Keamanan WordPress: Cara Melindungi Situs Anda Dari Peretas

Diterbitkan: 2021-10-15

Baik Anda meluncurkan situs bisnis, toko online, atau blog hobi, WordPress menawarkan fleksibilitas, kemudahan penggunaan, dan fungsionalitas tingkat lanjut yang akan membantu menjadikannya sukses besar.

Namun sebelum Anda siap untuk ditayangkan, luangkan beberapa menit untuk memikirkan keamanan. Lindungi situs Anda semaksimal mungkin agar tetap aman dari peretas dan bekerja untuk penggemar dan pelanggan setiap saat.

Mengapa keamanan WordPress penting?

Situs web Anda memberi tahu pengunjung siapa Anda, jenis konten dan layanan apa yang Anda tawarkan, dan apa yang dapat mereka harapkan dari merek Anda. Ini adalah tempat untuk membuat kesan pertama yang hebat dan membangun kepercayaan dan loyalitas dengan penggemar yang ada.

Itulah mengapa sangat penting untuk memastikan bahwa situs web Anda aktif dan berjalan setiap saat. Jika tiba-tiba menyertakan tautan ke malware, mulai berjalan sangat lambat setelah diretas, atau offline sama sekali, itu akan memengaruhi reputasi Anda.

Jika situs Anda diretas, Anda bisa kehilangan uang karena penurunan tampilan, penjualan, atau tayangan iklan. Mungkin ada biaya yang terlibat dalam memulihkannya ke urutan kerja yang baik. Anda mungkin juga kehilangan peringkat di mesin pencari — terkadang secara permanen. Jadi, untuk menghemat uang (dan menyelamatkan muka!) Pastikan situs web Anda terkunci dan aman.

Bagaimana situs web WordPress diretas?

Google baru-baru ini merilis daftar cara teratas peretas mengakses situs web. Mari kita lihat beberapa di antaranya secara rinci:

Kata sandi yang disusupi

Serangan brute force adalah salah satu cara paling umum peretas menyelinap ke sebuah situs. Mereka menggunakan bot untuk mencoba nama pengguna dan kata sandi yang berbeda — ribuan kombinasi per detik — hingga mereka menemukan yang tepat.

Plugin dan tema tidak aman

Kerentanan yang ditemukan di plugin dan tema adalah cara yang relatif mudah bagi pelaku jahat untuk masuk. Pengembang tema berkualitas tinggi merilis patch untuk kerentanan tersebut dalam pembaruan rutin, tetapi tidak semua pengguna WordPress sering memperbarui situs mereka. Dan versi gratis dari plugin dan tema premium sering kali memiliki pintu belakang yang disematkan dalam kodenya — titik akses bagi peretas untuk masuk dari jarak jauh ke situs Anda dan melakukan apa pun yang mereka inginkan.

Kebijakan keamanan yang lemah

Praktik keamanan yang buruk seperti memberikan akses situs kepada orang yang tidak membutuhkannya atau mengizinkan kata sandi yang tidak aman memudahkan orang untuk masuk ke situs web Anda.

Mengapa seseorang meretas situs web?

  1. Mereka ingin mencuri uang . Mereka mungkin ingin mengumpulkan informasi kartu kredit pelanggan atau mengarahkan pengunjung ke situs web jahat yang dirancang untuk menipu orang.
  2. Mereka ingin menangkap informasi. Mereka mungkin menjual data pribadi kepada pihak ketiga atau menyandera informasi dengan imbalan uang.
  3. Mereka ingin menghapus situs Anda . Ini biasanya memiliki motif pribadi dan jarang menjadi ancaman bagi pemilik situs web biasa.
  4. Mereka ingin merusak situs Anda. Sekali lagi, ini biasanya bersifat pribadi. Peretas mungkin merusak situs web seseorang yang tidak mereka setujui untuk membuat pernyataan.
  5. Mereka ingin menyerang orang lain . Penyerang dapat menggunakan situs web Anda untuk menyebarkan malware atau ransomware di internet atau menggunakan server web Anda untuk menyerang orang lain secara jahat.
  6. Mereka ingin belajar. Peretas harus berlatih entah bagaimana, bukan? Mereka mungkin menggunakan situs web Anda sebagai tempat pelatihan untuk target yang lebih besar dan lebih menguntungkan di masa depan.

Cara mengamankan situs WordPress Anda dari peretas

1. Pilih host yang berkualitas

Perusahaan hosting Anda adalah mitra keamanan Anda dan penting untuk memilih salah satu dengan reputasi baik. Anda mendapatkan apa yang Anda bayar, dan banyak host diskon tidak menerapkan praktik keamanan yang solid.

Tapi bagaimana Anda tahu mana yang harus dipilih? Berikut adalah beberapa indikasi penyedia hosting yang aman:

  • Pencadangan reguler, disertakan dengan paket Anda atau dengan biaya tambahan.
  • Sertifikat SSL, yang melindungi data pengunjung situs Anda.
  • Dukungan 24/7, jika situs Anda pernah diretas.
  • Sebuah firewall built-in, yang melindungi file dan database di server Anda.
  • Pemindaian keamanan yang akan mengingatkan Anda akan kode dan aktivitas mencurigakan di situs Anda.
  • Reputasi yang baik. Ulasan dan rekomendasi seringkali merupakan cara terbaik untuk menentukan kualitas tuan rumah.

Dan ingat, perusahaan dengan pengetahuan yang baik dan keamanan yang kuat layak untuk biaya tambahan apa pun. Berikut daftar host WordPress yang direkomendasikan untuk Anda mulai.

2. Tetap perbarui perangkat lunak

Cara nomor satu untuk menjaga keamanan situs web Anda adalah memperbarui perangkat lunak Anda secara teratur: WordPress, tema, dan plugin. Rilis baru sering kali menambal kerentanan keamanan, jadi semakin cepat Anda memperbarui, semakin baik.

Anda juga dapat meminimalkan risiko keamanan WordPress dengan memilih plugin tepercaya yang stabil dan memenuhi lebih dari satu kebutuhan dalam satu waktu. Misalnya, Jetpack Security menawarkan seluruh rangkaian alat keamanan WordPress yang dibangun ke dalam satu plugin Jetpack. Jadi Anda juga bisa mendapatkan keuntungan dari fungsionalitas tambahan tanpa menginstal puluhan plugin dan meningkatkan risiko serangan di situs Anda.

3. Buat nama pengguna dan kata sandi yang aman

Buat peretas terus menebak-nebak dengan memilih nama pengguna yang unik dan kata sandi yang aman. Gunakan minimal 20 karakter, huruf besar, huruf kecil, angka, dan simbol.

Jika Anda membuat situs dengan pengguna tambahan, pastikan Anda menyetel izin yang benar untuk masing-masing pengguna. Anda mungkin tidak ingin pekerja magang baru Anda memiliki akses ke file inti atau data penting lainnya, misalnya. Berikut adalah artikel bagus tentang izin pengguna untuk WooCommerce, tetapi sebagian besar berlaku untuk semua jenis situs.

Dan jika Anda membuat akun untuk pihak ketiga — seperti pengembang, agen pemasaran, atau staf pendukung — pastikan untuk menghapus akses setelah mereka menyelesaikan pekerjaannya.

4. Siapkan di luar pencadangan situs

Cadangan sangat penting untuk melindungi konten, kerja keras, dan data pelanggan atau pengunjung Anda. Apa pun masalah dengan situs Anda, memiliki cadangan lengkap berarti Anda dapat dengan cepat bangun dan berjalan kembali.

Tetapi penting untuk memilih jenis cadangan yang tepat . Misalnya, pastikan cadangan Anda disimpan di luar situs, di cloud, bukan di server Anda. Artinya, meskipun Anda kehilangan akses ke situs atau server Anda disusupi, Anda masih dapat memulihkan versi bersih.

Di situlah Jetpack Backup bersinar. Mereka tidak hanya menyimpan semua cadangan di server aman yang sama yang mereka gunakan untuk situs mereka sendiri, mereka juga menyimpan banyak cadangan terenkripsi untuk lapisan perlindungan ekstra.

Memulihkan Cadangan Jetpack

Plus, Anda dapat memilih antara dua opsi: real-time dan harian.

Pencadangan waktu nyata adalah pilihan terbaik untuk toko online, forum keanggotaan, atau situs web yang diperbarui secara berkala. Jetpack menyimpan salinan situs Anda setiap kali ada perubahan: penjualan dilakukan, halaman diperbarui, atau komentar ditambahkan. Ini berarti Anda tidak akan kehilangan satu pun penjualan atau informasi, apa pun yang terjadi.

Pencadangan harian sangat cocok untuk situs statis yang tidak sering diperbarui. Jetpack menyimpan file dan database Anda sekali sehari, bukan saat ada perubahan.

Bagian terbaik? Pengaturannya sangat mudah — tidak perlu konfigurasi server yang rumit. Cukup ikuti beberapa langkah sederhana, dan hubungi tim dukungan pelanggan Jetpack yang tak tertandingi jika Anda memerlukan bantuan.

Anda dapat menggunakan plugin cadangan WordPress terbaik sebagai alat yang berdiri sendiri atau sebagai bagian dari rangkaian keamanan lengkap.

5. Tambahkan perlindungan serangan brute force

Serangan brute force terjadi ketika peretas menggunakan bot untuk menebak ribuan kombinasi nama pengguna/kata sandi per detik hingga mereka akhirnya mendapatkan akses ke situs Anda. Serangan ini tidak hanya membahayakan informasi situs Anda, tetapi juga dapat memperlambat segalanya dengan membebani server Anda secara berlebihan.

Meskipun informasi login yang aman pasti akan membantu, pencegahan terbaik adalah alat yang akan menghentikan mereka. Fitur perlindungan serangan brute force gratis dari Jetpack memblokir alamat IP yang mencurigakan bahkan sebelum mereka sampai ke situs Anda!

jumlah serangan berbahaya yang diblokir di sebuah situs: 14.989

Penyiapannya sangat mudah — yang harus Anda lakukan hanyalah mengaktifkan fitur — dan Anda dapat melihat jumlah serangan yang diblokir langsung dari dasbor Anda. Petunjuk: rata-ratanya adalah 5.193!

6. Pindai malware

Jika seorang peretas berhasil masuk, Anda ingin segera mengetahuinya sehingga Anda dapat memecahkan masalah. Lagi pula, semakin lama situs Anda tidak aktif atau tidak aman, semakin besar kerusakan reputasi dan data Anda.

Tetapi Jetpack Scan secara otomatis mencari malware, pelaku jahat, dan aktivitas mencurigakan di situs Anda, segera memberi tahu Anda jika ada yang ditemukan. Anda bahkan dapat memperbaiki sebagian besar peretasan yang diketahui hanya dengan satu klik, menghemat waktu dan uang Anda.

pemindaian malware berjalan di situs web

Dan Anda tidak perlu menghabiskan waktu untuk menguraikan bahasa teknis yang rumit — dasbor Jetpack Scan menjelaskan semuanya dalam istilah awam dan memandu Anda melalui setiap langkah yang perlu Anda ambil. Anda bisa mengaturnya dan melupakannya, tenang mengetahui bahwa situs web Anda dipantau 24/7.

Pelajari lebih lanjut tentang alat pemindaian malware WordPress kami.

7. Terapkan pemantauan waktu henti

Baik itu akibat serangan jahat atau kesalahan sederhana, jika situs web Anda down, Anda harus segera mengambil tindakan. Tetapi Anda tidak punya waktu untuk memuat ulang situs Anda sepanjang hari untuk memastikannya berfungsi!

pemberitahuan waktu henti dari Jetpack

Alat pemantauan waktu henti WordPress Jetpack mengawasi situs Anda 24/7 dan memberi tahu Anda jika berhenti merespons. Anda kemudian dapat menggunakan log aktivitas untuk menentukan dengan tepat apa yang salah dan kapan, sehingga Anda dapat merespons dengan tepat dan kembali aktif dalam hitungan menit, bukan jam atau hari.

8. Hapus plugin dan tema yang tidak digunakan

Semakin banyak tema dan plugin yang Anda pasang di situs Anda, semakin banyak peluang bagi peretas untuk memanfaatkannya. Meskipun plugin adalah cara yang bagus untuk menambahkan fungsionalitas tambahan, lakukan sedikit pembersihan dan hapus yang tidak lagi Anda gunakan.

Dan, selain tema default yang dapat Anda gunakan kembali saat memecahkan masalah kesalahan situs, tidak perlu menyimpan tema tambahan.

Bonus: menghapus ini juga dapat meningkatkan kecepatan situs Anda!

9. Aktifkan otentikasi dua faktor untuk administrator

Otentikasi dua faktor adalah cara yang sangat efektif untuk melindungi halaman login Anda karena mengharuskan peretas untuk memiliki kata sandi dan item fisik Anda — kombinasi yang tidak mungkin. Saat administrator masuk ke situs Anda, mereka harus memasukkan kode sekali pakai yang dikirim ke ponsel mereka.

Jetpack menawarkan fitur ini secara gratis, menjadikannya cara mudah untuk melangkah lebih jauh dari kata sandi yang kuat. Apakah Anda memiliki banyak pengguna? Mudah memerlukan otentikasi dua faktor untuk semuanya.

10. Siapkan firewall WordPress

Firewall WordPress memantau semua lalu lintas yang datang ke situs Anda, bertindak sebagai barikade terhadap peretas. Meskipun paket hosting yang baik menyertakan firewall yang melindungi server Anda, Anda juga ingin menginstalnya secara khusus untuk WordPress.

Plugin firewall yang baik memiliki database informasi tentang pelaku jahat — alamat IP yang mencurigakan, bot jahat, dan lalu lintas yang tampaknya “mati” — dan memblokirnya sebelum mereka dapat menyerang situs web Anda. Anda dapat melihat beberapa opsi paling populer di repositori plugin WordPress.

11. Awasi aktivitas situs Anda

Ketika Anda memiliki log semua yang terjadi di situs web Anda, Anda dapat dengan mudah menelusurinya dan mengidentifikasi sesuatu yang mencurigakan. Dan jika situs Anda diretas, Anda juga dapat mengidentifikasi waktu terjadinya, mengetahui tindakan apa yang diambil, dan mengetahui akun mana yang disusupi dengan lebih mudah.

aktivitas yang terjadi di situs web

Log aktivitas Jetpack untuk WordPress melacak semua perubahan besar yang terjadi, mulai dari upaya login dan halaman yang dipublikasikan hingga plugin yang dihapus, tema yang diperbarui, dan pengaturan yang diubah. Untuk setiap peristiwa, Anda dapat melihat stempel waktu, pengguna yang membuat perubahan, dan deskripsi tentang apa yang mereka lakukan. Anda kemudian dapat menggunakan informasi ini untuk memecahkan masalah atau memulihkan cadangan segera sebelum masalah terjadi.

Apa yang terjadi jika situs WordPress saya tidak aman?

Kebanyakan penyerang tidak menargetkan Anda secara spesifik, mereka hanya mencari situs termudah untuk diakses. Jadi, jika situs WordPress Anda tidak diamankan dengan benar, kemungkinan besar akan menjadi korban peretasan. Pada akhirnya, ini dapat menyebabkan:

  • Reputasi yang rusak . Jika situs Anda memiliki peringatan keamanan, turun, atau dialihkan ke situs web yang mencurigakan, itu tidak akan terlihat bagus bagi pengunjung situs. Mereka mungkin kehilangan kepercayaan pada blog atau bisnis Anda, kehilangan penjualan atau pendapatan iklan Anda.
  • Data pelanggan yang dicuri . Jika seorang peretas mengakses toko eCommerce Anda, mereka mungkin mengumpulkan informasi pribadi yang dapat mereka gunakan sendiri atau jual ke pihak ketiga.
  • File situs web yang rusak . Anda bisa kehilangan sebagian atau seluruh situs web Anda, berpotensi bertahun-tahun kerja keras!
  • Penghapusan dari hasil pencarian . Jika situs Anda diretas, mungkin akan diblokir oleh Google dan dihapus dari hasil penelusuran seluruhnya.
  • Lalu lintas situs yang hilang . Antara peringkat mesin pencari yang lebih rendah (atau tidak ada) dan orang-orang yang tidak ingin mengunjungi situs dengan peringatan keamanan, lalu lintas situs Anda dapat menurun secara signifikan.
  • Pendapatan iklan berkurang . Jaringan iklan tidak ingin iklan klien mereka berjalan di situs yang tidak aman. Jadi, jika situs Anda diretas, itu bisa dihapus dari jaringan iklan dan Anda bisa diblokir sepenuhnya, mengurangi atau menghilangkan penghasilan Anda dari iklan. Meskipun tidak dihapus, penurunan lalu lintas akan berdampak negatif pada klik iklan.

Bagaimana saya tahu jika situs WordPress saya telah diretas?

Terkadang sulit untuk mengetahui apakah situs web Anda telah diretas atau mengalami beberapa jenis masalah lain. Namun, berikut adalah beberapa indikasi peretasan situs:

  • Situs web Anda memiliki peringatan keamanan saat Anda memuat URL Anda.
  • Plugin keamanan Anda melaporkan masalah.
  • Tuan rumah Anda mengirimi Anda email tentang suatu masalah.
  • Situs web Anda sepenuhnya dialihkan ke tempat lain dan Anda belum melakukan pengalihan itu.
  • Anda melihat baris kode aneh di halaman situs Anda.
  • Situs Anda benar-benar tidak aktif, meskipun ini juga bisa disebabkan oleh penyebab lain.
  • Iklan di situs Anda dialihkan ke situs web yang mencurigakan.
  • Situs Anda tiba-tiba memuat sangat lambat atau bertingkah aneh dengan cara lain.

Apa yang harus saya lakukan jika situs WordPress saya diretas?

Jika situs WordPress Anda diretas, ada beberapa langkah yang dapat Anda ambil untuk memperbaiki masalah dan memulihkan file dan database Anda:

  1. Tentukan apa yang terjadi. Jika Anda menggunakan Jetpack, lihat log aktivitas untuk melihat siapa yang masuk, kapan, dan apa yang mereka ubah. Ini dapat membantu Anda mengidentifikasi akun yang disusupi dan mencari tahu file mana yang terpengaruh.
  2. Jalankan pemindaian malware. Gunakan alat seperti Jetpack Scan untuk mencari file situs web Anda untuk malware atau indikasi peretasan lainnya. Jika Anda menggunakan alat pemindaian malware Jetpack untuk WordPress, Anda juga dapat memperbaiki sebagian besar masalah dengan satu klik.
  3. Pulihkan cadangan. Jika Anda mengambil cadangan reguler situs web Anda, pulihkan satu dari sebelum peretasan terjadi. Jika Anda menggunakan Jetpack Backup, file Anda disimpan secara terpisah dari server Anda, sehingga tidak boleh disusupi.
  4. Atur ulang semua kata sandi dan hapus pengguna yang mencurigakan . Setel ulang semua kata sandi untuk situs WordPress dan penyedia hosting Anda. Jika Anda melihat akun pengguna mencurigakan yang tidak Anda buat, hapus akun tersebut.
  5. Sewa pakar keamanan situs web. Jika Anda tidak dapat menghapus malware sendiri atau hanya ingin memastikan bahwa situs Anda aman, pertimbangkan untuk menyewa pakar keamanan dari layanan seperti Codeable.
  6. Perbarui plugin, tema, dan versi WordPress Anda. Ini akan membantu mengamankan setiap kerentanan yang dapat dimanfaatkan oleh peretas.
  7. Kirim ulang situs Anda ke Google. Jika situs Anda diblokir, gunakan Google Search Console untuk meminta peninjauan dan menghapusnya dari daftar.

Untuk detail lebih lanjut, baca panduan kami yang mencakup apa yang harus dilakukan jika situs WordPress Anda diretas.

Siap diluncurkan

Menempatkan pekerjaan ke dalam keamanan WordPress yang tepat sejak awal membuat situs Anda siap untuk sukses dan membantunya berjalan dengan aman dan efisien selama bertahun-tahun yang akan datang. Ingat, mencegah peretasan situs jauh lebih mudah daripada memperbaikinya setelah terjadi.

Dengan paket Keamanan Jetpack, Anda dapat memeriksa sebagian besar item dalam daftar ini hanya dalam beberapa menit — tidak perlu pengembang atau penyiapan yang rumit.

Mulailah dengan plugin keamanan WordPress terbaik.