Panduan Mudah untuk Keselamatan WordPress

Dengan berlakunya pelanggaran keselamatan Web, adalah penting untuk mengambil langkah pencegahan untuk memastikan laman web anda selamat dari penceroboh. Oleh itu, jika anda mempunyai laman web WordPress, baca terus. Kami akan memberi anda beberapa petua dan alat yang boleh anda gunakan untuk menjadikan laman web WordPress anda selamat dan terjamin.


“Ini tidak boleh berlaku di laman web saya!” Ini adalah pemikiran umum yang dimiliki oleh kebanyakan kita apabila kita mendengar bahawa penggodam melanggar keselamatan laman web.

Mungkin, orang yang mempunyai laman web yang diretas itu percaya bahawa dia pasti telah melakukan sesuatu yang sangat salah untuk membocorkan maklumat penting. Mungkin orang itu melakukan kesalahan besar kerana menganggap keselamatan laman webnya begitu sahaja.

Anda mungkin berasa selamat menggunakan CMS dan platform blogging yang sangat popular seperti WordPress untuk laman web anda. Walau bagaimanapun, anda perlu perhatikan bahawa populariti global WordPress yang sangat besar adalah salah satu sebab utama penggodam menyasarkan laman web berdasarkan platform ini.

WordPress adalah platform yang sangat mesra pengguna, dan ini menjadikannya lebih rentan terhadap serangan dari penggodam dan spammer. Sejak awal, anda harus menjadikan keselamatan sebagai keutamaan untuk laman web anda bersama dengan hosting dan reka bentuk Web.

Berikut adalah kajian mendalam mengenai pelbagai langkah yang perlu anda lakukan untuk meningkatkan keselamatan laman WordPress anda. Kami juga akan melihat petua teratas untuk melindungi laman WordPress, pemalam keselamatan WordPress teratas, dan alat ujian.

Anda harus sedar bahawa tidak ada laman web yang selamat 100 peratus dan maklumat yang dikongsi di sini tidak akan menjadikan laman web anda benar-benar selamat. Objektif utamanya adalah untuk membantu anda dalam mengambil semua langkah berjaga-jaga yang diperlukan untuk memastikan laman web WordPress anda selamat dari kebanyakan serangan.

Asas Keselamatan Web

Anda mungkin menganggap tidak mungkin laman web anda diretas pada masa akan datang kerana tidak pernah menghadapi masalah keselamatan pada masa lalu mengenai perisian hasad, kod jahat, atau komen spam.

Tetapi, salah satu perkara paling asas yang perlu diingat mengenai keselamatan Web ialah anda perlu terus aktif dan tidak reaktif. Ini bermakna anda harus mengambil beberapa langkah pencegahan sejak awal, dan bukannya mempercayai seseorang tidak dapat menggodam laman web anda, dan berusaha meningkatkan keselamatannya.

Juga, sebelum melangkah ke tahap keselamatan WordPress, anda perlu menyedari betapa pentingnya keselamatan ini dilaksanakan.

Banyak orang melayari laman web anda. Sebilangan dari mereka mungkin melanggan buletin laman web anda, dan ada juga yang mendaftar sebagai ahli forum laman web anda. Data yang dikongsi oleh pelawat anda juga rentan terhadap serangan jika laman web anda diretas. Oleh itu, adalah tanggungjawab anda untuk memastikan keselamatan data laman web anda, yang seterusnya, akan melindungi data pelawat anda.

Sekiranya laman web WordPress anda menarik sedikit lalu lintas, anda mungkin berpendapat bahawa tidak ada alasan untuk penggodam menyerang laman web anda apabila terdapat ribuan laman web lain yang lebih popular yang terdapat dalam talian. Sekiranya demikian, mungkin sudah tiba masanya anda memahami sebab-sebab mengapa penggodam mungkin cuba melanggar laman web anda.

Penggodam tidak risau sama ada laman web anda hanya menarik beberapa pengunjung kerana, setelah mereka mendapat akses ke laman web anda, mereka dapat menggunakan pelayan anda untuk menghantar e-mel spam. Mereka melakukan ini untuk menolong mereka memasarkan perkhidmatan, produk, atau laman web mereka.
Dengan peningkatan aktiviti spamming jenis ini dari pelayan yang diretas anda, kemungkinan alamat IP anda disenarai hitam meningkat sangat banyak. Sebagai alternatif, penggodam mungkin lebih suka menggunakan pelayan anda untuk aktiviti laman web mereka sendiri kerana alamat IP mereka sudah disenarai hitam.

Selain menyedari sebab-sebab penggodaman, anda juga perlu memahami pelbagai cara penggodam atau spammer dapat menyerang laman web anda. Ini akan lebih membantu anda merancang aktiviti laman web anda sehingga laman web anda menjadi kurang terdedah kepada ancaman keselamatan.

Mereka boleh menyerang melalui mana-mana plugin atau tema WordPress. Sebenarnya, ada kes di mana masalah dengan pemalam keselamatan telah membolehkan penggodam menyerang laman web yang menggunakan pemalam tersebut. Juga, penggodam dapat memanfaatkan kerentanan keselamatan di platform hosting anda dan menggunakan parameter URL apa pun untuk mengakses pangkalan data anda.

Dengan cara ini, mereka dapat mengubah data anda, mengubah kata laluan anda, atau bahkan menghapus data. Sangat mengejutkan apabila mengetahui bahawa banyak serangan berlaku kerana kata laluan yang lemah untuk mengakses panel pentadbir WordPress atau bahkan untuk mengakses panel kawalan hosting.

Setelah mengembangkan pemahaman asas mengenai perlunya keselamatan laman WordPress anda, kini anda dapat membaca lebih lanjut untuk mengetahui cara-cara anda dapat meningkatkan keselamatan laman web anda.

9 Petua Keselamatan untuk Melindungi Laman WordPress Anda dari Penggodam

Pastikan Laman Web WordPress Anda Dikemas kini

Sekiranya anda terus menunda mengemas kini laman WordPress anda kerana bimbang anda akan kehilangan data kerana kemas kini yang salah, maka anda perlu segera membuat sandaran. Sebaik sahaja anda membuat sandaran laman web anda, anda boleh terus maju dan mengemas kini versi WordPress anda dengan yang terbaru. Anda perlu melakukan ini kerana WP memperbaiki bug keselamatan versi sebelumnya dengan setiap versi baru yang tersedia.

Juga, maklumat WordPress memberitahu orang ramai mengenai pembaikan ini, yang menjadikan laman web anda yang lebih lapuk menjadi lebih rentan. Oleh itu, biasakan menggunakan pilihan “Kemas kini Tersedia” secara berkala setelah anda log masuk ke papan pemuka pentadbir WordPress anda.

Kemas kini Tema dan Pemalam yang Anda Gunakan dan Padamkan Yang Tidak Digunakan

Anda perlu menjaga Pemalam WordPress dan tema dikemas kini dengan alasan yang sama anda perlu mengemas kini keseluruhan versi WordPress. Penggodam dapat dengan mudah memanipulasi plugin atau tema yang ketinggalan zaman (melalui lubang keselamatan) untuk mendapatkan akses kepada pentadbir laman web anda.

Oleh itu, jangan risau tentang keserasian pemalam anda dengan tema semasa anda tetapi anda harus memastikan bahawa anda selalu menggunakan versi terbaru dari kedua-duanya.

Sejajar dengan garis panduan yang serupa, pastikan bahagian pemalam anda di papan pemuka pentadbir WordPress hanya mengandungi pemalam yang anda gunakan. Padamkan yang tidak anda gunakan kerana anda cenderung untuk tidak mengemas kini pemalam tersebut, dan ini sekali lagi meningkatkan kerentanan mereka terhadap serangan keselamatan.

Harap maklum bahawa penting untuk “menghapus” plugin yang tidak digunakan dan bukan hanya “nyahaktifkan” mereka.

Elakkan memuat turun Tema atau Pemalam dari Sumber Tidak Diketahui

Anda mungkin tergoda untuk memuat turun beberapa plugin atau tema premium secara percuma walaupun ia berasal dari sumber yang tidak diketahui.

Walaupun anda mungkin merasa senang dengan mendapatkan ciri canggih tanpa sebarang kos, anda mungkin lupa untuk memperhatikan ancaman keselamatan yang mungkin disertakan oleh ciri-ciri ini. Plugin dari sumber yang tidak diketahui mungkin memperkenalkan malware atau memasukkan kod jahat ke dalam laman web anda. Daripada mengambil risiko yang besar, selalu disarankan untuk memuat turun tema dan pemalam dari sumber yang terkenal.

Anda boleh menggunakan Pemeriksaan Plugin atau Pemeriksaan Tema untuk memeriksa kod pemalam dan tema anda. Kod yang ditulis dengan tidak baik dapat memudahkan penggodam untuk mengakses laman web anda.

Sekiranya anda tidak pasti mengenai sumbernya dan tidak tahu bagaimana memeriksa kualiti kodnya, anda boleh memilih reka bentuk WordPress percuma dari platform WordPress.org.

Mempunyai Nama Pengguna dan Kata Laluan Pentadbir WordPress yang Kuat

Untuk membuat laman web anda menggunakan platform WordPress, anda mendapat akses ke papan pemuka belakang. Secara lalai, WP menghasilkan nama pengguna (pentadbir) dan kata laluan yang kuat untuk anda log masuk ke papan pemuka pentadbir ini semasa pemasangan WordPress. Tetapi, setelah pemasangan, anda mesti menukar nama pengguna pentadbir WordPress anda menjadi sesuatu yang unik bagi anda.

Bersamaan dengan itu, anda perlu ingat untuk menukar kata laluan kepada sesuatu yang tidak diketahui oleh orang di sekitar anda atau dari pelawat laman web anda. Contohnya, jika laman web anda menunjukkan tarikh lahir atau nama pasangan anda, pastikan kata laluan anda juga tidak mengandungi. Ini menyukarkan mana-mana penggodam untuk meneka kata laluan anda. Anda juga harus menyimpan kata laluan yang selamat untuk akaun panel kawalan anda.

Selain itu, anda boleh mencuba menambahkan CAPTCHA ke halaman log masuk WordPress anda untuk meningkatkan lagi keselamatan laman web anda. Ini akan memastikan bahawa bot atau skrip tidak dapat mengakses laman web anda melalui serangan brute force.

Tambahkan Pengesahan Keselamatan WordPress Dua Langkah

Berapa banyak kata laluan yang akan saya simpan dan terus dikemas kini? Anda mungkin mempunyai soalan ini mengenai mengekalkan kata laluan yang kuat untuk pelbagai titik masuk ke panel WordPress atau panel kawalan anda.

Anda boleh menikmati log masuk percuma kata laluan ke panel WordPress anda menggunakan sesuatu seperti Pemalam pengesahan dua faktor Clef. Dengan pemalam ini, anda boleh menggunakan telefon bimbit anda untuk mengesahkan log masuk selamat anda ke papan pemuka admin WordPress bersama dengan PIN atau cap jari. Jadi, walaupun telefon anda hilang, butiran akaun Clef anda tetap selamat.

Atau, anda boleh menggunakan Pengesah Google untuk memastikan pengesahan dua langkah. Dengan ini, anda perlu menggunakan kata laluan anda dan juga memasukkan kod log masuk yang dihasilkan secara unik yang disertakan sebagai SMS ke telefon anda.

Cari Syarikat Hosting yang Selamat

Mempunyai versi laman WordPress terkini tidak akan menjadi masalah sekiranya penggodam dapat memecahkan versi PHP lama dari platform yang menghoskan laman web anda. Oleh itu, anda perlu menggunakan perkhidmatan hosting penyedia hosting Web yang sangat dipercayai.

Tuan rumah anda harus mempunyai kemampuan untuk memberikan sokongan untuk versi MySQL dan versi PHP terkini. Ia juga harus mempunyai sistem pengesanan pencerobohan yang cekap untuk mengenal pasti serangan dalam masa dan harus menawarkan laman web anda sebagai firewall aplikasi Web untuk meningkatkan keselamatan.

Hadkan Bilangan Percubaan Masuk

Peretas menggunakan serangan kekerasan untuk memecahkan kata laluan yang anda gunakan untuk log masuk ke panel WordPress anda. Mereka terus-menerus mencuba percubaan masuk secara rawak sehingga berjaya.

Walaupun kata laluan anda kuat, ia membantu mengenal pasti jumlah percubaan masuk yang tidak masuk akal dan menyekat alamat IP yang membuat percubaan ini. Anda kemudian boleh melarang alamat IP tersebut untuk jangka masa yang pasti. Anda boleh lakukan dengan menggunakan pemalam seperti Kunci Masuk Log Masuk atau Penyelesaian Keselamatan Log Masuk.

Jadualkan Sandaran Kerap Laman Web Anda

Ini adalah langkah penting kerana ia dapat menolong anda ketika seseorang menggodam atau merosakkan laman web anda. Apabila seseorang menggodam laman web anda, anda dapat dengan mudah kembali ke versi laman web anda sebelumnya yang tidak terganggu. Anda juga dapat menggunakan salah satu penyelesaian automatik untuk membuat sandaran, seperti VaultPress atau BackUpBuddy.

Jaga Ruang Pentadbiran WordPress Anda dengan Terlindung

Hanya sebilangan orang yang perlu mempunyai akses ke papan pemuka pentadbir anda. Sekiranya mungkin, cuba hadkan kebenaran bagi mereka yang mengakses papan pemuka anda. Ini akan membantu anda mengurangkan ancaman serangan dari sumber yang tidak diketahui.
Anda juga perlu memastikan bahawa orang lain mempunyai akses terhad atau tidak ke folder WordPress / wp-admin / atau fail wp-login.php. Anda boleh membenarkan akses ke alamat IP anda sendiri dengan menambahkan kod berikut dalam fail .htaccess:

perintah menolak, membenarkan
Tolak dari semua
Benarkan dari zz.zz.zz.zz

Dalam kod di atas, anda hanya perlu mengganti “zz.zz.zz.zz” dengan set alamat IP anda sendiri untuk lokasi atau peranti yang berbeza.

Sekiranya anda tidak berurusan dengan alamat IP statik, kaedah ini mungkin tidak sesuai untuk anda. Dalam kes sedemikian, anda boleh menggunakan pemalam yang dibincangkan di atas untuk mengehadkan percubaan log masuk.

Plugin Keselamatan WordPress untuk Mengesan Kod Berbahaya di Laman Web anda

Sekiranya penggodam menyerang laman web anda, ia akan membantu mengehadkan kerosakan atau mengambil tindakan tepat pada masanya jika anda mengetahui tentangnya dengan segera. Oleh itu, mari kita lihat beberapa plugin keselamatan WordPress teratas yang dapat mengesan kod jahat yang dimasukkan ke dalam laman web anda.

Perlindungan Tapak AntiVirus WP

Plugin popular ini, yang ditawarkan oleh SiteGuarding.com, membantu mengesan dan membuang sebarang virus atau kod berbahaya yang terdapat di laman WordPress anda. Ini mengimbas item seperti fail plugin, fail tema, dan semua muat naik untuk mengesan ancaman keselamatan dengan cepat, termasuk backdoor, adware, spyware, rootkit, worm, Trojan horse, dan alat penipuan.

Sekiranya anda terus memuat turun tema dan pemalam dari laman torrent (bukannya membeli salinan asal dari pembangun), maka anda perlu mempunyai jenis pemalam ini untuk keselamatan yang lebih baik.

Keselamatan Wordfence

Plugin ini menawarkan keselamatan kelas perusahaan secara percuma dengan melindungi laman web anda dari perisian hasad dan juga potensi peretasan. Ini memeriksa sama ada laman web anda sudah mempunyai jangkitan dan melakukan imbasan mendalam dari kod sumber laman web anda.
Ia membandingkan kod dengan Repositori WordPress Rasmi untuk pemalam, teras dan tema. Ia bukan sahaja melindungi laman web anda daripada kebanyakan ancaman tetapi juga menjadikan laman web anda 50 kali lebih pantas daripada sebelumnya.

Wordfence juga membolehkan penyekat masa nyata penyerang yang diketahui. Ini bermaksud bahawa jika penggodam menyerang pemalam ini di laman web lain, penggodam itu juga akan disekat secara automatik dari laman web anda.

Ia boleh menyekat seluruh rangkaian alamat IP berbahaya apabila terdapat ancaman kod jahat yang dimasukkan ke dalam laman web anda. Ini seterusnya membantu menyekat ancaman dalam bentuk pengikis, perayap, dan bot yang dikenal pasti semasa imbasan keselamatan. Ia juga mengimbas Trojan, kod yang mencurigakan, ruang belakang, URL pancingan data, perisian hasad, kerentanan HeartBleed, dan sebagainya.

Sekiranya anda pengguna premium, anda juga dapat menyekat negara, dan anda sering menjadualkan imbasan untuk jangka masa tertentu.

Pengimbas Eksploit

Exploit Scanner selalu mencari sesuatu yang mencurigakan dalam fail dan pangkalan data laman WordPress anda, termasuk catatan dan jadual komen.

Ia juga mengimbas pemalam yang anda gunakan untuk sebarang nama fail yang mengelirukan atau tidak biasa. Sekiranya terdapat kod atau fail yang berniat jahat, pemalam ini memberikan laporan terperinci kepada pentadbir laman web dan menyerahkannya untuk mengeluarkan kod jahat tersebut.

Keselamatan Sucuri

Ini adalah kumpulan alat keselamatan yang komprehensif untuk digunakan untuk pengesanan perisian hasad, pengeras keselamatan, dan pemantauan integriti keselamatan. Ini adalah sokongan hebat untuk ciri keselamatan laman web anda yang ada.

Beberapa fungsi utama plugin ini termasuk pemantauan integriti fail, pemantauan senarai hitam, pengauditan aktiviti keselamatan, pengimbasan malware jauh, pengerasan keselamatan, dan tindakan keselamatan yang diambil setelah peretasan, pemberitahuan keselamatan, dan firewall laman web.

Bagaimana Mengimbas Laman WordPress Anda untuk Perisian Perosak Tersembunyi?

Oleh kerana WordPress adalah platform sumber terbuka, mudah terdedah kepada jangkitan malware atau suntikan oleh penggodam. Beberapa cara umum penggodam menyuntik perisian hasad ke dalam laman web anda termasuk yang berikut:

  • Pharma Hacks (suntikan spam dalam pangkalan data atau fail anda)
  • Phishing (memperoleh maklumat sensitif, seperti alamat e-mel, kata laluan, dan nama pengguna)
  • Pengalihan Berbahaya (mengalihkan pengunjung laman web anda ke halaman laman web lain di mana terdapat fail yang dijangkiti yang dimuat turun atau kod jahat)
  • Fail dan Suntikan Pangkalan Data (penambahan kod berbahaya dalam pangkalan data atau fail laman web anda)
  • Backdoors (mendapatkan akses ke kawasan pentadbir atau akaun FTP anda)
  • Semua penggodam ingin memastikan bahawa pemilik laman web tidak mengetahui bahawa mereka menggodam laman webnya. Ini membolehkan penggodam menjangkiti pelawat laman web melalui spamming berterusan untuk jangka masa yang lebih lama.

Oleh itu, tujuan anda adalah untuk terus mencari sebarang malware tersembunyi di laman web anda yang tidak anda ketahui dan menyingkirkan fail atau folder yang dijangkiti.

Anda boleh melakukannya dengan menggunakan perisian hasad yang mengimbas plugin WordPress yang popular seperti yang disenaraikan di bawah:

Menggunakan Pengimbas Periksa Tapak Sucuri untuk mengimbas potensi perisian hasad. Cukup pergi ke laman web ini di sini dan masukkan URL laman web anda. Pengimbas percuma ini akan melakukan imbasan menyeluruh di laman web anda untuk perisian hasad, kesalahan laman web, status senarai hitam, dan perisian yang ketinggalan zaman.

Satu-satunya kelemahan ialah anda perlu melakukan imbasan ini secara manual dengan versi percuma. Anda boleh meningkatkan ke rancangan premium dan mendapat makluman melalui Twitter, e-mel atau RSS, setiap kali ia mengesan perisian hasad.

Dapatkan laman web anda dikeluarkan dari senarai hitam jika penggodam telah menggunakan pelayan anda untuk spam sejak sekian lama. Perkhidmatan premium juga membantu menghilangkan perisian hasad. Anda juga boleh mencuba plugin keselamatan Sucuri yang telah dibincangkan sebelumnya untuk perlindungan malware yang dipertingkatkan.

Menggunakan Pengimbas Anti-Malware untuk mencari perisian hasad, virus, halaman belakang, dan ancaman serupa yang diketahui serta menghapusnya secara automatik. Ciri premium utama plugin ini adalah menambal halaman wp-login.php anda untuk menghentikan serangan brute-force.

Di samping itu, anda boleh menggunakan mana-mana plugin keselamatan WordPress yang dibincangkan di atas untuk mengenal pasti kod jahat.

Alat Ujian Keselamatan Laman Web

Untuk melindungi laman web anda dari serangan, anda perlu sentiasa menguji tahap keselamatan laman web anda dengan menggunakan alat ujian tertentu seperti:

Wapiti menunjukkan kerentanan (pendedahan fail, suntikan pangkalan data, suntikan skrip silang tapak, konfigurasi .htaccess lemah, dan banyak lagi) di laman web anda. Alat ini menggunakan pendekatan imbasan kotak hitam.

Ini bermaksud ia tidak mempelajari kod sumber aplikasi tetapi memeriksa halaman web untuk mengetahui bentuk dan skrip di mana ia dapat menyuntik data. Ini menyuntikkan muatan untuk mengenal pasti skrip yang rentan. Ini menyediakan laporan dalam berbagai format, seperti HTML, XML, Text, dan JSON.

Nogotofail Google menguji lalu lintas rangkaian laman web untuk mengesan dan memperbaiki sambungan TLS atau SSL yang lemah dan lalu lintas teks yang sensitif pada pelbagai peranti. Anda juga dapat memasangnya sebagai pelayan VPN atau pelayan proksi atau bahkan penghala.

Anda boleh mencuba pengimbas sumber terbuka dan penguji bernama Vega. Platform berasaskan GUI ini ada di Java dan berfungsi dengan platform OS X, Windows, dan Linux. Ini terdiri daripada proksi yang memintas untuk melakukan pemeriksaan taktikal dan pengimbas automatik untuk melakukan ujian pantas.

Alat ini dapat digunakan untuk mengenal pasti skrip lintas-laman web (XSS), suntikan SQL, dan kelemahan yang serupa.
Kami berharap petua dan maklumat mengenai keselamatan WordPress ini dapat membantu anda dalam meningkatkan keselamatan laman web anda dengan banyak.

Adakah anda sudah mencuba beberapa plugin atau kaedah yang meningkatkan keselamatan laman web WordPress anda? Sila kongsi pengalaman anda dan teruskan menyebarkan kesedaran mengenai pentingnya keselamatan laman web di rangkaian anda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map