Menyiapkan keamanan WordPress setelah instalasi. Kami merusak dan melindungi WordPress dengan tangan kami sendiri. Menentukan komponen yang terpasang

Hari ini di Nulled saya membaca artikel yang cukup bagus tentang meningkatkan keamanan situs web di WordPress. Karena teks di nulled hanya dapat dilihat oleh pengguna terdaftar dengan jumlah postingan tertentu, saya akan memposting artikel tersebut di blog saya untuk kepentingan umum 😉 Secara umum, saya juga mengundang semua orang untuk membacanya dan memberikan saran dan koreksi sendiri (jika, tentu saja ada).

1. Sebelum instalasi;
2. Setelah instalasi;
3. Pengecekan dan pembaharuan secara berkala.

1. Sebelum instalasi

1.1. Kami menghapus semua file yang tidak perlu:
readme.html, lisensi.txt, hello.php, tema dan plugin yang tidak perlu.

1.2. Mari kita edit file wp-config.php dengan benar:

mendefinisikan("DB_NAME", "wpdb"); // Daripada "wpdb" Anda harus membuat nama yang kuat, misalnya wp433Fd6HW
mendefinisikan("DB_USER", "wpuser"); // Misalnya, PenggunaFB56SKl
mendefinisikan("DB_PASSWORD", "kata sandi kuat"); // Harus ada kata sandi yang kuat, misalnya 'FE876!8e#fh#9fDfds9f'
mendefinisikan("DB_HOST", "localhost"); // Dalam 99% kasus, nilai ini tidak perlu diubah
mendefinisikan("DB_CHARSET", "utf8"); mendefinisikan("DB_COLLATE", "");

Ubah kunci rahasia dari default:

mendefinisikan("AUTH_KEY", "izmenite eto na unikalnuyu frazu");
mendefinisikan("SECURE_AUTH_KEY", "izmenite eto na unikalnuyu frazu");
mendefinisikan("LOGGED_IN_KEY", "izmenite eto na unikalnuyu frazu");
mendefinisikan("NONCE_KEY", "izmenite eto na unikalnuyu frazu");

ke yang dihasilkan menggunakan layanan

mendefinisikan("AUTH_KEY", "M.uFL(R Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
mendefinisikan("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Membuat tabel lebih aman:

$table_prefix = "wp_4i32aK_"; // Gunakan hanya huruf, angka, dan garis bawah untuk membuat awalan_tabel Anda unik. Setidaknya ini akan melindungi Anda dari beberapa eksploitasi publik.

1.3. Buat pengguna dan database untuk blog di konsol MySQL:
Pertama, login sebagai root dan buat database untuk blog:

$ mysql -u akar
mysql> BUAT database wpdb;

$ mysql -u akar
mysql> BUAT basis data wp433Fd6HW;
Kueri Oke, 1 baris terpengaruh (0,00 detik)

Lalu kita buat pengguna: akun ini hanya akan memiliki akses ke database WordPress. Kami juga dapat memastikan bahwa pengguna hanya diakses dari server lokal dan tidak dari jarak jauh.

mysql>
-> DI wpdb.*
-> KE "wpuser"@"localhost"
-> DIIDENTIFIKASI OLEH "kata sandi kuat"; Kueri Oke, 0 baris terpengaruh (0,01 detik)

Dalam contoh kita akan terlihat seperti ini:

mysql> HIBAH PILIH, MASUKKAN, UPDATE, HAPUS, BUAT, DROP
-> DI wp433Fd6HW.*
-> KE "PenggunaFB56SKl"@"localhost"
-> DIIDENTIFIKASI OLEH "FE876!8e#fh#9fDfds9f";
Kueri Oke, 0 baris terpengaruh (0,01 detik)

1.4. Hapus blok meta dari kode tema Anda
Dalam tema standar, sepotong kode yang bertanggung jawab untuk menampilkan blok meta:

Meta

• Sah XHTML


• XFN


• ">WordPress

2. Setelah instalasi

2.1. Mengubah kata sandi Administrator default
Ubah kata sandi Administrator yang dibuat selama instalasi

2.2. Menghapus versi WordPress

hapus_aksi("wp_head", "wp_generator");

Di file header.php di folder dengan tema Anda, hapus baris:

" />

Untuk WordPress versi 2.8.4, temukan implementasi fungsi get_the_generator($type) dan ubah:

fungsi get_the_generator($tipe) (
$gen = "";
return apply_filters("get_the_generator_($type)", $gen, $type);
}

2.3. Indeks.php kosong
Tempatkan file index.php kosong di folder wp-includes/, wp-content/, /plugins/

2.4. Mengubah nama pengguna Admin menjadi sesuatu yang lebih tidak terlihat
Ubah nama melalui konsol MySQL:

wp $ mysql -u PenggunaFB56SKl –p
mysql> gunakan wp;
PERBARUI wp_users SET user_login="adm" di mana user_login="admin";

Dalam contoh kita akan terlihat seperti ini:

wp $ mysql -u pengguna wpus –p
mysql> gunakan wp433Fd6HW;
PERBARUI wp_4i32aK_users SET user_login="adm234Df" di mana user_login="admin";
Kueri Oke, 1 baris terpengaruh (0,01 detik) Baris cocok: 1 Diubah: 1 Peringatan: 0

Atau, jika Anda tidak ingin dipusingkan dengan pertanyaan, Anda dapat melakukan hal berikut:

1. Buat akun baru. Nama pengguna harus unik;
2. Tetapkan peran Administrator kepada pengguna baru;
3. Login ulang sebagai Administrator baru;
4. Hapus akun Administrator lama.

2.5. Membuat peran pengguna baru
Untuk melakukan ini, Anda harus menginstal plugin terlebih dahulu di blog Anda. Plugin ini akan memberi Anda kesempatan untuk mengatur hak pengguna dengan hati-hati dan tepat. Setelah mengaktifkan plugin, Anda harus membuat pengguna sendiri terlebih dahulu. Hapus semua hak pengguna, lalu pilih dengan hati-hati hanya hak yang Anda perlukan untuk aktivitas sehari-hari (menulis postingan, memoderasi komentar, dll.). Pastikan hanya akun admin yang memiliki hak istimewa untuk mengaktifkan/menonaktifkan plugin, mengunggah file, mengelola opsi, mengganti tema, mengimpor, dll.
Jika blog Anda multi-pengguna, maka Anda perlu memikirkan hak apa yang benar-benar dibutuhkan pengguna dan membuat peran Anda sendiri berdasarkan hal ini.
Saat membuat peran, berhati-hatilah saat memberikan hak kepada pengguna seperti: pengunggahan file, akses untuk mengedit kode sumber plugin, mengaktifkan plugin, mengedit file/postingan/halaman, impor, HTML tanpa filter, karena peran ini memberikan kekuatan lebih besar kepada pengguna.

2.6. Membatasi akses ke folder wp-content dan wp-includes
Dengan menggunakan file .htaccess dan aturan khusus, kami akan melarang semuanya kecuali permintaan gambar, CSS, dan JavaScript. File .htaccess harus ditempatkan di direktori yang sesuai.

Perintah Izinkan, Tolak
Tolak dari semua

Izinkan dari semua

Anda juga dapat menambahkan file PHP tertentu untuk template dan plugin tertentu.

2.7. Menyembunyikan direktori konten-wp
Dimulai dengan WordPress 2.6, direktori wp-content dapat dipindahkan.
Ubah baris di wp-settings.php:

mendefinisikan("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
mendefinisikan("WP_CONTENT_URL","http://domain.ru/blog/wp-content");

Dan untuk menghindari masalah dengan plugin:

mendefinisikan("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
mendefinisikan("WP_PLUGIN_URL","http://domain.ru/blog/wp-conten/plugins");

2.8. Membatasi akses ke folder wp-admin
Jika Anda memiliki IP statis
Langkah ini mudah untuk blog pengguna tunggal, namun bisa sangat memusingkan bagi blog multi-pengguna. Trik ini hanya berfungsi jika Anda memiliki IP statis. File .htaccess untuk direktori wp-admin harus berisi aturan berikut:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Contoh Kontrol Akses"
Tipe Auth Dasar

perintah tolak, izinkan
menyangkal dari semua
izinkan dari a.b.c.d. #IP statis Anda

Tempatkan file di direktori wp-admin dan coba akses folder ini melalui proxy. Jika semuanya berfungsi dengan benar, akses akan ditolak. Setelah itu, coba login dari IP Anda.

Membatasi akses dengan kata sandi
Mungkin lebih baik mengakses folder wp-admin dengan kata sandi. Artinya, Anda dapat mengakses panel admin dari mana saja. Ini juga merupakan opsi jika Anda memiliki IP dinamis.
File .htaccess untuk direktori wp-admin harus berisi aturan berikut:

#File.htpasswd terletak di luar direktori root blog Anda

Dokumen Kesalahan 401 bawaan
AuthUserFile /srv/www/user1/.htpasswd
Tipe Auth Dasar
NamaOtentikasi "Dasbor WordPress"

memerlukan pengguna adminpengguna #Buat nama pengguna yang aman


membutuhkan pengguna yang valid

Buat kata sandi dengan perintah:

$ htpasswd -cm .htpasswd pengguna admin

Atau gunakan layanan untuk menghasilkan kata sandi. Berikut ini contoh untuk pengguna: admin, kata sandi: tes

admin:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

Sebaiknya letakkan file .htpasswd pada direktori di atas root blog.

2.9. file wp-config.php
Opsi satu: untuk melindungi data Anda, Anda perlu memindahkannya ke folder di atas, WordPress akan secara otomatis memeriksa direktori di atas jika tidak menemukan wp-config.php di root-nya.
Jika karena alasan tertentu Anda tidak dapat melakukan apa yang dijelaskan di atas, maka ada pilihan lain. Yaitu, lindungi wp-config.php Anda menggunakan .htaccess:

# lindungi wpconfig.php

Pesanan ditolak, izinkan
menyangkal dari semua

2.10. Mengatur izin yang benar untuk file dan folder
Aturan dasar:

1. Untuk file - 644
2. Untuk folder - 755

Dari shell, operasi ini dapat dilakukan dengan menggunakan:

CD
temukan (jalur Anda) -ketik d -exec chmod 755 '()' \
temukan (jalur Anda) -ketik f -exec chmod 644 '()' \

2.11. SSL untuk admin
Jika server Anda mendukung SSL, lebih baik amankan akses ke panel admin. Untuk melakukan ini, di file wp-config.php, hapus komentar di baris:

mendefinisikan('FORCE_SSL_ADMIN', benar);

2.12. Hapus Keluaran Log WordPress
Di file function.php di folder dengan tema Anda, tambahkan baris:

add_filter("login_errors",create_function("$a", "kembalikan null;"));

2.13. Kami melarang pengindeksan menggunakan Robots.txt
Anda dapat memeriksa kebenarannya di

2.14. Plugin untuk keamanan Anda
Masuk Penguncian- Tetapkan jumlah login palsu
Ada dua solusi untuk ini dalam bentuk dan plugin. Setelah plugin diaktifkan, plugin mencatat semua upaya login. Plugin ini memungkinkan Anda untuk melarang pengunjung login selama waktu tertentu setelah pengunjung salah memasukkan kata sandi beberapa kali.

Belavir– Memantau perubahan pada file kunci php

WPID– Kami menentukan tanda-tanda implementasi

Pemindai Keamanan Online WordPress– Memindai blog untuk mencari kerentanan

Akismet– Memerangi AIDS dan SPAM

SpamBam– Tentukan apakah klien menggunakan browser yang valid

3. Pengecekan dan pembaharuan secara berkala

3.1. Terus perbarui WordPress
3.2. Selalu perbarui plugin
3.3. Nantikan pembaruan keamanan

3.4. Periksa kebocoran kode tema dan plugin yang ingin Anda tambahkan
3.5. Perangi spam
3.6. Secara teratur buat cadangan penuh database blog Anda
3.7. Baca blog pengembangan
Daftar kecil:

Kebanyakan orang berpikir bahwa situs WordPress mereka aman hanya karena tidak ada konten yang layak untuk diretas. Sayangnya, tidak demikian. Situs web sering kali diretas, misalnya untuk menyebarkan spam. Atau file inti dan tema diisi dengan kode berbahaya untuk menginfeksi dan meretas komputer pengunjung situs Anda. Mungkin saja Anda baru menyadari kerusakannya ketika Google atau Yandex telah menandai situs Anda atau menghapusnya dari indeks. Jangan biarkan ini terjadi dan pertimbangkan tips saya untuk wp-config.php yang sempurna.

Ada banyak cara untuk melindungi situs WordPress Anda dari peretasan. Optimalisasi dapat dianggap sebagai bagian penting dari strategi keamanan yang baik. Tentu saja, situs tersebut tidak akan berubah menjadi Bank, tetapi Anda telah mempersulit peretas.

Untuk mengoptimalkan wp-config.php, digunakan apa yang disebut konstanta. WordPress memiliki banyak konstanta yang dapat digunakan. Tapi apa itu konstanta? PHP.net menjelaskan konstanta sebagai berikut:

Konstanta adalah pengidentifikasi (nama) untuk nilai sederhana. Seperti namanya, nilai ini tidak dapat berubah selama eksekusi skrip (untuk konstanta ajaib yang sebenarnya bukan apa pun selain konstanta). Konstanta ini peka huruf besar-kecil secara default. Berdasarkan konvensi, pengidentifikasi persisten selalu dalam huruf besar.PHP.net

Konstanta dibangun ke dalam fungsi mendefinisikan(), dan terlihat seperti ini: mendefinisikan("NAME_OF_THE_CONSTANT", value);

wp-config.php adalah file kontrol untuk WordPress. Itu dimuat sebelum semua file lainnya karena WordPress perlu mengatur koneksi database. Informasi yang diperlukan ada di file konfigurasi. Saat Anda mengubah nilai sebuah konstanta, atau menambahkan sebuah konstanta, Anda juga dapat mengubah perilaku WordPress.

Sebelum bekerja: harap buat salinan cadangan wp-config.php

Sebelum Anda mulai mengedit file wp-config.php, buatlah salinan cadangan file ini. Situs Anda tidak akan berfungsi dengan entri yang salah atau hilang.

Penting: Selalu perbarui WordPress dan plugin

Anda mungkin pernah mendengarnya beberapa kali. Namun aspek ini sangat penting sehingga saya tidak dapat mengulanginya cukup sering. Banyak sekali situs yang diretas karena WordPress atau plugin tidak diperbarui. Pembaruan adalah jaminan terbaik terhadap peretasan!

Situasi keamanan:

Pakar keamanan Sucuri kini diperingatkan tentang kelemahan keamanan pada plugin Jetpack yang populer untuk WordPress. Kode berbahaya dapat diimplementasikan menggunakan fungsi penyematan kode pendek. Automattic memang akan segera merespon dan merilis versi baru.

Cara menutup celah keamanan untuk saat ini:

Jika Anda menggunakannya, Anda tidak dalam bahaya. Ada firewall 6G besar yang dapat menangkis serangan jenis ini.

Persiapan:

Untuk semua pekerjaan selanjutnya, Anda memerlukan program, serta editor HTML. wp-config.php diunduh ke desktop, diedit dalam editor HTML, dan diunggah kembali ke server.

1 – Gunakan kunci keamanan

Kunci keamanan di WordPress sangat penting, seperti mengenkripsi hal-hal seperti informasi login di cookie. Bahkan jika di dalam dirimu wp-config.php sudah ada, menggantinya setelah beberapa saat tidak ada salahnya. Saat kunci diubah, semua pengguna akan keluar dari situs mereka. Anda kemudian akan dapat login kembali menggunakan nama pengguna dan kata sandi Anda.

Namun, jika situs tersebut telah diretas, Anda harus menghapus kode berbahaya tersebut terlebih dahulu dari situs Anda. Panduan mengenai hal ini dapat ditemukan dalam informasi tambahan mengenai aspek ini. Setelah itu, kunjungi generator kunci keamanan WordPress dan salin set baru. Ganti bagian lama dengan yang baru - lihat tangkapan layar:

Jika Anda belum menerapkan kunci keamanan, sekarang saat yang tepat untuk melakukannya.

Informasi tambahan:

2 – penggunaan HTTPS secara paksa

Sertifikat SSL mengenkripsi koneksi antara situs Anda dan browser pengunjung. HTTPS membuat peretas tidak mungkin menjebak dan mencuri data pribadi. Jika Anda sudah memiliki sertifikat SSL untuk situs Anda, Anda dapat memaksanya menggunakan HTTPS, bukan HTTP. Ini meningkatkan keamanan situs Anda secara signifikan. Jika Anda tidak memiliki sertifikat SSL, Anda sebaiknya mempertimbangkan untuk menggunakannya secara serius.

Anda tidak perlu takut dengan pengeluaran yang besar, karena...

Entri berikut harus digunakan ketika situs Anda sudah menggunakan SSL. Login atas untuk login aman, sedangkan login bawah memaksa browser untuk menggunakan SSL saja.

Pada setiap instalasi WordPress, Anda dapat mengedit file tema dan plugin langsung di admin area. Dalam item menu “Tampilan” dan “Plugin” Anda akan menemukan editor yang sesuai untuk setiap file. Editor ini sangat berbahaya jika jatuh ke tangan hacker. Data mungkin hancur dan virus, trojan, spam, dan malware lainnya dapat ditambahkan. Namun editor juga penting bagi administrator website. Satu-satunya kesalahan, satu titik koma hilang adalah semua yang diperlukan agar halaman putih muncul dan tidak ada lagi yang berfungsi.

3 – Mengubah awalan database

Awalan basis data juga dikenal sebagai awalan tabel. Awalan ini digunakan sebagai ekstensi untuk setiap tabel database yang dihasilkan oleh WordPress. Berikut standarnya wp_. Standar ini harus diubah ke yang lain. Semakin misterius, semakin baik. Jangan khawatir; Anda tidak perlu mengingat apa yang Anda masukkan di sini. Nilai ini ditempatkan satu kali.

Memikirkan hal ini mengurangi kemungkinan injeksi SQL hingga nol. Tapi itu mungkin. Jadi, ubah nilainya sebelum menginstal WordPress. Gunakan sesuatu seperti fdf2a7r_, Misalnya.

Perhatian: Jika Anda mengubah nilai instalasi WordPress yang ada, situs web tidak akan dapat diakses!

Jika Anda ingin mengubah awalan tabel situs WordPress yang ada, plugin Acunetix WP Security dapat membantu Anda. Ini memungkinkan Anda mengubah nilainya dengan mudah dan yang perlu Anda lakukan hanyalah masuk lagi. Namun, Anda tetap harus membuat cadangan terlebih dahulu.

4 – Matikan editor plugin dan tema

Perubahan pada file tema atau plugin biasanya dilakukan menggunakan (S)FTP karena jauh lebih aman. Jadi editor harus dimatikan. Satu baris di wp-config.php sudah cukup untuk menonaktifkan kedua editor dengan aman:

5 – Pindahkan wp-config.php

wp-config.php adalah jantung dari situs web Anda. Semua data yang relevan, termasuk kata sandi basis data, dimasukkan di sana. Inilah sebabnya mengapa sangat penting untuk menjaga file ini seaman mungkin. Ada dua pendekatan untuk ini. Blok akses pertama menggunakan file .htaccess. Pendekatan kedua memindahkan file ke lokasi lain yang tidak diharapkan oleh peretas.

• Memindahkan ini bisa menjadi masalah jika situs berada pada sub-domain dan Anda menggunakan hosting bersama yang murah.
• Ini juga bisa menjadi sulit jika Anda memiliki banyak situs web di direktori pengguna. Jika tidak ada poin yang sesuai untuk Anda, Anda dapat memindahkan file.

Jika Anda telah mengonfigurasi jalur ke WP-config.php dengan benar, situs Anda akan berfungsi.

6 – memaksa penggunaan FTPS

Jika host web Anda telah mengaktifkan File Transfer Protocol Secure (FTPS), Anda dapat memaksa penggunaan FTPS untuk transfer file. Ini akan mengenkripsi komunikasi antara pengunjung dan server. Sekarang, tidak mungkin mengakses data di server dari protokol yang tidak aman. FTP tidak aman karena akses informasi dikirimkan ke server dalam bentuk tidak terenkripsi. Oleh karena itu, jika memungkinkan, gunakan hanya koneksi aman melalui FTPS. Host web Anda dapat memberi tahu Anda jika koneksi FTPS memungkinkan.

Memaksa penggunaan FTPS itu sederhana:

7 – penggunaan SFTP secara paksa

Alih-alih protokol FTPS, beberapa hoster telah mengaktifkan protokol SFTP untuk transfer data. Di sini komunikasi antara program pengguna FTP dan server juga dienkripsi. Baris kode berikut memungkinkan Anda untuk memaksa penggunaan SFTP:

8 – Nonaktifkan mode debug

Jika Anda telah mengaktifkan mode debug WordPress untuk tujuan pengembangan, sangat penting untuk mematikannya. Dalam beberapa kasus, mode debugging aktif dapat mengirimkan data sensitif yang dapat membantu peretas melakukan tugasnya. Inilah sebabnya mengapa mode debugging sangat berbahaya pada sistem live. Saya membuat kesalahan kecil dan bodoh ini; orang melupakan sesuatu dengan cepat. Itu sebabnya Anda harus mengambil tindakan cepat untuk memeriksanya. Nonaktifkan mode debug:

9 – Matikan indikasi kesalahan PHP

Jika karena alasan tertentu Anda perlu mengaktifkan mode debug, saya sarankan mematikan tampilan pesan kesalahan publik. Pesan kesalahan yang sesuai juga dapat ditulis ke log, yang tidak dapat diakses oleh masyarakat umum. Ini adalah pilihan yang jauh lebih aman dan elegan. Konstanta ini diperlukan untuk keluar dari mode kesalahan WordPress dan juga mencegah kesalahan ditampilkan kepada pihak ketiga:

10 – Aktifkan fitur pembaruan otomatis

Seperti yang saya sebutkan sebelumnya, segera memperbarui inti WordPress Anda dan semua plugin sangat penting untuk menjaga keamanan sistem Anda. Dengan setiap versi baru WordPress yang dirilis, lubang keamanan pendahulunya terungkap di Internet. Hal ini memberikan seorang peretas landasan yang kuat untuk dapat meretas situs Anda. Oleh karena itu, kekurangan-kekurangan tersebut harus diatasi secepat mungkin.

Seperti WordPress versi 3.7, memiliki pembaruan keamanan yang lebih kecil dan dilakukan secara otomatis. Namun, hal ini tidak berlaku untuk versi awal pembaruan besar. Versi utama masih perlu diperbarui secara manual. Namun, mengaktifkan pembaruan otomatis untuk semua versi WP sangatlah mudah:

Omong-omong, ini juga dapat diperbarui secara otomatis menggunakan plugin. Namun, ini memerlukan sedikit usaha. Ini memerlukan pembuatan plugin:

Plugin ini harus dipindahkan ke folder /wp-content/mu-plugins/. Jika foldernya tidak ada, buat saja. Folder /mu-plugins/ berisi plugin “bekas”. Isinya dimuat oleh semua orang dengan plugin lain.

Pembaruan tema otomatis dapat dilakukan dengan cara yang sama. Untuk melakukan ini, plugin harus diperluas dengan baris berikut:

Harap dapatkan informasi tentang plugin otomatis ini terlebih dahulu, dan hanya gunakan kode jika Anda tahu persis fungsinya. Tentu saja, kedua filter tersebut sejauh ini hanya mampu mendukung plugin dan tema yang berasal dari rilis resmi WordPress. Tema dan plugin dari sumber lain tentu saja tidak akan diupdate.

Informasi tambahan:

Kesimpulan

Semua aspek ini bersama-sama akan meningkatkan keamanan WordPress Anda dan harus menjadi bagian dari strategi keamanan yang baik. Fakta bahwa WordPress adalah sistem manajemen konten paling populer di dunia menarik banyak peretas. Situasinya dapat dibandingkan dengan komputer OS Windows. Pada sistem operasi Windows, instal perangkat lunak antivirus, dan WordPress memerlukan sedikit pekerjaan manual. Namun keuntungan keamanannya pasti sepadan.

• Terjemahan

Area administratif aplikasi web apa pun telah lama menjadi target favorit para peretas, dan keamanannya menjadi perhatian besar bagi pengembang. Ini juga berlaku untuk WordPress - saat memasang blog baru, sistem membuat akun administrator dengan kata sandi unik yang dibuat secara acak secara real-time, yang memblokir akses semua orang ke pengaturan sistem, mengontrolnya menggunakan halaman otorisasi.

Artikel ini difokuskan pada penguatan keamanan WordPress - baik panel admin maupun pengaturan blog, artinya seluruh isi folder "wp-admin", yang hanya ditampilkan setelah otorisasi. Kami sengaja menekankan kalimat “ setelah otorisasi" - Anda harus memahami dengan jelas bahwa hanya satu permintaan sederhana yang memisahkan "peretas jahat" dari admin seluruh blog atau situs web Anda! Dan yang terakhir hanya dilindungi sekuat kata sandi yang Anda pilih.

Untuk mempersulit tugas peretas, kami menawarkan serangkaian operasi yang dapat Anda lakukan secara manual. Solusi ini tidak menjamin perlindungan 100%, namun dengan bantuannya Anda akan meningkatkan keamanan blog Anda secara signifikan.

1. Ganti nama folder wordpressnya.

Sejak versi 2.6, jalur folder dapat diubah konten-wp. Sayangnya hal ini masih belum bisa diterapkan pada folder tersebut wp-admin. Para blogger yang sadar akan keamanan menerima hal ini dan mulai berharap bahwa hal ini dapat dilakukan pada versi mendatang. Sampai hal ini terjadi, kami menyarankan untuk menggunakan solusi alternatif berikut untuk masalah tersebut. Setelah membongkar arsip dengan file WordPress, Anda akan melihat folder "WordPress" - ganti nama folder tersebut (idealnya menjadi sesuatu yang tidak jelas seperti " wordpress_live_Ts6K" ) dan kemudian konfigurasikan file yang sesuai wp-config.php, yang terletak di direktori root.
Apa manfaat perubahan ini bagi kita?

• Pertama, semua file WordPress tidak akan tercampur dengan file lain di root situs, sehingga meningkatkan kejelasan level root.
• Kedua, beberapa salinan WordPress dapat diinstal secara paralel dalam folder dengan nama berbeda, menghilangkan interaksinya, sehingga ideal untuk pengujian
• Keuntungan ketiga secara langsung menyangkut keamanan: area administratif (dan seluruh blog secara keseluruhan) tidak lagi berada di folder root dan untuk melakukan tindakan peretasan apa pun, Anda harus menemukannya terlebih dahulu. Ini merupakan masalah bagi manusia, tetapi bagi bot, ini hanya masalah waktu.

Beberapa versi terinstal di direktori root - itu mungkin!

Catatan: Jika file sistem WordPress tidak lagi berada di direktori root, dan nama folder instalasi diubah sesuai rekomendasi yang dijelaskan di atas, blog akan tetap tersedia di wp-config.ru. Mengapa? Buka bagian “Pengaturan umum” blog Anda dan masukkan alamat blog asli di server di kolom “Alamat WordPress (URL)”, seperti yang ditunjukkan pada contoh:

Alamat blog harus indah dan tidak mengganggu

Ini akan memungkinkan blog ditampilkan di alamat virtual yang bagus.

2. Perbaiki file wp-config.php

File Konfigurasi WordPress wp-config.php berisi beberapa pengaturan situs dan informasi untuk mengakses database. Ada juga pengaturan terkait keamanan lainnya (disajikan dalam daftar di bawah). Jika tidak ada nilai seperti itu dalam file ini, atau hanya nilai default, Anda perlu menambahkan atau mengubahnya sesuai:

• Kunci Keamanan: Pada versi 2.7, WordPress memiliki empat kunci keamanan yang harus diatur dengan benar. WordPress menyelamatkan Anda dari keharusan membuat baris-baris ini sendiri, secara otomatis menghasilkan kunci yang benar dari sudut pandang keamanan. Anda hanya perlu menempelkan kunci ke baris file yang sesuai wp-config.php. Kunci-kunci ini adalah wajib untuk menjamin keamanan blog Anda.
• Awalan tabel blog WordPress yang baru diinstal tidak boleh standar "wp_" Semakin kompleks nilai awalannya, semakin kecil kemungkinan terjadinya akses tidak sah ke tabel di database MySQL Anda. Dengan buruk: $table_prefix = "wp_"; . Jauh lebih baik: $table_prefix = "wp4FZ52Y_"; Jangan takut untuk melupakan nilai ini - Anda hanya perlu memasukkannya sekali, Anda tidak memerlukannya lagi.
• Jika tersedia di server Anda Enkripsi SSL, disarankan untuk mengaktifkannya untuk melindungi zona administratif. Hal ini dapat dilakukan dengan menambahkan perintah berikut ke file wp-config.php: mendefinisikan("FORCE_SSL_ADMIN", benar);

Anda juga dapat menyesuaikan pengaturan sistem lainnya di file konfigurasi. Daftar pengaturan yang tersedia secara jelas dan lengkap tersedia di halaman Kode

Jangan lalai memasang kunci keamanan yang benar!

3. Pindahkan file wp-config.php

Juga sejak versi 2.6, WordPress memungkinkan Anda memindahkan file wp-config.php ke tingkat tertinggi. Karena file ini berisi lebih banyak informasi penting daripada yang lain, dan karena selalu lebih sulit untuk mengakses folder root server, masuk akal untuk menyimpannya di direktori selain file lainnya. WortdPress secara otomatis akan mencari folder tertinggi saat mencari file wp-config.php. Segala upaya pengguna untuk mengonfigurasi jalurnya sendiri tidak ada gunanya.

4. Lindungi file wp-config.php

Tidak semua server ISP mengizinkan Anda mentransfer data ke tingkat yang lebih tinggi daripada direktori root. Dengan kata lain, tidak semua orang mempunyai hak yang cukup untuk menyelesaikan langkah sebelumnya. Atau karena alasan lain: misalnya, jika Anda memiliki beberapa blog, dengan struktur folder tertentu Anda tidak akan dapat meletakkan semua file di root, karena namanya akan sama untuk setiap blog. Dalam hal ini kita dapat menolak akses ke file tersebut wp-config.php secara eksternal menggunakan file .htaccess. Berikut kode untuk ini:

# lindungi wpconfig.php
Perintah ditolak, izinkan penolakan dari semua

Sangat penting untuk memastikan bahwa file tersebut .htaccess berada di direktori yang sama dengan file wp-config.php.

5. Hapus akun administrator.

Selama proses instalasi, WordPress membuat akun administrator dengan nama pengguna “admin” secara default. Di satu sisi, ini cukup logis, di sisi lain, pengguna dengan nama panggilan terkenal, yaitu. ID - 1, yang memiliki hak administratif, adalah target yang sepenuhnya dapat diprediksi oleh peretas dengan program penebak kata sandinya. Ini saran kami:

• Buat pengguna lain dengan hak administratif dan nama panggilan Anda.
• Akhiri sesi kerja Anda.
• Masuk dengan akun baru.
• Hapus akun anda" admin".

Jika Anda belum memiliki blog baru dan di bawah akun admin Jika Anda telah memublikasikan postingan atau komentar, maka dari opsi yang diusulkan pada saat penghapusan, pilih “Tautkan semua postingan dan tautan ke:” dan pilih nama pengguna baru:

Catatan: Idealnya, login pengguna baru sebaiknya berbeda dengan nama pengguna yang ditampilkan di postingan, sehingga tidak ada yang mengenali login Anda.

6. Pilih kata sandi yang kuat.

Kemungkinan dan frekuensi potensi serangan secara langsung bergantung pada popularitas blog. Dan disarankan untuk memastikan hingga saat ini bahwa tidak ada tautan lemah dalam rantai keamanan yang tersisa di situs Anda.

Seringkali, kata sandi adalah mata rantai terlemah dalam rantai ini. Mengapa? Cara sebagian besar pengguna memilih kata sandi sering kali tidak bijaksana dan ceroboh. Banyak penelitian menunjukkan bahwa sebagian besar kata sandi adalah kata-kata yang sudah ada dengan satu suku kata, diketik dengan huruf kecil, yang tidak sulit ditebak. Program penebak kata sandi bahkan memiliki daftar kata sandi yang paling umum digunakan.

WordPress telah menerapkan indikator intuitif tentang kekuatan kata sandi yang Anda ketikkan, yang menunjukkan tingkat kerumitannya dalam warna:

7. Lindungi folder “wp-admin”.

Mengikuti pepatah “dua kepala lebih baik dari satu”, ada cara untuk menggandakan keamanan wilayah administratif. Keamanan diatur oleh file .htaccess, yang seharusnya ada di folder tersebut "wp-admin" beserta filenya .htpasswd, yang menyimpan login dan kata sandi pengguna. Setelah mengakses folder tersebut, Anda harus memasukkan nama pengguna dan kata sandi Anda, tetapi perbedaannya adalah dalam hal ini, otorisasi dikontrol di sisi server, dan bukan oleh WordPress itu sendiri.

Untuk menghasilkan file dengan mudah dan cepat .htaccess Dan .htpasswd, menggunakan layanan ini .

8. Nonaktifkan tampilan kesalahan pada halaman login.

Halaman login WordPress adalah pintu ke area administratif blog Anda, yang dapat diakses setelah verifikasi bebas kesalahan. Setiap pengguna memiliki jumlah upaya login yang tidak terbatas, dan setiap kali, secara default, WordPress yang membantu menunjukkan dengan tepat apa kesalahannya. Artinya, jika login yang dimasukkan ternyata salah, WordPress akan mengatakannya. Ini nyaman bagi pengguna, tetapi juga bagi peretas.

Sangat mudah untuk menebak seberapa cepat kemungkinan memilih kombinasi login/kata sandi berkurang ketika sistem menunjukkan apa yang salah dimasukkan. Baris kode sederhana akan membantu mengatasi masalah ini, cukup tambahkan ke file fungsi.php topik Anda:

Add_filter("login_errors",create_function("$a", "return null;"));

Tampilan halaman login asli/berubah.

9. Batasi jumlah upaya login yang gagal.

WordPress tidak menyimpan statistik otorisasi, baik yang berhasil maupun yang gagal. Hal ini sangat merepotkan administrator, karena dia tidak dapat melihat apakah ada upaya akses tidak sah untuk mengambil tindakan jika upaya tersebut menjadi lebih sering. Kami menawarkan dua solusi: plugin

Saya ingin mencatat bahwa akhir-akhir ini, saya menerima lebih sedikit permintaan mengenai pengaturan keamanan, menghilangkan ancaman dan virus. Dan lebih sedikit topik serupa yang dibuat di forum.

Entah kualitas kodenya sudah stabil, atau pemilik situs sudah meningkatkan tanggung jawabnya. Saya berharap kedua faktor tersebut berperan.

Namun, ancaman infeksi selalu ada, jadi perlindungan situs Anda harus mendapat perhatian.

Alasan terjadinya peretasan dalam praktiknya ada pada dua hal:

• plugin yang ditinggalkan dan tidak didukung- Anda selalu perlu menginstal pembaruan;
• terkait dengan kata sandi dan hak— Anda perlu mengaturnya dengan benar satu kali dan menaatinya;

Setiap situs web rentan terhadap peretasan, jadi satu-satunya cara untuk benar-benar melindungi diri Anda adalah dengan membuat cadangan.

Dengan serius.

Siapkan pembuatan cadangan! Mungkin menggunakan plugin, atau langsung di hosting anda..

Secara harfiah, baru-baru ini saya merusak file media saya sebagai akibat dari eksperimen bodoh, tetapi dengan salinan yang tersedia, saya dapat memulihkan database dalam beberapa menit.

Cara mengatur jadwal bergantung pada apa dan seberapa sering perubahan spesifik terjadi di situs Anda.

Jangan sertakan kode yang tidak perlu

WordPress sangat fleksibel dan dapat diperluas. Ini adalah kesempatan yang luar biasa. Namun di sisi lain, pemilik situs web yang giat dan tidak terlalu paham teknologi dapat dengan cepat membebani situs web mereka dengan kode yang tidak diperlukan.

Pertama, ini berdampak pada kinerja situs. .
Kedua, itu menempatkan Keamanan situs Anda terancam infeksi virus dan meningkatkan kemungkinan peretasan.
Ketiga, Anda hanya perlu lebih banyak waktu untuk administrasi dan dukungannya. Saat Anda memasang plugin atau fungsionalitas baru untuk suatu tema, evaluasi kebutuhan sebenarnya.

Pertanyaan yang bagus mungkin:

• Bagaimana cara saya keluar dari plugin baru ini? Mungkin Anda akan melihat opsi alternatif, atau Anda tidak perlu menggunakannya sama sekali.
• Untuk apa sebenarnya saya memerlukan plugin ini? Manfaat apa yang akan saya dapatkan dari menggunakannya?

Untuk situs web yang berfungsi penuh, cukup memiliki sekitar sepuluh plugin yang paling diperlukan (yang mencakup plugin SEO, plugin perlindungan situs, plugin caching, antispam, formulir kontak, dan mungkin ada beberapa plugin khusus untuk strukturnya. situs Anda atau kontennya).
Jika ada 30-50 plugin yang terpasang di situs Anda, maka Anda jelas melakukan kesalahan.

Selain itu, tidak cukup hanya menonaktifkan plugin yang tidak digunakan; yang terbaik adalah menghapusnya sepenuhnya. Seiring dengan tema yang tidak terpakai.

Ikuti prinsip sederhana namun efektif:

Lebih sedikit kode, lebih sedikit masalah.

Jangan memberikan hak kepada peserta lain yang melebihi tanggung jawabnya

Mari kita luruskan ini. Tidak ada orang yang bertanggung jawab atas keamanan situs Anda seperti Anda.
Jika Anda memberikan akun atau peran administratif kepada seseorang yang Anda percayai, Anda membahayakan keamanan situs Anda secara signifikan. Saya tidak mengatakan bahwa orang yang Anda beri hak tinggi akan dengan senang hati meretas situs Anda, namun dia mungkin memfasilitasi hal ini tanpa niat apa pun. Pikirkan fakta bahwa komputernya mungkin tidak terlindungi seperti milik Anda (misalnya, antivirus yang berfungsi tidak diinstal), dan semua upaya Anda untuk melindungi situs tersebut akan sia-sia.

Batasi peran yang Anda berikan kepada orang lain. Jika Anda hanya ingin seseorang menerbitkan artikel, Anda tidak memerlukan akun administrator sama sekali.
Namun ada kalanya Anda memang perlu memberikan hak penuh. Misalnya, Anda meminta seorang freelancer untuk mengubah kode di situs.
Dalam hal ini, segera setelah pekerjaan selesai, buat kata sandi baru yang kuat dan juga buat kunci rahasia baru untuk WordPress untuk menghapus cookie yang berfungsi sepenuhnya.

Perbarui situs dan plugin Anda

Di awal artikel ini saya sudah mencatat masalah ini sebagai sumber utama ancaman terhadap pengoperasian situs.

Setiap hari, jutaan situs web diserang. Hal ini memungkinkan pengembang dengan cepat menemukan kerentanan berbahaya dan memperbaikinya di pembaruan mendatang. Namun jika Anda mengabaikan aturan ini, suatu saat Anda bisa menjadi korban peretasan.
Dalam kebanyakan kasus, pembaruan terjadi dengan lancar, Anda hanya perlu melihat halaman perubahan, di mana penulis dapat menunjukkan beberapa catatan penting mengenai peningkatan, perbaikan bug, dan kerentanan.

Jika Anda menginstal lebih dari 30-50 plugin, maka proses update tidak memakan banyak waktu, dan biasanya terjadi 2-3 kali dalam sebulan. Harga wajar untuk tidur malam yang nyenyak.

Kebetulan pengembang pemula yang malas mengedit file plugin secara langsung dan memperbaruinya menjadi sulit. Namun hal ini tidak dapat dihindari dengan satu atau lain cara.

Masalah yang sama terjadi dengan tema premium, yang menyertakan plugin premium tambahan seperti Visual composer, Revolution slider, Layer slider, dan sebagainya.

Pemilik menyesuaikan situs, membuatnya berfungsi sesuai keinginan mereka, dan tentu saja takut untuk memperbaruinya.
Dalam praktiknya, setelah enam bulan atau satu tahun, situs-situs tersebut mulai berantakan: ada yang diperbarui, ada yang belum, timbul konflik, rem, dll.

Ini adalah situasi yang umum, jadi perhatikan dua hal:

• membuat tema anak— hanya hitungan menit, namun membantu memperbarui dengan mudah di masa mendatang;
• mencoba yang terbaik jangan mengedit banyak kode di tema— jika ini perlu, mungkin lebih baik menulis fungsionalitas tambahan?

Tentu saja lebih mudah untuk memperbaiki kode langsung di tema, tetapi Anda kehilangan pembaruan. Melindungi diri Anda sendiri dalam hal ini adalah prioritas yang lebih tinggi.

Tetapkan kata sandi yang kuat

Kata sandi yang kuat membantu Anda menghindari serangan brute force, yaitu seseorang yang menebak kata sandi Anda. Jika kata sandi Anda hanya berisi 3-4 karakter, dan Anda menggunakan login admin, maka situs Anda dapat diretas dalam waktu kurang dari 1 menit! Pikirkan tentang itu.

5-6 karakter dalam kata sandi juga tidak cukup; kata sandi yang baik dimulai dengan 8 karakter. Selain itu, sangat penting untuk tidak menggunakan kata-kata sederhana dari kamus, tetapi menggunakan kombinasi huruf dalam berbagai huruf, angka, tanda baca, dan karakter khusus.

Tentu saja, kata sandi seperti itu tidak mudah dibuat, apalagi diingat dan digunakan. Di sini aplikasi otomatis akan membantu Anda: 1password, keepass, lastpass. Pilih satu dan biarkan mereka mengurus penyimpanan kata sandi Anda.

Gunakan sumber terpercaya

Jika Anda mengunduh add-on dari situs pihak ketiga, terutama di semua jenis wareznik dan torrent gratis, Anda sangat membahayakan pengoperasian situs Anda.

Sekalipun Anda mengunjungi halaman plugin atau tema yang Anda perlukan, dan menurut Anda pembuatnya dapat dipercaya, kenyataannya tidak demikian. Mengapa?

Karena kode plugin ini belum diuji fungsionalitas dan kerentanannya dengan cara apa pun, seperti yang dilakukan oleh tim pengembangan dan komunitas di situs https://wordpress.org/plugins/, dan kemungkinan besar, mungkin berisi kode berisiko bahkan tanpa niat apa pun dari penulisnya.

Sebagai langkah untuk meningkatkan keamanan WordPress instal plugin dan tema dari repositori resmi, atau dari repositori perusahaan yang sangat besar, yang integritas dan reputasinya Anda yakini.

Aktifkan antivirus di komputer Anda

Tanpa antivirus yang bagus, pekerjaan yang aman di komputer mungkin tidak terpikirkan. Saya tidak akan merekomendasikan salah satu dari ini, tetapi aturan praktis yang baik adalah menggunakan merek yang memiliki reputasi baik, dan lebih disukai merek dengan layanan lengkap.
Antivirus yang baik memperbarui kode dan basis data anti-virusnya secara mandiri, sehingga Anda praktis tidak perlu memantau pengoperasiannya.

Jangan memasukkan kata sandi di area Wi-Fi publik

Di tempat umum yang memiliki Wi-Fi, siapa pun dapat mencegat lalu lintas, dan jika tidak dienkripsi, penyerang dapat dengan mudah memperoleh informasi Anda.

Gunakan metode transmisi terenkripsi. Buat dan konfigurasikan sertifikat SSL untuk situs web Anda, Anda akan merasa tenang mengetahui bahwa Anda telah melindungi situs web Anda dan data pengguna Anda.

File dan direktori sistem yang dilindungi

• Izin yang benar pada file dan direktori

Tetapkan izin ke 644 untuk file, dan 755 untuk direktori, yaitu entri hanya tersedia untuk pemilik - Anda. Hal ini mengurangi risiko potensi ancaman, terutama pada shared hosting.
Anda dapat mengubah hak secara manual melalui panel kontrol hosting, atau melalui klien ftp.

Jika Anda memiliki akses shell, Anda dapat memberikan izin menggunakan dua perintah.

Untuk katalog:

Temukan /path_to_your_wordpress_folder/ -type d -exec chmod 755 () ;

Untuk file:

Temukan /path_to_your_wordpress_folder/ -type f -exec chmod 644 () ;

• Melindungi file dan direktori penting - (wp-admin/, wp-config.php, wp-login.php, wp-includes)

Lindungi /wp-admin/.
Konsol manajemen situs Anda terbuka di alamat ini.

Di beberapa situs hosting, Anda dapat membuat kata sandi untuk folder ini langsung di panel kontrol

Atau Anda bisa melakukannya secara manual.
Untuk melakukan ini, Anda perlu menggunakan pembuat file htpasswd, lalu salin file yang dihasilkan ke server Anda, misalnya di direktori di atas instalasi wordpress Anda.

Langkah terakhir adalah membuat atau membuka file .htaccess di folder root situs Anda, dan masukkan kode berikut ke dalamnya:

AuthName "Konsol Wordpress" AuthUserFile /path_to_your_file/htpasswd AuthGroupFile /dev/null AuthType dasar memerlukan nama pengguna pengguna

Ganti nilai yang diperlukan.

Melindungi file wp-login.php.

Jika Anda perlu membatasi login berdasarkan alamat IP, masukkan arahan berikut di file .htacesss:

Perintah ditolak, izinkan Tolak dari semua Izinkan dari xxx.xxx.xxx.xxx

Jadi, pertama-tama Anda menolak akses dari semua sumber, lalu Anda membuka akses hanya untuk ip tertentu. Urutannya penting.

Melindungi file wp-config.php.

Pindahkan file ini dari folder root wordpress Anda ke folder yang lebih tinggi. Tetapkan izin file ke 400 atau 440, sehingga hanya izin baca yang tersedia untuk Anda dan server Anda.

Jika Anda tidak dapat mentransfer file, sertakan kode berikut di bagian paling atas .htaccess, yang akan menonaktifkan akses ke wp-config.php sepenuhnya:

Perintah izinkan, tolak tolak dari semua

Perlindungan wp-termasuk/.

Untuk lebih meningkatkan keamanan WordPress, Anda dapat membatasi eksekusi
skrip di folder wp-include/. Tambahkan kode berikut ke .htaccess:

RewriteEngine Di RewriteBase / RewriteRule ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce/langs/.+ .php - Aturan Penulisan Ulang ^wp-include/theme-compat/ -

Jika Anda memiliki mode multisitus, beri komentar pada baris tersebut

"Aturan Penulisan Ulang ^wp-includes/[^/]+.php$ - "

Jangan izinkan robot pencari memproses halaman layanan

Periksa file robots.txt Anda.

Agen pengguna: * Larang: /feed/ Larang: /trackback/ Larang: /wp-admin/ Larang: /wp-content/ Larang: /wp-includes/ Larang: /xmlrpc.php Larang: /wp-

Ini semua adalah folder layanan WordPress yang tidak boleh diindeks oleh mesin pencari.

Sembunyikan versi WordPress Anda dari calon peretas

Informasi versi ada di header dan di RSS feed:

Untuk menghapusnya dari sana, Anda perlu memasukkan kode berikut ke dalam file function.php dari tema aktif:

Fungsi wp_remove_version() ( kembalikan ""; ) add_filter("the_generator", "wp_remove_version");

Ubah nama akun administrator

Secara default, WordPress membuat akun dengan nama tersebut admin, yang membuatnya lebih mudah untuk diretas menggunakan serangan brute force. Anda pasti perlu mengubahnya.

Untuk melakukan ini, buka database Anda menggunakan aplikasi phpmyadmin, temukan mejanya wp_users(awalan mungkin berbeda), akan ada entri dengan kredensial. Buka akun pengguna admin untuk mengedit.

Di lapangan pengguna_login mengubah nilainya admin ke login pilihan baru Anda dan klik Pergi.

Ubah awalan basis data

Jika Anda menginstal CMS dari panel kontrol hosting Anda, kemungkinan besar situs tersebut telah mengubah awalan. Ada juga plugin siap pakai untuk ini, tetapi Anda juga bisa melakukannya secara manual.

1. Buat cadangan database Anda menggunakan phpmyadmin;
2. Buka file dalam editor teks sederhana dan ganti awalan "wp_" dengan nilai awalan baru Anda;
3. Nonaktifkan semua plugin Anda;
4. Hapus database lama dan impor database dengan awalan baru;
5. Ubah pengaturan database di file wp-config.php untuk menggunakan awalan baru;
6. Aktifkan plugin yang diperlukan;
7. Perbarui CNC/Tautan Perma.

Aktifkan SSL di situs web Anda

Jika Anda menerima sertifikat SSL, aktifkan dukungan SSL di file wp
config.php:

Define("FORCE_SSL_LOGIN", benar); mendefinisikan("FORCE_SSL_ADMIN", benar);

Situs ini memiliki sertifikat dari Cloudflare, yang dikeluarkan secara gratis, tetapi Anda perlu menghubungkan dan mengkonfigurasi layanan ini.

Batasi jumlah upaya login

Jika Anda melihat serangan brute force aktif di log server Anda, Anda dapat mencegahnya dengan membatasi jumlah upaya login menggunakan plugin Limit Login Attempts.

Plugin ini belum diperbarui selama 2 tahun, tetapi telah melalui jutaan instalasi dan mendapat ulasan bagus mengenai kinerjanya, termasuk dengan versi WordPress saat ini.

Cegah pengeditan file plugin dan tema di konsol manajemen

Jika Anda tidak menggunakan pengeditan file dari panel admin, Anda dapat menonaktifkan fungsi ini untuk meningkatkan keamanan situs. Tulis baris berikut ke file wp-config.php:

Define("DISALLOW_FILE_EDIT", benar);

Jika situs Anda diretas

1. Nonaktifkan situs tersebut
2. Beritahu penyedia layanan Anda, situs lain mungkin terinfeksi
3. Buat cadangan situs
4. Ubah semua kata sandi di file wp-config.php
5. Instal ulang WordPress, ini akan mengganti file mesin dengan salinan baru
6. Instal ulang tema dan plugin lagi untuk memastikan tidak ada kode berbahaya yang tertinggal.
7. Anda juga dapat menggunakan plugin yang tersedia untuk mencari potensi kode berbahaya.

Ingat, jika peretas mencuri kata sandi Anda dan memasuki situs, bahkan setelah Anda mengubah kata sandi, mereka masih dapat tetap berada di sistem karena cookie yang berfungsi masih berlaku. Untuk menonaktifkannya, Anda perlu membuat kunci rahasia baru. Membuka

Masalah keamanan WordPress selalu memberikan banyak bahan untuk dipikirkan. Meskipun sebagian besar pembaruan terkini pada CMS ini berkaitan dengan keamanan, ada banyak cara untuk meningkatkan keamanan yang tersedia bahkan bagi pengguna yang paling tidak paham secara teknis, bahkan tanpa plugin.

Berikut beberapa saran tentang cara meningkatkan keamanan informasi untuk situs WordPress.

Pengembang platform menawarkan daftar tindakan mereka sendiri untuk memastikan perlindungan situs WordPress, yang kami sarankan agar Anda membiasakan diri. Tentu saja, beberapa rekomendasi ini akan diulangi di bawah ini, namun beberapa tip dan instruksi praktis tambahan tidak ada salahnya dalam hal keamanan data.

Buat akun terpisah dengan hak editor

Saat Anda menulis atau mengedit postingan blog, "nama penulis" muncul di pojok kiri bawah browser saat Anda mengarahkan kursor ke nama penulis di postingan. Jika nama penulis Anda sama dengan nama administrator, Anda telah melakukan setengah upaya agar peretas berhasil meretas situs Anda.

Cara mengatasinya sederhana: buat pengguna baru yang hanya memiliki hak editor, dan masuk dengan nama ini ketika Anda akan mempublikasikan atau mengedit sesuatu di blog. Nama ini akan muncul di semua postingan Anda; dan peretas akan membuang banyak waktu untuk mencoba meretas blog Anda dengan nama pengguna yang seharusnya memiliki hak administrator, yang sebenarnya hanya memungkinkan Anda menulis dan mengedit postingan.

Selain itu, plugin keamanan khusus untuk WordPress membatasi upaya mengakses situs dengan login tertentu dan melaporkan upaya masuk tidak sah ke email tertentu. Dengan cara ini Anda akan mengetahui apakah upaya peretasan dilakukan menggunakan login administrator sebenarnya, dan Anda akan dapat memperhatikan keamanan situs WordPress sebelum penyerang menebak kata sandinya.

Jangan gunakan kata sandi sederhana

Ingat kata sederhana PENGADILAN - Kompleks, Unik, Panjang. Di sinilah alat seperti 1Password atau LastPass berperan, menghasilkan kata sandi dengan panjang yang Anda tetapkan. Tergantung pada tingkat perlindungan yang Anda inginkan, pilih panjang kata sandi dalam karakter (biasanya cukup 20 karakter) dan sertakan karakter yang jarang digunakan seperti # atau *.

"123456" bukan kata sandi. “qwerty” setara dengan menulis kode PIN pada kartu bank. Bahkan “starwars” pun masuk dalam daftar 25 password paling umum tahun 2015. Ingat, Anda tidak seunik yang Anda kira.

Tambahkan otentikasi dua faktor

Bahkan jika Anda tidak menggunakan nama pengguna admin dan menetapkan kata sandi yang kuat dan dibuat secara acak, serangan brute force tetap menjadi masalah. Untuk mengurangi risiko intrusi tersebut, metode seperti otentikasi dua faktor adalah kuncinya.

Ya, autentikasi dua faktor memang merepotkan. Tapi sekarang inilah Fort Knox-mu. Esensinya untuk melindungi situs WordPress, seperti namanya, terletak pada dua bentuk otorisasi. Saat ini, ini adalah standar yang meningkatkan keamanan titik akses Anda. Anda sudah menggunakan otentikasi dua faktor untuk Gmail dan Paypal (setidaknya Anda harus melakukannya). Jadi mengapa tidak menambahkan WordPress ke dalam daftar?

Ada plugin Google Authenticator khusus untuk mengimplementasikan alat tersebut. Pilihan alternatif dengan pendekatan yang sedikit berbeda dan hasil yang sama adalah Plugin Rublon.

Gunakan prinsip hak istimewa paling rendah
Tim WordPress.org telah menyusun artikel bagus tentang kode WordPress yang mengatur Peran dan Izin Pengguna. Pastikan untuk membaca dokumen ini, yang secara langsung membahas langkah ini.

Prinsip hak istimewa paling rendah sangat sederhana - berikan akses hanya ke:

- mereka yang membutuhkannya;

- saat Anda membutuhkannya;

- untuk jangka waktu yang diperlukan.

Jika seseorang memerlukan hak administratif untuk mengubah konfigurasi, berikan mereka, tetapi tolak akses segera setelah menyelesaikan tugas.

Kabar baiknya adalah langkah-langkah ini tidak akan menyita banyak waktu Anda.

Bertentangan dengan kepercayaan umum, tidak setiap pengguna yang mengakses situs WordPress Anda perlu diberikan hak administrator. Berikan hak akses yang memadai kepada orang-orang untuk melakukan tugas mereka dan Anda akan sangat mengurangi risiko keamanan situs WordPress Anda.

Untuk pengaturan seperti ini keamanan wordpress ada pluginnya: Google Otentikator. Alternatif yang menggunakan pendekatan yang sedikit berbeda untuk tujuan yang sama adalah sebuah plugin

Sembunyikan file wp-config.php dan .htaccess

Hal ini relatif mudah dilakukan, namun kesalahan dalam prosedur dapat menyebabkan situs Anda tidak dapat diakses. Buat salinan cadangan, dan baru kemudian lanjutkan dengan perubahan.

Buka Alat => Editor File untuk mengedit file .htaccess. Untuk meningkatkan tingkat keamanan dan perlindungan file wp-cnofig.php, Anda perlu menambahkan kode berikut pada file .htaccess:

Ini akan memblokir akses tidak sah ke file wp-config.php. Kode serupa dapat digunakan untuk melindungi file .htaccess itu sendiri: perintah izinkan, tolak tolak dari semua

Anda dapat melakukan perubahan ini sendiri, tidak ada yang rumit di sini.

Gunakan kunci keamanan WordPress untuk otentikasi

Kunci otentikasi dan kunci garam bekerja bersama satu sama lain untuk melindungi cookie dan kata sandi Anda saat mentransmisikan data antara browser Anda dan server web. Kunci autentikasi ini dibuat berdasarkan sekumpulan variabel acak. Mereka meningkatkan keamanan (enkripsi) informasi dalam cookie.

Untuk mengubahnya di file wp-config.php, cukup dapatkan satu set kunci baru di sini - https://api.wordpress.org/secret-key/1.1/salt/ - dan tambahkan ke file. Saat Anda menyegarkan halaman tertentu, kuncinya berubah, sehingga Anda akan menerima set baru setiap saat.

Nonaktifkan pengeditan file

Cara termudah untuk mengubah file Anda adalah dengan mengakses item menu WordPress “Appearance => Editor”. Untuk meningkatkan tingkat perlindungan Anda, Anda perlu cacat kemampuan untuk mengedit file melalui konsol. Buka file wp-config.php dan tambahkan baris

Define("DISALLOW_FILE_EDIT", benar);

Anda masih dapat melakukan perubahan pada template melalui akses FTP, namun kini tidak ada seorang pun yang dapat mengubahnya menggunakan alat di konsol WordPress.

Batasi jumlah upaya login

Sasaran serangan tebakan kunci adalah form login pada situs. Plugin All in One WP Security & Firewall memungkinkan Anda mengubah jalur default (/wp-admin/) ke formulir input ini. Selain itu, dengan menggunakan plugin khusus, Anda dapat membatasi jumlah upaya input dari alamat IP tertentu.

Penggunaan antarmuka XML-RPC secara selektif

XML-RPC adalah antarmuka pemrograman aplikasi (API) yang digunakan di mana-mana. Alat ini diakses melalui sejumlah besar plugin dan tema, sehingga pengguna yang kurang teknis harus sangat berhati-hati saat bereksperimen dengan alat ini.

Meskipun merupakan langkah praktis, menonaktifkan XML-RPC bisa memakan biaya yang besar. Itulah mengapa tidak disarankan untuk menonaktifkannya sepenuhnya, tetapi untuk lebih memperhatikan program mana yang mencoba mengakses antarmuka ini dan bagaimana caranya. Ada banyak plugin yang membantu implementasi selektif dan penonaktifan XML-RPC.

Hosting dan Keamanan WordPress

Pemilik website sering mengeluh bahwa perusahaan hostingnya tidak membantu melindungi websitenya dari peretasan atau tidak mengerti sama sekali tentang pengamanan website di platform WordPress.

Perusahaan hosting melihat situs Anda secara berbeda. Tidak ada aturan yang jelas dalam memilih hosting WordPress, namun hal ini sangat penting dalam upaya meningkatkan perlindungan terhadap akses tidak sah.

Secara harafiah setiap artikel tentang memilih hosting diawali dengan kata-kata bahwa murah bukan berarti terbaik. Paket tarif termurah tidak akan membantu melindungi Anda dari serangan peretas. Paket tersebut mencakup perlindungan sumber daya minimal, seperti firewall situs web yang sudah diinstal sebelumnya.

Hosting bersama berarti server tempat sumber daya Anda berada juga merupakan rumah bagi situs lain. Mereka mungkin memiliki masalah keamanannya sendiri yang memengaruhi keamanan situs Anda.

Di mana Keamanan WordPress , mungkin merupakan salah satu keuntungan utama yang ditawarkan perusahaan hosting dalam paket WordPress khusus.

Ini biasanya mencakup pencadangan, firewall cadangan, pemindaian file untuk malware, perlindungan terhadap, dan pembaruan WordPress otomatis. Selain itu, semua ini biasanya ditawarkan dengan biaya yang sangat wajar.

Jangan lupa tentang akun hosting Anda

Salah satu masalah hosting terbesar terkait dengan konfigurasi akun pemilik situs. Pengguna dapat menginstal dan mengkonfigurasi situs sebanyak yang dia inginkan, yang berkontribusi pada munculnya “kantin gratis” untuk malware di lingkungan sistem.

Masalahnya relevan karena dalam banyak kasus, sumber daya web dapat diretas menggunakan metode yang dikenal sebagai infeksi lintas situs, di mana vektor serangannya adalah situs tetangga. Penyerang mengatasi perlindungan utara dan kemudian mulai menembus situs tetangga yang terletak di server ini.

Cara terbaik untuk melindungi diri dari peretasan jenis ini adalah dengan membuat dua akun. Anda menggunakan salah satunya sebagai lingkungan kerja dan hanya menghosting situs aktif di dalamnya, dan yang kedua sebagai lingkungan perantara tempat Anda menyimpan segala sesuatu yang lain.

Tetap up to date dengan pembaruan terkini

Menjaga segala sesuatunya tetap segar mudah untuk dibicarakan. Namun bagi pemilik website, ini berarti kerja keras setiap hari. Situs web kami adalah makhluk yang kompleks. Ada lusinan peristiwa yang terjadi pada mereka pada waktu tertentu, sehingga terkadang sulit untuk melakukan perubahan secara instan.

Penelitian terbaru menunjukkan bahwa 56% instalasi WordPress menggunakan versi platform yang sudah ketinggalan zaman.

Pembaruan seharusnya tidak hanya menyangkut inti platform. Studi tersebut juga menyatakan bahwa sejumlah besar serangan peretas menggunakan versi plugin yang sudah ketinggalan zaman dan rentan.

Cara Memilih Plugin dan Tema Aman untuk WordPress

Sebagian besar pengguna lebih suka memasang plugin dan tema tanpa pandang bulu di situs web mereka. Ini bodoh kecuali Anda menginstal di server pengujian dengan tujuan menguji fungsionalitas tema atau plugin tertentu.

Sebagian besar plugin dan banyak tema gratis. Dan jika penulis mendukung produk mereka untuk bersenang-senang, dan bukan sebagai bagian dari model bisnis yang serius, kecil kemungkinannya mereka akan menghabiskan banyak waktu untuk memeriksa kerentanan dan keamanan produk ini.

Bagaimana memilih plugin yang tepat untuk wordpress

Seperti disebutkan di atas, tema dan plugin gratis berpotensi menjadi ancaman terhadap keamanan situs web. Saat menambahkan elemen ini ke situs Anda, pastikan untuk memeriksa peringkatnya, misalnya di WordPress.org.

Namun hanya lima bintang tidak akan menjelaskan apa pun tentang keandalan plugin; bergantung pada niche, plugin tersebut harus memiliki sejumlah ulasan tertentu. Jika cukup banyak orang yang menganggapnya sebagai produk hebat dan meluangkan waktu untuk mengevaluasinya, Anda dapat mencobanya di situs Anda sendiri.

Hal lain yang harus Anda periksa adalah relevansi plugin atau tema. Jika tidak ada pembaruan dalam dua tahun terakhir, WordPress akan melaporkan hal ini. Kurangnya pembaruan tidak berarti plugin tersebut buruk.

Mungkin penulis tidak perlu melakukan koreksi pada program kerja. Namun tidak disarankan untuk menginstall plugin yang sudah lama tidak diupdate. Peringkat tersebut akan memberi tahu Anda tentang kinerja elemen yang dipilih dan kompatibilitasnya dengan versi WordPress saat ini. Semua informasi ini dapat dilihat di halaman plugin di WordPress.org.

Kesimpulan

Jika Anda telah membaca artikel ini sampai akhir, Anda harus mengambil tindakan tambahan untuk melindungi situs WordPress Anda. Tambahkan pemeriksaan keamanan sumber daya Anda ke daftar tindakan harian Anda. Ini harus menjadi rutinitas harian yang sama bagi setiap pemilik situs web seperti penambahan publikasi dan halaman baru secara rutin.

Jangan lupa untuk membuat cadangan secara rutin, karena platform ini memiliki banyak plugin yang andal. Benar, ini bukan bagian dari kebijakan keamanan informasi; ini lebih merupakan tugas administratif dan layanan.

Kami telah memberikan daftar lengkap tentang apa yang dapat dilakukan untuk melindungi situs Anda dari peretasan. Namun kami berharap saran praktis kami akan membantu memastikan setidaknya keamanan informasi tingkat pertama untuk sumber daya Anda.

Ingat Keamanan WordPress tidak pernah mutlak.

Jadi, mempersulit peretas adalah tugas kita sebagai pemilik situs web.