plugin keamanan wordpress terbaik, plugin untuk keamanan wordpress, plugin keamanan wordpress, celah keamanan wordpress, membuat keamanan blog wordpress, how to type in tamil in wps office, how to type in hindi in wps office, how to type assignment using wps office, 0945 là mạng gì, how to use wordpress shortcode, wordpress.org codex adalah, elementor wordpress, cara agar website wordpress kita aman, cara download elementor, niagahoster, cara mengamankan website, wordpress org codex adalah, plugin untuk merubah link address admin adalah dengan menginstall, cara menggunakan elementor, security wordpress checklist, security wordpress plugin, security wordpress reddit, security wordpress issues, security wordpress scan, security wordpress updates, security wordpress without plugins, security wordpress blog, security wordpress plugins, security wordpress vulnerabilities, security wordpress scanner, security wordpress headers, security wordpress token to verify request, best security wordpress plugins, all in one security wordpress, best free security wordpress plugin, free security wordpress plugin, best security wordpress plugins 2022, shield security wordpress, sucuri security wordpress, wordpress content security policy, wordpress website security, wordpress login security, wordpress svg not allowed for security reasons, wordpress best security plugin, wordpress all in one security, wordpress strict-transport-security, wordpress ithemes security, wordpress mod_security, wordpress best free security plugin,
20+ Tips Security WordPress Cara Mengamankan Blog WP Kamu

WordPress mendukung 26,4% dari semua website di Internet. Menjadi begitu populer, itu menarik banyak perhatian. Tidak semua perhatian itu baik. Perhatian negatif yang didapat WordPress seringkali datang dari para hacker yang ingin mengeksploitasi berbagai vulnerabilities security WordPress.

Sayangnya ada beberapa kerentanan WordPress.

Menurut WPScan (database kerentanan WordPress) ada 4.284 kerentanan WordPress yang diketahui. Plugin WordPress adalah sumber kerentanan terbesar. 50% eksposur berasal dari plugin WordPress. 10% berasal dari tema WordPress dan 40% sisanya adalah kerentanan inti WordPress.

Ini dikonfirmasi oleh temuan dari Wordfence, mereka melanjutkan dan mengatakan jika kamu bisa melindungi diri kamu dari kerentanan plugin dan serangan brute force, kamu bertanggung jawab atas lebih dari 70% masalah.

Z 4V6Sfn 0Tfiujh6Yyuhmohoq7G H7Ed Vewcphvixlqvjoxccfjdqc Nclp1Noprulwepo Dqau809Vykujgdzp Jkzlcbqyhoiy92Wxba Smhcm2Caa3Xn0Dretyesmmmyrpzwnz2Ufbof4Ge2Gzl6Oj2Zx6Mcmi2M Uma Bb3Mzcopelwfecrw | Ditulis.id
Kerentanan plugin dan serangan brute force adalah dua cara paling umum untuk meretas situs WordPress (dari: wordfence.com).

Ketika datang ke security WordPress, kebanyakan orang membuat kesalahan umum yang sama: mereka masih menggunakan “admin” sebagai username mereka, kebanyakan dari mereka menggunakan kata sandi yang mudah ditebak atau lebih buruk lagi menggunakan kata sandi yang sama untuk setiap situs lain.

Dan akhirnya, sebagian besar orang benar-benar mengabaikan pembaruan – baik itu untuk inti WordPress, tema, atau plugin. Tak perlu dikatakan, ini menyebabkan banyak masalah di jalan dan banyak sakit kepala bagi kamu sebagai pemilik website.

20+ Cara Untuk Mengamankan Situs WordPress Kamu

Kiat czar security WordPress.org Nikolay Bachiyskis tentang mengamankan situs WordPress adalah untuk

“Selalu selesaikan pembaruan sesegera mungkin dan pastikan untuk menggunakan kata sandi yang kuat. Kedua langkah tersebut sangat membantu menjaga security WordPress situs kamu. Jika memungkinkan, saya sarankan untuk mengaktifkan pembaruan otomatis. Juga, saat memilih plugin, periksa untuk memastikan kamu menggunakan plugin yang diperbarui secara berkala! kamu bisa mengonfirmasi ini dengan memeriksa changelog untuk sebuah plugin”.

Di sini kita akan melakukan penyelaman mendalam dan memeriksa bagaimana kamu bisa “Fort Knox-ify” situs WordPress kamu dan memastikan website WordPress kamu aman, diperkeras, dan aman karena security WordPress adalah keharusan bagi setiap pemilik website WordPress.

» Tips Dasar Security WordPress

Plugin Keamanan Wordpress Terbaik, Plugin Untuk Keamanan Wordpress, Plugin Keamanan Wordpress, Celah Keamanan Wordpress, Membuat Keamanan Blog Wordpress, How To Type In Tamil In Wps Office, How To Type In Hindi In Wps Office, How To Type Assignment Using Wps Office, 0945 Là Mạng Gì, How To Use Wordpress Shortcode, Wordpress.org Codex Adalah, Elementor Wordpress, Cara Agar Website Wordpress Kita Aman, Cara Download Elementor, Niagahoster, Cara Mengamankan Website, Wordpress Org Codex Adalah, Plugin Untuk Merubah Link Address Admin Adalah Dengan Menginstall, Cara Menggunakan Elementor, Security Wordpress Checklist, Security Wordpress Plugin, Security Wordpress Reddit, Security Wordpress Issues, Security Wordpress Scan, Security Wordpress Updates, Security Wordpress Without Plugins, Security Wordpress Blog, Security Wordpress Plugins, Security Wordpress Vulnerabilities, Security Wordpress Scanner, Security Wordpress Headers, Security Wordpress Token To Verify Request, Best Security Wordpress Plugins, All In One Security Wordpress, Best Free Security Wordpress Plugin, Free Security Wordpress Plugin, Best Security Wordpress Plugins 2022, Shield Security Wordpress, Sucuri Security Wordpress, Wordpress Content Security Policy, Wordpress Website Security, Wordpress Login Security, Wordpress Svg Not Allowed For Security Reasons, Wordpress Best Security Plugin, Wordpress All In One Security, Wordpress Strict-Transport-Security, Wordpress Ithemes Security, Wordpress Mod_Security, Wordpress Best Free Security Plugin,
Tips Dasar Security WordPress

1. Pastikan username kamu BUKAN admin

Sampai saat ini, masih banyak orang yang menggunakan admin sebagai username mereka. Namun, ini adalah username yang digunakan peretas terlebih dahulu saat mencoba membobol situs kamu.

Jangan Gunakan Admin Sebagai Nama Pengguna Anda

Jika kamu masih menggunakan admin sebagai username kamu, belum terlambat untuk mengubahnya.

Cukup masuk ke dasbor WordPress kamu dan buka Pengguna > Tambah Baru  untuk membuat pengguna baru. Pilih username yang tidak begitu jelas seperti kombinasi nama depan/nama belakang kamu dan isi detail lainnya.

Jangan lupa untuk menggunakan alamat email yang berbeda dari yang kamu gunakan untuk akun admin asli kamu dan pastikan untuk mengatur peran menjadi Administrator.

Setelah itu selesai, keluar dari dasbor kamu dan masuk dengan informasi pengguna baru kamu. Kembali ke  Pengguna > Semua dan hapus akun admin lama kamu. Sebelum kamu mengklik tombol hapus terakhir, jangan lupa untuk menetapkan semua posting lama kamu ke pengguna admin baru kamu.

Atau, gunakan plugin Admin Renamer Extended untuk mengubah username secara langsung melalui area admin WordPress kamu.

2. Gunakan Editor account

Cn32Hvyaqynknl1R C3Sqhzcld5Q7N42Xjewbgcfshfoqcybglukupfesgfcpg2Bt9Z6Mydwyoie56Vzjjbofesr Asfixip0Pcglgmum Xdbqefdpay A8F8S47B Dncabnkrbwej9Cu Jmlqdz2 0Ao Di1M6Dqd2Apm Fd25Bfbm8Peooldoka | Ditulis.id
Antarmuka Tambahkan Pengguna Baru.

Berbicara tentang akun admin, banyak orang membuat kesalahan dengan menggunakan akun administrator untuk mempublikasikan posting blog mereka. Ini buruk karena informasi yang dibutuhkan peretas, seperti username kamu, akan terlihat saat kamu memublikasikan postingan.

Sekarang yang mereka butuhkan hanyalah menebak kata sandi kamu dan ketika mereka melakukannya, kamu hanya menyerahkan situs kamu kepada mereka di piring perak.

Akun admin tidak diperlukan untuk mempublikasikan posting blog dan kesalahan itu bisa dengan mudah diperbaiki dengan membuat pengguna baru dengan peran Editor.

3. Pilih kata sandi yang kuat

Setiap tahun, SplashData menyusun daftar kata sandi yang paling umum. Dan setiap tahun tiga kata sandi yang sama muncul sebagai kata sandi yang paling umum digunakan (dan sangat tidak aman), yaitu 123456, kata sandi dan 12345678.

Kata sandi kamu idealnya mempunyai minimum 8 karakter. Kamu juga harus menggunakan huruf kecil dan huruf besar yang dicampur dengan angka dan karakter khusus.

kamu bisa menggunakan password generator untuk membuatnya untuk kamu dan jika kamu takut tidak bisa mengingatnya, maka memilih pengelola kata sandi seperti LastPass, Dashlane, atau Keepass adalah keputusan yang bijaksana.

4. Aktifkan Two-Factor Authentication

Two-factor authentication (2FA) menambahkan lapisan ekstra security ke situs WordPress kamu untuk mencegah serangan phishing dan brute force. Seperti namanya, 2FA membutuhkan dua set metode otentikasi untuk bisa masuk ke WordPress kamu.

Ini berarti kamu memerlukan username dan sandi PLUS kode sandi satu kali yang dikirimkan ke ponsel kamu untuk masuk ke situs kamu. Beberapa plugin bisa digunakan di sini termasuk Authy Two Factor Authentication, Google Authenticator, dan Duo Two-Factor Authentication.

5. Backup dan update secara teratur

Pembaruan WordPress menghadirkan fungsionalitas baru serta menambal lubang keamanan penting, membuatnya lebih sulit bagi peretas untuk mengeksploitasi kerentanan. Itulah mengapa penting untuk selalu memperbarui instalasi WordPress kamu. Itu juga termasuk menjaga plugin dan tema kamu tetap up-to-date.

Solusi Pencadangan Dan Pemulihan Wordpress

Sebelum pembaruan besar apa pun diterapkan ke situs kamu, WordPress akan memperingatkan kamu untuk membuat backup database kamu. Ini tidak hanya mencegah kehilangan data jika terjadi kesalahan selama pembaruan, tetapi juga praktik yang baik untuk diterapkan jika hal terburuk terjadi dan situs kamu diretas.

Cara termudah untuk mem-backup situs kamu adalah dengan plugin seperti BackupBuddy, WordPress Backup to DropBox, atau VaultPress. BackupBuddy dan VaultPress adalah solusi berbayar yang secara otomatis mem-backup seluruh website kamu dan memungkinkan kamu memulihkannya dengan mudah.

WordPress Backup to DropBox adalah plugin gratis yang memungkinkan kamu untuk membuat backup situs kamu ke akun DropBox kamu. Menyiapkannya semudah menginstal plugin, mengaktifkannya, dan kemudian me-link-kan nya dengan DropBox. Setelah kamu berhasil mengotorisasi akun DropBox kamu, kamu bisa memilih seberapa sering backup harus dilakukan.

Meskipun menggunakan plugin adalah solusi yang mudah, ada kalanya bahkan plugin gagal. Itulah mengapa sebaiknya kamu juga melakukan backup secara manual:

  1. Hal pertama yang perlu kamu lakukan untuk membuat backup situs kamu secara manual adalah mengunduh semua file WordPress kamu ke dalam folder di komputer kamu. Jika ini pertama kalinya kamu melakukan backup, unduh seluruh folder WordPress.
  2. Setelah itu selesai, kamu harus membuat backup database kamu, yang berisi semua informasi yang terkait dengan situs kamu. Karena phpMyAdmin adalah salah satu aplikasi yang paling luas untuk mengelola database MySQL, mari kita lihat bagaimana kita bisa membuat backup database kita secara manual menggunakan phpMyAdmin.
  3. Masuk ke cPanel web hosting kamu dan kemudian klik phpMyAdmin. Dalam beberapa kasus, kamu tidak perlu memasukkan username dan kata sandi tetapi jika meminta informasi login, gunakan informasi yang disediakan oleh web hosting kamu.
  4. Setelah kamu masuk, pilih database yang berisi data WordPress kamu dengan memilihnya di panel kiri. Kamu bisa mengenali dengan prefix wp_ default dalam nama. Kamu akan melihat daftar tabel yang membentuk database kamu.
  5. Di bagian atas layar, kamu akan melihat beberapa tab. Klik pada yang berlabel Ekspor.
  6. kamu seharusnya bisa melihat dua metode: ‘Cepat’ dan ‘Kustom’. Jika website kamu relatif baru, pilih Cepat. Jika tidak, pilih opsi Kustom.
Ekspor_Database
  1. Sebuah daftar kemudian akan memungkinkan kamu untuk memilih tabel yang ingin kamu ekspor. Jika kamu belum pernah membuat backup situs kamu sebelumnya, pilih semua tabel, lalu pilih opsi default: Simpan keluaran ke file. Pastikan untuk memilih format SQL.
  2. Setelah opsi kamu dipilih, tekan tombol Go untuk menghasilkan file yang berisi database kamu. Waktu yang diperlukan untuk melakukan ini akan bervariasi tergantung pada ukuran database kamu.

6. Batasi jumlah plugin dan tema

Menggunakan terlalu banyak plugin bisa memperlambat situs kamu tetapi juga bisa membuatnya rentan terhadap serangan jika kamu berhenti menggunakan plugin tertentu dan mengabaikan pembaruannya.

Tidak cukup hanya menonaktifkan plugin jika kamu tidak lagi menggunakannya. Hal yang sama berlaku untuk tema. Semua tema dan plugin tidak aktif yang masih ada di server kamu bisa dengan mudah digunakan untuk menyuntikkan semua jenis kode berbahaya.

Bantulah diri kamu sendiri dan hapus semua plugin dan tema yang saat ini tidak kamu gunakan.

7. Hati-hati dengan tema dan plugin WordPress gratisan

Ada banyak tema dan plugin WordPress gratis yang mengagumkan di luar sana. Namun gratis tidak selalu gratis, dan ketika datang ke plugin dan tema WordPress terkadang gratis dikemas dengan kode berbahaya, virus, dan link terenkripsi.

Gunakan pendekatan akal sehat. WordPress.org adalah tempat teraman ketika kamu mencari tema dan plugin gratis. Sebagian besar pembuat plugin dan tema dan pasar utama seperti Themeforest dan CodeCanyon juga aman, tetapi jika kamu memasang tema atau plugin premium/berbayar yang disediakan oleh seseorang secara gratis (atau dibatalkan) maka kamu akan mendapat masalah.

kamu bisa menggunakan plugin ini untuk mencari kode yang mencurigakan; Theme Authenticity Checker (TAC) dan Exploit Scanner

» Tips Security WordPress Menengah

8. Batasi Upaya Masuk

Secara default, WordPress memungkinkan pengguna untuk memasukkan kata sandi sebanyak yang mereka inginkan yang memudahkan peretas untuk mengeksploitasi ini dengan menggunakan skrip hingga mereka menemukan kombinasi yang tepat.

Untuk mencegahnya, instal dan aktifkan plugin Login LockDown. Setelah aktivasi, buka Pengaturan > Login LockDown untuk mengkonfigurasi pengaturan plugin.

Login-Lockdown

Tentukan berapa banyak upaya login yang bisa dilakukan. Setelah itu pilih berapa lama pengguna tidak bisa mencoba lagi jika melebihi upaya yang gagal. Kamu juga bisa menentukan periode penguncian untuk blok rentang IP serta mencegah peretas memasukkan username yang tidak valid yang berbeda.

Sebaiknya nonaktifkan juga pesan yang memungkinkan pengguna mengetahui apakah mereka memasukkan username yang tidak valid atau kata sandi yang tidak valid pada login yang gagal. Setelah mengkonfigurasi pengaturan, klik Perbarui Pengaturan untuk menyimpan perubahan kamu.

9. Ubah database prefix wp_ kamu

Hide My Wp Ghost The Most User Friendly Wordpress Security Plugin | Ditulis.id
Security Wordpress | Ditulis.id

WordPress menerapkan table prefix ke semua tabel database yaitu wp_. Mengubah table prefix bisa membantu mencegah kerentanan injeksi SQL karena peretas perlu menebak prefix yang membuat pekerjaan mereka lebih sulit.

kamu akan menemukan table prefix di file wp-config.php kamu:

$table_prefix = 'wp_';

Cukup ubah ke sesuatu yang tidak mudah ditebak seperti:

$table_prefix = 'wp_34CS($';

Ingatlah bahwa kamu masih perlu memperbarui table prefix kamu secara manual untuk instalasi WordPress yang ada.

Tema

Salah satu cara termudah untuk melakukannya adalah dengan menginstall plugin iThemes Security atau Hide My WP Ghost. Plugin bisa secara otomatis melakukan semua perubahan yang diperlukan untuk kamu dengan mengklik tombol. Kamu bisa menemukan pengaturan ini di bawah tab Advanced.

O8R2H8 H20G0Jgynaqeblp7Jrpcjiyhjahjgkmxoc70Fl 61M599Xvbriabeyqhkoaztksgwhalvz0C0Ymzpdj8Ow6E | Ditulis.id
Mengubah Database Prefix Di Ithemes.

Atau, kamu bisa melakukannya secara manual, dengan menggunakan query SQL untuk mengganti nama setiap tabel. Di bawah ini adalah bagaimana ini dilakukan:

RENAME table `wp_links` TO `newprefix_links`;

Pastikan untuk mengubah prefix baru pada di atas ke prefix yang telah kamu definisikan di wp-config.php.

kamu perlu menjalankan query di atas untuk setiap tabel database termasuk semua tabel inti dan tabel tambahan apa pun yang ditambahkan oleh plugin.

Selanjutnya, kamu perlu memperbarui referensi ke table prefix di tabel usermeta dan opsi, sekali lagi dengan menggunakan query SQL.

Untuk memperbarui tabel usermeta, masukkan query SQL berikut melalui tab SQL PHPMyAdmin:

UPDATE `newprefix_usermeta` SET `meta_key` = REPLACE( `meta_key`, 'wp_', 'newprefix_' )

Terakhir, untuk memperbarui tabel opsi, masukkan query SQL berikut melalui tab SQL PHPMyAdmin:

UPDATE `newprefix_options` SET `option_name` = 'newprefix_user_roles' WHERE `option_name` = 'wp_user_roles'

10. Ganti nama login page

URL login default dashboard admin WordPress adalah /wp-login.php (atau kamu bisa mengetikkan /wp-admin/ dan itu akan mengarahkan kamu).

Mengubah URL untuk area dasbor WordPress menambahkan lapisan ekstra security. Kamu bisa melakukan ini dengan plugin Hide My WP Ghost yang disebutkan di atas.

11. Lindungi file .htaccess kamu

File .htaccess digunakan untuk mengarahkan ulang URL, mengonfigurasi link permanen yang cantik, dan juga bisa digunakan untuk memperkuat security WordPress.

Cuplikan kode di bawah ini akan memperkuat security WordPress kamu. Perhatikan bahwa kode harus ditempatkan di luar tag #BEGIN WordPress dan #END WordPress, karena apa pun di antara tag tersebut bisa diperbarui oleh WordPress, sehingga mengesampingkan perubahan kamu.

Pertama, pastikan kita melindungi file yang paling penting: wp-config.php.

File wp-config.php adalah file penting karena berisi pengaturan koneksi database, table prefix, security keys, dan informasi sensitif lainnya.

Tambahkan ini ke file .htaccess kamu:

order allow,deny
deny from all

Selanjutnya, mari kita lindungi .htaccess itu sendiri dengan menambahkan yang berikut ini:

order allow,deny
deny from all

Terakhir, mari kita batasi akses ke wp-login.php:

order deny,allow
Deny from all
# allow access from my IP address
allow from 111.111.1.1

Pastikan untuk mengganti alamat IP dengan alamat IP kamu sendiri.

Menggunakan .htaccess kamu juga bisa membatasi akses ke seluruh dasbor WordPress kamu ke alamat IP tertentu:

order deny,allow
allow from 111.111.1.1
deny from all

Sekali lagi, ganti alamat IP dengan kamu sendiri.

kamu bisa mempelajari lebih lanjut di sini atau jika kamu tidak ingin melakukannya secara manual, maka menggunakan plugin security WordPress seperti Hide My WP Ghost adalah pilihan terbaik kamu karena memungkinkan kamu untuk melakukan semua modifikasi ini dengan mengklik tombol.

12. Gunakan File Permissions yang Benar

File permissions yang salah seperti 777 bisa memungkinkan peretas untuk mengunggah file atau memodifikasi file yang ada. Untuk mengubah file permissions kamu, kamu harus masuk ke cPanel kamu, arahkan ke File Manager dan buat perubahan yang diperlukan.

Menurut WordPress, ini adalah izin yang benar untuk digunakan di website WordPress:

  • Semua direktori harus 755 atau 750
  • Semua file harus 644 atau 640
  • wp-config.php harus 600

Untuk panduan menyeluruh tentang pengaturan file permissions yang benar, lihat panduan Mengubah File Permissions di WordPress.org.

» Tips Security WordPress Tingkat Lanjut

13. Pindahkan file wp-config.php kamu

Seperti disebutkan sebelumnya, file wp-config.php kamu adalah file yang sangat penting karena berisi pengaturan koneksi database, table prefix, security keys WordPress, dan informasi sensitif lainnya.

Pindahkan file wp-config.php ke folder di atas instalasi WordPress kamu. Misalnya jika struktur folder kamu adalah ini dan di mana WordPress diinstal /home/yoursite/public_html/ kamu akan memindahkan wp-config.php ke /home/yousite/.

14. Tweak file wp-config.php kamu

File wp-config.php kamu berisi semua detail rahasia untuk situs WordPress kamu. Untungnya ada beberapa penyesuaian yang bisa kamu lakukan untuk membuat website kamu lebih aman.

Ubah secret keys default menjadi yang lain

Security keys WordPress menangani enkripsi informasi yang disimpan dalam cookie pengguna. Keys itu perlu dibuat secara acak untuk setiap instalasi WordPress. Jika kamu tidak yakin bagaimana mengubahnya, kamu bisa membuatnya secara acak dengan bantuan Generator Salts Key WordPress.

Atau, kamu bisa membuat security keys baru menggunakan plugin security WordPress:

Ubah_Wordpress_Security_Keys

Nonaktifkan error reporting

Jika plugin atau tema menyebabkan kesalahan, pesan kesalahan mungkin menampilkan jalur server kamu, yang bisa disalahgunakan oleh peretas. Oleh karena itu, lebih baik untuk menonaktifkan error reporting sama sekali dengan menambahkan kode berikut ke file wp-config.php kamu:

error_reporting(0);
@ini_set(‘display_errors’, 0);

Atau, kamu bisa menambahkan satu baris kode berikut ke file functions.php kamu.

add_filter('login_errors',create_function('$a', "return null;"));

Nonaktifkan plugin dan theme editor

Kecuali kamu adalah pengembang yang suka membuat perubahan pada file tema/plugin kamu dengan cepat, tidak ada alasan nyata untuk bisa mengakses plugin dan theme editor. Kamu bisa menonaktifkannya dengan menambahkan berikut ini ke file wp-config.php kamu:

define( 'DISALLOW_FILE_EDIT', true );

15. Nonaktifkan petunjuk login WordPress

Saat masuk ke WordPress dan mengetikkan kata sandi atau username yang salah atau tidak ada, pesan kesalahan terperinci ditampilkan yang mengatakan bahwa username salah, atau kata sandi tidak cocok dengan username itu.

Ini bisa digunakan untuk menebak username atau kata sandi. Untuk mengganti kesalahan login WordPress default dan menonaktifkan petunjuk login, tambahkan kode ini ke functions.php, sebagai gantinya pesan kesalahan khusus akan ditampilkan.

function no_wordpress_errors(){
return 'Nothing to see here, move along!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

16. Hapus nomor versi WordPress

Secara default, WordPress menempatkan tag meta dalam kode website kamu yang menyatakan versi WordPress yang kamu gunakan. Informasi ini berguna bagi peretas karena memudahkan untuk mengetahui lubang security WordPress mana yang bisa disalahgunakan.

kamu bisa dengan mudah mencegah hal ini dengan menambahkan kode berikut ke bagian atas file functions.php tema kamu:

remove_action('wp_head', 'wp_generator');

Metode yang lebih mudah untuk melakukan ini adalah menggunakan plugin seperti Remove Version.

17. Menerapkan header security HTTP

Header security HTTP membantu mengurangi serangan dan vulnerabilities security.

Header Keamanan Http

Ada total 6 header security HTTP yang bisa kamu terapkan di website kamu dengan menambahkan baris berikut ke file functions.php kamu.

» Content Security Policy (CSP)

CSP membantu mengurangi serangan XSS dengan memasukkan sumber konten yang diizinkan seperti skrip, gaya, dan gambar ke daftar putih. Content Security Policy bisa mencegah browser memuat aset berbahaya.

Sayangnya tidak ada satu ukuran cocok untuk semua pendekatan untuk CSP. Sebelum membuat CSP, kamu perlu mengevaluasi sumber daya yang sebenarnya kamu muat. Setelah kamu merasa mempunyai pegangan tentang bagaimana sumber daya dimuat, kamu bisa menyiapkan kebijakan berdasarkan persyaratan tersebut.

Saat kamu menyiapkan CSP, tambahkan ke file functions.php kamu seperti ini (di bawah ini adalah yang sebenarnya kami gunakan di ditulis.id ):

header('Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval' https: data:');

FYI: Ini menggunakan tanda kutip tunggal dan kamu harus menghindari tanda kutip tunggal jika tidak, kamu akan melihat pesan kesalahan parse PHP. Kamu keluar dari karakter dengan mengetikkan garis miring terbalik di depannya.

Mari kita hancurkan. CSP kami mengizinkan semua jenis sumber daya dari domain saat ini, ‘self’. ‘Unsafe-inline’ memberi tahu bahwa gaya inline dan tag skrip diizinkan dan ‘unsafe-eval’ memberi tahu bahwa evaluasi kode dinamis yang tidak aman seperti JS diizinkan. ‘https:’ dan ‘data:’ memberi tahu bahwa memuat sumber daya hanya melalui HTTPS dan skema data diperbolehkan.

» X-Frame-Options

Header ini membantu mencegah clickjacking dengan menunjukkan kepada browser bahwa itu tidak boleh merender halaman dalam bingkai (atau iframe atau objek).

Sertakan di functions.php kamu seperti ini:

header('X-Frame-Options: SAMEORIGIN');

»X-XSS-Protection dan X-Content-Type-Options

X-XSS-Protection membantu mengurangi serangan Cross-site scripting (XSS) dan header X-Content-Type-Options menginstruksikan IE untuk tidak mengendus tipe mime, mencegah serangan yang terkait dengan mime-sniffing.

Sertakan mereka di functions.php kamu dengan cuplikan berikut:

header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');

» Strict Transport Security HTTP (HSTS)

HSTS adalah cara server untuk menginstruksikan browser bahwa browser hanya boleh berkomunikasi dengan server melalui HTTPS.

Tambahkan ke functions.php kamu seperti ini:

header('Strict-Transport-Security:max-age=31536000; includeSubdomains; preload');

» Terapkan Cookie dengan HTTPOnly dan Secure flag di WordPress

Ini menginstruksikan browser untuk mempercayai cookie hanya oleh server dan cookie tersebut bisa diakses melalui saluran SSL yang aman.

Tambahkan ini ke file functions.php kamu:

@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

kamu bisa dan harus menguji header security HTTP kamu dengan membuka https://securityheaders.io.

Cara lain untuk mengamankan HTTP Header secara manual adalah melalui file .htaccess kamu. Berikut cara mengaturnya di .htaccess:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "sameorigin"
Header set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' https: data:";

Atau, kamu bisa menggunakan plugin seperti Header Security jika kamu tidak ingin menerapkannya secara manual.

18. Tambahkan Google Search Console (GSC)

Ada banyak manfaat untuk menambahkan situs WordPress kamu ke Google Search Console (sebelumnya Google Webmaster Tools). GSC tidak hanya berguna untuk SEO dan bagaimana Google memahami situs kamu, tetapi fitur penting lainnya adalah dasbor “security issues”.

Jika Google mendeteksi issues dengan situs kamu dan jika situs kamu telah disusupi, kamu akan memperoleh peringatan melalui email.

19. Pertimbangkan Untuk Menggunakan SSL

SSL (Secure Sockets Layer) adalah teknologi yang memungkinkan kamu untuk mengenkripsi koneksi antara server web kamu dan browser pengunjung kamu. Ini sangat berguna jika website WordPress kamu berorientasi pada e-niaga dan juga bisa berperan dalam peringkat mesin pencari.

Ulasan Sertifikat Ssl

Untuk mengaktifkan SSL untuk situs kamu, kamu perlu memperoleh sertifikat SSL itu sendiri yang mungkin disediakan oleh penyedia hosting kamu atau kamu bisa memperolehnya secara gratis dari situs seperti Let’s Encrypt atau WoSign.

Terakhir, kamu perlu mengintegrasikannya dengan situs WordPress kamu dengan plugin seperti Verve SSL atau WP Force SSL.

20. Gunakan Hosting WordPress managed

Jika kamu mampu membelinya, gunakan hosting WordPress managed. Dalam sebuah studi tahun 2014 WP White Security melaporkan bahwa 41% situs WordPress diretas karena vulnerabilities security WordPress pada web hosting itu sendiri, jadi jangan hanya mencari yang termurah yang tersedia.

Ada beberapa perusahaan yang menawarkan hosting WordPress terkelola dan meskipun kamu membayar premi untuk hosting WP terkelola dibandingkan dengan hosting bersama atau tidak terkelola yang lebih tradisional, itu sepadan.

Namun, beberapa perusahaan hosting bersama seperti SiteGround menawarkan fitur keamanan seperti SSL & HTTP/2, aturan WAF khusus, pembaruan otomatis WordPress dan pluginnya, serta backup dan pemulihan harian gratis untuk akun hosting kamu.

Roti dan mentega mereka adalah WordPress, hosting WP managed hanya WordPress dan mereka menjaga semua aspek teknis seperti: security WordPress, kecepatan, pembaruan WordPress, backup harian, waktu aktif website, skalabilitas, dan banyak lagi.

21. Pertimbangkan Untuk Menggunakan Pihak Ketiga

Jika kamu mampu membelinya, kamu harus mempertimbangkan untuk menggunakan protection service security WordPres pihak ketiga.

Perusahaan seperti Sucuri dan WWPSS menawarkan layanan berbasis langganan dan sekali pakai seperti pemindaian malware dan daftar hitam, perlindungan DDoS, pembersihan malware, perlindungan firewall, dan lapisan tambahan tersebut untuk menjaga situs WordPress kamu tetap aman dan terlindungi.

Sumber Daya Security WordPress:

» http://w3techs.com/technologies/details/cm-wordpress/all/all

» http://codex.wordpress.org/Hardening_WordPress

» https://wordpress.org/plugins/search.php?q=security

» https://www.wordfence.com/learn/

» https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline

» https://www.keycdn.com/blog/http-security-headers/

Kesimpulan

Security WordPress bukanlah bahan tertawaan. Meskipun benar bahwa WordPress bisa menjadi sasaran empuk bagi peretas, jika kamu mengambil tindakan pencegahan yang tepat, kamu bisa menghindari menjadi korban serangan.

Apa langkah security WordPress favorit kamu? Apa yang kamu sarankan lakukan untuk mengamankan WordPress? Beri tahu kami di komentar di bawah!

LEAVE A REPLY

Please enter your comment!
Please enter your name here