WordPress: 10 Praktik Terbaik dalam Keamanan Situs Web

Linux Post Install

10 menit

WordPress: 10 praktik terbaik dalam hal keamanan

WordPress: 10 praktik terbaik dalam hal keamanan

WordPress (WP) dikenal sebagai CMS terpopuler, di antara banyak hal, telah dirancang dengan penekanan pada aksesibilitas, kinerja, dan kemudahan penggunaan, berada dalam pengembangan berkelanjutan (versi saat ini 5.2), memiliki komunitas pengguna yang besar dalam banyak bahasa dan memiliki kapasitas penyesuaian yang besar melalui penggunaan tema dan add-on milik sendiri atau pihak ketiga.

Juga karena sangat aman, tetapi untuk itu, seperti dalam aplikasi atau sistem apa pun, praktik yang baik harus diikuti untuk mencapai implementasi jangka panjang yang aman. Dan pada postingan kali ini kami ingin memberikan beberapa rekomendasi dasar dalam hal ini.

Pengantar

WP menjadi CMS paling populer untuk membangun situs web, juga biasanya sering menjadi target serangan komputer, jadi selain pembaruannya yang konstan, memerlukan perawatan, pembaruan, dan prosedur keamanan yang sering ayat dengan demikian hindari kelemahan karena kerentanan pada add-on, kata sandi lemah, perangkat lunak usang, di antara banyak alasan lainnya, yaitu, mencapai sangat mengurangi kerentanan Anda terhadap serangan yang disengaja atau tidak terduga.

Selain itu, WP seperti Sistem Manajemen Konten (CMS) lainnya memungkinkan Anda membangun situs web dengan cepat dan efisien dan kemudian menaruhnya secara online. Kapasitasnya yang tinggi untuk bekerja dan berkembang, melalui modul, tema pelengkap, membuatnya lebih mudah dari sebelumnya untuk mencapai tugas ini tetapi tanpa perlu pembelajaran bertahun-tahun yang biasanya diperlukan untuk ini.

Namun, efek samping tidak ada yang menyenangkan yang dapat muncul dari ini, mungkin beberapa manajer alat tersebut, biasanya bypass, tindakan yang diperlukan untuk memastikan bahwa situs web yang dibuat atau dipelihara aman. Untuk alasan ini, penting untuk mengingat beberapa tindakan umum dan khusus (praktik yang baik), tentang WP atau CMS dan situs web lainnya agar tetap aman.

Latihan yang baik

1.- Perkuat keamanan Anda secara umum

WP pasti dengan mudah melebihi 30% dari basis situs web aktif di Internet saat ini, yang menjadikannya target favorit bagi penjajah dan / atau penyerang (hacker / cracker) dengan niat baik atau buruk. Oleh karena itu, kerentanan yang diketahui dan sudah berhasil dieksploitasi di situs WP serupa akan dicoba di situs WP serupa lainnya.

WordPress: Praktik Baik Pertama

Jadi jika Anda mengelola dan / atau menggunakan satu atau lebih situs web dengan WP, pastikan Anda lebih berhati-hati, teliti, dan sadar akan keamanan online mereka. Perlu diingat bahwa sebagian besar pelanggaran keamanan yang dianalisis dan dilaporkan di situs web dengan WP tidak ada hubungannya dengan inti aplikasi itu sendiri, tetapi banyak hubungannya dengan segala sesuatu yang berkaitan dengan implementasi, konfigurasi, dan pemeliharaan umum, dilakukan secara tidak benar. oleh pengembang atau administrator. '

WordPress: Praktik Baik ke-2

2.- Ketahui kerentanan Anda

WordPress memiliki sekitar 4.000 kerentanan keamanan yang diketahui, didistribusikan sebagai berikut: WP Core (37%), Plugins (52%) dan Themes (11%), menurut laporan terbaru dari situs WPScans, yang sekarang disebut WPSec (sejak 01-05-2019). Selidiki kerentanan keamanan yang dihadapi situs web Anda dan temukan solusi untuk menyelesaikan masalah ini. Hindari menjalankan versi WP Core yang tidak aman, atau plugin dan temanya.

Fokus pada topik keamanan berikut di WP atau situs web Anda, yaitu di Berbagai jenis Serangan dari:

  • Paksaan: Memperkuat keamanan di halaman login Anda.
  • File inklusi: Memperkuat keamanan file konfigurasi wp-config.php Anda.
  • Injeksi SQL: Memperkuat keamanan database MySQL Anda yang terkait dengan WP.
  • Cross Site Scripting: Memperkuat keamanan plugin WP bekas.
  • Infeksi malware: Memperkuat keamanan umum situs web Anda untuk mencegah akses tidak sah, penyisipan malware, dan pengumpulan data rahasia berikutnya oleh kode berbahaya ini. Malware atau serangan yang paling sering terjadi biasanya dari jenis: Backdoor, SEO Spam, HackTool, Mailer, Defacement dan Phishing. Cari untuk melindungi situs Anda dari setiap jenis malware atau serangan ini.

Ingatlah bahwa setelah situs web mana pun disusupi, peringkat SEO-nya dapat menurun. Karena mesin pencari cenderung dengan cepat mendaftarkan situs web yang disusupi sehingga browser akan memberi tanda peringatan kepada pengunjung atau sepenuhnya memblokir kemampuan untuk menavigasi situs tersebut.

WordPress: Praktik Baik ke-3

3.- Ketahui infrastruktur penyedia Hosting Anda

Jika situs web Anda menggunakan hosting eksternal, yaitu, disewa di luar infrastruktur Anda, jangan berhemat biaya untuk memastikan kualitas layanan dari penyedia hosting Anda. Di atas segalanya, jika dia menghosting situsnya di bawah skema "shared hosting".

Sejak 'hosting bersama' berkualitas buruk dapat membuat situs Anda lebih rentan ketika salah satu dari beberapa situs web yang disimpan di server yang sama disusupi. Artinya, jika situs web diretas di server dengan "hosting bersama", penyerang juga dapat memperoleh akses ke situs web lain dan datanya.

WordPress: Praktik Baik ke-4

4.- Mengenal espesifikasi teknis web dari penyedia Hosting Anda

Saat mengevaluasi penyedia hosting, infrastrukturnya bukanlah segalanya. Spesifikasi teknis web yang digunakan oleh penyedia hosting Anda untuk mencapai keamanan yang lebih baik dari situs web yang dihosting juga penting. Pastikan itu mengikuti pedoman keamanan yang disarankan berikut untuk hosting situs web Anda:

  • Pemasangan sertifikat SSL yang mudah
  • Manajemen aktif versi perangkat lunak server web.
  • Perlindungan firewall
  • Rekam akses ke situs web
  • Audit keamanan rutin
  • Deteksi aktivitas berbahaya
  • Dukungan untuk SFTP (bukan hanya FTP), TLS 1.2 dan 1.3, dan untuk PHP 5.6, minimal, meskipun 7.0 dan seterusnya direkomendasikan.

Semua ini minimal diperlukan untuk meningkatkan keamanan situs web Anda dengan atau tanpa WP sebagai CMS bekas.

WordPress - Tema dan Plugin: Plugin

5.- Waspadai Tema dan Pelengkap yang digunakan

Plugin dan tema yang diinstal sangat penting di tingkat keamanan. Bertujuan untuk hanya menggunakan tema dan plugin resmi WP atau Komunitas bersertifikat, repositori komersial terkenal, atau langsung dari pengembang terkemuka. Karena banyak dari mereka (tidak bersertifikat) dapat berisi kode berbahaya.

Tidak masalah seberapa besar Anda melindungi situs web Anda dari WP jika Anda menginstal malware. Lakukan penelitian Anda sebelum mengunduh dan memasang tema dan plugin apa pun, atau situs web pengembang atau promotor mereka, dan buat reservasi Anda dengan yang gratis atau berdiskon.

WordPress: Praktik Baik ke-5

6.- Cobalah untuk sering memperbarui CMS Anda

Pembaruan pada platform web Anda sangat penting untuk keamanan Anda. Antara WP CMS Anda atau tidak, versi lama dari Core, Tema, atau plugin Anda dapat mengarahkan Anda untuk menyembunyikan kerentanan yang diketahui di situs web Anda. Dalam kasus WP, yang merupakan open source, ada tim yang secara khusus didedikasikan untuk masalah ini di dalam Inti aplikasi.

Setiap kerentanan keamanan yang ditemukan di WP dikoreksi dan segera dihilangkan untuk menyelesaikan setiap masalah keamanan baru yang ditemukan di WP. Karena pembaruan itu WP dan semua tema serta pluginnya ke versi terbaru adalah komponen penting dari strategi keamanan yang sukses.

WordPress: Praktik Baik ke-6

7.- Saya menemukan kata sandi yang sesuai

Kualitas atau kekuatan kata sandi kami di situs web sangat penting. Masuk ke situs web kami adalah target utama untuk mengeksploitasi kerentanan, karena ini memberikan akses termudah ke halaman administrasi situs web Anda.

Serangan brute force adalah metode paling umum untuk mengeksploitasi login Anda, menemukan kombinasi nama pengguna dan kata sandi untuk mendapatkan akses ke situs web. Dalam kasus tertentu WP, secara default tidak membatasi jumlah upaya login gagal yang dapat dilakukan seseorang, oleh karena itu, yang paling disarankan adalah penggunaan kata sandi yang kompleks untuk login administrator WP Anda.

Saat memilih kata sandi, pertimbangkan 3 persyaratan dasar ini berdasarkan format CLU (Kompleks, Panjang, Unik):

  • KOMPLEKS: Kata sandi harus seacak mungkin dan paling tidak terkait dengan Administrator Web atau Situs Web.
  • PANJANG: Kata sandi harus terdiri dari 12 karakter atau lebih. Dan diperkuat dengan batasan atau batasan pada jumlah upaya koneksi yang gagal.
  • HANYA: Jangan gunakan kembali kata sandi. Setiap kata sandi harus unik pada waktunya. Aturan sederhana ini secara dramatis membatasi dampak dari kata sandi yang dibobol.

Rekomendasi: Gunakan pengelola kata sandi seperti "LastPass" (online) dan "KeePass 2" (offline) untuk membuat dan menyimpan semua kata sandi Anda dalam format terenkripsi.

WordPress: Praktik Baik ke-7

8.- Selalu persiapkan rencana anti-bencana Anda

Jika Anda menggunakan WP, ingatlah bahwa WP tidak memiliki sistem cadangan bawaan. Sertakan salah satu sebagai prioritas, sehingga Anda selalu memiliki cadangan situs web terbaru. Cadangan sangat penting dan strategi keamanan umum untuk diterapkan.

Jangan lupa bahwa Anda tidak hanya harus melakukannya cadangkan situs web dan database bekas Andatapi semua pengaturan dari seluruh server melalui tugas otomatis dengan skrip atau sistem gambar kloning, untuk memfasilitasi pemulihan dan pemasangan ulang yang diperlukan dalam waktu sesingkat mungkin.

WordPress: Praktik Baik ke-8

9.- Tingkatkan keamanan Anda menggunakan 2FA

Perkuat login admin WP Anda atau situs Anda menggunakan mekanisme otentikasi dua faktor (2FA), yang merupakan salah satu cara terbaik untuk mengamankan situs web Anda hari ini. Otentikasi dua faktor menambahkan lapisan perlindungan ekstra ke login situs web Anda, dengan mengharuskan penggunaan kata sandi Anda memerlukan kode sensitif waktu tambahan dari perangkat lain, seperti ponsel cerdas Anda, agar berhasil masuk.

Dalam kasus WP yang tidak menawarkan fungsionalitas ini secara default sematkan yang sama dengan menggunakan pluginseperti iThemes Security untuk menambahkan hal yang sama.

WordPress: Praktik Baik ke-9

10.- Gunakan aksesori keamanan yang diperlukan

Sebagian besar CMS seperti WP menggunakan plugin untuk meningkatkan potensi keamanan mereka sendiri. Dalam kasus khusus WP, disarankan untuk menggunakan plugin keamanan yang disebut iThemes Security. untuk menambahkan lebih banyak perlindungan ke situs web Anda. Plugin ini memblokir WP, memperbaiki lubang yang diketahui, menghentikan serangan otomatis, dan memperkuat kredensial pengguna.

Ini memiliki versi gratis (iThemes Security) dan versi berbayar (iThemes Security Pro) yang jelas menyediakan lebih banyak fitur keamanan seperti 2FA, pemindaian malware terjadwal, pendaftaran pengguna, dan lainnya.

Kesimpulan

Baik itu melalui WP atau CMS lain, Anda dapat menghindari sebagian besar masalah keamanan situs web hanya dengan mengikuti praktik keamanan terbaik atau baik ini. Situs web Anda layak dan harus memiliki langkah-langkah keamanan yang diperlukan untuk menjamin atau meminimalkan sifatnya yang tidak dapat diganggu gugat di saat-saat seperti ini yang terpengaruh oleh aktivitas peretas dan cracker.

Akhirnya dan sebagai tambahan, kami sarankan Anda membaca artikel lain ini di blog kami tentang hal ini untuk memperkuat keamanan situs web Anda, disebut: Izin Linux untuk Administrator dan Pengembang Sistem.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.