Tips Untuk Melindungi Admin Area WordPress
Seringkali serangan siber diawali dari admin area WordPress, jika website tersebut menggunakan CMS WordPress. Melindungi admin area WordPress dari akses yang tidak diijinkan dapat melindungi website WordPress kamu dari banyak ancaman keamanan. Pada artikel kali ini, saya akan membahas beberapa tips untuk melindungi admin area WordPress.
1. Menggunakan Website Application Firewall
Website application firewall atau WAF menawarkan pengawasan terhadap traffic website dan memblokir request yang mencurigakan yang datang ke website WordPress kamu.
Ada banyak plugin firewall untuk WordPress, tapi saya merekomendasikan untuk menggunakan Sucuri. Layanan keamanan dan pengawasan website ini menawarkan WAF berbasis cloud untuk melindungi website kamu. Plugin ini dapat mencegaj website kamu dari percobaan hacking, phishing, malware dan aktivitas berbahaya lainnya.
2. Password Protect Directories
Melindungi admin area WordPress dengan password merupakan bawaan default dari sistem WordPress. Namun ada fitur untuk menambahkan perlindungan dengan password untuk WordPress admin directory.
Untuk menggunakannya kamu harus memiliki akses ke dashboard cPanel dari penyedia hosting yang kamu gunakan. Login ke cPanel, lalu pilih ikon ‘Password Protect Directoies’ atau ‘Directory Privacy.’
Selanjutnya, kamu pilih folder wp-admin website WordPress kamu, yang biasanya ada di directory /public_html/.
Pada layar selanjutnya, kamu perlu memberi centang pada kotak di sebelah ‘Password protect this directory’ dan masukan nama yang diinginkan. Setelah itu klik tombol Save dibawahnya.
Langkah selanjutnya adalah membuat user, akan diminta untuk memasukan username dan password, setelah selesain klik tombol Save dibawahnya.
Siapa saja yang mencoba membuka halaman WordPress admin atau wp-admin, akan diminta memasukan username dan password. Untuk kamu, tinggal masukan username dan password yang tadi kamu buat, baru kemudian login ke admin area WordPress.
3. Selalu Gunakan Password Yang Kuat
Selalu gunakan password yang kuat untuk semua akun online kamu, termasuk akun untuk admin WordPress. Jangan gunakan password yang mudah ditebak, gunakan password dengan kombinasi dari huruf, angkat, dan karakter spesial, gunakan juga huruf kapital.
Atau jika bingung membuat password yang sulit, bisa memanfaatkan software password generator.
4. Gunakan Two Step Verification Untuk Login Admin Area WordPress
Two-step verification juga menambahkan lapisan keamanan untuk melindungi login admin area WordPress. Selain memasukan username dan password yang biasa, kamu juga akan diminta untuk memasukan kode verifikasi. Disini kita bisa menggunakan Google Authenticator.
Install plugin Google Authenticator, lalu pasang aplikasinya di smartphone Android atau iOS yang kamu miliki.
Meski hacker berhasil menebak username dan password kamu, tetapi tetap belum bisa masuk karena harus memasukan kode verifikasi lagi.
5. Batasi Percobaan Login
Bawaannya, sistem WordPress memungkinkan pengguna untuk mencoba memasukan username dan password sebanyak mungkin. Ini berarti setiap orang dapat terus mencoba menebak password kamu.
Untuk itu kamu perlu membatasi percobaan login. Bisa menggunakan plugin yang bernama Login LockDown. Lalu masuk ke admin area, dan masuk ke Settings-> Login LockDown untuk mengkonfigurasi plugin.
6. Limit Akses Login Untuk Alamat IP Tertentu
Jika website WordPress kamu hanya memiliki sedikit pengguna yang bisa login atau kamu saja yang bisa login. Lebih baik melindungkan admin area WordPress dengan membatasi dari alamat IP tertentu. Tentunya IP dari provider internet yang kamu gunakan dan penggunakan lainnya.
Cukup tambahkan kode dibawah ini ke file .htaccess:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist wahyudhi IP address allow from xx.xx.xx.xxx # whitelist wahyudha IP address allow from xx.xx.xx.xxx </LIMIT>
Ganti xx dengan alamat IP kamu dan pengguna lainnya, jika kamu menggunakan beberapa penyedia internet jangan lupa juga untuk memasukannya.
Kami harap artikel ini dapat membantu kamu untuk melindungi admin area WordPress kamu.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
5 Mitos Keamanan WordPress Yang Populer
Karena popularitasnya yang luar biasa sebagai platform content management system untuk membuat website, WordPress memiliki komunitas pengguna yang sangat besar, dimana pengguna bisa saling berbagi informasi, sumber daya, tips dan juga wawasan untuk pengguna lainnya. Dan juga karena saking populernya CMS ini, keamanan WordPress juga menjadi perhatian paling depan dari para pemilik situs. Banyak serangan yang menargetkan situs yang menggunakan WordPress. (more…)
5 Plugin Firewall Untuk WordPress
Salah satu cara untuk melindungi website WordPress kamu dari serangan siber adalah dengan memasang plugin firewall. Dengan firewall kamu dapat melindungi website WordPress dari hacking, serangan brute force dan serangan distributed denial of service (DDoS). Pada artikel kali ini saya akan membahas 5 plugin firewall terbaik untuk website WordPress kamu.
Dua tipe umum dari plugin firewall yang tersedia untuk WordPress adalah:
- DNS Level Website Firewall – Firewall ini akan mengarahkan traffic website kamu melalui server proxy-nya sebelum script WordPress di-load. Dengan metode ini, mereka hanya akan mengirimkan traffic yang asli ke web server kamu.
- Application Level Firewall – Firewall ini akan memeriksa traffic setelah mencapai server tetapi sebelum script WordPress di-load. Metode ini tidak seefisien DNS level firewall dalam mengurangi load server.
1. Sucuri
Sucuri menawarkan DNS level firewall, yang dapat melindungi dari penyusup dan mencegah brute force, serta juga melindungi dari malware dan memiliki layanan blacklist removal.
Sucuri juga dapat meningkatkan kinerja website dengan mengurangi server load melalui optimasi caching, website acceleration, dan Anycast CDN. Juga melindungi website dari SQL Injections, XSS, RCE, RFU dan semua serangan umum.
Setiing WAF juga mudah, kamu perlu untuk menambahkan DNS A record ke domain kamu dan mengarahkannya ke Sucuri cloud proxy daripada ke website kamu.
2. Cloudflare
Cloudflare terkenal dengan layanan CDN mereka yang termasuk perlindungan dasar DDoS. Namun untuk paket yang gratis tidak termasuk website application firewall. Untuk WAF kamu perlu berlangganan paket Pro.
Cloudflare juga menawarkan DNS level firewall yang berarti traffic diarahkan melalu jaringan mereka. Hal ini dapat meningkatkan kinerja website dan mengurangi downtime pada saat traffic tinggi.
Paket Pro termasuk perlindungan DDoS terhadap serangan 3 layer, untuk perlindungan DDoD 5 dan 7 layer perlu berlangganan paket Business.
3. SiteLock
SiteLock merupakan website application firewall yang juga popular, yang menawarkan layanan perlindungan DDoS, scan malware dan menghapusnya.
SiteLock WAF merupakan DNS level firewall dengan layanan CDN untuk meningkatkan kinerja website kamu. Layanannya menawarkan scan malware, file change monitor, security alert dan malware removal.
SiteLock juga bekerja sama dengan banyak perusahaan hosting, diman SiteLock ditawarkan sebagai add-on untuk paket hosting.
4. WordFence Security
WordFence merupakan plugin keamanan WordPress yang juga popular dengan website application firewall built-in. Plugin ini dapat memonitor website WordPress kamu dari malware, perubahan file, SQL injections dan banyak lagi. Plugin ini juga melindungi website dari serangan DDoS dan brute force.
WordFence merupakan application level firewall yang berarti firewall dipicu pada server dan traffic jahat akan diblokir setelah mencapai server tetapi sebelum website di-load.
WordFence hadir dengan on-demand security scan dan juga scheduled scan. Memungkinkan kamu untuk secara manual memonitor traffic dan memblokir alamat IP yang mencurigakan langsung dari area admin WordPress.
5. BulletProof Security
BulletProof Security juga merupakan plugin keamanan untuk WordPress yang popular. Plugin ini hadir dengan application level firewall, login security, database backup, maintenance mode, dan beberapa tweak keamanan untuk melindungi website kamu.
BulletProof Security tidak menawarkan pengalaman user yang baik dan banyak pemula yang mungkin akan mengalami kesulitas untuk mengertinya. Plugin ini memiliki setup wizard yang secara otomatis mengupdate file .htaccess dan mengaktifkan firewall.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Cara Menambahkan Google Authenticator di WordPress
Google telah lama menambahkan 2-step authentication untuk login ke dalam akun Google. Dengan fitur ini kamu dapat mengamankan akun kamu Google dengan dua langkah, langkah pertama login dengan username dan password dan langkah kedua memasukan PIN yang dikirimkan ke email. (more…)
1 Juta Lebih Website WordPress Rentan Karena Plugin
Plugin gallery WordPress yang sangat terkenal, yang telah dipasang di lebih dari 1 juta website WordPress memiliki celah yang sangat berbahaya. Namun developer plugin tersebut telah merilis patch untuk menutup celah, yang memungkinkan untuk mengekploitasi database website.
Plugin merupakan backbone dari sistem WordPress yang dapat membuat tampilan website menjadi lebih menarik dan interaktif, dan juga bisa menambahkan berbagai fitur-fitur yang tidak ada pada sistem WordPress. Namun kamu harus berhati-hati dalam memilih plugin karena banyak kejadian plugin malah membawa celah pada keamanan website WordPress kamu.
Peneliti dari perusahaan keamanan siber Sucuri menginformasikan lebih dari satu juta website WordPress rentan terhadap serangan yang sangat serius karena satu plugin yang bernama WP-Slimstat.
Dalam rilis persnya Sucuri mengatakan “Selama audit rutin untuk Web aplication firewall (WAF), kami menemukan bug keamanan yang dapat membuat hacker, dengan menembus kelemahan plugin, melakukan serangan SQL Injection terhadap website target.”
Sucuri juga menjelaskan bahwa hacker yang berhasil mengeksploitasi celah ini, memungkinkan mereka untuk mengakses ataupun mendownload informasi sensitif dari website WordPress seperti password yang terenkripsi, secret key WordPress dan lainnya.
Dengan informasi ini hacker dapat menggunakan untuk meng-hijack keseluruhan website WordPress.
Dan Sucuri mengakhirinya dengan pertanyaan yang dapat membuat pemilik website WordPres stress, “Hal ini merupakan celah yang sangat berbahaya, kamu harus mengupdate semua website WordPress yang menggunakan plugin ini (WP-Slimstat) sesegera mungkin.”
Sucuri mengestimasikan ada lebih dari satu juta website WordPress yang rentan dengan resiko ini karena plugin WP-Slimstat. Angka ini sangat besar. Di internet, ada hampir dari 75 website yang menggunakan WordPress.
Saran saya tidak hanya rajin untuk mengupdate sistem WordPress, kamu juga harus rajin untuk mengupdate semua plugin dan tema yang kamu gunakan.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.