Cara Membersihkan Situs WordPress yang Diretas & Memperkuat Keamanannya
Diterbitkan: 2024-02-29Meskipun terdapat teknologi terbaru dan praktik keamanan terbaik, situs WordPress Anda masih mungkin diretas. Ini dapat dengan cepat berubah jika Anda tidak tahu cara memulihkan situs web Anda.
Kabar baiknya adalah semua harapan tidak hilang setelah serangan. Jika Anda mengambil langkah yang tepat — seperti menghubungi penyedia hosting Anda, mengidentifikasi penyebab peretasan, dan memulihkan cadangan yang bersih — Anda dapat menghindari banyak rasa sakit dan frustrasi.
Dalam postingan ini, kita akan melihat jenis peretasan paling umum yang memengaruhi situs WordPress. Kemudian, kami akan menunjukkan cara membersihkan situs WordPress Anda yang diretas dan membagikan beberapa metode utama untuk memperketat keamanan.
Jenis peretasan umum yang memengaruhi situs WordPress
Sebelum kami menunjukkan cara membersihkan situs WordPress yang diretas, pertama-tama mari kita lihat beberapa jenis serangan paling umum yang memengaruhi WordPress.
1. Suntikan malware
Malware dinilai sebagai jenis ancaman dunia maya yang paling mengkhawatirkan menurut para pengambil keputusan TI di seluruh dunia. Istilah ini digunakan untuk mendeskripsikan segala jenis perangkat lunak berbahaya, seperti ransomware atau virus, yang dapat menyebabkan masalah pada situs web atau komputer Anda.
Misalnya, perangkat lunak mungkin dapat mengambil alih seluruh komputer atau akun Anda, memantau tindakan yang Anda lakukan di situs, atau mengekstrak informasi sensitif (seperti detail pribadi atau pembayaran). Penyakit ini juga sulit dikenali karena memanifestasikan dirinya dalam berbagai cara.
Namun biasanya, malware mengharuskan Anda mengambil tindakan untuk menginstal atau mengaktifkannya. Jadi, Anda dapat mengunduh file atau membuka lampiran email seperti gambar atau dokumen PDF.
Mendeteksi dan menghapus malware dari situs web Anda bisa jadi sangat sulit. Pilihan terbaik Anda adalah memasang pemindai malware seperti Jetpack Scan. Namun, jika malware ditemukan di situs Anda, Anda harus membersihkan file yang terpengaruh atau menggantinya dengan salinan dari file cadangan Anda.
2. Serangan kekerasan
Serangan brute force terjadi ketika peretas menggunakan kekerasan untuk mendapatkan akses tidak sah ke situs web Anda. Dengan menggunakan trial and error, peretas menggunakan banyak sekali kombinasi kata sandi dan nama pengguna hingga mereka berhasil.
Ini adalah salah satu jenis peretasan WordPress yang paling tidak canggih. Namun, ini masih sangat populer karena hanya perlu beberapa detik untuk memecahkan kata sandi Anda (tergantung pada panjang dan kerumitannya).
Biasanya, serangan brute force dilakukan untuk melakukan beberapa jenis serangan lain di situs Anda. Misalnya, begitu peretas berhasil menerobos, mereka mungkin menyebarkan malware, mencuri data pribadi, mengubah rute lalu lintas situs web Anda, atau memasang iklan spam untuk mendapatkan keuntungan.
Untungnya, Anda dapat mengurangi kemungkinan serangan brute force dengan memperketat prosedur login Anda. Anda dapat mengubah URL login, menerapkan autentikasi dua faktor, dan menerapkan kata sandi yang kuat. Selain itu, Anda selalu dapat menggunakan solusi otomatis seperti perlindungan brute force Jetpack.
3. Injeksi SQL
Tujuan dari injeksi Structured Query Language (SQL) adalah untuk memanipulasi data dari database WordPress Anda. Hal ini dapat dicapai dengan menggunakan pernyataan SQL untuk mengelabui database agar melakukan tindakan yang tidak diinginkan. Seperti kebanyakan peretasan, jenis serangan ini dapat menimbulkan konsekuensi lebih lanjut.
Misalnya, setelah peretas mendapatkan akses ke database Anda, mereka mungkin mengekstrak data sensitif, merusak atau mengubah informasi, melewati autentikasi, atau menghapus semua data di situs web Anda. Dengan akses ke tabel dan file database Anda, peretas juga biasa mendistribusikan malware di lokasi tersebut.
Untuk mencegah injeksi SQL, Anda perlu mengamankan database Anda. Hal ini biasanya dapat dicapai dengan beberapa hal sederhana seperti memperbarui database Anda untuk mengakses pembaruan keamanan terkini. Anda juga harus membatasi izin basis data, sehingga jika peretas mendapatkan akses, kerusakan yang ditimbulkannya akan lebih kecil.
4. Skrip lintas situs (XSS)
Skrip lintas situs (XSS), seperti malware, juga melibatkan distribusi kode berbahaya di situs Anda. Namun, dalam contoh ini, kode berjalan di browser pengunjung saat mereka membuka situs Anda.
Biasanya, kode dimasukkan ke dalam komentar, kolom formulir, atau skrip yang mungkin dijalankan secara otomatis. Misalnya, peretas mungkin memasukkan JavaScript berbahaya ke dalam komentar di blog WordPress Anda.
Salah satu masalah utama serangan XSS adalah biasanya tidak ada indikasi bahwa ada masalah. Selain itu, karena jenis serangan ini menargetkan informasi pengunjung Anda, serangan ini dapat merusak reputasi situs web Anda secara signifikan.
Mencegah XSS bisa jadi cukup teknis, namun Anda akan memiliki peluang lebih besar untuk mengurangi serangan ini dengan menerapkan protokol enkripsi seperti sertifikat SSL. Dengan cara ini, meskipun seorang peretas dapat mengakses informasi tersebut, mereka tidak akan dapat membacanya.
5. Pintu belakang
Serangan pintu belakang melewati prosedur otentikasi biasa (seperti nama pengguna dan kata sandi) untuk mendapatkan akses tidak sah ke situs Anda. Untuk melakukan serangan semacam ini, peretas mengeksploitasi kerentanan yang ada atau memasang perangkat lunak berbahaya untuk membuat titik masuk.
Setelah penyerang menemukan jalan masuk ke situs Anda, mereka dapat mencuri informasi, melacak aktivitas Anda, dan mengganggu keseluruhan sistem Anda. Sayangnya, pintu belakang yang efektif bisa luput dari perhatian dalam waktu lama jika tersembunyi dengan baik.
Cara terbaik untuk mencegah peretas membuat pintu belakang di situs Anda adalah dengan memasang firewall aplikasi web (WAF) untuk memantau semua lalu lintas masuk. Dan memasangkannya dengan pemindai malware dapat membantu menjauhkan konten berbahaya dari situs Anda pada saat yang bersamaan.
Bagaimana situs WordPress diretas
Sekarang setelah Anda mengetahui lebih banyak tentang jenis peretasan yang umum, mari kita lihat beberapa cara situs WordPress diretas.
1. Inti, tema, dan plugin sudah ketinggalan zaman
Jika Anda ingin menjaga keamanan WordPress, penting untuk menjalankan pembaruan inti, tema, dan plugin saat tersedia. Ini karena sebagian besar pembaruan disertai dengan perbaikan bug dan kerentanan keamanan yang ditemukan di versi sebelumnya.
Setelah kerentanan ini diketahui, peretas dapat mengeksploitasinya dan menggunakannya untuk memasuki situs web Anda. Oleh karena itu, selalu merupakan ide bagus untuk memperbarui inti WordPress, bersama dengan tema dan plugin Anda, dari dasbor Anda. Dan jika Anda khawatir pembaruan akan merusak situs Anda, Anda dapat membuat cadangan untuk memulihkan situs web Anda jika terjadi kesalahan.
2. Kata sandi dan kredensial pengguna yang lemah
Semakin lemah kata sandi Anda, semakin mudah bagi peretas untuk mendapatkan akses ke situs web Anda. Faktanya, kata sandi yang menggunakan angka dan simbol pun dapat dibobol dalam hitungan detik jika panjangnya kurang dari tujuh karakter.
Selain itu, sebagian besar pengguna cenderung memprioritaskan kata sandi yang kuat untuk akun admin WordPress. Namun, penting untuk membuat semua kata sandi Anda kuat, termasuk kata sandi yang Anda gunakan untuk akun hosting web, akun FTP, database MySQL, dan akun email.
Tentu saja, cara termudah untuk membuat situs Anda tidak terlalu rentan terhadap serangan berbasis kredensial adalah dengan menggunakan (dan menerapkan) kata sandi yang kuat di seluruh situs Anda. Dan, tentu saja, Anda dapat memperketat seluruh prosedur login menggunakan metode seperti otentikasi dua faktor.
3. Lingkungan hosting yang rentan
Kecuali Anda menjalankan situs web lokal, file situs Anda disimpan di server langsung dan terbuka untuk diserang. Meskipun ada banyak penyedia hosting yang tersedia, penting untuk memilih salah satu yang memprioritaskan WordPress dan menyediakan lingkungan yang aman.
Itulah mengapa sebaiknya tetap menggunakan penyedia hosting terkemuka yang menawarkan fitur berguna seperti WAF, sertifikat SSL, dan pembaruan otomatis. Selain itu, jika Anda memiliki anggaran, biasanya lebih aman memilih paket hosting terkelola atau paket hosting khusus dibandingkan dengan lingkungan hosting bersama.
4. Tema dan plugin dengan kode buruk
Kami telah membahas pentingnya selalu memperbarui tema dan plugin Anda. Namun, Anda juga harus memastikan bahwa Anda hanya menginstal tema dan plugin dari sumber terpercaya.
Biasanya, jika Anda mengakses perangkat lunak baru untuk situs Anda, yang terbaik adalah tetap menggunakan direktori resmi WordPress, atau situs web pengembang (jika itu adalah alat premium). Selain itu, ada baiknya untuk selalu memeriksa ulasan untuk melihat apakah pengguna sebenarnya mengalami masalah keamanan.
5. Pengunggahan file tidak aman
Banyak situs web yang mengizinkan pengunjung mengunggah file seperti resume, gambar, dan lainnya. Namun banyak pengguna WordPress yang tidak menyadari bahwa fungsi upload file dapat digunakan untuk melakukan sejumlah serangan serius.
Misalnya, peretas dapat menggunakan fungsi tersebut untuk mengunggah file skrip sisi server berbahaya yang memungkinkan eksekusi kode jarak jauh atau yang dapat dipicu oleh permintaan HTTP.
Untungnya, Anda dapat mencegah pengunggahan file yang tidak aman dengan menerapkan pembatasan file — termasuk jenis konten, ukuran file, dan lainnya. Lebih baik lagi, Anda dapat mengautentikasi sesi pengguna sehingga pengunjung harus masuk sebelum mereka dapat mengunggah file di situs Anda.
Tanda-tanda umum situs WordPress diretas
Selanjutnya, kita akan melihat tanda-tanda serangan yang paling umum di situs web Anda.
1. Pemberitahuan dari plugin keamanan Anda
Jika Anda menggunakan plugin keamanan, Anda akan langsung tahu jika situs WordPress Anda telah diretas. Dengan Jetpack Scan, Anda akan menerima pemberitahuan email instan ketika ancaman atau perilaku mencurigakan terdeteksi.
Lebih baik lagi, saat Anda mengunjungi dasbor Anda, antarmuka intuitif memudahkan Anda melihat dan memahami masalah yang tertangkap. Dan, beberapa masalah bahkan dapat diselesaikan hanya dengan satu klik.
Pemindaian dilakukan di server Jetpack sehingga Anda dapat mengakses situs Anda meskipun situs sedang down.
Bagian terbaik tentang penggunaan Jetpack sebagai plugin keamanan WordPress adalah Anda tidak perlu lagi mendeteksi dan menghapus malware. Berkat berbagai langkah perlindungannya — seperti WAF 24/7, autentikasi dua faktor, perlindungan serangan brute force, dan banyak lagi — situs Anda akan lebih sulit diakses oleh peretas.
2. Perubahan file yang mencurigakan
Salah satu tanda paling umum dari peretasan WordPress adalah perubahan file yang mencurigakan, terutama pada file inti WordPress Anda (dan terutama di dalam folder konten-wp ). Hal ini sulit dikenali karena peretas mungkin membuat file baru dengan nama yang mirip dengan file yang sudah ada.
Atau, mereka mungkin hanya memodifikasi file inti Anda yang ada dengan menempatkan kode mereka sendiri di dalamnya. Karena hal ini sulit dideteksi, penting untuk menggunakan plugin keamanan yang memantau file dan database situs web Anda. Jika tidak, Anda perlu meninjau folder WordPress secara manual untuk mengidentifikasi file atau skrip berbahaya.
3. Pengguna admin atau akun FTP yang tidak dikenal
Jika Anda telah mengaktifkan pendaftaran pengguna di situs Anda (dan Anda tidak menggunakan perlindungan anti-spam), peretas akan dengan mudah membuat akun pengguna spam. Dalam kasus ini, biasanya Anda dapat dengan mudah menghapus akun spam tersebut.
Namun jika situs Anda tidak terbuka untuk pendaftaran pengguna, dan Anda melihat akun pengguna baru, kemungkinan besar situs web Anda telah diretas. Hal ini terutama menjadi masalah jika pengguna baru adalah administrator, karena mereka akan mendapatkan akses penuh ke setiap bagian situs Anda.
4. Pengalihan dan pop-up berbahaya
Tanda umum lainnya dari peretasan WordPress adalah pengalihan dan popup berbahaya. Dalam kasus terakhir, peretas berupaya membajak lalu lintas web Anda dan menghasilkan uang dengan menampilkan iklan spam.
Meskipun jenis popup ini tidak akan muncul untuk pengguna yang login atau pengguna yang mengunjungi situs web Anda secara langsung, popup tersebut akan terlihat oleh pengguna yang membuka situs Anda dari mesin telusur. Yang lebih buruk lagi, iklan tersebut sering kali terbuka di jendela baru dan tidak diperhatikan dalam jangka waktu lama.
Selain itu, peretas dapat mengalihkan lalu lintas situs web Anda ke situs web pihak ketiga yang mungkin menyebarkan malware atau menyebabkan risiko keamanan lainnya. Biasanya, serangan semacam ini disebabkan oleh pintu belakang di situs Anda yang dapat dieksploitasi oleh peretas.
5. Tautan ke situs spam
Seperti yang telah kita bahas di bagian sebelumnya, injeksi data adalah salah satu jenis masalah keamanan WordPress yang paling umum. Dan begitu peretas mendapatkan akses ke situs Anda (biasanya melalui pintu belakang), mereka dapat mengubah file dan tabel di database Anda.
Beberapa peretasan ini melibatkan tautan ke situs web spam yang sering ditambahkan ke footer WordPress. Meskipun Anda dapat menghapus tautan yang Anda temukan, tindakan ini tidak akan menyelesaikan akar masalahnya. Sebaliknya, Anda harus menemukan dan memperbaiki pintu belakang yang dapat dieksploitasi oleh peretas.
6. Lonjakan lalu lintas yang tidak biasa
Perubahan pada lalu lintas web biasa sering kali dapat menjadi indikator jelas adanya peretasan WordPress. Misalnya, penurunan lalu lintas secara tiba-tiba mungkin berarti malware di situs Anda mengalihkan pengunjung ke situs web spam.
Sementara itu, jika server Anda dibanjiri banyak permintaan, peretas mungkin mencoba melakukan serangan penolakan layanan terdistribusi (DDoS). Dalam hal ini, peretas membanjiri server Anda dengan ratusan permintaan palsu yang menyebabkan situs web Anda mogok.
7. Daftar blokir Google
Alasan lain penurunan lalu lintas web mungkin karena alat penjelajahan aman Google memperingatkan pengunjung agar tidak mengakses situs web Anda. Faktanya, Google memblokir sekitar 10.000 situs web setiap hari karena penyimpangan yang diyakini sebagai malware, tautan phishing, spam, dan banyak lagi.
Dalam hal ini, website Anda akan dihapus dari indeks Google dan pengunjung tidak akan dapat melihat atau menggunakan website Anda. Hal ini juga dapat merusak reputasi situs web Anda karena membuat situs Anda tampak tidak dapat dipercaya dan tidak aman.
Anda dapat melihat laporan keamanan situs Anda menggunakan alat penjelajahan aman. Untuk menghapus situs Anda dari daftar blokir, Anda harus mengatasi masalahnya. Kemudian, Anda dapat menggunakan Google Search Console untuk meminta tinjauan keamanan.
Menggunakan Jetpack Scan untuk mendeteksi masalah keamanan
Cara terbaik untuk mencegah situs WordPress Anda diretas adalah dengan menggunakan fitur keamanan otomatis seperti Jetpack Scan. Dengan cara ini, Anda akan mendapatkan pemindaian malware dan kerentanan setiap hari serta peringatan langsung setiap kali masalah ditemukan. Selain itu, Anda akan menerima saran tentang cara menyelesaikan masalah dan mendapatkan akses ke perbaikan sekali klik .
Jetpack Scan tersedia sebagai fitur mandiri atau sebagai bagian dari paket Keamanan dengan Plugin Jetpack. Keamanan Jetpack adalah pilihan terbaik karena mencakup Jetpack Scan, tetapi juga mencakup pencadangan waktu nyata, perlindungan spam, autentikasi dua faktor, perlindungan serangan brute force, dan log aktivitas 30 hari yang komprehensif untuk melacak semua tindakan di situs Anda.
Jika Anda tidak menginginkan plugin Jetpack lengkap, Anda dapat memilih paket berbayar dengan plugin Jetpack Protect untuk mendapatkan akses yang sama ke pemindaian malware harian gratis, peringatan instan, dan perbaikan sekali klik. Selain itu, Anda juga akan mendapatkan perlindungan WAF 24/7.
1. Identifikasi sumber peretasan
Jika Anda bertanya-tanya bagaimana cara membersihkan situs WordPress yang diretas, langkah pertama adalah mengidentifikasi sumber peretasan. Cara termudah untuk melakukannya adalah dengan melihat log aktivitas (selama Anda memiliki plugin keamanan yang menyediakannya).
Misalnya, dengan Jetpack Security, Anda akan mendapatkan log aktivitas 30 hari tempat Anda dapat memantau setiap tindakan di situs Anda. Ini mencakup semuanya, mulai dari akun pengguna baru hingga modifikasi file. Itu berarti Anda akan dapat meninjau semua tindakan yang tercantum dan mencatat segala sesuatu yang tampak mencurigakan.
Jika Anda tidak memiliki log aktivitas, atau Anda tidak dapat mengakses situs Anda, ada baiknya Anda memeriksa log kesalahan server Anda. Anda hanya dapat mengakses log kesalahan dengan mengaktifkan debugging di WordPress.
Anda dapat melakukan ini menggunakan plugin seperti WP Debugging.
Atau, Anda dapat mengedit file wp-config.php melalui klien FTP. Dalam contoh ini, temukan baris yang bertuliskan “Itu saja, berhenti mengedit!” Kemudian, pastekan kode berikut:
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
Log kesalahan biasanya disebut debug.log dan dapat ditemukan di dalam folder konten-wp . Di sini, Anda dapat melihat semua pesan kesalahan, peringatan, dan pemberitahuan yang telah dicatat di situs Anda.
Namun perlu diingat bahwa memodifikasi file situs web Anda secara langsung adalah proses yang sangat rumit. Oleh karena itu, hanya pengguna atau pengembang WordPress tingkat lanjut yang boleh mencobanya. Dan Anda harus selalu memiliki cadangan lengkap situs Anda sebelum melanjutkan.
Sebagai alternatif yang lebih sederhana, Anda dapat memasang pemindai malware seperti Jetpack Scan untuk mendeteksi malware di situs Anda.
2. Hubungi penyedia hosting Anda
Langkah selanjutnya untuk membersihkan situs WordPress yang diretas adalah menghubungi penyedia hosting Anda. Hal ini sangat relevan jika Anda menggunakan paket hosting bersama karena mungkin ada masalah lebih besar yang sudah diketahui oleh host Anda. Selain itu, tergantung pada jenis hosting Anda, Anda mungkin tidak dapat mengakses log kesalahan server Anda. Jadi dalam hal ini, Anda harus meminta host Anda melakukan ini untuk Anda.
3. Pulihkan cadangan bersih jika ada
Kabar baiknya adalah jika Anda memiliki cadangan, akan lebih mudah untuk membersihkan situs WordPress yang diretas. Itu karena Anda dapat dengan mudah mengembalikan situs web Anda ke versi sebelumnya.
Tentu saja, Anda hanya dapat melakukan ini jika menggunakan plugin cadangan seperti Jetpack VaultPress Backup.
Ini adalah plugin canggih yang membuat cadangan cloud real-time di situs Anda, termasuk tabel database, konten, dan data WooCommerce. Cadangan juga dienkripsi untuk menjaga keamanan informasi Anda. Dan, Anda akan mendapat manfaat dari pemulihan sekali klik, yang dapat Anda lakukan dari situs atau aplikasi seluler — meskipun situs Anda sedang tidak aktif sepenuhnya.
Yang harus Anda lakukan adalah menuju ke Jetpack → Log Aktivitas dan menggunakan filter untuk mencari rentang tanggal atau acara tertentu. Kemudian, klik Pulihkan. Alternatifnya, Anda dapat membuka Jetpack → Cadangan → Tindakan → Pulihkan ke titik ini.
Jika Anda ingin memulihkan seluruh situs, biarkan semua kotak dicentang dan pilih Konfirmasi pemulihan. Anda kemudian akan menerima pesan konfirmasi ketika proses selesai.
4. Bersihkan file yang diretas
Terakhir, jika Anda bertanya-tanya bagaimana cara membersihkan situs WordPress yang diretas, dan Anda tidak memiliki cadangan, Anda harus membersihkan file yang ditargetkan. Namun, sebelum memulai, penting untuk membuat cadangan situs Anda jika terjadi kesalahan saat Anda menghapus/mengedit file.
Jika Anda menggunakan plugin keamanan atau pemindai malware, Anda dapat meninjau laporan yang mungkin memberikan daftar file mencurigakan. Misalnya, Jetpack Scan menawarkan perbaikan sekali klik untuk banyak kesalahan dan peretasan umum.
Atau jika Anda melakukannya secara manual, Anda dapat mengunduh instalasi WordPress baru dan membandingkan kode di file inti dengan file situs web Anda. Jika Anda menemukan kode yang tidak sesuai dengan file baru, silakan hapus.
Alternatifnya, Anda dapat mengganti semua file WordPress dengan masuk ke Dashboard → Updates dan mengklik tombol Instal ulang versi .
Ini tidak akan mengganti atau menghapus konten, plugin, atau gambar apa pun. Yang dilakukannya hanyalah mengganti file-file inti WordPress.
Selain itu, jika file yang terpengaruh ada di tema WordPress Anda, cukup hapus instalan tema tersebut lalu instal versi baru. Hal yang sama berlaku untuk semua file plugin yang terinfeksi.
Memperketat keamanan setelah membersihkan situs Anda yang diretas
Sekarang setelah Anda mengetahui cara membersihkan situs WordPress yang diretas, mari kita lihat beberapa metode untuk memperketat keamanan setelah pembersihan. Dengan cara ini, Anda dapat melindungi situs web Anda dengan lebih baik dari peretasan di masa mendatang.
1. Instal plugin keamanan dan cadangan
Cara paling mudah untuk memperluas perlindungan situs WordPress Anda adalah dengan menginstal plugin keamanan dan cadangan. Hal ini akan memberikan perlindungan dari sebagian besar ancaman, serta solusi untuk menyelesaikan sebagian besar masalah yang lolos.
Plugin keamanan WordPress terbaik menawarkan serangkaian tindakan pencegahan seperti WAF, pemindaian harian, log aktivitas, dan perlindungan login. Anda juga dapat menemukan opsi seperti Keamanan Jetpack yang bahkan mencakup tindakan lanjutan seperti tindakan yang disarankan dan perbaikan sekali klik.
Lebih baik lagi, Jetpack Security menyertakan plugin Jetpack VaultPress Backup yang canggih sehingga Anda tidak perlu menginstal layanan terpisah. Dengan cara ini, Anda dapat membuat salinan semua file dan tabel database secara real-time. Selain itu, Anda dapat memulihkan elemen tertentu, atau keseluruhan situs, hanya dalam satu klik.
2. Reset semua kata sandi
Jika situs WordPress Anda telah diretas, kemungkinan besar kata sandi Anda telah dibobol. Oleh karena itu, Anda harus mereset semua kata sandi termasuk akun admin, akun hosting, akun FTP, akun email, dan database Anda.
Untuk memperkuat prosedur login Anda, sebaiknya gunakan kata sandi yang sangat kuat yang terdiri dari huruf besar dan kecil, angka, dan karakter khusus. Plus, usahakan untuk membuat kata sandi sepanjang mungkin. Jika Anda tidak dapat membuat kata sandi yang kuat sendiri, Anda selalu dapat menggunakan pembuat kata sandi.
3. Menerapkan kebijakan kata sandi yang kuat
Meskipun menyetel ulang sandi berguna, Anda juga sebaiknya menerapkan kebijakan sandi yang kuat di seluruh situs Anda untuk melindungi semua akun pengguna. Hal ini dapat melibatkan edukasi kepada pengguna tentang bahaya kata sandi yang lemah.
Dengan mengingat hal ini, Anda mungkin ingin menyertakan informasi ini dalam email selamat datang ketika pengguna baru mendaftar di situs Anda. Atau Anda dapat menerapkan kata sandi yang kuat dengan plugin seperti Pengelola Kebijakan Kata Sandi.
Dengan cara ini, Anda dapat memantau kekuatan kata sandi dari semua kata sandi. Anda juga dapat meminta pengguna untuk mengubah kata sandi mereka yang ada dan mengaktifkan tanggal habis masa berlaku otomatis untuk mewajibkan pembaruan kredensial rutin.
4. Siapkan autentikasi dua faktor (2FA) dengan Jetpack
Meskipun kata sandi yang kuat dapat mempersulit peretas untuk mendapatkan akses ke situs Anda, Anda dapat melangkah lebih jauh dan menerapkan autentikasi dua faktor. Dengan cara ini, selain kata sandi yang kuat, pengguna memerlukan kunci kedua agar berhasil masuk.
Biasanya, kunci kedua adalah kode verifikasi yang dikirimkan ke akun email atau nomor ponsel. Kabar baiknya adalah jika Anda sudah menggunakan plugin keamanan seperti Jetpack, Anda dapat mengaktifkannya langsung di dasbor Anda.
Yang harus Anda lakukan adalah pergi ke Jetpack → Pengaturan → Keamanan . Temukan bagian login WordPress.com dan gunakan tombol sakelar untuk memungkinkan pengguna masuk ke situs Anda dengan akun WordPress.com mereka. Kemudian, gunakan tombol di bawah untuk mewajibkan akun menggunakan autentikasi dua faktor.
5. Selalu perbarui perangkat lunak WordPress
Salah satu cara paling sederhana untuk memperkuat keamanan WordPress adalah dengan memperbarui perangkat lunak inti WordPress (serta tema dan plugin) secara rutin. Dengan cara ini, Anda akan mendapatkan akses ke patch keamanan terbaru. Selain itu, ini membuat situs Anda lebih tahan terhadap serangan pintu belakang.
Untuk memastikan Anda menjalankan WordPress versi terbaru, buka Dashboard → Updates. Di bawah ini, Anda juga akan melihat plugin dan tema yang pembaruannya tersedia. Cukup pilih opsi yang relevan dan klik Perbarui.
6. Audit akun pengguna
Penting untuk memastikan bahwa orang yang tepat memiliki tingkat akses yang tepat ke situs web Anda. Untuk menentukan hal ini, Anda harus menetapkan peran pengguna untuk setiap pengguna baru di situs web Anda. Ini memberikan izin dan hak istimewa khusus kepada setiap orang yang terdaftar.
Namun, ada baiknya Anda mengaudit akun pengguna Anda secara rutin untuk memastikan pengaturannya mencerminkan keadaan situs web Anda saat ini. Misalnya, Anda mungkin lupa menghapus pengguna ketika seorang anggota staf mengundurkan diri.
Anda dapat melihat semua peran pengguna dengan membuka Pengguna → Semua Pengguna di dasbor WordPress Anda. Di bagian atas halaman, Anda akan melihat link tempat Anda dapat melihat akun berdasarkan peran penggunanya, seperti penulis, kontributor, dan editor.
Sebagai aturan umum, setiap situs hanya boleh memiliki satu administrator. Jika Anda melihat akun administrator baru, ini mungkin merupakan tanda peretasan. Selain itu, yang terbaik adalah beroperasi berdasarkan prinsip hak istimewa paling rendah sehingga pengguna hanya dapat melakukan tindakan yang benar-benar diperlukan.
7. Hapus situs Anda dari daftar tidak aman (Google atau McAfee)
Jika situs web Anda menjadi korban peretasan WordPress, Anda mungkin mendapati bahwa situs Anda telah diblokir oleh mesin pencari seperti Google dan McAfee. Bahkan setelah Anda membersihkan file yang terinfeksi (atau memulihkan situs Anda), kemungkinan besar Anda masih akan melihat peringatan.
Dalam hal ini, Anda harus meminta tinjauan keamanan untuk menghapus situs Anda dari daftar tidak aman. Anda dapat melakukan ini menggunakan Google Search Console. Dan, Anda juga dapat mengajukan permintaan sengketa dengan McAfee.
Cara mengamankan situs Anda dari peretasan dengan Jetpack Security
Seperti yang telah kita bahas, cara terbaik untuk melindungi situs web Anda dari peretasan adalah dengan menginstal solusi keamanan lengkap seperti Jetpack Security.
Untuk memulai alat ini, mulailah dengan menginstal dan mengaktifkan plugin Jetpack. Kemudian, yang perlu Anda lakukan hanyalah memilih paket Keamanan atau Lengkap dan melanjutkan ke pembayaran. Masukkan URL situs Anda dan lanjutkan. Anda juga harus memasukkan kredensial admin untuk akun yang ingin Anda sambungkan ke Jetpack.
Setelah Jetpack berhasil disiapkan, Anda akan dapat menyelesaikan proses pembayaran. Kemudian, Anda dapat mengaktifkan fitur yang direkomendasikan di daftar periksa pengaturan. Atau, kembali ke dasbor Anda dan konfigurasikan pengaturannya di lain waktu.
Pertanyaan yang sering diajukan
Di bagian ini, kami akan menjawab beberapa pertanyaan umum tentang membersihkan dan mengamankan situs WordPress yang diretas.
Bagaimana saya bisa yakin bahwa situs WordPress saya telah diretas?
Cara terbaik untuk mengetahui bahwa situs WordPress Anda telah diretas adalah dengan berkonsultasi dengan plugin keamanan Anda. Dengan plugin berkualitas seperti Jetpack, Anda akan menerima pemberitahuan email instan ketika ancaman terdeteksi.
Namun ada beberapa tanda umum peretasan lainnya yang dapat Anda waspadai. Misalnya, Anda mungkin menemukan akun pengguna atau akun FTP yang tidak dikenal.
Selain itu, mungkin ada tautan baru ke situs web pihak ketiga atau perubahan mencurigakan pada file penting WordPress. Dan jika situs web Anda telah diretas, Anda mungkin menemukannya di daftar blokir Google dan McAfee.
Bagaimana cara memindai situs WordPress saya dari malware?
Malware adalah salah satu ancaman online yang paling mengkhawatirkan dan sangat sulit diidentifikasi. Untungnya, Anda dapat menggunakan alat pemindaian sederhana seperti Jetpack Scan, yang secara otomatis akan meninjau situs Anda untuk mencari kerentanan dan malware dan langsung memberi tahu Anda jika ada masalah yang terdeteksi.
Selain itu, ia hadir dengan perbaikan sekali klik untuk sebagian besar masalah dan WAF 24/7 untuk memblokir lalu lintas berbahaya guna mengurangi ancaman sejak awal.
Mengapa penting untuk mencadangkan situs WordPress saya secara rutin?
Jika situs WordPress Anda diretas, itu bukanlah akhir dari segalanya jika Anda memiliki cadangan. Jika tidak, Anda mungkin mengalami lebih banyak masalah karena Anda harus meninjau secara manual semua file situs web Anda untuk mencari kode berbahaya. Kemudian, Anda harus mengganti file yang rusak dengan pengganti yang bersih, yang dapat memakan waktu dan rawan kesalahan.
Namun, dengan alat seperti Jetpack VaultPress Backup, Anda dapat segera mengembalikan situs web Anda ke versi sebelumnya. Anda dapat memilih titik waktu yang tepat untuk memulihkan situs web Anda. Selain itu, Anda dapat memilih untuk memulihkan seluruh situs web atau memilih file tertentu.
Apa cara terbaik untuk mencadangkan situs WordPress saya?
Cara termudah untuk mencadangkan situs web Anda adalah dengan memasang plugin otomatis seperti Jetpack VaultPress Backup. Dengan cara ini, Anda dapat melindungi file situs web, tabel database, serta data pelanggan dan pesanan Anda.
Cadangan disimpan di cloud, jadi meskipun server Anda mogok, cadangan Anda akan tetap utuh. Terlebih lagi, proses pemulihannya sangat mudah, dengan opsi untuk memulihkan situs Anda hanya dalam satu klik. Selain itu, Anda dapat melakukannya langsung dari dasbor atau menggunakan aplikasi seluler Jetpack.
Apa itu firewall aplikasi web (WAF) dan bagaimana cara meningkatkan keamanan WordPress?
Firewall aplikasi web (WAF) adalah salah satu tindakan keamanan preventif paling canggih yang dapat Anda terapkan di situs Anda. WAF bekerja dengan memantau semua lalu lintas web masuk Anda. Kemudian, ia memblokir alamat IP apa pun yang dianggap mencurigakan.
Jika Anda memilih untuk melindungi situs Anda dengan Jetpack Security, Anda akan mendapatkan akses ke WAF untuk perlindungan 24/7.
Bagaimana Jetpack Security membantu mengidentifikasi dan memitigasi upaya peretasan?
Keamanan Jetpack dapat memberi Anda ketenangan pikiran dalam hal keamanan WordPress. Anda akan mendapatkan akses ke pencadangan waktu nyata, jadi jika terjadi kesalahan pada situs Anda, Anda dapat dengan cepat memulihkannya ke versi sebelumnya.
Jetpack memberikan komentar dan perlindungan spam dengan Akismet. Dan Anda bahkan akan mendapatkan log aktivitas 30 hari tempat Anda dapat memantau setiap tindakan di situs Anda. Hal ini sangat berguna ketika mengidentifikasi kesalahan dan masalah keamanan lainnya.
Terlebih lagi, Anda juga akan mendapatkan pemindaian malware dan WAF. Selain itu, ketika masalah terdeteksi di situs Anda, Anda akan segera diberi tahu. Dan, melalui dasbor, Anda akan mendapatkan akses ke perbaikan sekali klik dan rekomendasi keamanan ahli.
Keamanan Jetpack: Perisai Anda terhadap peretasan WordPress
Sangat mudah untuk panik ketika Anda menyadari bahwa situs WordPress Anda telah diretas. Hal ini terutama berlaku jika Anda tidak tahu cara memulihkan situs web Anda. Namun situasinya akan jauh lebih tidak menegangkan jika Anda tahu cara membersihkan dan melindungi situs Anda dari peretasan.
Setelah Anda memulihkan situs menggunakan cadangan (atau membersihkan file yang diretas), Anda dapat menginstal plugin keamanan dan mengatur ulang semua kata sandi. Kemudian, penting untuk mengaudit akun pengguna, menyiapkan autentikasi dua faktor, dan menghapus situs Anda dari semua daftar blokir.
Namun untuk ketenangan pikiran, sebaiknya instal plugin keamanan lengkap seperti Jetpack Security. Dengan cara ini, Anda akan mendapatkan akses ke log aktivitas 30 hari, komentar lengkap dan perlindungan spam formulir, pencadangan waktu nyata, perlindungan serangan brute force, firewall aplikasi web, dan banyak lagi. Mulailah hari ini untuk mengamankan situs WordPress Anda!