Kesilapan Lazim dalam Keselamatan WordPress dan Cara Mengelakkannya

Kesilapan lazim dalam keselamatan WordPress termasuk penggunaan username dan password yang lemah, tidak mengemas kini tema, plugin dan platform, serta tidak menghadkan percubaan log masuk yang membuka peluang serangan brute-force. Cara mengelakkannya adalah dengan menggunakan username selain “admin”, memilih password yang kuat (gabungan huruf besar, kecil, nombor dan simbol), sentiasa mengemas kini WordPress core, tema dan plugin, serta menggunakan plugin untuk mengehadkan percubaan log masuk. Selain itu, melumpuhkan pelaksanaan fail PHP di direktori yang tidak perlu, menyekat akses ke fail penting seperti wp-config.php, dan menambah lapisan keselamatan melalui fail .htaccess juga sangat disarankan.

Perincian kesilapan dan cara mengelak:

• Penggunaan username “admin” atau “administrator”: Masih ramai menggunakan username ini yang mudah diteka penggodam. Gunakan username unik dan sukar diramal.

• Password lemah: Password yang mudah atau pendek mudah digodam. Gunakan password sekurang-kurangnya 8 aksara dengan kombinasi huruf besar, kecil, nombor dan simbol.

• Tidak mengemas kini tema, plugin dan platform WordPress: Kebanyakan serangan berpunca daripada plugin yang tidak dikemas kini. Sentiasa kemas kini dan uji kemas kini di staging sebelum produksi.

• Tidak menghadkan percubaan log masuk: Serangan brute-force berlaku apabila tiada had percubaan log masuk. Gunakan plugin seperti Limit Login Attempts Reloaded untuk hadkan percubaan log masuk.

• Pengurusan akses pengguna yang lemah: Tidak menggunakan pengesahan dua faktor (2FA) dan memberikan akses berlebihan kepada pengguna meningkatkan risiko. Gunakan 2FA dan kebenaran berasaskan peranan.

• Pelaksanaan fail PHP di direktori yang tidak perlu: Fail PHP yang boleh dijalankan di direktori seperti /wp-content/uploads/ membolehkan kod jahat dijalankan. Lumpuhkan pelaksanaan fail PHP di direktori ini.

• Akses kepada fail penting tidak disekat: Fail seperti wp-config.php dan direktori wp-admin perlu dilindungi menggunakan fail .htaccess dan tetapan kebenaran fail yang ketat.

• Pengeditan fail melalui papan pemuka WordPress dibenarkan: Ini membolehkan penggodam menyuntik kod berbahaya. Nyahaktifkan pengeditan fail dengan menambah define('DISALLOW_FILE_EDIT', true); dalam wp-config.php.

Langkah tambahan yang disarankan:

• Gunakan sijil SSL untuk menyulitkan trafik laman web.

• Gunakan firewall untuk melindungi laman web daripada serangan.

• Tetapkan kebenaran fail yang betul (contoh: direktori 755, fail 644, wp-config.php 400 atau 440).

• Buang plugin yang tidak digunakan dan pastikan hanya menggunakan plugin dari sumber rasmi WordPress.

Dengan mengamalkan langkah-langkah ini, risiko laman WordPress digodam dapat dikurangkan dengan ketara.