Keamanan WordPress – 24 Tips untuk Mengamankan Situs Web Anda dari Peretas

Keamanan WordPress harus menjadi prioritas pertama ketika mengelola situs web. Anda mendesain situs web Anda, menerbitkan konten, menjual produk secara online, tetapi jika Anda tidak menganggap serius keamanan WordPress, situs Anda dapat diretas kapan saja. 


Setiap hari 30.000 situs web diretas dan lebih dari 2.000 situs web masuk daftar hitam oleh Google. Anda bukan pengecualian. Jika situs web pemerintah dapat diretas, lalu mengapa bukan milik Anda?

Suatu pagi, Anda bangun dan melihat situs WordPress Anda tidak dapat diakses dan melihat pesan acak seperti,

“Situs web Anda diretas oleh xyz” – situs diretas

“Situs di depan mengandung malware” – di-blacklist oleh Google

Ini adalah hal terburuk yang pernah Anda hadapi dengan situs web Anda.

Tapi, mengapa WordPress?

WordPress memiliki kekuatan lebih dari 31% (80 juta) dari total situs web di web. Berdasarkan W3Techs, WordPress memiliki 60% pangsa pasar CMS lebih dari platform lain, yang merupakan alasan yang cukup kuat untuk menarik peretas.

Tapi jangan panik. Pengerasan keamanan WordPress sangat mudah dan Anda dapat melakukannya juga.

Pada artikel ini, saya akan membagikan 24 tips keamanan WordPress terbaik untuk melindungi situs web Anda dari peretas dan malware.

“Mengapa tidak membuat gerbang ke istanamu lenyap sebelum mereka menemukannya?” – WPMyWeb

Contents

Masalah Umum Keamanan WordPress

Sebelum kita mempelajari lebih dalam praktik terbaik keamanan WordPress, mari kita memahami beberapa masalah keamanan WordPress yang umum.

Banyak pengguna percaya bahwa WordPress bukan platform aman untuk digunakan untuk bisnis, yang sama sekali tidak benar. Hal ini disebabkan oleh kurangnya pengetahuan tentang keamanan WordPress, administrasi sistem yang buruk, menggunakan perangkat lunak dan plugin WordPress yang usang, dll.

Banyak pemula WordPress berasumsi bahwa membuat situs web adalah akhirnya dan tidak memerlukan pemeliharaan keamanan apa pun. Ini adalah bagaimana Anda membuat situs Anda rentan.

Setelah peretas menemukan rentan di situs Anda, mereka dapat dengan mudah mengeksploitasi situs Anda.

Mari kita periksa beberapa Masalah Keamanan WordPress yang umum.

1. Serangan Brute Force: 

Dalam serangan brute force, skrip otomatis digunakan untuk menghasilkan berbagai kombinasi nama pengguna dan kata sandi. Hacker menggunakan halaman login WordPress untuk menjalankan serangan brute force. 

Jika Anda menggunakan nama pengguna dan kata sandi sederhana, maka Anda bisa menjadi korban berikutnya dari serangan ini.

2. Cross Site Scripting (XSS):

Cross Site Scripting adalah jenis serangan di mana penyerang menyuntikkan kode / skrip berbahaya ke situs web tepercaya. Metode peretasan ini sama sekali tidak terlihat oleh pengguna yang menjelajahi situs web.

Skrip berbahaya ini memuat secara anonim dan mencuri informasi dari browser pengguna. Bahkan jika pengguna memasukkan data apa pun ke dalam bentuk apa pun, data tersebut dapat dicuri.

3. Suntikan SQL:

WordPress menggunakan database MySQL untuk menyimpan informasi blog.

Injeksi SQL terjadi ketika peretas mendapatkan akses ke database WordPress. Dengan meretas basis data WordPress, peretas dapat membuat akun admin baru dengan akses penuh ke situs Anda.

Mereka juga dapat memasukkan data ke dalam database MySQL Anda dan menambahkan tautan ke situs web berbahaya atau spam.

4. Backdoors:

Dengan nama “Pintu belakang”, Anda bisa mengerti apa artinya. 

Backdoor adalah metode peretasan yang memungkinkan peretas memasuki situs web dengan melewati proses otentikasi normal dan bahkan tetap tidak terdeteksi dari pemilik situs web.

Setelah meretas situs web, peretas biasanya meninggalkan jejak mereka, sehingga mereka dapat mengakses kembali situs web tersebut bahkan peretasan dihapus.

5. Pharma Hacks:

Peretasan WordPress Pharma adalah sejenis spam situs web yang mengisi hasil mesin telusur dengan konten farmasi spam yang dilarang di web seperti Viagra, Nexium, Cialis dll..

Tidak seperti peretasan WordPress lainnya, hasil peretasan pharma hanya dapat dilihat oleh mesin pencari. Jadi Anda tidak dapat menemukan retasan dengan hanya melihat situs web Anda atau kode sumbernya.

Buka Google dan ketik situs: domain.com. Jika hasil pencarian menunjukkan konten situs web Anda (bukan konten farmasi), maka situs Anda tidak terpengaruh oleh peretasan farma.

Tujuan peretasan ini adalah untuk mengeksploitasi halaman Anda yang paling berharga dengan mengganti tag judul dengan tautan berbahaya. Belum lagi, jika Anda tidak memeriksa masalah ini lebih awal, mesin pencari seperti Google, Bing dapat daftar hitam situs web Anda untuk menyediakan konten berbahaya.

6. Pengalihan Malicious:

Peralihan berbahaya WordPress adalah sejenis peretasan di mana pengunjung situs Anda secara otomatis dialihkan ke situs spam seperti perjudian, pornografi, situs kencan. Retasan ini terjadi ketika kode jahat disuntikkan ke file atau database situs web Anda.

Jika situs Anda mengarahkan pengunjung ke situs ilegal atau berbahaya, situs Anda mungkin akan masuk daftar hitam oleh Google.

Mengapa Keamanan WordPress Penting?

Situs web Anda mewakili merek Anda, bisnis Anda, dan yang terpenting adalah kontak pertama dengan pelanggan Anda.

Mungkin Anda butuh beberapa tahun dengan banyak upaya untuk mempertahankan bisnis Anda dan meningkatkan lalu lintas Anda. Audiens Anda menyukai artikel Anda dan mempercayai produk Anda, itulah sebabnya mereka tetap berhubungan dengan Anda.

Jika situs WordPress Anda tidak aman, ada banyak cara baik situs Anda dan pelanggan Anda akan terpengaruh. Peretas dapat mencuri informasi pribadi pengguna, kata sandi, detail kartu kredit, informasi transaksi, dan dapat mendistribusikan malware ke pengguna Anda.

Jika situs Anda diretas, Anda akan melihat lalu lintas Anda menurun secara drastis. Selain itu, Google akan daftar hitam situs web Anda.

Menurut Google blog, jumlah situs yang diretas meningkat sekitar 20% pada tahun 2016 dibandingkan tahun 2015.

Dalam sebuah penelitian, Securi laporan bahwa Google membuat daftar hitam lebih dari 10.000 situs web setiap hari.

Jika Anda serius tentang bisnis Anda, Anda perlu memberi perhatian ekstra pada keamanan WordPress Anda.

Keamanan WordPress

Panduan Keamanan WordPress Terbaik

  1. Dapatkan Hosting WordPress yang Baik
  2. Tetap perbarui versi WordPress
  3. Jangan Gunakan Tema atau Plugin Nulled / Cracked
  4. Gunakan Kata Sandi yang Kuat
  5. Tambahkan (2FA) Otentikasi Dua Faktor
  6. Ubah URL Login WordPress
  7. Batasi Upaya Masuk
  8. Cadangkan Situs Anda Secara Teratur
  9. Gunakan plugin keamanan WordPress
  10. Secara otomatis Keluar dari Pengguna yang Tidak Aktif
  11. Tambahkan Pertanyaan Keamanan ke Halaman Login WordPress
  12. Ubah Nama Pengguna “admin” Default
  13. Tetapkan Pengguna ke Peran Terendah Mungkin
  14. Monitor perubahan File dan aktivitas Pengguna
  15. Instal Sertifikat SSL
  16. Hapus tema dan plugin yang tidak digunakan
  17. Nonaktifkan pengeditan file di dasbor WordPress
  18. Kata sandi melindungi halaman login WordPress
  19. Nonaktifkan penjelajahan direktori
  20. Hapus nomor versi WordPress Anda
  21. Ubah Awalan Tabel Database WordPress
  22. Hanya gunakan tema dan plugin WordPress tepercaya
  23. Nonaktifkan pelaporan kesalahan PHP
  24. Tambahkan HTTP Secure Headers ke WordPress

Siap? Ayo mulai.

1. Dapatkan Hosting WordPress yang Baik

Hosting WordPress memainkan peran utama dalam meningkatkan keamanan WordPress.

Anda membayar untuk layanan hosting dan situs web Anda tetap di bawah kendali mereka. Jadi Anda harus berhati-hati sebelum memilih hosting WordPress yang bagus untuk situs web Anda.

Hosting bersama seperti A2Hosting, Bluehost dll. Adalah pilihan hosting terbaik untuk menjalankan blog dengan lalu lintas rendah. Namun dalam shared hosting, selalu ada kemungkinan kontaminasi lintas situs.

Kontaminasi lintas situs terjadi ketika seorang peretas dapat mengakses server web melalui situs web yang rentan, dan kemudian mengeksploitasi semua situs web lain di server web yang sama.

Kami merekomendasikan menggunakan penyedia hosting WordPress yang dikelola. Perusahaan hosting WordPress yang dikelola menyediakan opsi keamanan berlapis untuk situs web. Platform hosting mereka sangat aman dan mereka menawarkan pemindaian malware harian dan mencegah serangan eksternal. Jika bagaimanapun, mereka menemukan malware di server mereka, mereka mengambil tanggung jawab dan menghapusnya secara instan.

Mereka juga menawarkan backup harian, sertifikat SSL gratis, dukungan pakar 24 × 7.

Kami merekomendasikan perusahaan hosting WordPress yang dikelola oleh WPEngine. Mereka menawarkan beberapa lapisan keamanan untuk melindungi situs WordPress Anda. Dengan paket mereka, Anda akan mendapatkan cadangan harian, SSL gratis, CDN global, dan dukungan pakar 24 × 7.

Mengunjungi WPEngine. [Kode diskon ditambahkan di tautan ini]

Kembali ke atas

2. Tetap perbarui Versi WordPress

Menjaga situs WordPress Anda tetap terbaru adalah praktik keamanan yang baik untuk memperkeras keamanan WordPress Anda. Pembaruan ini mencakup versi WordPress, plugin, dan tema.

Dalam sebuah penelitian terbaru, Securi menganalisis bahwa 56% dari total situs web yang terinfeksi WordPress masih ketinggalan zaman. Jika Anda salah satunya, Anda dalam bahaya.

Setiap hari kerentanan baru ditemukan dan tidak ada cara untuk menghentikannya. Perangkat lunak dan plugin yang kedaluwarsa dapat berisi kerentanan yang dapat digunakan peretas untuk mengeksploitasi situs.

Dengan setiap pembaruan, pengembang menyertakan fitur baru, memperbaiki lubang keamanan, memperbaiki bug, dll. Seperti perangkat lunak WordPress, Anda juga perlu memperbarui tema dan plugin WordPress Anda..

Hal baiknya adalah WordPress secara otomatis meluncurkan pembaruan dan memberi tahu penggunanya.

Memperbarui versi WordPress, plugin dan tema sangat mudah dan Anda dapat melakukannya melalui dashboard admin WordPress Anda.

Cara Memperbarui WordPress, Plugins, dan Tema?

Pertama masuk ke dashboard WordPress Anda dan pergi ke Dasbor> Pembaruan. Di sana Anda dapat melihat apakah ada pembaruan baru yang tersedia.

catatan: Sebelum memperbarui versi WordPress Anda, lakukan pencadangan penuh file dan basis data Anda. Jika terjadi kesalahan, Anda dapat dengan mudah mengembalikan situs ke versi sebelumnya. Anda dapat dengan mudah membuat cadangan dan memulihkan situs Anda menggunakan BlogVault hanya dengan satu klik.

Dari halaman tersebut, Anda dapat melihat “Versi WordPress yang diperbarui tersedia”. Klik Memperbarui sekarang untuk memperbarui versi WordPress Anda, proses ini mungkin memerlukan waktu beberapa detik.

Setelah pembaruan selesai, gulir ke bawah untuk memperbarui plugin WordPress Anda. Kami sarankan Anda memperbarui plugin satu per satu. Pertama, pilih plugin dan klik Perbarui Plugin.

Cara serupa, perbarui tema Anda di bawah ini.

Perbarui WordPress dari Dashboard

Namun, proses pembaruan agak sulit untuk beberapa pengguna, terutama mereka yang tidak paham teknologi.

Beberapa penyedia hosting WordPress yang dikelola seperti SiteGround, Kinsta, FlyWheel menyediakan pembaruan otomatis fitur. Jadi, jika Anda dalam jadwal sibuk atau malas memperbarui, ini bisa berguna.

Baca juga, Cara Memperbarui Versi WordPress, plugin, dan Tema secara manual

Kembali ke atas

3. Jangan Pernah Menggunakan Tema dan Plugin Nulled / Cracked

Tidak heran bahwa plugin dan tema premium menyertakan lebih banyak fungsi dan terlihat profesional. Tapi, tidak ada produk premium yang gratis. Muncul dengan harga dan setelah membeli produk premium, pengguna perlu memasukkan kunci produk untuk mengaktifkan produk.

Tapi, ada banyak situs web berbahaya yang menyediakan tema dan plugin premium gratis. Tema dan plugin yang diretas itu tidak memerlukan kunci serial untuk mengaktifkan dan tidak pernah diperbarui.

Inilah yang saya maksud:

Contoh Plugin WordPress Nulled

Tema dan plugin yang dibatalkan itu sangat berbahaya untuk situs Anda. Peretas secara khusus menyuntikkan kode berbahaya ke dalamnya dan membuat pintu belakang ke situs Anda. Sehingga mereka dapat dengan mudah mengakses situs web Anda dan meretas situs web Anda termasuk database.

Jadi jangan pernah gunakan tema dan plugin WordPress yang batal atau retak.

Kami sangat menyarankan agar Anda hanya mengunduh tema atau plugin gratis hanya dari WordPress.org.

Kami memahami bahwa tema atau plugin gratis memiliki fungsi yang sangat terbatas. Tapi, tema atau plugin gratis itu aman digunakan dan diperbarui secara berkala.

Baca Juga, 7 Tema Blogging Premium Terbaik untuk WordPress

Kembali ke atas

4. Gunakan Kata Sandi yang Kuat

Kata sandi adalah kunci utama untuk mengakses situs WordPress Anda. Jika sederhana dan pendek, maka peretas dapat dengan mudah memecahkan kata sandi Anda. Lebih 80% pelanggaran terkait peretasan terjadi karena kata sandi yang lemah atau kata sandi yang dicuri.

Dalam sebuah penelitian terbaru, SplashData terungkap 100 kata sandi terburuk di tahun 2017.

Berikut ini beberapa di antaranya:

  1. 123456
  2. kata sandi
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. biarkan aku masuk
  8. 1234567
  9. sepak bola
  10. Aku cinta kamu
  11. admin
  12. Selamat datang
  13. monyet (lol)

Jika kata sandi Anda sederhana seperti di atas, maka segera ubah. Kata sandi kekuatan yang baik harus paling sedikit 10 digit dan mengandung huruf besar, huruf kecil, angka, dan karakter khusus.

Anda bisa menggunakan alat pembuat kata sandi online untuk secara instan membuat ribuan kata sandi yang diamankan.

Anda juga perlu menyimpan kata sandi ke komputer Anda.

Untuk membuatnya lebih mudah, Anda dapat menggunakan perangkat lunak pengelola kata sandi untuk mengelola semua kata sandi Anda seperti LastPass, Dashlane dll.

Terapkan Kata Sandi yang Kuat kepada Pengguna

Secara default, WordPress tidak dilengkapi dengan fungsi yang mencegah pengguna memasukkan kata sandi yang lemah. Sebagian besar waktu pengguna menetapkan kata sandi yang lemah untuk akun mereka dan hampir tidak mengubahnya.

Jika Anda menjalankan blog WordPress multi-pengguna, maka Anda harus memaksa pengguna untuk menggunakan kata sandi yang kuat.

Untuk mempermudah proses ini, Anda dapat menggunakan plugin. Pasang dan aktifkan Paksa Kata Sandi Kuat plugin dan Anda selesai. Ini akan mencegah pengguna dan bahkan admin memasukkan kata sandi yang lemah.

Kembali ke atas

5. Tambahkan Otentikasi Dua Faktor (2FA) 

Metode sederhana lain untuk memperkeras keamanan WordPress Anda adalah dengan menambahkan otentikasi dua faktor (2FA) ke halaman login WordPress Anda. Pada dasarnya, otentikasi dua faktor atau verifikasi dua langkah adalah proses keamanan yang memerlukan dua metode untuk memverifikasi identitas Anda.

Secara default, kami biasanya memasukkan nama pengguna dan kata sandi untuk masuk ke situs web. Dengan menambahkan otentikasi dua faktor akan mengharuskan Anda proses verifikasi tambahan seperti aplikasi ponsel cerdas untuk menyetujui proses otentikasi.

Jadi, jika seseorang mengetahui nama pengguna dan kata sandi Anda, mereka memerlukan ponsel cerdas Anda untuk mendapatkan kode verifikasi untuk masuk ke situs Anda.

Dengan menambahkan otentikasi dua faktor, Anda tidak hanya mengamankan halaman login WordPress Anda tetapi juga mencegah serangan brute-force.

Anda dapat mengaktifkan otentikasi dua faktor dengan mudah menggunakan plugin WordPress dua faktor authenticator Google.

Setelah diaktifkan, buka Pengguna> Profil pengguna dan aktifkan plugin.

Pengaturan Google Authenticator

Kemudian unduh aplikasi autentikator Google dari ponsel Anda dan pindai Kode batang atau masukkan Kode rahasia (lihat tangkapan layar di atas) dari situs Anda untuk menambahkan situs web Anda.

Setelah ditambahkan, keluarlah dari situs Anda. Pada halaman login, Anda akan melihat bidang tambahan tempat Anda harus memasukkan kode verifikasi dari aplikasi seluler Google Authenticator.

Bidang Google Authenticator

Untuk instruksi terperinci, lihat panduan tentang cara menambahkan otentikasi dua faktor Google pada halaman login WordPress.

Kembali ke atas

6. Ubah URL Halaman Login WordPress

Secara default, siapa pun dapat mengakses halaman login Anda dengan hanya menambahkan “wp-admin” atau “wp-login.php” di akhir nama domain Anda seperti: “domain.com/wp-admin” atau “domain.com/ wp-login.php ”.

Tebak apa! Peretas dapat menjalankan serangan brute-force menggunakan halaman login Anda. Jika Anda menggunakan kata sandi yang sangat sederhana, maka peretas dapat dengan mudah memecahkan kata sandi Anda dan memasuki situs web Anda.

Tetapi bagaimana jika mereka tidak tahu harus menyerang ke mana? Ya, Anda menebaknya dengan benar.

Jika Anda menyembunyikan atau mengganti nama URL halaman login Anda, maka peretas tidak akan dapat menjalankan serangan brute force.

Di WordPress, Anda dapat dengan mudah menyembunyikan atau mengganti nama halaman login Anda dengan menggunakan plugin. Dari galeri plugin WordPress, instal dan aktifkan WPS Sembunyikan Login plugin.

Setelah diaktifkan, buka Pengaturan> Umum dan di bagian bawah, Anda dapat menemukan WP Sembunyikan opsi Masuk.

WPS Sembunyikan Pengaturan Login

Cukup ubah URL login “Gabung” untuk hal lain yang sulit ditebak dan diklik Simpan perubahan.

Setelah selesai, bookmark halaman login baru dan Anda selesai.

Kembali ke atas

7. Batasi Upaya Masuk

Secara default, WordPress tidak membatasi jumlah upaya login melalui formulir login. Itu berarti siapa pun yang tahu URL login Anda dapat mencoba fungsi login sebanyak yang mereka inginkan. Dengan cara ini peretas melakukan serangan brute force untuk memecahkan “nama pengguna” dan “kata sandi” Anda untuk mengakses situs web Anda.

Dengan membatasi upaya login, Anda dapat memperkeras keamanan WordPress dan melindungi halaman login Anda dari serangan brute force.

Anda dapat mengatur jumlah maksimum upaya login yang salah yang dapat dilakukan pengguna dari alamat IP yang sama. Jika pengguna melebihi batas, IP pengguna akan diblokir untuk waktu tertentu.

Untuk membatasi upaya login di WordPress, instal Login LockDown plugin. Setelah diaktifkan, buka Pengaturan> Login LockDown untuk mengkonfigurasi plugin.

Login Pengaturan LockDown

Untuk instruksi terperinci, lihat panduan kami tentang cara membatasi upaya login di WordPress

Kembali ke atas

8. Cadangkan Situs Anda Secara Reguler

Backup seperti Time Machine. Jika Anda memilikinya, situs web Anda aman.

Namun, cadangan situs web tidak melindungi situs Anda dari peretas tetapi ini membantu Anda memulihkan situs Anda.

Misalnya, jika ada yang salah dengan situs Anda selama pembaruan atau situs web Anda diretas, bagaimana Anda memperbaiki situs Anda lagi? Anda mungkin kehilangan situs Anda.

Tetapi jika Anda memiliki cadangan situs Anda, Anda dapat dengan mudah mengembalikan situs Anda sebelum titik itu diretas atau rusak.

Itu sebabnya kami sangat menyarankan Anda untuk menggunakan plugin cadangan WordPress yang dapat diandalkan. Namun, banyak perusahaan hosting menawarkan cadangan situs web gratis, tetapi mereka dapat menjamin ketersediaan situs Anda jika ada kegagalan besar. Jadi, Anda perlu menyimpan cadangan ke lokasi terpencil seperti Google Drive, Amazon S3, Dropbox dll.

Untungnya, ini dapat dilakukan dengan menggunakan BlogVault atau BackUpBuddy WordPress Backup Plugin. Keduanya menawarkan cadangan harian dan pengembalian satu klik. Anda juga dapat membuat situs pementasan tanpa biaya tambahan.

Kembali ke atas

9. Gunakan Plugin WordPress Security

Hal berikutnya yang Anda butuhkan untuk pengerasan Anda Keamanan WordPress adalah plugin keamanan. Ada banyak plugin keamanan WordPress yang tersedia yang akan mengunci situs Anda dari peretas dan malware.

Plugin keamanan WordPress akan mendeteksi dan menghilangkan malware jika ada di situs Anda. Selain itu, mereka memantau aktivitas pengguna secara waktu nyata, memberi tahu Anda jika ada sesuatu yang berubah, jika plugin berisi malware, memblokir lalu lintas spam, dan banyak lagi lainnya..

Kami merekomendasikan Plugin Keamanan Securi WordPress. Securi Security menawarkan berbagai jenis fitur keamanan seperti audit aktivitas keamanan, pemantauan situs web, firewall situs web,  dan masih banyak lagi.

Securi

Hal terbaik tentang Securi adalah bahwa jika situs Anda diretas atau diblacklist oleh Google saat menggunakan layanan mereka, mereka menjamin bahwa mereka akan memperbaiki situs Anda.

Sebagian besar pakar keamanan WordPress mengenakan biaya lebih dari $ 300 untuk memperbaiki situs yang diretas, sedangkan Anda hanya akan mendapatkan semua layanan keamanan $ 199 per tahun. Ini investasi yang bagus untuk memperkuat keamanan WordPress Anda.

Kembali ke atas

10. Secara Otomatis Keluar dari Pengguna yang Tidak Aktif

Jika pengguna terlalu lama menganggur atau tidak aktif di situs Anda, ini dapat menyebabkan serangan brute force.

Ketika seorang pengguna tetap tidak aktif terlalu lama, peretas dapat menggunakan metode cookie atau pembajakan sesi untuk mendapatkan akses tidak sah ke situs web Anda. Itulah sebabnya sebagian besar situs web terkait pendidikan dan keuangan seperti situs web bank dan gateway pembayaran menggunakan fungsi batas waktu sesi pengguna. Jadi, ketika pengguna menavigasi keluar dari halaman dan tidak berinteraksi setelah periode waktu tertentu, situs web secara otomatis mengeluarkan pengguna yang tidak aktif.

Fungsi yang sama dapat Anda tambahkan ke situs WordPress Anda untuk meningkatkan keamanan WordPress Anda. Menambahkan secara otomatis keluar pengguna menganggur di WordPress sangat sederhana. Yang Anda butuhkan untuk menginstal plugin.

Pertama, unduh dan instal Logout tidak aktif Plugin WordPress. Kemudian aktifkan dan pergi ke Pengaturan> Logout tidak aktif untuk mengkonfigurasi plugin.

Pengaturan Plugin Logout Tidak Aktif

Dari pengaturan, Anda dapat mengubah batas waktu idle. Jadi setelah itu, semua pengguna di situs Anda akan secara otomatis keluar.

Anda juga dapat mengubah pesan batas waktu idle dan memodifikasi pengaturan lain jika diperlukan.

Setelah selesai, klik Simpan perubahan untuk menyimpan pengaturan.

Untuk instruksi terperinci, lihat panduan kami tentang cara keluar secara otomatis pengguna yang menganggur di WordPress

Kembali ke atas

11. Tambahkan Pertanyaan Keamanan ke Halaman Login WordPress

Dengan menambahkan pertanyaan keamanan ke halaman login WordPress Anda, Anda tidak hanya akan melindungi halaman login WordPress Anda tetapi juga pengerasan keamanan WordPress.

Pertanyaan keamanan menambahkan lapisan keamanan tambahan untuk lebih mengotentikasi identitas Anda saat masuk. Ini sangat berguna jika Anda menjalankan blog WordPress multi-penulis.

Jika ada pengguna atau kata sandi Anda dicuri, maka pertanyaan keamanan dapat menyelamatkan nyawa.

Karena nama pengguna dan kata sandi dapat diretas dengan mudah, tetapi memilih pertanyaan dan jawaban keamanan yang tepat hampir tidak mungkin. Dengan cara ini Anda dapat menyimpan halaman login WordPress Anda dari peretas dan serangan brute force.

Untuk menambahkan pertanyaan Keamanan pada halaman login WordPress, instal Pertanyaan Keamanan WP plugin.

Pengaturan Pertanyaan Keamanan WP

Setelah diaktifkan, buka Pertanyaan Keamanan WP > Pengaturan Plugin untuk mengkonfigurasi plugin.

Secara default, plugin memiliki banyak pertanyaan umum yang ditambahkan. Namun, Anda dapat menambah atau menghapus pertanyaan keamanan apa pun dari daftar.

Di bagian bawah, Anda dapat mengaktifkan pertanyaan keamanan di halaman login, registrasi, dan halaman lupa kata sandi. Setelah plugin dikonfigurasikan, jangan lupa klik Simpan Pengaturan.

catatan: Hanya pengguna baru yang dapat mengatur pertanyaan dan jawaban keamanan mereka selama pendaftaran. Jadi pengguna yang terdaftar harus secara manual mengatur pertanyaan dan jawaban keamanan mereka sendiri. Anda juga dapat mengatur pertanyaan dan jawaban keamanan untuk mereka. Ini dapat dilakukan dari Profil pengguna halaman.

Banyak Menambahkan Pertanyaan Keamanan WP

Untuk instruksi terperinci, lihat panduan kami tentang cara menambahkan pertanyaan keamanan ke halaman login WordPress

Kembali ke atas

12. Ubah Nama Pengguna “Admin” Default

Setelah menginstal WordPress, Anda dapat mengubah kata sandi sebanyak yang Anda inginkan. Tetapi bisakah Anda mengubah nama pengguna setelah ditetapkan? Tidak benar?

Secara default, WordPress tidak mengizinkan pengguna untuk mengubah nama pengguna. Tetapi mengapa Anda harus mengubahnya?

Jika Anda menggunakan nama pengguna yang sangat umum seperti “admin”, maka peretas dapat menjalankan brute force attach dengan bantuan nama pengguna Anda.

Tapi jangan panik. Ada beberapa cara Anda dapat mengubah WordPress dengan mudah.

Namun, untuk mempermudah prosesnya, kami akan menggunakan plugin. Pertama, unduh dan instal pengubah nama pengguna plugin. Lalu pergi ke Pengguna> Profil kamu dan temukan opsi nama pengguna. Di sana Anda akan menemukan opsi “Ubah Nama Pengguna”.

Ubah Nama Pengguna WordPress

Klik Ubah Nama Pengguna tombol dan masukkan nama pengguna baru Anda. Setelah selesai, klik Memperbaharui profil.

Jika Anda ingin mengubah nama pengguna secara manual (tanpa plugin), lihat artikel 3 cara berbeda untuk mengubah nama pengguna WordPress.

Kembali ke atas

13. Tetapkan Pengguna ke Peran Terendah Mungkin

Jika Anda menjalankan situs WordPress multi-penulis, maka Anda harus berhati-hati sebelum memberikan peran kepada pengguna.

Sering kali pemilik situs WordPress menetapkan peran pengguna yang lebih tinggi untuk pengguna baru, dengan cara ini Anda memberikan semua hak istimewa kepada pengguna, dan sebagai hasilnya, setiap pengguna dapat dapat melakukan tugas apa pun yang mereka inginkan.

Misalnya, jika Anda tidak tahu apa yang dapat dilakukan oleh peran pengguna Editor dan Anda menetapkan peran tersebut kepada pengguna biasa, maka pengguna dapat menghapus semua posting Anda, mengedit tautan, membuat posting spam, menambahkan tautan berbahaya ke blog Anda posting. Ini adalah bagaimana pengguna dapat dengan mudah merusak situs web Anda.

Secara default, WordPress hadir dengan 5 peran pengguna yang berbeda.

  • Administrator
  • Editor
  • Penulis
  • Penyumbang
  • Pelanggan
  1. Administrator: Administrator adalah peran pengguna paling kuat di situs WordPress. Mereka dapat membuat, mengedit, dan menghapus akun pengguna, dapat melakukan tugas apa pun di seluruh panel admin WordPress, memiliki kendali di seluruh area konten dan juga memoderasi komentar. 
  2. Editor: Pengguna dengan peran Editor memiliki kontrol penuh di seluruh konten. Mereka dapat membuat, mengedit, dan menghapus posting apa pun termasuk posting yang dibuat oleh pengguna lain. Mereka juga dapat memoderasi komentar dan memodifikasi tautan.
  3. Penulis: Penulis hanya dapat mempublikasikan, mengedit, atau menghapus posting mereka sendiri. Mereka dapat mengunggah file media untuk digunakan dalam posting mereka. Mereka dapat melihat komentar tetapi tidak dapat menyetujui atau menghapus komentar apa pun.
  4. Penyumbang: Pengguna dengan peran Kontributor hanya dapat menulis, mengedit, atau menghapus posting mereka yang tidak dipublikasikan, tetapi mereka tidak dapat mempublikasikan posting mereka sendiri..
  5. Pelanggan: Pelanggan hanya dapat mengedit informasi akun mereka termasuk kata sandi, tetapi mereka tidak memiliki akses ke konten atau pengaturan situs. Mereka memiliki kemampuan terendah di situs WordPress.

Dengan memahami peran pengguna WordPress, Anda dapat dengan mudah mengelolanya tanpa risiko apa pun.

Kami juga menyarankan Anda harus menetapkan Peran Default Pengguna Baru sebagai Pelanggan. Pergi ke pengaturan> Pengaturan Umum dan dari set mereka Peran Default Pengguna Baru Pelanggan dan klik Simpan perubahan.

Peran Default Pengguna Baru WordPress

Untuk perincian lebih lanjut, baca Panduan untuk Kemampuan dan Kemampuan Pengguna WordPress

Kembali ke atas

14. Monitor Perubahan File dan Aktivitas Pengguna

Cara cerdas lain untuk memperkeras keamanan WordPress adalah dengan memantau aktivitas pengguna dan mengajukan perubahan. 

Jika Anda menjalankan situs WordPress multi-pengguna, maka Anda harus melacak perilaku pengguna untuk lebih memahami apa kegiatan mereka di seluruh situs WordPress Anda.

Siapa tahu, jika pengguna melakukan pekerjaan mencurigakan atau mencoba meretas situs web Anda? Bagaimana kamu bisa tahu itu??

Satu-satunya cara untuk melacak aktivitas pengguna dan mengajukan perubahan adalah dengan menggunakan plugin aktivitas pengguna WordPress. Dengan menggunakan plugin aktivitas pengguna di WordPress, Anda dapat:

  • lihat siapa yang masuk dan apa yang mereka lakukan dalam waktu nyata
  • ketika pengguna masuk dan keluar
  • berapa kali pengguna mencoba masuk tetapi gagal

Selain itu, jika editor membuat perubahan pada posting atau halaman tanpa izin Anda, maka Anda dapat dengan mudah menemukannya dan mengembalikannya. Hal yang baik tentang plugin aktivitas pengguna adalah plugin itu langsung mengirimi Anda pemberitahuan email jika terjadi kesalahan.

WP Security Audit Log adalah plugin terbaik untuk memantau aktivitas pengguna dan mengajukan perubahan secara real time. Berikut screenshot di bawah cara kerja plugin.

Peninjau Log Audit WordPress

Baca Juga, 5 Plugin Terbaik untuk Memantau Aktivitas Pengguna di WordPress (plugin alternatif)

Kembali ke atas

15. Terapkan SSL dan HTTPS

Keamanan WordPress tidak dapat ditingkatkan tanpa sertifikat SSL. SSL (Secure Socket Layer) adalah tulang punggung keamanan situs web.

SSL adalah teknologi keamanan standar yang membuat tautan terenkripsi antara server dan browser web dalam komunikasi online seperti transaksi online. Jadi semua data sensitif seperti kata sandi, detail kartu kredit, dll, melewati tautan terenkripsi.

Jika Anda menjalankan bisnis online atau blog tempat Anda menerima pembayaran, maka sertifikat SSL adalah suatu keharusan. Ini akan menjaga data pelanggan Anda aman dari peretas. Untuk toko online atau situs WooCommerce, biaya sertifikat SSL biayanya sekitar $ 20- $ 170.

Jika Anda menjalankan blog WordPress, maka Anda tidak memerlukan sertifikat SSL berbayar. Jika Anda menggunakan hosting cPanel seperti SiteGround, WPEngine maka Anda dapat menginstal sertifikat SSL gratis hanya dengan satu klik.

Pertama, masuk ke akun hosting cPanel Anda dan navigasikan ke Keamanan.  (Ini tangkapan layar di bawah dari SiteGround hosting cPanel.)

SG SSL

Pergi ke Manajer SSL / TLS dan klik Instal Sertifikat SSL. Dari halaman, pilih domain Anda dan klik IsiOtomatis menurut domain. Prosesnya otomatis sehingga Anda tidak perlu mengedit atau memodifikasi apa pun.

Site Ground Instal Sertifikat SSL

Sekarang klik pada Pasang Sertifikat tombol untuk menyelesaikan proses pengaturan.

Setelah selesai, login ke dashboard admin WordPress Anda untuk memodifikasi URL situs Anda. Pergi ke Pengaturan> Umum dan tambahkan ganti HTTP dengan HTTPS sebelum URL situs Anda. Berikut screenshot di bawah ini.

WP HTTPS

Setelah diperbarui, klik Simpan perubahan.

Cara Mengarahkan HTTP ke HTTPS di WordPress

Jika Anda telah menginstal sertifikat SSL dengan benar, maka situs Anda dapat diakses dengan HTTPS.

Tetapi jika seseorang mengetik nama situs web Anda saja (mis. Domain.com) pada bilah alamat peramban, maka situs tersebut dapat menampilkan pesan “Koneksi tidak aman”. Itu berarti situs Anda dapat diakses dengan HTTP.

Untuk memperbaiki masalah ini, Anda perlu memaksa HTTPS di WordPress, jadi situs Anda hanya akan memuat dengan HTTPS. Anda dapat dengan mudah memaksa HTTPS di WordPress.

Pertama masuk ke hosting cPanel Anda dan pergi ke folder root situs web Anda dan temukan .htaccess mengajukan. Edit file .htaccess dan pada akhirnya tambahkan kode berikut.

Tulis Ulang Hidup
RewriteCond% {HTTPS} tidak aktif
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Simpan file dan Anda selesai. Sekarang situs web Anda hanya dapat diakses dengan HTTPS.

Jika penyedia hosting web Anda tidak memberikan sertifikat SSL gratis, maka Anda dapat menginstal sertifikat SSL secara manual. Inilah panduan tentang cara memasang sertifikat SSL gratis.

Kembali ke atas

16. Hapus Tema dan Plugin yang Tidak Digunakan

Ketika menyangkut pengerasan keamanan WordPress, kami tidak boleh mengabaikan langkah kecil apa pun yang dapat membuat situs Anda rentan. 

Sebagian besar waktu pemilik situs WordPress memasang tema dan plugin yang berbeda untuk menguji tema mana yang terlihat lebih baik di situs mereka atau plugin mana yang memiliki lebih banyak fungsi. Tidak apa-apa. Tetapi menjaga tema dan plugin yang tidak digunakan itu membuat situs Anda rentan.

Karena menjaga banyak tema dan plugin WordPress perlu diperbarui secara berkala seperti yang Anda gunakan. Jika Anda tidak memperbaruinya, mereka menjadi rentan dan peretas dapat dengan mudah mengeksploitasi situs Anda melalui tema dan plugin yang rentan. Selain itu, menjaga begitu banyak tema dan plugin membuat situs WordPress lebih lambat.

Jadi, Anda harus selalu menghapus tema dan plugin yang tidak digunakan untuk meningkatkan kinerja situs dan keamanan WordPress.

Untuk menghapus plugin yang tidak digunakan, buka Plugin> Plugin Terpasang. Kemudian cari plugin yang tidak Anda perlukan lagi. Pertama, nonaktifkan plugin dan klik Menghapus.

Plugin WordPress hapus

Demikian pula, untuk menghapus tema, buka Penampilan> Tema dan klik Detail Tema. Kemudian di bagian bawah sisi kanan, klik Menghapus.

Hapus Tema

Kembali ke atas

17. Nonaktifkan Pengeditan File di Dasbor WordPress

Secara default, WordPress memungkinkan pengguna untuk mengedit file tema dan plugin langsung dari dashboard WordPress. Ini adalah opsi yang berguna bagi pengguna yang sering perlu mengedit tema dan file plugin.

Editor Tema WordPress

Namun, tetap mengaktifkan fungsi ini bisa menjadi masalah keamanan yang serius. Jika peretas mengakses situs web Anda, mereka biasanya meninggalkan jejak mereka dengan menyuntikkan kode berbahaya ke file situs web. Jika fungsi pengeditan file WordPress Anda diaktifkan, maka peretas dapat dengan mudah menyuntikkan kode jahat ke dalam file tema atau plugin Anda yang tidak diketahui oleh Anda.

Untuk meningkatkan keamanan WordPress, Anda perlu menonaktifkan fungsi pengeditan file dari dashboard WordPress Anda. Menonaktifkan WordPress theme dan editor plugin di WordPress adalah proses yang sangat mudah.

Pertama, Anda harus masuk ke akun hosting cPanel Anda dan pergi ke folder root situs WordPress Anda. Dari sana, cari wp-config.php. Klik edit dan tambahkan kode berikut di akhir.

define (‘DISALLOW_FILE_EDIT’, true);

Sekarang simpan file dan segarkan dasbor WordPress Anda. Anda akan melihat bahwa opsi editor tema dan plugin telah hilang. Dengan trik kecil ini, Anda dapat dengan mudah meningkatkan keamanan WordPress.

Baca panduan terperinci tentang cara menonaktifkan editor tema dan plugin di WordPress

Kembali ke atas

18. Lindungi Kata Sandi Halaman Login WordPress

Cara hebat lainnya untuk meningkatkan keamanan WordPress adalah dengan melindungi kata sandi halaman login WordPress.

Dengan kata sandi yang melindungi halaman login WordPress Anda (/wp-login.php) atau admin (https://cdn.wpmyweb.com/wp-admin), Anda dapat mencegah peretas mengakses halaman login Anda karena memerlukan kata sandi untuk mengakses halaman masuk. Diperlukan Otentikasi kotak sembulanSetelah mengaktifkan fitur ini, situs Anda akan meminta semua pengguna mengakses halaman login dengan nama pengguna dan jendela kata sandi. Singkatnya, semua pengguna harus masuk dua kali dengan nama pengguna dan kata sandi yang berbeda sebelum mengakses dasbor admin WordPress Anda.

Dengan melakukannya, Anda dapat memperkuat keamanan WordPress Anda dan menambahkan lapisan keamanan tambahan ke halaman login Anda.

Baca panduan mendalam kami tentang cara melindungi kata sandi halaman login WordPress.

Kembali ke atas

19. Nonaktifkan Directory Browsing di WordPress

Secara default, sebagian besar server web seperti Apache, NGINX, dan LiteSpeed ​​memungkinkan pengguna untuk menelusuri direktori yang berisi file dan folder WordPress. Mereka juga dapat melihat tema dan plugin yang Anda gunakan dan tahu lebih banyak tentang struktur situs web Anda.

Halaman Indeks dari Situs WordPress

Informasi ini dapat menyebabkan situs WordPress Anda rentan dan membantu peretas ketika mencoba untuk berkompromi dengan situs Anda.

Untuk meningkatkan keamanan WordPress, kami sarankan Anda untuk menonaktifkan opsi ini. Untuk menonaktifkan penelusuran direktori di WordPress, cukup tambahkan baris berikut ke .htacces mengajukan.

Opsi Semua -Indeks

Untuk instruksi terperinci, baca panduan kami tentang cara menonaktifkan penelusuran direktori di WordPress

Kembali ke atas

20. Hapus Versi WordPress Anda

Secara default, WordPress secara otomatis menambahkan meta tag di berbagai lokasi yang menampilkan versi WordPress yang Anda gunakan.

Begini masalahnya: jika peretas tahu Anda menjalankan versi WordPress yang sudah ketinggalan zaman, mereka dapat mengeksploitasi situs Anda melalui kerentanan yang diketahui yang ada di versi WordPress yang lebih lama..

Jadi lebih baik Anda menghapus versi WordPress Anda untuk meningkatkan keamanan WordPress. Ada beberapa tempat di mana WordPress menambahkan tag meta seperti, di dashboard WordPress, di header, dalam gaya dan javascript dan di umpan RSS.

Menghapus versi WordPress dari header dan RSS

Untuk menghapus versi dari header dan RSS, tambahkan baris berikut di akhir halaman Anda functions.php mengajukan.

function remove_wordpress_version () {
kembali ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Menghapus nomor versi WordPress dari Skrip dan CSS

Untuk menghapus versi WordPress dari CSS dan skrip, tambahkan baris berikut di akhir Anda functions.php mengajukan.

// Pilih nomor versi dari skrip dan gaya
function remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
mengembalikan $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Setelah selesai, simpan file functions.php.

Itu dia. Dengan trik sederhana ini, Anda pasti dapat meningkatkan keamanan WordPress Anda. Namun, kami selalu menyarankan Anda untuk secara teratur memperbarui versi WordPress Anda serta tema dan plugin.

Untuk instruksi terperinci, baca panduan kami tentang cara menyembunyikan atau menghapus versi WordPress

Kembali ke atas

21. Ubah Awalan Tabel Database WordPress

Selama instalasi WordPress, ia bertanya apakah Anda ingin menggunakan awalan database yang berbeda. Kami biasanya melewati langkah ini, jadi WordPress secara otomatis menggunakan (WP_) sebagai awalan tabel database default. Kami menyarankan Anda untuk mengubahnya menjadi sesuatu yang kuat dan unik.

Menggunakan awalan default (WP_) membuat database WordPress Anda rentan terhadap serangan injeksi SQL. Serangan seperti itu dapat dicegah dengan mengubah awalan basis data (WP_) menjadi sesuatu yang unik.

Setelah menginstal WordPress, Anda dapat dengan mudah mengubah awalan tabel database default menggunakan plugin atau secara manual. Plugin seperti BackupBuddy, Awalan DB Brozzme memungkinkan Anda untuk mengubah awalan tabel hanya dengan satu klik.

Demi tutorial, saya menunjukkan cara mengubahnya menggunakan plugin Brozzme DB Prefix.

catatan: Sebelum Anda melakukan apa pun dengan basis data Anda, pastikan Anda mengambil cadangan situs dan basis data Anda. Jika terjadi kesalahan, Anda dapat memulihkan situs Anda.

Pertama, instal dan aktifkan Awalan DB Brozzme plugin. Dari dasbor WordPress Anda, buka Alat> Awalan DB dan masukkan nama unik baru untuk awalan basis data.

Awalan DB Brozzme

Setelah memasukkan awalan baru Anda, klik Ubah Awalan DB.

Untuk proses manual, baca tentang cara mengubah awalan tabel database menggunakan phpMyAdmin

Kembali ke atas

22. Hanya Gunakan Plugin WordPress Tepercaya

WordPress hadir dengan lebih dari 48.000 plugin. Itu tidak berarti bahwa semua plugin bermanfaat dan aman digunakan.

Karena ada banyak plugin yang tersedia di galeri plugin WordPress yang tidak diperbarui dari waktu yang lama dan biasanya mereka menjadi rentan. Selain itu, Anda tidak akan mendapatkan dukungan apa pun jika plugin merusak situs Anda.

Sebelum Anda menggunakan plugin gratis apa pun, dua hal penting yang perlu Anda periksa,

  • Periksa kapan plugin terakhir diperbarui: Jika plugin tidak sering diperbarui atau tidak lagi dikelola oleh pengembang plugin, maka Anda harus menghindari plugin tersebut.

Versi Plugin WordPress yang kedaluwarsa

  • Periksa apakah plugin memiliki peringkat positif maksimum: Hal berikutnya yang perlu Anda periksa apakah plugin memiliki peringkat positif atau negatif maksimum. Jika plugin memiliki peringkat negatif maksimum, Anda tidak boleh menggunakannya.

Plugin WordPress Nilai Rendah

Anda juga dapat memeriksa halaman Ulasan dan Dukungan plugin untuk melihat apa yang dikatakan pengguna lain tentang plugin tersebut.

Tapi, jangan khawatir. Ada banyak plugin serupa yang tersedia yang dapat Anda temukan dari galeri plugin WordPress.

Jika Anda ingin menggunakan plugin premium, maka Anda tidak perlu khawatir. Plugin premium diperbarui secara berkala dan Anda akan mendapatkan dukungan 24x dari pengembang plugin.

Kembali ke atas

23. Nonaktifkan Pelaporan Kesalahan PHP

Cara hebat lain untuk memperkeras keamanan WordPress adalah dengan menonaktifkan laporan kesalahan PHP di WordPress. Sering kali, ketika Anda menginstal plugin atau tema yang sudah usang, Anda mungkin melihat peringatan kesalahan PHP.

Peringatan Kesalahan PHP WordPressNamun, ini dapat menyebabkan situs Anda rentan jika peretas memperolehnya karena menunjukkan kode dan lokasi file. Untuk meminimalkan risiko, Anda dapat menonaktifkan pelaporan kesalahan PHP di WordPress.

Menonaktifkan peringatan kesalahan PHP di WordPress sangat mudah. Pertama, edit wp-config.php file dan temukan baris yang memiliki kode ini:

define (‘WP_DEBUG’, false);

Anda mungkin melihat “benar” bukan “salah”. Sekarang ganti baris dengan kode berikut.

ini_set (‘display_errors’, ’Off’);
ini_set (‘error_reporting’, E_ALL);
define (‘WP_DEBUG’, false);
define (‘WP_DEBUG_DISPLAY’, false);

Simpan file dan Anda selesai.

Kami juga menyarankan Anda untuk menggunakan plugin terbaru dan berperingkat baik untuk menghindari masalah seperti ini.

Kembali ke atas

24. Tambahkan HTTP Secure Headers ke WordPress

Cara hebat lain untuk memperkeras keamanan WordPress adalah dengan menambahkan header HTTP aman ke situs WordPress Anda.

Ketika seseorang mengakses situs web Anda, browser membuat permintaan ke server web Anda. Kemudian server web merespons dengan permintaan bersama dengan HTTP header. Header HTTP ini meneruskan informasi seperti pengkodean konten, kontrol cache, tipe konten, koneksi dll.

Dengan menambahkan header respons HTTP aman, Anda dapat meningkatkan keamanan WordPress Anda dan juga mencegah serangan mitigasi dan kerentanan keamanan.

Berikut tajuk HTTP di bawah:

  • Keamanan Transportasi Ketat HTTP (HSTS): HTTP Strict Transport Security (HSTS) memaksa browser web untuk hanya menggunakan koneksi aman (HTTPS) saat berkomunikasi dengan situs web. Ini mencegah hack protokol SSL, pembajakan cookie, stripping SSL dll.
  • X-Frame-Options: X-Frame-Options adalah sejenis header HTTP yang menentukan apakah browser diizinkan untuk membuat situs web dalam bingkai. Ini mencegah serangan clickjacking dan memastikan situs web Anda tidak tertanam ke situs web lain menggunakan .
  • X-XSS-Perlindungan: X-XSS-Protection adalah fitur bawaan dari penjelajah internet, Google Chrome, Firefox dan browser Safari yang memblokir halaman dari memuat jika skrip berbahaya telah dimasukkan dari input pengguna.
  • X-Content-Type-Options: X-Content-Type-Options adalah jenis header respons HTTP dengan nilai nosniff yang mencegah browser web dari MIME-mengendus respons dari tipe konten yang dinyatakan.
  • Kebijakan Perujuk: Kebijakan perujuk adalah tajuk respons HTTP yang mencegah kebocoran perujuk lintas domain.

Untuk menambahkan tajuk HTTP aman di WordPress, cukup tambahkan baris kode berikut ke dalam .htaccess mengajukan.

Header mengatur Strict-Transport-Security "usia maks = 31536000" env = HTTPS
Header selalu menambahkan X-Frame-Options SAMAORIGIN
Header set X-XSS-Protection "1; mode = blok"
Header mengatur X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-when-downgrade

Periksa Header Keamanan

Sekarang pergilah ke securityheaders.com untuk memeriksa apakah kode tersebut berfungsi atau tidak. Kami belum menambahkan “Kebijakan Keamanan Konten” karena dapat merusak situs Anda. Namun, itu cukup untuk membuat situs WordPress Anda aman.

Kembali ke atas

Kesimpulan

Ada banyak cara Anda bisa mengeras Keamanan WordPress seperti: menggunakan hosting WordPress yang dikelola, menggunakan kata sandi yang kuat untuk akun, memantau aktivitas pengguna, menggunakan plugin keamanan WordPress, menerapkan SSL dan HTTPS dan banyak lagi.

Keamanan WordPress Harding bukanlah ilmu roket. Anda dapat dengan mudah mengamankan situs WordPress Anda dengan menerapkan praktik terbaik keamanan WordPress yang kami bagikan di artikel ini. Dengan menerapkannya, Anda tidak hanya akan mengamankan situs WordPress Anda tetapi juga mencegah peretas mengakses situs Anda.

Setelah selesai, Anda tidak perlu khawatir tentang keamanan WordPress Anda. Apalagi Anda bisa lebih produktif dan bebas dari ketegangan.

SEKARANG giliran Anda. Baca artikel dengan seksama dan terapkan ke situs Anda. Anda akan senang Anda melakukannya. ��

Sudahkah kami melewatkan kiat keamanan WordPress penting untuk disebutkan di sini? silakan beri tahu kami di bagian komentar.

Infografis Keamanan WordPress

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map