10 Tips To Secure Your WordPress Site

10 tips to secure your wordpress site.

10 Tips To Secure Your WordPress Site


Secure WordPress Site


Back in 2003 when WordPress was developed by Matt Mullenweg to be an easy-to-use platform for bloggers to share their thoughts over the internet. But the easy-to-use interface and extreme scalability of the program caught the attention of many webmasters around the world and within just a few years of its release, WordPress became the most popular CMS in the world.


Now the WordPress we use is actually much more advanced than before. In fact the WordPress CMS still has vulnerabilities, but don't worry you can use these 10 tips to secure your WordPress site.


Also Read: 5 Best Plugins For WordPress Security (Free)

TABLE OF CONTENTS

1. Securing WordPress Site

2. 1. Get Fast & Secure Hosting

3. 2. Never Use the Default “admin� Username

4. 3. Always Use Very Strong Passwords

5. 4. Always Update WordPress Core, Themes & Plugins

6. 5. Remove Unused Themes & Plugins

7. 6. Tighten Admin Area

8. 7. Use HTTPS And SSL

9. 8. Only Install Trusted Themes And Plugins

10. 9. Disable Directory Listing

11. 10. Set Appropriate Permissions For Files And Folders

12. Conclusion

Secure WordPress Site


1. Get Fast & Secure Hosting


When it comes to hosting people always look for an unlimited plan account with unlimited space, unlimited bandwidth, and unlimited domains because they think it will be cheaper that way. But what they never understand is that they are caught in a trap. In short, nothing is unlimited in this world. Even the sun's rays will run out someday.


Big brand companies use the “UNLIMITED” tag to lure novice users into getting online and then providing such lousy service that they will almost feel compelled to upgrade to a more expensive VPS server.


2. Never Use the Default “admin” Username


Now when you install WordPress on any server it becomes so easy that most people overlook these little things during the installation process. It doesn't matter whether you use the default WordPress installer or the one-click installer that came with your server control panel, make sure you change the main admin username to any of the default “admin�. This is very important.


The most important reason is because most hackers use Brute Force Attack tools to randomly guess your username and password in order to successfully log in. Now if your admin username is actually “admin� then you have made a hacker's life very easy because now they just need to crack your password.


3. Always Use Very Strong Passwords


I know this is a very basic thing and everyone on the internet already knows this but believe me not everyone uses this when needed. Make sure your WordPress admin password contains a combination of Uppercase, Lowercase, Alphanumeric (e.g. @, #,?), Number and a minimum length of 9 characters. This way you can give hackers the real pain of actually decrypting your passwords.


4. Always Update WordPress Core, Themes & Plugins


Trust me this is one of the most common things found on almost every WordPress site. While it's true that updating WordPress cores, themes or plugins can break your site sometimes but that's only the case for 0.001% of websites that use poorly coded themes and plugins.


The reason this gets broken after an update is because sometimes the developer of the theme you are using or some of the plugins on your site have stopped supporting and updating the code. So, when WordPress stops any functionality, the theme/plugin is still trying to access it and ends up having lots of PHP errors.


Apa pun masalahnya, selalu update situs kalian dengan WordPress versi terbaru, tema dan plugin yang dipasang. Pengembang merilis patch setiap hari untuk memperbaiki vulnerabilities dalam perangkat lunak mereka segera setelah mereka mengetahui atau diberitahukan.


5. Hapus Tema & Plugin Yang Tidak Digunakan


Banyak situs WordPress yang penuh dengan tema dan plugin terpasang dan bahkan tidak mereka gunakan di situs mereka. Mereka hanya membiarkan hal-hal ini dinonaktifkan dan mengira mereka tidak akan sulit juga karena mereka dinonaktifkan. Ini benar-benar ide yang salah. Jauh lebih mudah bagi peretas mana pun untuk menargetkan tema / plugin lama atau hal-hal yang diinstal tetapi dinonaktifkan agar dapat melewati keamanan situs web kalian dengan menargetkan kerentanan dalam tema dan plugin tersebut.


Karena hal-hal ini sudah dinonaktifkan di situs kalian, maka kalian tidak akan melihat adanya perubahan halus pada kode tema / plugin dan peretas menggunakan ini sebagai keuntungan mereka. Ketika kalian berkali-kali memasang plugin di situs kalian dan kemudian menonaktifkannya, pengembang yang sebenarnya dari plugin itu berhenti memperbarui plugin itu dan peretas menggunakan kerentanan di dalam tema / plugin lama itu untuk meretas situs kalian.


Jadi, selalu simpan hal-hal yang benar-benar kalian gunakan di situs kalian, jika ada daftar plugin dan tema yang diinstal di situs WordPress kalian tetapi kalian tidak menggunakannya, DELETE saja. Apakah itu tema atau plugin yang dilengkapi dengan instalasi default WordPress atau sesuatu yang telah kalian instal sebelumnya. Aturan yang sama berlaku untuk semuanya. Simpan saja barang-barang yang kalian butuhkan dan singkirkan sisanya.


6. Perketat Area Admin


Ketika terjadi perketarea admin, kalian harus mengubah URL admin default dan membatasi jumlah upaya login gagal sebelum pengguna dikunci dari situs kalian. Secara default, URL admin untuk situs web kalian akan terlihat seperti ini: namadomain.com/wp-admin . Peretas mengetahui hal ini dan akan mencoba mengakses URL ini secara langsung sehingga mereka dapat memperoleh akses ke situs kalian. Kalian dapat mengubah URL ini dengan sebuah plugin seperti WPS Hide Login.


Selanjutnya kalian batasi jumlah upaya login yang gagal. dengan menambahkan fitur penguncian untuk upaya login yang gagal dapat memecahkan masalah besar upaya brute force berkelanjutan. Setiap kali ada upaya peretasan dengan kata sandi yang salah berulang, situs terkunci, dan kalian diberitahu tentang kegiatan yang tidak sah ini. Kalian dapat menggunakan plugin LockDown.


7. Gunakan HTTPS Dan SSL


Internet telah penuh dengan posting blog dan artikel tentang pentingnya protokol HTTPS dan menambahkan sertifikat keamanan SSL ke situs kalian. HTTPS adalah singkatan dari Hypertext Transfer Protocol Secure, sedangkan SSL adalah Secure Socket Layers. Singkatnya, HTTPS memungkinkan peramban pengunjung untuk membuat koneksi aman dengan server hosting kalian. Protokol HTTPS diamankan melalui SSL. Bersama-sama, HTTPS dan SSL memastikan bahwa semua informasi antara browser pengunjung dan situs kaliandienkripsi.


Menggunakan keduanya di situs kalian tidak hanya akan meningkatkan keamanan situs kalian, tetapi juga akan menguntungkan peringkat mesin pencari kalian, membangun kepercayaan pada pengunjung kalian. Bicaralah dengan penyedia hosting kalian dan tanyakan tentang kemungkinan mendapatkan sertifikat SSL atau kalian bisa mencoba menggunakan layanan CloudFlare yang gratis, daripada tidak memakainya sama sekali.


8. Hanya Install Tema Dan Plugin Tepercaya


Jangan pernah memasang tema atau plugin dari beberapa video pemasaran atau situs web pemasaran palsu karena dalam sebagian besar kasus meskipun menyediakan situs web gratis yang sepenuhnya dibangun, ada kemungkinan besar bahwa tema dan plugin tersebut memiliki kode jahat yang dapat membahayakan keamanan situs web kalian. Jika kalian memasang tema atau plugin gratis, pasang saja melalui WordPress plugin installer atau download dari repositori pengaya WordPress. Beli atau download tema dan plugin hanya dari situs web tepercaya seperti themeforest, codecanyon dll.


9. Nonaktifkan Daftar Direktori


Pada kebanyakan kasus daftar direktori webservers telah diaktifkan secara default karena berbagai alasan, tetapi setelah pengembangan situs web kalian selesai, buka saja .htaccessfile yang ada di direktori root atau di bawah public_htmldirektori server kalian dan tambahkan kode berikut di bagian atas yang sudah ada kode htaccess Options -Indexes


Ini akan menonaktifkan fitur daftar direktori dari server kalian dan siapa saja yang mencoba untuk mengakses direktori server yang tidak memiliki index.htmlatau index.phpfile yang akan mengembalikan 403 error Terlarang. Kode di atas akan berfungsi untuk Apache dan juga server Lightspeed tetapi jika kalian memiliki server nGinx, hubungi admin server kalian untuk mengaktifkannya di situs web kalian.


Ini sangat penting karena jika kalian tidak menonaktifkan fitur ini di peretas situs web kalian dapat dengan mudah mengikuti struktur direktori kalian dan mencari tahu file persis apa yang kalian miliki di server kalian dan bagaimana mereka diatur. Ini memberi mereka keuntungan mengetahui situs kalian dengan sempurna.


10. Tetapkan Izin Yang Sesuai Untuk File Dan Folder


Jika kalian memiliki akses masuk cPanel ke manajer file kalian dan pastikan semua file situs kalian memiliki izin yang ditetapkan ke 644 dan semua direktori memiliki izin yang ditetapkan ke 755, kecuali beberapa plugin secara khusus meminta kalian untuk mengatur beberapa izin khusus ke beberapa folder khusus . Seperti beberapa plugin cache meminta pengguna untuk mengatur izin ke /wp-contents/cache/folder ke 777. Ini adalah kasus luar biasa, tetapi untuk sisa file ikuti struktur izin di atas. Jadi pastikan untuk menetapkan izin yang sesuai untuk mengamankan situs WordPress kalian.


Kesimpulan


WordPress adalah CMS yang kuat dan populer yang memudahkan siapa pun untuk membuat situs web. Tetapi karena sangat populer, itu juga menjadi target favorit para peretas. Untungnya, ada sejumlah langkah yang dapat kalian ambil untuk mengamankan situs WordPress kalian dan jika kalian mengikuti tips dalam artikel ini, kalian akan berada di jalur yang tepat untuk memiliki situs web WordPress yang aman.


Hopefully, this article about 10 Tips To Secure Your WordPress Site, gives you a little insight. Also, read an article about 10 Unique Linux Facts That Few People Know that you may need to know. Thank you.

Previous Post Next Post