Petua Keselamatan WordPress untuk Orang Awam: Amankan Log Masuk WordPress Anda & Amalan Keselamatan Lain

Sejak pertama kali diperkenalkan lebih dari dua dekad yang lalu, WordPress telah berkembang (dan berkembang) kini dengan selamat dinobatkan sebagai sistem pengurusan kandungan paling popular di dunia. Hari ini, lebih daripada seperempat laman web yang ada dikendalikan di WordPress.


Tetapi sejak zaman dahulu lagi, semakin popular sesuatu, semakin banyak orang ingin memanfaatkannya dengan cara jahat. Lihat saja Microsoft Windows dan sejumlah besar malware, virus dan eksploitasi lain yang dirancang untuk menargetkan sistem operasi khusus ini.

10 Versi WordPress dengan Kerentanan Paling Banyak (sumber). Penyelidikan pada tahun 2017 mengenal pasti 74 versi WordPress yang berbeza di laman web Alexa Top 1 juta; 11 versi ini tidak sah – contohnya versi 6.6.6 (sumber).

Mengapa blog WordPress anda menjadi sasaran yang berharga?

Sekiranya anda tertanya-tanya mengapa penggodam ingin mengawal blog WordPress anda, terdapat beberapa sebab termasuk;

  • Menggunakannya untuk menghantar e-mel spam secara rahsia
  • Mencuri data anda seperti senarai mel atau maklumat kad kredit
  • Menambah laman web anda ke botnet yang dapat mereka gunakan kemudian

Nasib baik, WordPress adalah platform yang menawarkan banyak peluang untuk mempertahankan diri. Setelah membantu mengatur dan menguruskan beberapa laman web dan blog sendiri, saya ingin berkongsi dengan anda beberapa perkara asas yang boleh anda lakukan untuk membantu mengamankan laman WordPress anda.

Berikut adalah 10 petua keselamatan yang boleh anda gunakan.

Lindungi Halaman Log Masuk WordPress Anda

Melindungi halaman log masuk anda tidak dapat dicapai dengan teknik tertentu, tetapi sudah tentu ada langkah dan plugin keselamatan percuma yang boleh anda lakukan untuk membuat serangan yang jauh lebih kecil kemungkinannya berjaya..

Halaman log masuk laman web anda pastinya merupakan salah satu halaman yang lebih rentan di laman web anda, jadi mari kita mulakan menjadikan halaman log masuk laman WordPress anda sedikit lebih selamat.

1. Pilih nama pengguna pentadbir yang baik

Gunakan nama pengguna yang tidak biasa. Sebelum ini dengan WordPress, anda harus memulakan dengan nama pengguna pentadbir lalai, tetapi tidak lagi begitu. Namun, kebanyakan pentadbir web baru menggunakan nama pengguna lalai dan perlu menukar nama pengguna mereka. Anda boleh menggunakan Admin Renamer Extended untuk menukar nama pengguna pentadbir anda.

Halaman log masuk memaksa adalah salah satu bentuk serangan web yang biasa dihadapi oleh laman web anda. Sekiranya anda mempunyai kata laluan atau nama pengguna yang mudah ditebak, laman web anda hampir pasti bukan hanya menjadi sasaran tetapi akhirnya menjadi mangsa. Dari pengalaman, kebanyakan percubaan penggodaman laman web cuba masuk dengan tiga pilihan utama nama pengguna. Dua yang pertama selalu ‘admin’ atau ‘pentadbir’, sementara yang kedua biasanya berdasarkan nama domain anda.

Contohnya, jika laman web anda adalah crazymonkey33.com, penggodam mungkin akan cuba log masuk dengan ‘crazymonkey33’.

Bukan idea yang bagus.

2. Pastikan menggunakan kata laluan yang kuat

Sekarang anda mungkin berfikir bahawa orang akan tahu menggunakan kata laluan yang kuat dan rumit untuk melindungi akaun mereka, tetapi masih ramai yang menganggap ‘kata laluan’ adalah kata yang bagus.

Splash Data menyusun senarai kata laluan yang sering digunakan pada tahun 2018. Kata laluan mengikut peringkat dari segi penggunaan.

  1. 123456
  2. kata laluan
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. cahaya matahari
  9. qwerty
  10. iloveyou

Sekiranya anda menggunakan salah satu kata laluan tersebut dan laman web anda menerima lalu lintas sama sekali, laman web anda hampir pasti akan dihapus cepat atau lambat.

Kata laluan yang kuat akan merangkumi gabungan:

  • Aksara huruf besar dan bawah
  • Jadilah alfanumerik (A-Z dan a-z)
  • Sertakan watak khas (!, @, #, $, Dll)
  • Panjangnya sekurang-kurangnya 8 aksara

Semakin rawak kata laluan anda, semakin selamat. Cuba penjana kata laluan rawak ini jika anda menghadapi masalah untuk membuatnya. https://passwordsgenerator.net/

3. Laksanakan reCaptcha

Tembok bot dari blog WP anda.

reCaptcha dirancang untuk menghentikan alat automatik daripada bekerja di laman web. Sudah tentu, memandangkan kerumitan alat peretasan hari ini, alat ini dapat dengan mudah dilewati, tetapi sekurang-kurangnya ada lapisan keselamatan tambahan.

Terdapat sebilangan plugin reCaptcha yang boleh anda gunakan dengan pemasangan anda yang akan berfungsi dengan baik.

4. Gunakan Pengesahan Dua Faktor (2FA)

2FA adalah kaedah pengesahan yang memerlukan pengesahan pada log masuk anda. Contohnya, setelah anda log masuk dengan nama pengguna dan kata laluan anda, sistem mungkin akan menghantar SMS ke telefon bimbit anda atau menghantar e-mel kepada anda dengan kod yang perlu anda masukkan untuk mengesahkan identiti anda.

Kaedah pengesahan ini memberikan perlindungan yang baik dan digunakan oleh banyak bank dan institusi kewangan hari ini. Sekali lagi, keperluan ini dapat dipenuhi dengan pemalam 2FA.

Lihat bagaimana miniOrange (plugin 2FA) berfungsi dengan log masuk WordPress dalam video berikut.

T

5. Namakan semula URL log masuk anda

Sebilangan besar penggodam akan cuba masuk melalui halaman log masuk wordpress lalai, yang biasanya seperti

contoh.com/wp-admin.

Untuk menambahkan lapisan perlindungan yang lain, ubah URL halaman log masuk dengan cepat dan mudah dengan alat seperti WPS Hide Login.

6. Hadkan bilangan percubaan log masuk

Ini adalah teknik yang sangat mudah untuk menghentikan serangan kekerasan di laman log masuk anda tepat di trek mereka. Serangan brute force berfungsi dengan berusaha mendapatkan nama pengguna dan kata laluan anda dengan betul dengan mencuba pelbagai kombinasi berulang kali.

Sekiranya IP tertentu yang melakukan serangan dilacak, maka anda dapat menyekat percubaan memaksa berulang kali dan menjaga keselamatan laman web anda. Inilah sebabnya mengapa serangan DDOS global berlaku dengan beberapa alamat IP dengan asal serangan yang berbeza, untuk menjadikan perkhidmatan hosting dan keselamatan laman web tidak terjaga.

Login LockDown dan Login Security Solution kedua-duanya menawarkan penyelesaian hebat untuk melindungi halaman masuk laman web anda. Mereka mengesan alamat IP dan membatasi jumlah percubaan masuk untuk melindungi laman web anda.

Tembok Keselamatan Tapak Harden

Kami telah membincangkan pelbagai taktik dalam mengamankan halaman log masuk WordPress anda – langkah-langkah yang disebutkan di atas adalah asas-asas yang boleh anda lakukan. Anda juga harus sedar bahawa beberapa host web memberi mandat kepada beberapa amalan keselamatan ini kepada pengguna mereka. Terdapat sebilangan amalan keselamatan lain yang dapat anda laksanakan di laman web anda.

7. Lindungi direktori wp-admin anda

Tambahkan lapisan keselamatan tambahan ke direktori hos anda.

Direktori wp-admin adalah nadi pemasangan WordPress anda. Sebagai perlindungan tambahan, kata laluan melindungi direktori ini.

Untuk melakukannya, anda perlu log masuk ke panel kawalan akaun hosting anda. Sama ada anda menggunakan cPanel atau Plesk, pilihan yang anda cari adalah ‘Direktori Perlindungan Kata Laluan’.

Sebagai alternatif, anda boleh melindungi kata laluan direktori dengan mengubah fail .htaccess dan .htpasswds anda. Panduan terperinci langkah demi langkah dan penjana kod tersedia secara percuma di Dynamic Drive.

Perhatikan bahawa melindungi kata laluan folder wp-admin anda akan memecahkan AJAX awam untuk WordPress – anda perlu membenarkan kebenaran untuk admin ajax melalui .htaccess untuk mengelakkan sebarang kesilapan laman web.

8. Gunakan SSL untuk menyulitkan data

Sambungan HTTP vs HTTPS (Sumber: Sucuri)

Selain dari laman web itu sendiri, anda juga ingin menjaga hubungan antara anda dan pelayan dan di sinilah SSL masuk untuk menyulitkan komunikasi anda. Dengan mempunyai sambungan yang dienkripsi, penggodam tidak akan dapat memintas data (seperti kata laluan anda) semasa anda berkomunikasi dengan pelayan anda.

Selain itu, adalah baik juga untuk menerapkan SSL sekarang kerana enjin carian semakin menghukum laman web yang mereka anggap ‘tidak selamat’.

Untuk blogger dan perniagaan kecil, SSL percuma yang dikongsi – yang biasanya anda dapat dari penyedia hosting anda, Let’s Encrypt, atau CloudFlare – biasanya lebih daripada cukup. Untuk perniagaan yang memproses pembayaran pelanggan – lebih baik anda membeli sijil SSL khusus dari host web anda atau pihak berkuasa sijil (CA).

Ketahui lebih lanjut mengenai SSL dalam Panduan A-Z komprehensif kami untuk SSL.

9. Gunakan Rangkaian Pengedaran Kandungan (CDN)

Walaupun ini mungkin tidak menyelamatkan laman web anda daripada diretas, ia membantu mengurangkan serangan jahat terhadapnya. Beberapa penggodam bertujuan untuk menjatuhkan laman web, menjadikannya tidak dapat diakses oleh orang ramai. CDN akan membantu mengurangkan serangan Serangan Penolakan Perkhidmatan Teragih di laman web anda.

Selain itu, ia juga membantu mempercepat laman web anda dengan menyimpan sedikit kandungan. Untuk meneroka pilihan ini, lihatlah CloudFlare sebagai contoh. CloudFlare menawarkan perkhidmatan CDN pada tahap harga bertingkat, jadi anda bahkan boleh menggunakan ciri asas secara percuma. https://www.cloudflare.com

10. Pastikan SEMUA perisian anda terkini

Tidak kira seberapa baik perisian yang baik atau mahal, akan selalu ada kelemahan baru yang terdapat di dalamnya yang mungkin membiarkannya terbuka untuk dieksploitasi. WordPress tidak terkecuali dan pasukan sentiasa mengeluarkan versi yang lebih baru dengan pembaikan dan kemas kini.

Peretas hampir selalu berusaha untuk memanfaatkan kelemahan dan eksploitasi yang diketahui yang tidak dapat diselesaikan hanyalah meminta masalah. Ini memerlukan dua kali lebih banyak untuk pemalam yang sering dibuat oleh syarikat yang lebih kecil dengan sumber yang kurang.

Sekiranya anda menggunakan pemalam, pastikan kemas kini dilancarkan secara berkala, atau pertimbangkan untuk mencari pemalam yang popular dengan fungsi serupa yang terus dikemas kini.

Setelah mengatakan ini, saya TIDAK mengesyorkan anda menggunakan kemas kini WordPress dan Plugin automatik, terutamanya jika anda menjalankan laman web langsung. Beberapa kemas kini boleh menyebabkan masalah, sama ada secara dalaman atau konflik dengan pemalam dan tetapan lain.

Sebaik-baiknya, buat persekitaran ujian yang meniru laman langsung anda dan uji kemas kini di sana. Setelah anda yakin semuanya berfungsi dengan baik maka anda boleh menerapkan kemas kini ke laman langsung.

Panel kawalan seperti Plesk memberi anda pilihan untuk membuat klon laman web untuk tujuan ini.

11. Sandaran, sandaran dan sandaran!

Tidak kira apa langkah keselamatan atau seberapa berhati-hati anda, kemalangan berlaku. Selamatkan diri anda dari patah hati yang mengerikan dan ratusan jam kerja dengan hanya memastikan anda mempunyai perkhidmatan sandaran yang mencukupi.

Biasanya hos web anda akan dilengkapi dengan beberapa ciri sandaran asas, tetapi jika anda paranoid seperti saya, selalu pastikan anda menjalankan sandaran bebas anda sendiri. Membuat sandaran tidak semudah hanya menyalin beberapa fail, tetapi juga mempertimbangkan maklumat dalam pangkalan data anda.

Cari penyelesaian sandaran yang telah dicuba dan terbukti. Bahkan pelaburan kecil sangat berbaloi untuk menjimatkan air mata sekiranya berlaku kecemasan. Sesuatu seperti BackupBuddy dapat membantu anda menyimpan segala-galanya termasuk pangkalan data anda sekaligus.

12. Host web anda dikira!

Walaupun secara tradisional, syarikat hosting web hanya menawarkan ruang untuk kami menjadi tuan rumah laman web kami, masa telah berubah. Penyedia hosting web, yang menyedari keperluan mendesak untuk meningkatkan keamanan, telah meningkat, dengan banyak menawarkan layanan nilai tambah untuk melengkapkan web hosting mereka.

Contohnya HostGator, salah satu nama yang lebih mantap dalam permainan. Selain daripada ciri-ciri asas Cloudflare, HostGator (dengan harga $ 10 + / bln) juga dilengkapi dengan Perlindungan Percuma Spam, Penghapusan Perisian Malware Automatik, Sandaran Automatik, Privasi Domain dan banyak lagi.

Penyedia hosting WordPress yang diuruskan, Kinsta, membina firewall perkakasan dan secara aktif memantau pelayan mereka untuk serangan malware dan DDoS dengan sistem yang dibuat khasnya.

Sekiranya ini masih belum berlaku, saya sangat menggalakkan anda untuk melihat ciri keselamatan apa yang disediakan oleh host anda dan membandingkannya dengan yang ada sekarang.

Untuk senarai yang komprehensif, anda boleh melihat kompilasi host web terbaik WHSR di sini.

Bagaimana sekarang?

Sebelum anda berlari liar dan mula menjelajahi Internet dengan panik mencari sejuta dan satu penyelesaian keselamatan – tarik nafas panjang. Seperti yang lain, seseorang akan menolong anda panik dan mencari jalan keluar.

Walaupun anda menggunakan seberapa banyak penyelesaian keselamatan yang anda dapat, adakah anda pasti selamat?

Di sinilah sesuatu seperti Security Ninja masuk, yang membantu anda memeriksa kelemahan laman web anda.

Demo pantas: Bagaimana Ninja Keselamatan berfungsi.

Terdapat beberapa alasan yang kuat untuk menggunakan sesuatu seperti Security Ninja tetapi izinkan saya mengatakan bahawa ia adalah alat yang saya cadangkan untuk digunakan pada beberapa peringkat dalam perjalanan anda untuk mengamankan laman web anda.

Pertama, jalankan di laman web anda ‘sebagaimana adanya’ – sebelum membuat perubahan. Biarkan pemalam mencucuk dan mempromosikan laman web anda sebelum memberikan hasilnya.

Kemudian berdasarkan hasil tersebut, berusaha untuk mengamankan laman web anda. Security Ninja melakukan lebih daripada 50 ujian untuk menyiasat pertahanan anda. Walaupun anda telah membuat perubahan, jalankan lagi (dan setiap kali ada perubahan tapak atau kemas kini pemalam) hanya untuk menguji laman web anda.

Sekiranya ini sepertinya terlalu banyak kerja untuk anda, Security Ninja juga dilengkapi dengan sejumlah modul tambahan (versi pro, laman tunggal $ 29) yang dapat membantu anda menyelesaikan masalah yang ditemuinya.

Beberapa ciri utama lain dalam modul ini termasuk:

  • Imbas fail teras WP untuk mengenal pasti fail yang bermasalah
  • Pulihkan fail yang diubah suai dengan satu klik
  • Betulkan kemas kini automatik WP yang rosak
  • Larang 600 juta IP buruk dikumpulkan dari berjuta-juta laman web yang diserang
  • Senaraikan kemas kini automatik, tidak memerlukan penyelenggaraan atau kerja manual
  • Lindungi borang log masuk dari serangan brute-force

Pemikiran Akhir

Walaupun semua ini kelihatan agak berlebihan bagi pengguna WordPress rata-rata, saya memberi jaminan bahawa semua itu (dan banyak lagi) diperlukan. Mengabaikan statistik peretasan di seluruh dunia dan tidak lama lagi, izinkan saya berkongsi dengan anda beberapa maklumat peribadi di salah satu laman web yang paling tidak jelas yang saya bantu uruskan.

Awalnya bermula sebagai laman biografi sederhana, saya membuat www.timothyshim.com. Jelas, itu hanyalah sesuatu yang saya siapkan dan kebanyakannya saya tinggalkan, hanya sebagai titik rujukan. Pada setiap tempoh sepanjang bulan, laman web ini yang pada dasarnya tidak melakukan apa-apa dan tidak mengumpulkan data, menghadapi lebih dari 30 serangan – gabungan kekerasan dan serangan yang kompleks.

Yang diperlukan adalah salah satu daripada mereka berjaya dan saya akan mengalami hari yang sangat buruk.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map