Apakah Anda melihat banyak serangan di area admin WordPress Anda? Melindungi area admin dari akses yang tidak sah memungkinkan Anda memblokir banyak ancaman keamanan bersama. Pada artikel ini, kami akan menunjukkan beberapa tip dan hacks penting untuk melindungi area admin WordPress Anda.

1. Gunakan Firewall Aplikasi Website

Firewall aplikasi situs web atau WAF memonitor lalu lintas situs web dan memblokir permintaan yang mencurigakan agar tidak sampai ke situs web Anda.
Meskipun ada beberapa plugin firewall WordPress di luar sana, sebaiknya gunakan Sucuri. Ini adalah layanan keamanan dan pemantauan situs web yang menawarkan WAF berbasis awan untuk melindungi situs Anda.

Semua lalu lintas situs web Anda melewati proxy awan mereka terlebih dulu, di mana mereka menganalisis setiap permintaan dan mencekal yang mencurigakan dari situs web Anda yang pernah ada. Ini mencegah situs web Anda dari kemungkinan upaya hacking, phishing, malware dan aktivitas berbahaya lainnya.
Untuk lebih jelasnya, lihat bagaimana Sucuri membantu kami memblokir 450.000 serangan dalam satu bulan.

2. Password Protect WordPress Admin Directory

Area admin WordPress Anda sudah dilindungi oleh kata sandi WordPress Anda. Namun, menambahkan proteksi password ke direktori admin WordPress Anda menambahkan lapisan keamanan lainnya ke situs web Anda.
Pertama masuk ke dashboard hosting cPanel WordPress Anda lalu klik ikon ‘Password Protect Directories’ atau ‘Directory Privacy’.

Selanjutnya, Anda perlu memilih folder wp-admin Anda, yang biasanya berada di dalam / public_html / directory.
Pada layar berikutnya, Anda perlu mencentang kotak di samping opsi ‘Password protect this directory’ dan memberikan nama untuk direktori yang dilindungi.
Setelah itu, klik tombol simpan untuk mengatur hak akses.

Selanjutnya, Anda perlu menekan tombol back dan kemudian membuat user. Anda akan diminta memberikan username / password lalu klik pada tombol simpan.
Sekarang ketika seseorang mencoba mengunjungi admin WordPress atau direktori wp-admin di situs Anda, mereka akan diminta memasukkan nama pengguna dan kata sandi.

3. Selalu Gunakan Password Yang Sulit

Selalu gunakan kata sandi yang kuat untuk semua akun online Anda termasuk situs WordPress Anda. Sebaiknya gunakan kombinasi huruf, angka, dan karakter khusus dalam kata sandi Anda. Hal ini membuat hacker sulit menebak kata sandi Anda.
Kita sering ditanya oleh pemula bagaimana cara mengingat semua password tersebut. Jawaban yang paling sederhana adalah Anda tidak perlu melakukannya. Ada beberapa aplikasi pengelola sandi hebat yang dapat Anda pasang di komputer dan ponsel Anda.
Untuk informasi lebih lanjut tentang topik ini, lihat panduan kami tentang cara terbaik untuk mengelola kata kunci untuk pemula WordPress.

4. Gunakan Two Step Verification to WordPress Login

Dua langkah verifikasi menambahkan lapisan keamanan lain ke kata sandi Anda. Alih-alih menggunakan sandi saja, ia meminta Anda untuk memasukkan kode verifikasi yang dihasilkan oleh aplikasi Google Authenticator di ponsel Anda.

Bahkan jika seseorang dapat menebak kata kunci WordPress Anda, mereka masih memerlukan kode Google Authenticator untuk masuk.

Baca Artikel Terkait :  Cara Membuat Menu Seperti Kategori dan Tag di Wordpress

5. Upaya Batasi Login

Secara default, WordPress memungkinkan pengguna memasukkan kata kunci sebanyak yang mereka inginkan. Ini berarti seseorang dapat terus mencoba menebak kata kunci WordPress Anda dengan memasukkan kombinasi yang berbeda. Ini juga memungkinkan hacker menggunakan skrip otomatis untuk memecahkan kata sandi.

Untuk mengatasinya, Anda perlu menginstal dan mengaktifkan plugin Login LockDown. Setelah aktivasi, buka halaman Pengaturan »Login LockDown untuk mengkonfigurasi pengaturan plugin.

6. Batasi akses masuk ke alamat IP

Cara lain yang bagus untuk mengamankan login WordPress adalah dengan membatasi akses ke alamat IP tertentu. Tip ini sangat berguna jika Anda atau hanya beberapa pengguna terpercaya memerlukan akses ke area admin.

Cukup tambahkan kode ini ke file .htaccess Anda.

01 AuthUserFile /dev/null
02 AuthGroupFile /dev/null
03 AuthName "WordPress Admin Access Control"
04 AuthType Basic
05<LIMIT GET>
06 order deny,allow
07 deny from all
08 # whitelist Syed's IP address
09 allow from xx.xx.xx.xxx
10 # whitelist David's IP address
11 allow from xx.xx.xx.xxx
12 </LIMIT>
Jangan lupa ganti nilai xx dengan alamat IP anda sendiri. Jika Anda menggunakan lebih dari satu alamat IP untuk mengakses internet, maka pastikan Anda menambahkannya juga.

7. Nonaktifkan Petunjuk Login

Pada usaha login yang gagal, WordPress menunjukkan kesalahan yang memberitahu pengguna apakah nama pengguna mereka salah atau kata sandinya. Petunjuk masuk ini dapat digunakan oleh seseorang untuk usaha jahat.

Anda dapat dengan mudah menyembunyikan petunjuk masuk ini dengan menambahkan kode ini ke file functions.php tema Anda atau plugin khusus situs.

01 function no_wordpress_errors(){
02   return 'Something is wrong!';
03 }
04 add_filter( 'login_errors', 'no_wordpress_errors' );

8. Mengharuskan Pengguna untuk Menggunakan Kata Sandi yang Kuat

Jika Anda menjalankan situs WordPress multi-penulis, pengguna tersebut dapat mengedit profil mereka dan menggunakan kata sandi yang lemah. Kata sandi ini bisa di-crack dan memberi seseorang akses ke area admin WordPress.

Untuk memperbaiki ini, Anda dapat menginstal dan mengaktifkan plugin Force Strong Passwords. Ini bekerja di luar kotak, dan tidak ada pengaturan untuk Anda konfigurasikan. Setelah diaktifkan, akan menghentikan pengguna untuk menyimpan kata sandi yang lebih lemah.

Ini tidak akan memeriksa kekuatan kata sandi untuk akun pengguna yang ada. Jika pengguna sudah menggunakan kata sandi yang lemah, maka mereka akan dapat terus menggunakan kata sandinya.

9. Reset Password untuk Semua Pengguna

Prihatin dengan keamanan kata sandi di situs WordPress multi pengguna Anda? Anda dapat dengan mudah meminta semua pengguna untuk menyetel ulang kata sandinya.

Pertama, Anda perlu menginstal dan mengaktifkan plugin Reset Password Darurat. Setelah aktivasi, kunjungi Pengguna »Halaman Reset Password Darurat dan klik tombol ‘Reset All Passwords’.

10. Keep WordPress Diperbarui

WordPress sering merilis versi baru dari perangkat lunak. Setiap rilis baru WordPress berisi perbaikan bug, fitur baru, dan perbaikan keamanan yang penting.

Menggunakan versi lama WordPress di situs Anda membuat Anda terbuka terhadap eksploitasi dan potensi kerentanan yang diketahui. Untuk memperbaikinya, Anda perlu memastikan bahwa Anda menggunakan versi terbaru WordPress. Untuk informasi lebih lanjut tentang topik ini, lihat panduan mengapa Anda harus selalu menggunakan versi terbaru WordPress.

Baca Artikel Terkait :  Cara Mengembalikan Pesan Email yang Terkirim di Gmail

Demikian pula, plugin WordPress juga sering diperbarui untuk mengenalkan fitur baru atau memperbaiki keamanan dan masalah lainnya. Pastikan plugin WordPress Anda juga up to date.

11. Buat Halaman Login dan Registrasi Kustom

Banyak situs WordPress mengharuskan pengguna untuk mendaftar. Misalnya, situs keanggotaan, situs manajemen pembelajaran, atau toko online membutuhkan pengguna untuk membuat akun.

Namun, pengguna ini bisa menggunakan akun mereka untuk masuk ke area admin WordPress. Ini bukan masalah besar, karena mereka hanya bisa melakukan hal-hal yang diperbolehkan oleh peran dan kemampuan pengguna mereka. Namun, ini menghentikan Anda untuk benar-benar membatasi akses ke halaman login dan pendaftaran karena Anda memerlukan halaman tersebut bagi pengguna untuk mendaftar, mengelola profil mereka, dan login.

Cara mudah untuk memperbaikinya adalah dengan membuat halaman login dan pendaftaran kustom, sehingga pengguna bisa login dan login langsung dari situs Anda.

12. Pelajari Tentang Pengguna dan Izin Pengguna WordPress

WordPress hadir dengan sistem manajemen pengguna yang hebat dengan peran dan kemampuan pengguna yang berbeda. Saat menambahkan pengguna baru ke situs WordPress Anda, Anda dapat memilih peran pengguna untuk mereka. Peran pengguna ini mendefinisikan apa yang bisa mereka lakukan di situs WordPress Anda.

Menugaskan peran pengguna yang salah dapat memberi orang lebih banyak kemampuan daripada yang mereka butuhkan. Untuk menghindarinya, Anda perlu memahami kemampuan apa yang ada dengan peran pengguna yang berbeda di WordPress. Untuk informasi lebih lanjut tentang topik ini, lihat panduan pemula kami tentang peran dan izin pengguna WordPress.

13. Batasi Akses Dashboard

Beberapa situs WordPress memiliki pengguna tertentu yang membutuhkan akses ke dasbor dan beberapa pengguna yang tidak. Namun, secara default mereka semua bisa mengakses area admin.
Untuk memperbaikinya, Anda perlu menginstal dan mengaktifkan plugin Remove Dashboard Access. Setelah aktivasi, buka laman Akses »Akses Dashboard dan pilih peran pengguna mana yang memiliki akses ke area admin di situs Anda.

14. Log out Idle User

WordPress tidak secara otomatis mengeluarkan pengguna sampai mereka secara eksplisit log out atau menutup jendela browser mereka. Ini bisa menjadi perhatian situs WordPress dengan informasi sensitif. Itu sebabnya website dan aplikasi lembaga keuangan secara otomatis mengeluarkan pengguna jika mereka belum aktif.

Untuk mengatasinya, Anda dapat menginstal dan mengaktifkan plugin Idle User Logout. Setelah aktivasi, buka halaman Pengaturan »Idle User Logout dan masukkan waktu yang Anda inginkan agar pengguna secara otomatis log out.
Kami berharap artikel ini membantu Anda mempelajari beberapa tip dan hacks baru untuk melindungi area admin WordPress Anda. Anda mungkin juga ingin melihat panduan keamanan WordPress langkah demi langkah kami untuk pemula.