan Anda memeriksa secara manual untuk melihat apakah pengembang plugin ini telah mendorong keluar update yang Anda lakukan dinyatakan tidak menyadari.

Berikut adalah beberapa hal yang perlu dipertimbangkan sebelum menginstal plugin di website Anda:
Adalah fungsi dari plugin ini sangat penting untuk memberikan pengguna dengan pengalaman terbaik? Jika tidak, tidak menginstalnya.
Telah plugin telah diperbarui baru-baru ini? Setiap plugin pada Plugin Directory WordPress memiliki changelog (daftar perubahan dan tanggal perubahan tersebut dibuat). Jika belum diperbarui dalam waktu yang lama, tidak menginstalnya.
Jika itu adalah sebuah plugin premium, apakah mereka menawarkan dukungan dan bagaimana peringkat dari pelanggan lain? Hanya memilih plugin yang memiliki keterlibatan pengembang dan yang dinilai sangat.
Apakah ada sebuah plugin yang dapat menggabungkan dan mengkonsolidasikan fitur yang ditemukan di beberapa plugin? Menjalankan plugin sedikit membantu untuk mengurangi kemungkinan serangan.
Jangan pernah menginstal plugin gratis dari sumber yang tidak diketahui … pernah.

4. Memindai Situs Anda secara teratur
Ada beberapa alat yang cukup bagus di luar sana yang dapat memindai situs WordPress seluruh Anda untuk malware, menambahkan kode, dan anomali aneh lainnya yang mungkin telah disuntikkan ke website Anda.

Beberapa WordPress paling populer scanning plugin meliputi: Wordfence, Sucuri Site Periksa dan Kode Guard untuk beberapa nama. Banyak plugin ini populer juga menyediakan versi gratis yang dapat didownload dan digunakan.

Scanner ini adalah sumber daya yang sangat berharga karena mereka dapat membantu Anda untuk menentukan file pada website Anda yang telah dimodifikasi tanpa izin Anda untuk menemukan kode berbahaya yang perlu dihapus.

Sebagian besar plugin ini dapat dikonfigurasi untuk secara otomatis memindai situs Anda di latar belakang dan mengirimkan pemberitahuan jika menemukan sesuatu yang luar biasa.

5. Deny / tolak Beberapa Upaya gagal Login
Hacker sering menggunakan apa yang disebut “brute-force” serangan yang merupakan script yang menggunakan beberapa username dan password acak untuk mencoba untuk mendapatkan akses ke situs web Anda.

Salah satu cara terbaik untuk menghentikan jenis serangan di jalurnya adalah untuk memblokir IP untuk beberapa upaya login. Pada dasarnya ini bekerja dengan mengunci keluar pengguna untuk dapat mengakses situs Anda jika mereka mencoba untuk login ke WordPress Anda admin sejumlah kali.

Ini hampir selalu fitur disertakan dengan plugin situs scanning yang tercantum di atas di bagian 4.

loginattempts

Setelah pengguna dikunci, IP Address pengguna akan disimpan di log sehingga Anda dapat mengambil langkah-langkah ekstra untuk memblokir para pengguna tanpa batas.

6. Keamanan Database
Dalam kasus Anda tidak tahu, WordPress lari dari database MySQL yang telah dibuat pada server hosting web Anda. Database ini memiliki username dan password untuk mengatur data membaca dan menulis hak istimewa yang digunakan oleh WordPress Anda membangun dan beberapa plugin.

Username dan password ini harus kuat dan unik untuk bahwa database saja dan tidak boleh ditiru antara database MySQL lain jika Anda menjalankan beberapa situs WordPress dari server yang sama.

Jika Anda telah orang lain membuat situs Anda, pastikan hal ini terjadi.

Kesalahan saya: Sejak pendidikan saya di sekolah pukulan keras setelah situs saya yang terganggu, saya menyadari bahwa saya membuat kesalahan fatal ketika datang ke database yang saya buat. Karena saya punya situs WordPress beberapa yang saya telah dibuat untuk penggunaan pribadi pada server yang sama, saya memberikan semua database username dan password yang sama sehingga saya tidak akan melupakan mereka. Ini adalah sangat bodoh seperti itu berarti bahwa sekali satu situs dikompromikan, saya membuat yang jauh lebih mudah bagi serangan itu menyebar lebih ke dalam website saya yang lain.

7. Jangan Gunakan “Admin” sebagai Username
Sebagai titik saya di atas tentang serangan brute-force, hacker menggunakan skrip mencoba menebak username dan password dari situs Anda untuk mendapatkan akses. Sampai WordPress 3.0, menginstal WordPress secara otomatis pengguna pertama dengan ‘admin’ username.

Karena sebagian besar situs WordPress memiliki pengguna ini dalam database mereka, itu adalah nama yang paling umum bahwa script serangan brute-force ini digunakan untuk mencoba untuk mendapatkan akses ke situs Anda. Kemungkinan website Anda memiliki ‘admin’ username dengan akses administratif, jadi mari kita mengubah itu.

* Sebelum melakukan salah satu dari langkah-langkah ini, pastikan untuk membuat cadangan website Anda. Jika Anda merasa tidak nyaman melakukan perubahan administrasi, silakan berkonsultasi dengan profesional.

Pada panel pengguna yang terletak di dashboard utama, klik ‘Add New User’ di menu.
Isilah informasi pengguna dengan username dan password yang kuat dan pilih ‘Administrator’ dari “Peran” menu dropdown.
Klik ‘Add New User’ setelah mengisi formulir untuk membuat username baru.
Log benar-benar keluar dari WordPress dan login kembali menggunakan kredensial pengguna baru.
Kembali ke panel pengguna dari dashboard utama dan pilih ‘admin’ username.
Klik ‘menghapus’ dari menu dropdown.
Atribut semua posting dari pengguna admin ‘ke username baru yang Anda buat saat diminta.

8. Pilih Perusahaan Hosting Baik
Tidak ada yang lebih frustrasi daripada memiliki perusahaan hosting yang menyediakan apa-apa ketika datang untuk mendukung ketika berhadapan dengan serangan situs – percayalah, itu menyebalkan! Ini bahkan lebih buruk harus berurusan dengan serangan yang disebabkan oleh kurangnya perusahaan hosting Anda perlindungan keamanan.

Karena kita hidup di dunia di mana serangan merajalela, pastikan untuk memilih solusi hosting untuk situs WordPress Anda yang:

Mendukung versi terbaru dari PHP, MySQL, CPanel, Plesk, dll
Mendukung dan mengoptimalkan menjalankan WordPress
Menyediakan isolasi akun
Memiliki orang-orang nyata yang Anda dapat berbicara dengan dalam kasus masalah
Memiliki solusi backup yang kuat
Dengan mengikuti tips ini, Anda akan dapat memastikan Anda memiliki dukungan yang tepat dan alat yang diperlukan untuk menghindari dan pulih dari serangan WordPress potensial.

9. pisahkan Web Penting
Banyak dari kita menjalankan beberapa WordPress menginstal off dari satu account hosting. Meskipun ini tidak inheren buruk, dapat menciptakan potensi masalah jika salah satu dari situs Anda diserang.

Misalnya, dalam situasi saya, saya memiliki account shared hosting dengan beberapa website yang berjalan pada account. Hal ini tidak hanya meningkatkan risiko saya dari semua situs saya menjadi rentan sekali satu situs dikompromikan, tapi itu membuat memulihkan backup karena kebanyakan layanan hosting rekening cadangan, situs tidak individu total sakit. Ini berarti bahwa untuk mengembalikan situs yang terinfeksi saya ke versi bekerja, saya pada dasarnya harus memutar balik waktu di situs saya yang lain yang tidak terinfeksi.

Sekarang saya tahu ada cara sekitar ini, tetapi kenyataannya adalah bahwa dibutuhkan waktu satu ton untuk men-download secara manual semua situs lain Anda melalui FTP dan memindahkan mereka di tempat yang aman. Ketika serangan terjadi, waktu adalah esensi untuk mendapatkan sesuatu kembali online, dan membuang-buang waktu bergerak situs non terinfeksi adalah rintangan utama.

Jadi, jika Anda memiliki properti web penting yang menerima ton lalu lintas atau yang langsung terkait dengan kehidupan Anda, setidaknya mengisolasi dengan hosting account sendiri untuk membuat backup dan pemulihan sederhana dalam hal sesuatu yang buruk terjadi.

10. Memiliki Rencana Cadangan / backup

Ketika datang ke WordPress, ada dua hal yang harus didukung untuk membuat situs Anda bekerja: file website dan database mereka terhubung ke.

Saya tidak bisa cukup menekankan betapa pentingnya adalah untuk website Anda secara teratur cadangan secara keseluruhan. Berdasarkan keseriusan serangan dan bagaimana melumpuhkan itu, cadangan kadang-kadang satu-satunya cara untuk mendapatkan website Anda kembali ke keadaan semi-bekerja untuk mulai memperbaiki masalah setelah serangan.

Kebanyakan account hosting memiliki cara untuk mencadangkan database dan file website Anda. Bahkan ada beberapa plugin WordPress yang dapat membuat cadangan database dan website file dari situs WordPress individu. Terlepas dari bagaimana Anda melakukannya, intinya adalah untuk membuat cadangan situs Anda secara teratur.

Backup melalui perusahaan hosting Anda biasanya dapat dijadwalkan untuk terjadi harian, mingguan, dan bulanan. Jelas lebih banyak lebih baik, tapi ingat bahwa backup mengambil ruang, dan tergantung pada seberapa banyak ruang yang Anda bayar, Anda mungkin akan terbatas pada jumlah backup Anda dapat menyimpan pada account hosting Anda.

Faktor penting lainnya yang harus diperhatikan adalah bahwa cadangan pada server hosting Anda tidak 100% dijamin. Ini berarti jika server yang berisi situs Anda pergi kaput di perusahaan hosting Anda, mereka backup tunduk hilang. Karena ini, itu adalah ide yang sangat baik untuk memiliki cadangan lain disimpan di tempat lain melalui FTP atau pada drive lokal sehingga Anda ganda tertutup dari kehilangan data potensial.

Please rate this



Share this

Leave a reply