Panduan Keselamatan WordPress Terbaik – Langkah demi Langkah (2020)

Keselamatan WordPress adalah topik yang sangat penting bagi setiap pemilik laman web. Google menyenarai hitam sekitar 10,000 laman web setiap hari untuk perisian hasad dan sekitar 50,000 untuk pancingan data setiap minggu.


Sekiranya anda serius mengenai laman web anda, maka anda perlu memperhatikan amalan terbaik keselamatan WordPress. Dalam panduan ini, kami akan berkongsi semua petua keselamatan WordPress teratas untuk membantu anda melindungi laman web anda daripada penggodam dan perisian hasad.

Panduan keselamatan WordPress yang lengkap

Walaupun perisian teras WordPress sangat selamat, dan diaudit secara berkala oleh beratus-ratus pembangun, ada banyak yang boleh dilakukan untuk memastikan keselamatan laman web anda.

Di WPBeginner, kami percaya bahawa keselamatan bukan hanya mengenai penghapusan risiko. Ini juga mengenai pengurangan risiko. Sebagai pemilik laman web, ada banyak yang boleh anda lakukan untuk meningkatkan keselamatan WordPress anda (walaupun anda tidak mahir teknologi).

Kami mempunyai sejumlah langkah yang dapat diambil untuk melindungi laman web anda daripada kerentanan keselamatan.

Untuk mempermudahnya, kami telah membuat senarai kandungan untuk membantu anda menavigasi panduan keselamatan WordPress utama kami dengan mudah.

Asas Keselamatan WordPress

    Keselamatan WordPress dalam Langkah Mudah (Tanpa Pengekodan)

      Keselamatan WordPress untuk Pengguna DIY

        Sedia? Mari kita mulakan.

        Mengapa Keselamatan Laman Web Penting?

        Laman WordPress yang diretas boleh menyebabkan kerosakan serius terhadap pendapatan dan reputasi perniagaan anda. Peretas dapat mencuri maklumat pengguna, kata laluan, memasang perisian berniat jahat, dan bahkan dapat menyebarkan perisian hasad kepada pengguna anda.

        Paling teruk, anda mungkin akan membayar ransomware kepada penggodam hanya untuk mendapatkan kembali akses ke laman web anda.

        Mengapa keselamatan WordPress penting

        Pada bulan Mac 2016, Google melaporkan bahawa lebih daripada 50 juta pengguna laman web telah diberi amaran tentang laman web yang mereka kunjungi mungkin mengandungi perisian hasad atau mencuri maklumat.

        Tambahan pula, Google menyenarai hitam sekitar 20,000 laman web untuk perisian hasad dan sekitar 50,000 untuk pancingan data setiap minggu.

        Sekiranya laman web anda adalah perniagaan, maka anda perlu memberi perhatian lebih kepada keselamatan WordPress anda.

        Sama seperti bagaimana tanggungjawab pemilik perniagaan untuk melindungi bangunan kedai fizikal mereka, sebagai pemilik perniagaan dalam talian, adalah tanggungjawab anda untuk melindungi laman web perniagaan anda.

        []

        Menjaga Kemas kini WordPress

        Mengemas kini WordPress

        WordPress adalah perisian sumber terbuka yang selalu dikekalkan dan dikemas kini. Secara lalai, WordPress memasang kemas kini kecil secara automatik. Untuk siaran utama, anda perlu memulakan kemas kini secara manual.

        WordPress juga dilengkapi dengan ribuan plugin dan tema yang boleh anda pasangkan di laman web anda. Plugin dan tema ini dikendalikan oleh pembangun pihak ketiga yang secara berkala juga mengeluarkan kemas kini.

        Kemas kini WordPress ini sangat penting untuk keselamatan dan kestabilan laman WordPress anda. Anda perlu memastikan bahawa teras, pemalam, dan tema WordPress anda terkini.

        []

        Kata Laluan yang kuat dan Kebenaran Pengguna

        Urus kata laluan yang kuat

        Percubaan penggodaman WordPress yang paling biasa menggunakan kata laluan yang dicuri. Anda boleh membuatnya sukar dengan menggunakan kata laluan yang lebih kuat dan unik untuk laman web anda. Bukan hanya untuk kawasan admin WordPress, tetapi juga untuk akaun FTP, pangkalan data, akaun hosting WordPress, dan alamat e-mel khusus anda yang menggunakan nama domain laman web anda.

        Ramai pemula tidak suka menggunakan kata laluan yang kuat kerana sukar diingat. Perkara yang baik ialah anda tidak perlu lagi mengingati kata laluan. Anda boleh menggunakan pengurus kata laluan. Lihat panduan kami mengenai cara mengurus kata laluan WordPress.

        Cara lain untuk mengurangkan risiko adalah dengan tidak memberi sesiapa akses ke akaun pentadbir WordPress anda kecuali anda benar-benar perlu. Sekiranya anda mempunyai pengarang pasukan atau tetamu yang besar, pastikan anda memahami peranan dan kemampuan pengguna di WordPress sebelum anda menambahkan akaun pengguna dan pengarang baru ke laman WordPress anda.

        []

        Peranan Hosting WordPress

        Perkhidmatan hosting WordPress anda memainkan peranan paling penting dalam keselamatan laman WordPress anda. Penyedia hosting bersama yang baik seperti Bluehost atau Siteground mengambil langkah tambahan untuk melindungi pelayan mereka daripada ancaman biasa.

        Inilah cara syarikat hosting web yang baik berfungsi di latar belakang untuk melindungi laman web dan data anda.

        • Mereka terus memantau rangkaian mereka untuk melakukan aktiviti yang mencurigakan.
        • Semua syarikat hosting yang baik mempunyai alat untuk mencegah serangan DDOS berskala besar
        • Mereka memperbarui perisian dan perkakasan pelayan mereka untuk mengelakkan penggodam mengeksploitasi kerentanan keselamatan yang diketahui dalam versi lama.
        • Mereka telah siap menerapkan rancangan pemulihan bencana dan kemalangan yang memungkinkan mereka melindungi data anda sekiranya terjadi kemalangan besar.

        Pada rancangan hosting bersama, anda berkongsi sumber pelayan dengan banyak pelanggan lain. Ini membuka risiko pencemaran silang di mana penggodam dapat menggunakan laman web berdekatan untuk menyerang laman web anda.

        Menggunakan perkhidmatan hosting WordPress yang teratur menyediakan platform yang lebih selamat untuk laman web anda. Syarikat hosting WordPress yang diuruskan menawarkan sandaran automatik, kemas kini WordPress automatik, dan konfigurasi keselamatan yang lebih maju untuk melindungi laman web anda

        Kami mengesyorkan WPEngine sebagai penyedia hosting WordPress terurus pilihan kami. Mereka juga yang paling popular di industri ini. (Lihat kupon WPEngine khas kami).

        []

        Keselamatan WordPress dalam Langkah Mudah (Tanpa Pengekodan)

        Kami tahu bahawa meningkatkan keselamatan WordPress boleh menjadi pemikiran yang menakutkan bagi pemula. Terutama jika anda tidak berteknologi. Tebak apa – anda tidak keseorangan.

        Kami telah membantu ribuan pengguna WordPress dalam mengeraskan keselamatan WordPress mereka.

        Kami akan menunjukkan kepada anda bagaimana anda dapat meningkatkan keselamatan WordPress anda dengan hanya beberapa klik (tidak memerlukan pengekodan).

        Sekiranya anda boleh menunjuk-dan-klik, anda boleh melakukannya!

        Pasang Penyelesaian Sandaran WordPress

        Pasang penyelesaian sandaran WordPress

        Sandaran adalah pertahanan pertama anda terhadap sebarang serangan WordPress. Ingat, tidak ada yang selamat 100%. Sekiranya laman web kerajaan dapat diretas, begitu juga dengan laman web anda.

        Sandaran membolehkan anda memulihkan laman WordPress anda dengan cepat sekiranya berlaku sesuatu yang buruk.

        Terdapat banyak plugin sandaran WordPress percuma dan berbayar yang boleh anda gunakan. Perkara paling penting yang perlu anda ketahui mengenai sandaran ialah anda mesti menyimpan sandaran laman web secara berkala ke lokasi terpencil (bukan akaun hosting anda).

        Kami mengesyorkan menyimpannya di perkhidmatan awan seperti Amazon, Dropbox, atau awan peribadi seperti Stash.

        Berdasarkan seberapa kerap anda mengemas kini laman web anda, tetapan yang ideal mungkin sekali sehari atau sandaran masa nyata.

        Syukurlah ini dapat dilakukan dengan mudah dengan menggunakan plugin seperti VaultPress atau UpdraftPlus. Kedua-duanya boleh dipercayai dan yang paling penting mudah digunakan (tidak memerlukan pengekodan).

        []

        Plugin Keselamatan WordPress Terbaik

        Selepas membuat sandaran, perkara seterusnya yang perlu kita lakukan ialah menyediakan sistem pengauditan dan pemantauan yang mengawasi semua yang berlaku di laman web anda.

        Ini termasuk pemantauan integriti fail, percubaan masuk yang gagal, pengimbasan perisian hasad, dll.

        Syukurlah, ini semua dapat dijaga dengan plugin keselamatan WordPress percuma terbaik, Sucuri Scanner.

        Anda perlu memasang dan mengaktifkan pemalam Sucuri Security percuma. Untuk maklumat lebih lanjut, sila lihat panduan langkah demi langkah kami mengenai cara memasang pemalam WordPress.

        Setelah diaktifkan, anda perlu pergi ke menu Sucuri di pentadbir WordPress anda. Perkara pertama yang akan diminta untuk dilakukan adalah Menjana kunci API percuma. Ini membolehkan pembalakan audit, pemeriksaan integriti, amaran e-mel, dan ciri penting lain.

        Jana Kunci API Sucuri

        Perkara seterusnya, yang perlu anda lakukan ialah klik pada tab ‘Pengerasan’ dari menu tetapan. Lakukan setiap pilihan dan klik pada butang “Terapkan Pengerasan”.

        Pengukuhan keselamatan Sucuri

        Pilihan ini membantu anda mengunci bidang utama yang sering digunakan penggodam dalam serangan mereka. Satu-satunya pilihan pengerasan yang merupakan peningkatan berbayar adalah Firewall Aplikasi Web yang akan kami jelaskan pada langkah seterusnya, jadi langkau sekarang.

        Kami juga telah membahas banyak pilihan “Pengerasan” ini dalam artikel ini untuk mereka yang ingin melakukannya tanpa menggunakan plugin atau yang memerlukan langkah-langkah tambahan seperti “Perubahan Awalan Pangkalan Data” atau “Mengubah Nama Pengguna Pentadbiran”.

        Selepas bahagian pengerasan, tetapan plugin lalai cukup baik untuk kebanyakan laman web dan tidak memerlukan perubahan. Satu-satunya perkara yang kami cadangkan untuk disesuaikan ialah ‘Makluman E-mel’.

        Tetapan amaran lalai dapat merosakkan peti masuk anda dengan e-mel. Kami mengesyorkan untuk menerima amaran untuk tindakan utama seperti perubahan pemalam, pendaftaran pengguna baru, dll. Anda boleh mengkonfigurasi amaran dengan pergi ke Tetapan Sucuri »Makluman.

        Sediakan amaran e-mel keselamatan

        Plugin keselamatan WordPress ini sangat hebat, jadi semak semua tab dan tetapan untuk melihat semua yang dilakukannya seperti pengimbasan perisian hasad, log Audit, Penjejakan Percubaan Log Masuk Gagal, dll..

        Dayakan Firewall Aplikasi Web (WAF)

        Cara termudah untuk melindungi laman web anda dan yakin dengan keselamatan WordPress anda adalah dengan menggunakan firewall aplikasi web (WAF).

        Firewall laman web menyekat semua lalu lintas berbahaya sebelum ia sampai ke laman web anda.

        Firewall Laman Web Tahap DNS – Firewall ini mengarahkan lalu lintas laman web anda melalui pelayan proksi awan mereka. Ini membolehkan mereka hanya menghantar lalu lintas asli ke pelayan web anda.

        Firewall Peringkat Aplikasi – Plugin firewall ini memeriksa lalu lintas setelah sampai ke pelayan anda tetapi sebelum memuatkan kebanyakan skrip WordPress. Kaedah ini tidak seefisien dengan firewall tahap DNS dalam mengurangkan beban pelayan.

        Untuk mengetahui lebih lanjut, lihat senarai pemalam firewall WordPress terbaik kami.

        WAF Sucuri

        Kami gunakan dan cadangkan Sucuri sebagai firewall aplikasi web terbaik untuk WordPress. Anda boleh membaca tentang bagaimana Sucuri membantu kami menyekat 450,000 serangan WordPress dalam sebulan.

        Serangan disekat oleh Sucuri

        Bahagian terbaik mengenai firewall Sucuri adalah ia juga dilengkapi dengan pembersihan malware dan jaminan penyingkiran senarai hitam. Pada dasarnya jika anda diretas di bawah pengawasan mereka, mereka menjamin bahawa mereka akan memperbaiki laman web anda (tidak kira berapa halaman yang anda miliki).

        Ini adalah jaminan yang cukup kuat kerana membaiki laman web yang diretas itu mahal. Pakar keselamatan biasanya mengenakan bayaran $ 250 sejam. Sedangkan anda boleh mendapatkan keseluruhan timbunan keselamatan Sucuri dengan harga $ 199 per tahun.

        Tingkatkan Keselamatan WordPress anda dengan Sucuri Firewall »

        Sucuri bukan satu-satunya penyedia firewall peringkat DNS di luar sana. Pesaing popular lain adalah Cloudflare. Lihat perbandingan Sucuri vs Cloudflare kami (Kebaikan dan Kekurangan).

        []

        Pindahkan Laman WordPress Anda ke SSL / HTTPS

        SSL (Secure Sockets Layer) adalah protokol yang menyulitkan pemindahan data antara laman web anda dan penyemak imbas pengguna. Penyulitan ini menjadikan seseorang lebih sukar untuk menghidu dan mencuri maklumat.

        Bagaimana SSL berfungsi

        Setelah anda mengaktifkan SSL, laman web anda akan menggunakan HTTPS dan bukannya HTTP, anda juga akan melihat tanda gembok di sebelah alamat laman web anda di penyemak imbas.

        Sijil SSL biasanya dikeluarkan oleh pihak berkuasa sijil, dan harganya bermula dari $ 80 hingga ratusan dolar setiap tahun. Oleh kerana kos tambahan, kebanyakan pemilik laman web memilih untuk terus menggunakan protokol yang tidak selamat.

        Untuk memperbaikinya, organisasi nirlaba bernama Let’s Encrypt memutuskan untuk menawarkan Sijil SSL percuma kepada pemilik laman web. Projek mereka disokong oleh Google Chrome, Facebook, Mozilla, dan banyak lagi syarikat.

        Sekarang, lebih mudah daripada mula menggunakan SSL untuk semua laman web WordPress anda. Banyak syarikat hosting kini menawarkan sijil SSL percuma untuk laman web WordPress anda.

        Sekiranya syarikat hosting anda tidak menawarkannya, anda boleh membelinya dari Domain.com. Mereka mempunyai tawaran SSL terbaik dan paling dipercayai di pasaran. Ia dilengkapi dengan jaminan keselamatan $ 10,000 dan meterai keselamatan TrustLogo.

        Keselamatan WordPress untuk Pengguna DIY

        Sekiranya anda melakukan semua yang telah kami sebutkan setakat ini, maka anda berada dalam keadaan yang cukup baik.

        Tetapi seperti biasa, ada banyak lagi yang boleh anda lakukan untuk mengeraskan keselamatan WordPress anda.

        Beberapa langkah ini mungkin memerlukan pengetahuan pengekodan.

        Tukar nama pengguna “admin” Lalai

        Dahulu, nama pengguna pentadbir WordPress lalai adalah “admin”. Oleh kerana nama pengguna merangkumi separuh daripada kelayakan masuk, ini memudahkan peretas melakukan serangan kekerasan.

        Syukurlah, WordPress telah mengubahnya dan sekarang menghendaki anda memilih nama pengguna khusus pada masa memasang WordPress.

        Walau bagaimanapun, beberapa pemasang WordPress 1 klik, masih menetapkan nama pengguna pentadbir lalai ke “admin”. Sekiranya anda menyedari hal itu berlaku, mungkin adalah idea yang baik untuk menukar hosting web anda.

        Oleh kerana WordPress tidak membenarkan anda menukar nama pengguna secara lalai, terdapat tiga kaedah yang boleh anda gunakan untuk menukar nama pengguna.

        1. Buat nama pengguna pentadbir baru dan padamkan yang lama.
        2. Gunakan pemalam Pengubah Nama Pengguna
        3. Kemas kini nama pengguna dari phpMyAdmin

        Kami telah membahas ketiga-tiganya dalam panduan terperinci mengenai cara menukar nama pengguna WordPress anda dengan betul (langkah demi langkah).

        Nota: Kami bercakap mengenai nama pengguna yang disebut “admin”, bukan peranan pentadbir.

        []

        Lumpuhkan Penyuntingan Fail

        WordPress dilengkapi dengan editor kod terbina dalam yang membolehkan anda mengedit fail tema dan pemalam anda terus dari kawasan pentadbir WordPress anda. Dengan cara yang salah, ciri ini boleh menjadi risiko keselamatan, sebab itulah kami mengesyorkan mematikannya.

        Lumpuhkan penyuntingan fail di WordPress

        Anda boleh melakukannya dengan mudah dengan menambahkan kod berikut dalam fail wp-config.php anda.

        // Tidak membenarkan pengeditan fail
        definisikan (‘DISALLOW_FILE_EDIT’, benar);

        Sebagai alternatif, anda boleh melakukan ini dengan 1 klik menggunakan ciri Pengerasan dalam plugin Sucuri percuma yang kami nyatakan di atas.

        []

        Lumpuhkan Pelaksanaan Fail PHP di Direktori WordPress Tertentu

        Cara lain untuk mengeraskan keselamatan WordPress anda adalah dengan melumpuhkan pelaksanaan fail PHP di direktori yang tidak diperlukan seperti / wp-content / upload /.

        Anda boleh melakukannya dengan membuka editor teks seperti Notepad dan tampal kod ini:

        menafikan dari semua

        Seterusnya, anda perlu menyimpan fail ini sebagai .htaccess dan muat naik ke / wp-content / muat naik / folder di laman web anda menggunakan klien FTP.

        Untuk penjelasan yang lebih terperinci, lihat panduan kami mengenai cara melumpuhkan pelaksanaan PHP di direktori WordPress tertentu

        Sebagai alternatif, anda boleh melakukan ini dengan 1 klik menggunakan ciri Pengerasan dalam plugin Sucuri percuma yang kami nyatakan di atas.

        []

        Hadkan Percubaan Masuk

        Secara lalai, WordPress membolehkan pengguna mencuba masuk seberapa banyak yang mereka mahukan. Ini menjadikan laman WordPress anda terdedah kepada serangan brute force. Peretas cuba memecahkan kata laluan dengan mencuba log masuk dengan kombinasi yang berbeza.

        Ini dapat diperbaiki dengan mudah dengan mengehadkan percubaan masuk yang gagal dilakukan pengguna. Sekiranya anda menggunakan firewall aplikasi web yang disebutkan sebelumnya, maka ini akan dijaga secara automatik.

        Namun, jika anda tidak mempunyai persediaan firewall, teruskan dengan langkah di bawah.

        Pertama, anda perlu memasang dan mengaktifkan plugin Login LockDown. Untuk maklumat lebih lanjut, lihat panduan langkah demi langkah kami mengenai cara memasang pemalam WordPress.

        Setelah diaktifkan, lawati Tetapan »Login LockDown halaman untuk menyediakan pemalam.

        Pilihan Lockdown Log Masuk

        Untuk arahan terperinci, lihat panduan kami mengenai bagaimana dan mengapa anda harus menghadkan percubaan log masuk di WordPress.

        []

        Tambah Pengesahan Dua Faktor

        Teknik pengesahan dua faktor menghendaki pengguna log masuk dengan menggunakan kaedah pengesahan dua langkah. Yang pertama adalah nama pengguna dan kata laluan, dan langkah kedua menghendaki anda mengesahkan menggunakan peranti atau aplikasi yang berasingan.

        Sebilangan besar laman web dalam talian teratas seperti Google, Facebook, Twitter, membolehkan anda mengaktifkannya untuk akaun anda. Anda juga boleh menambahkan fungsi yang sama ke laman WordPress anda.

        Pertama, anda perlu memasang dan mengaktifkan plugin Pengesahan Dua Faktor. Setelah diaktifkan, anda perlu mengklik pautan ‘Two Factor Auth’ di bar sisi admin WordPress.

        Tetapan Two Factor Authenticator

        Seterusnya, anda perlu memasang dan membuka aplikasi pengesah pada telefon anda. Terdapat beberapa di antaranya seperti Google Authenticator, Authy, dan LastPass Authenticator.

        Kami mengesyorkan menggunakan LastPass Authenticator atau Authy kerana keduanya membolehkan anda membuat sandaran akaun anda ke cloud. Ini sangat berguna sekiranya telefon anda hilang, diset semula, atau anda membeli telefon baru. Semua log masuk akaun anda akan dipulihkan dengan mudah.

        Kami akan menggunakan LastPass Authenticator untuk tutorial. Walau bagaimanapun, arahan serupa untuk semua aplikasi auth. Buka aplikasi pengesah anda, dan kemudian klik pada butang Tambah.

        Tambah laman web

        Anda akan ditanya sama ada anda ingin mengimbas laman web secara manual atau mengimbas kod bar. Pilih pilihan kod bar imbas dan kemudian arahkan kamera telefon anda pada Kod QR yang ditunjukkan di halaman tetapan pemalam.

        Itu sahaja, aplikasi pengesahan anda sekarang akan menyimpannya. Lain kali anda log masuk ke laman web anda, anda akan diminta untuk mendapatkan kod autentif dua faktor setelah memasukkan kata laluan anda.

        Masukkan kod autentikasi dua faktor anda

        Cukup buka aplikasi pengesah pada telefon anda dan masukkan kod yang anda lihat di atasnya.

        []

        Tukar Awalan Pangkalan Data WordPress

        Secara lalai, WordPress menggunakan wp_ sebagai awalan untuk semua jadual dalam pangkalan data WordPress anda. Sekiranya laman web WordPress anda menggunakan awalan pangkalan data lalai, maka lebih mudah bagi penggodam untuk meneka nama jadual anda. Inilah sebabnya mengapa kami mengesyorkan menukarnya.

        Anda boleh mengubah awalan pangkalan data anda dengan mengikuti tutorial langkah demi langkah kami tentang cara mengubah awalan pangkalan data WordPress untuk meningkatkan keselamatan.

        Nota: Ini boleh merosakkan laman web anda jika tidak dilakukan dengan betul. Lanjutkan sahaja, jika anda merasa selesa dengan kemahiran pengekodan anda.

        []

        Lindungi Kata Laluan Pentadbir WordPress dan Halaman Log Masuk

        Kata laluan melindungi kawasan pentadbir WordPress

        Biasanya, penggodam boleh meminta folder dan halaman log masuk wp-admin anda tanpa batasan. Ini membolehkan mereka mencuba helah hacking mereka atau menjalankan serangan DDoS.

        Anda boleh menambahkan perlindungan kata laluan tambahan di peringkat pelayan, yang akan menyekat permintaan tersebut dengan berkesan.

        Ikuti arahan langkah demi langkah kami mengenai cara melindungi kata laluan direktori admin WordPress (wp-admin) anda.

        []

        Lumpuhkan Pengindeksan Direktori dan Penyemakan Imbas

        Lumpuhkan penyemakan direktori

        Penjelajahan direktori dapat digunakan oleh penggodam untuk mengetahui apakah Anda memiliki file dengan kerentanan yang diketahui, sehingga mereka dapat memanfaatkan file ini untuk mendapatkan akses.

        Penjelajahan direktori juga dapat digunakan oleh orang lain untuk memeriksa file anda, menyalin gambar, mengetahui struktur direktori anda, dan maklumat lain. Inilah sebabnya mengapa sangat disarankan agar anda mematikan pengindeksan direktori dan penyemakan imbas.

        Anda perlu menyambung ke laman web anda menggunakan FTP atau pengurus fail cPanel. Seterusnya, cari fail .htaccess di direktori root laman web anda. Sekiranya anda tidak dapat melihatnya di sana, rujuk panduan kami mengapa anda tidak dapat melihat fail .htaccess di WordPress.

        Selepas itu, anda perlu menambahkan baris berikut di akhir fail .htaccess:

        Pilihan -Indeks

        Jangan lupa menyimpan dan memuat naik fail .htaccess kembali ke laman web anda. Untuk lebih lanjut mengenai topik ini, lihat artikel kami mengenai cara menonaktifkan penyemakan direktori di WordPress.

        []

        Lumpuhkan XML-RPC di WordPress

        XML-RPC diaktifkan secara lalai di WordPress 3.5 kerana membantu menghubungkan laman WordPress anda dengan aplikasi web dan mudah alih.

        Kerana sifatnya yang kuat, XML-RPC dapat meningkatkan serangan brute-force dengan ketara.

        Sebagai contoh, secara tradisional jika penggodam ingin mencuba 500 kata laluan yang berbeza di laman web anda, mereka harus membuat 500 percubaan masuk berasingan yang akan ditangkap dan disekat oleh pemalam kunci masuk log masuk.

        Tetapi dengan XML-RPC, penggodam dapat menggunakan sistem.multicall berfungsi untuk mencuba ribuan kata laluan dengan katakan 20 atau 50 permintaan.

        Inilah sebabnya mengapa jika anda tidak menggunakan XML-RPC, maka kami mengesyorkan agar anda menonaktifkannya.

        Terdapat 3 cara untuk mematikan XML-RPC di WordPress, dan kami telah membahas semuanya dalam tutorial langkah demi langkah kami mengenai cara menonaktifkan XML-RPC di WordPress.

        Petua: Kaedah .htaccess adalah kaedah yang terbaik kerana ia adalah sumber yang paling sedikit.

        Sekiranya anda menggunakan firewall aplikasi web yang disebutkan sebelumnya, maka ini dapat diatasi oleh firewall.

        []

        Log keluar Pengguna Idle secara automatik di WordPress

        Pengguna yang masuk kadang-kadang boleh menjauh dari skrin, dan ini menimbulkan risiko keselamatan. Seseorang boleh merampas sesi mereka, menukar kata laluan, atau membuat perubahan pada akaunnya.

        Inilah sebabnya mengapa banyak laman web perbankan dan kewangan log keluar pengguna secara tidak aktif. Anda juga boleh melaksanakan fungsi yang serupa di laman WordPress anda.

        Anda perlu memasang dan mengaktifkan pemalam Log Keluar Tidak Aktif. Setelah diaktifkan, lawati Tetapan »Log Keluar Tidak Aktif halaman untuk mengkonfigurasi tetapan pemalam.

        Log keluar pengguna terbiar

        Cukup tetapkan jangka masa dan tambahkan mesej keluar. Jangan lupa untuk mengklik butang simpan perubahan untuk menyimpan tetapan anda.

        []

        Tambahkan Soalan Keselamatan ke Skrin Log Masuk WordPress

        Tambahkan soalan keselamatan di skrin log masuk

        Menambah soalan keselamatan ke skrin log masuk WordPress menjadikannya lebih sukar bagi seseorang untuk mendapatkan akses tanpa izin.

        Anda boleh menambah soalan keselamatan dengan memasang plugin Soalan Keselamatan WP. Setelah diaktifkan, anda perlu mengunjungi halaman Tetapan »Soalan Keselamatan untuk mengkonfigurasi tetapan pemalam.

        Untuk arahan yang lebih terperinci, lihat tutorial kami mengenai cara menambahkan soalan keselamatan ke skrin log masuk WordPress.

        []

        Mengimbas WordPress untuk Perisian Kerosakan dan Kerosakan

        Pengimbasan perisian hasad

        Sekiranya anda memasang pemalam keselamatan WordPress, maka pemalam tersebut akan secara berkala memeriksa perisian hasad dan tanda-tanda pelanggaran keselamatan.

        Walau bagaimanapun, jika anda melihat penurunan lalu lintas laman web atau kedudukan carian secara tiba-tiba, maka anda mungkin ingin menjalankan imbasan secara manual. Anda boleh menggunakan pemalam keselamatan WordPress anda, atau menggunakan salah satu perisian jahat dan pengimbas keselamatan ini.

        Menjalankan imbasan dalam talian ini agak lurus, anda hanya memasukkan URL laman web anda dan perayap mereka melalui laman web anda untuk mencari perisian hasad dan kod jahat yang diketahui.

        Sekarang ingat bahawa kebanyakan pengimbas keselamatan WordPress hanya dapat mengimbas laman web anda. Mereka tidak dapat membuang malware atau membersihkan laman WordPress yang diretas.

        Ini membawa kita ke bahagian seterusnya, membersihkan perisian hasad dan laman web WordPress yang diretas.

        []

        Memperbaiki Laman WordPress yang Diretas

        Ramai pengguna WordPress tidak menyedari pentingnya sandaran dan keselamatan laman web sehingga laman web mereka digodam.

        Membersihkan laman WordPress boleh menjadi sangat sukar dan memakan masa. Nasihat pertama kami adalah membiarkan seorang profesional menjaganya.

        Peretas memasang halaman belakang di laman web yang terjejas, dan jika pintu belakang ini tidak dipasang dengan betul, laman web anda kemungkinan akan diretas lagi.

        Membolehkan syarikat keselamatan profesional seperti Sucuri memperbaiki laman web anda akan memastikan laman web anda selamat digunakan lagi. Ini juga akan melindungi anda daripada serangan yang akan datang.

        Untuk pengguna petualang dan DIY, kami telah mengumpulkan panduan langkah demi langkah untuk memperbaiki laman WordPress yang diretas.

        []

        Itu sahaja, kami harap artikel ini membantu anda mempelajari amalan terbaik keselamatan WordPress serta menemui pemalam keselamatan WordPress terbaik untuk laman web anda.

        Jeffrey Wilson Administrator
        Sorry! The Author has not filled his profile.
        follow me