Daftar Periksa Keamanan WooCommerce Lengkap (Panduan 2022)

Diterbitkan: 2021-03-23

Keamanan adalah perhatian utama untuk setiap toko eCommerce. Lagi pula, Anda tidak hanya perlu menjaga keamanan konten Anda, Anda juga perlu melindungi informasi pelanggan dan data pesanan.

Jadi jika Anda sedang mempertimbangkan untuk memulai sebuah toko online, atau jika itu sudah menjadi bagian dari pendapatan Anda, maka inilah saatnya untuk memastikan bahwa Anda telah sepenuhnya mengamankan bisnis Anda.

Mengapa toko online membutuhkan keamanan yang lebih besar

Saat Anda berjualan online, Anda berurusan dengan banyak informasi sensitif: nama pribadi, nomor kartu kredit, alamat, dan banyak lagi. Toko aktif mengumpulkan informasi baru setiap saat, jadi Anda memiliki kumpulan data yang terus bertambah yang menjadi tanggung jawab Anda.

Memastikan situs Anda memiliki keamanan terbaik akan memungkinkan Anda untuk:

  • Lindungi informasi pribadi klien Anda dari peretas dan penyerang, memungkinkan pelanggan berbelanja dengan percaya diri;
  • Lindungi aliran pendapatan Anda dari gangguan dan kehilangan penjualan;
  • Simpan semua data penjualan menit ke menit untuk tujuan pajak dan hukum;
  • Pertahankan merek dan reputasi Anda sebagai bisnis yang dapat dipercaya; dan
  • Hindari biaya yang terkait dengan membangun kembali bisnis Anda setelah diretas, seperti kehilangan penjualan karena waktu henti, pengembalian uang yang disebabkan oleh pesanan yang tidak terpenuhi, dan biaya perbaikan situs web

Cara mengidentifikasi peretasan

Peretasan dapat terjadi dalam berbagai bentuk, dan Anda bahkan mungkin tidak langsung menyadari bahwa situs Anda telah disusupi.

Untuk mengidentifikasi peretasan, cari:

  • Akun admin baru yang tidak Anda buat.
  • Tautan spam ke malware di komentar, deskripsi produk, atau ulasan.
  • Kotak peringatan atau tautan yang tidak biasa yang mengarahkan ulang ke situs pihak ketiga.
  • Lansiran dari Google bahwa toko Anda telah ditandai.
  • Email pelanggan yang aneh, tidak terduga, atau hilang.
  • Waktu muat sangat lambat atau kesalahan waktu habis.

Tetapi sebagian besar pemilik bisnis terlalu sibuk mengerjakan inventaris, pemasaran, atau pemenuhan pesanan untuk terus memantau masalah atau peretasan. Itulah mengapa hal pertama yang harus Anda tambahkan adalah pemantauan waktu henti, yang secara otomatis memeriksa apakah situs Anda aktif dan berjalan dan memberi tahu Anda jika tidak. Hal ini memungkinkan Anda untuk segera mengambil tindakan untuk memperbaiki dan memulihkan toko online Anda.

Anda juga dapat memanfaatkan Jetpack Scan, yang merupakan plugin pemindaian malware teratas yang secara otomatis memeriksa toko Anda dari peretasan sehingga Anda tidak perlu khawatir! Anda akan mendapatkan peringatan jika menemukan sesuatu yang salah dan Anda bahkan dapat memperbaiki sebagian besar ancaman yang diketahui hanya dengan satu klik.

Dasbor Jetpack Scan menunjukkan kemajuan pemindaian malware saat ini

Daftar periksa keamanan lengkap untuk WooCommerce (14 langkah)

Itu selalu yang terbaik untuk menghentikan peretasan sebelum terjadi. Jika Anda dapat menjawab "ya" untuk pertanyaan-pertanyaan berikut, maka Anda memulai dengan sangat baik!

1. Apakah Anda hosting dengan penyedia yang aman dan bereputasi baik?

Tuan rumah Anda adalah garis pertahanan pertama melawan serangan. Jika mereka tidak memiliki langkah-langkah keamanan yang tepat, file dan database Anda bisa menjadi rentan, bahkan jika Anda melakukan segalanya dengan benar.

Saat memilih host, cari host dengan:

  • Sebuah firewall built-in . Firewall mengontrol siapa yang dapat mengakses server Anda dan siapa yang tidak, menjauhkan peretas dan bot dari file situs web Anda.
  • Pemindaian keamanan . Banyak host secara teratur memindai semua situs di server mereka dan akan memberi tahu Anda jika mereka melihat sesuatu yang mencurigakan, seperti malware. Beberapa penyedia bahkan memperbaiki masalah tersebut untuk Anda, seringkali dengan biaya tambahan.
  • Cadangan . Meskipun Anda juga ingin membuat cadangan sendiri (akan dibahas lebih lanjut nanti), sebaiknya Anda memiliki banyak salinan situs Anda. Banyak perusahaan hosting menyertakan cadangan dalam paket mereka, sementara yang lain menawarkannya sebagai peningkatan berbayar.
  • Tim pendukung yang luar biasa . Jika Anda mengalami masalah, Anda ingin ahli tersedia untuk membantu Anda mengetahui langkah selanjutnya. Pastikan tuan rumah Anda memiliki tim pendukung yang hebat yang dapat dihubungi melalui metode yang paling nyaman bagi Anda (obrolan langsung, telepon, dll.)
  • Reputasi yang baik . Periksa ulasan dari pelanggan nyata dan cari tahu tentang pengalaman mereka. Ini adalah cara paling akurat untuk mempelajari tentang penyedia hosting.

Tidak yakin harus mulai dari mana? WooCommerce mengumpulkan daftar perusahaan hosting yang direkomendasikan yang semuanya telah diperiksa secara menyeluruh.

2. Apakah Anda memiliki sertifikat SSL?

Sertifikat SSL (Secure Socket Layer) mengenkripsi informasi yang dikirim dari pelanggan Anda ke situs web Anda dan mengotentikasi identitas situs Anda. Ini berfungsi sebagai perlindungan penting untuk informasi seperti data dan alamat kartu kredit. Google juga mempertimbangkannya saat menentukan peringkat mesin pencari.

Sebagian besar host menawarkan sertifikat SSL gratis, meskipun beberapa mengenakan biaya yang relatif minimal.

3. Apakah Anda menggunakan versi tema dan plugin yang aman dan aman?

Plugin dan tema nulled adalah versi bajakan dari plugin dan tema premium dan ditawarkan secara gratis atau dengan harga murah. Tidak hanya tidak didukung, tetapi juga tidak diperbarui, sehingga dapat bertentangan dengan WordPress atau plugin lainnya. Dan, yang lebih memprihatinkan, mereka biasanya penuh dengan malware yang dapat membahayakan situs dan data pelanggan Anda.

Selalu unduh plugin dan tema dari sumber tepercaya, seperti repositori WordPress atau pasar WooCommerce.

WooCommerce Marketplace menampilkan koleksi ekstensi
Koleksi ekstensi unggulan di WooCommerce Marketplace

4. Apakah semuanya diperbarui di situs WordPress Anda?

Pembaruan WordPress, tema, dan plugin tidak selalu hanya menyertakan fitur baru; mereka sering memperbaiki bug dan kerentanan yang dapat dimanfaatkan oleh peretas. Selalu lakukan pembaruan saat tersedia untuk menjaga keamanan situs Anda dan menghindari konflik.

Tidak ingin melacak pembaruan? Jetpack memiliki opsi untuk mengotomatiskan proses ini.

5. Apakah Anda menggunakan PHP versi terbaru?

Sebagian besar inti WordPress ditulis dalam PHP, bahasa pemrograman. Anda harus memperbarui versi PHP yang digunakan situs Anda untuk alasan yang sama seperti Anda harus memperbarui tema dan plugin: untuk melindungi dari bug dan kerentanan.

Anda dapat memperbarui versi PHP Anda di pengaturan host Anda, atau meminta penyedia hosting Anda untuk mengurus ini untuk Anda. Lihat persyaratan WordPress terbaru.

6. Sudahkah Anda meninjau izin pengguna Anda?

Setiap pengguna WordPress diberi peran, yang mencakup serangkaian kemampuan yang memungkinkan mereka melakukan tugas tertentu di situs web Anda. Administrator memiliki akses penuh ke semuanya dan dapat membuat perubahan apa pun yang mereka inginkan; sebagai pemilik toko, ini harus menjadi peran Anda. Pelanggan, bagaimanapun, tidak memiliki akses ke backend situs Anda, tetapi dapat mengedit informasi akun mereka sendiri dan melihat pesanan saat ini dan sebelumnya. Lihat daftar lengkap peran dan izin pengguna.

Dari waktu ke waktu, tinjau dan bersihkan akun pengguna Anda. Setiap pengguna hanya boleh memiliki izin minimum yang diperlukan untuk melakukan pekerjaan mereka dan, jika Anda tidak bekerja dengan seseorang lagi, pastikan untuk menghapus akun mereka. Misalnya, jika Anda bekerja dengan agen pengembangan web untuk membangun situs Anda dan proyek selesai, Anda mungkin ingin menghapus akun mereka kecuali pembaruan yang konsisten diperlukan di masa mendatang.

7. Apakah Anda menggunakan nama pengguna dan kata sandi yang aman?

Peretas sering menggunakan bot untuk mencoba ribuan kombinasi nama pengguna dan kata sandi yang berbeda sampai mereka menemukan yang tepat (ini disebut serangan brute force.) Semakin mudah kata sandi Anda ditebak, semakin besar kemungkinan peretas dapat mengakses toko Anda.

Kata sandi yang baik memiliki huruf besar, huruf kecil, angka, dan simbol, dan panjangnya setidaknya 20 karakter. Pastikan bahwa, minimal, setiap pengguna admin menerapkan jenis sandi ini.

Dalam hal nama pengguna, hindari judul umum seperti "Administrator" atau "Admin." Sebagai gantinya, buat nama pengguna khusus untuk setiap orang.

8. Sudahkah Anda mempertimbangkan untuk mengubah URL login Anda?

Secara default, setiap halaman login WordPress dapat diakses di URL /wp-admin Anda. Jika Anda ingin menerapkan langkah-langkah keamanan ekstra, Anda mungkin ingin mengubah URL agar lebih sulit bagi penyerang untuk menebak URL ini. Anda dapat melakukannya dengan mengedit file .htaccess Anda atau, jika Anda tidak nyaman mengubah kode, gunakan plugin seperti WP Hide Login.

9. Sudahkah Anda mengaktifkan otentikasi dua faktor untuk administrator?

Otentikasi dua faktor menambahkan lapisan keamanan tambahan ke halaman login Anda. Untuk masuk, Anda tidak hanya harus mengetahui sesuatu (nama pengguna dan kata sandi), Anda juga harus memiliki sesuatu secara fisik (perangkat seluler Anda). Hal ini secara signifikan mengurangi kemungkinan peretas untuk masuk ke toko Anda.

Jetpack memudahkan autentikasi dua faktor. Saat Anda masuk ke situs Anda, Anda akan menerima kode khusus satu kali di ponsel Anda, yang harus Anda masukkan untuk menyelesaikan proses masuk. Anda bahkan dapat meminta semua pengguna untuk mengatur ini. Pelajari lebih lanjut tentang autentikasi dua faktor.

10. Apakah Anda memblokir serangan brute force?

Seperti yang telah kita bahas sebelumnya, serangan brute force terjadi ketika peretas menggunakan bot untuk menguji kombinasi nama pengguna dan kata sandi berulang kali hingga mereka menemukan yang tepat. Hal ini tidak hanya membahayakan data toko dan pelanggan Anda, tetapi juga dapat memperlambat situs web Anda.

modul yang menunjukkan jumlah total serangan berbahaya yang diblokir di sebuah situs

Namun Jetpack secara otomatis memblokir serangan ini sebelum mencapai situs Anda, jadi Anda tidak perlu khawatir.

11. Apakah Anda memindai situs Anda dari malware?

Bagaimana jika seseorang mengakses situs Anda dan menyuntikkan malware? Anda ingin segera mengetahuinya sehingga Anda dapat menghapus malware itu dan memperbaiki masalah secepat mungkin. Tetapi peretas itu licik — tidak selalu terlihat jelas bahwa mereka telah masuk.

Jetpack Scan segera memberi tahu Anda tentang aktivitas mencurigakan apa pun dan, karena pemindaian dilakukan di server Jetpack, Anda dapat mengakses situs Anda meskipun situs sedang down. Ini juga menawarkan perbaikan sekali klik untuk sebagian besar ancaman yang diketahui.

12. Apakah Anda sudah menyiapkan filter spam?

Komentar spam tidak hanya mengganggu; mereka juga membuat Anda terlihat tidak profesional dan dapat berisi tautan yang mengarahkan pelanggan Anda ke situs yang dipenuhi malware. Tetapi memilah-milah ratusan komentar seminggu memakan waktu dan membuat frustrasi.

grafik yang menunjukkan spam yang diblokir di situs WordPress

Di situlah Jetpack Anti-spam masuk! Ini secara otomatis menghilangkan spam dari komentar dan formulir, sehingga Anda bahkan tidak perlu melihatnya. Anda akan menghemat waktu, melindungi situs Anda, dan memberikan pengalaman pengguna yang lebih baik sekaligus.

13. Apakah Anda memantau situs Anda untuk waktu henti?

Jika situs Anda turun, itu bisa menjadi indikasi peretasan. Dan, semakin lama turun, semakin banyak penjualan yang Anda kehilangan. Anda ingin mengaktifkannya kembali dan menjalankannya kembali secepat mungkin!

Jetpack menawarkan pemantauan waktu henti gratis yang memeriksa situs Anda dari lokasi di seluruh dunia setiap lima menit. Jika situs Anda tidak aktif, Anda akan menerima pemberitahuan instan sehingga Anda dapat segera memperbaiki masalah tersebut.

14. Apakah Anda telah mengatur pencadangan di luar situs secara teratur?

Jika sesuatu terjadi pada situs Anda, perlindungan terbaik yang dapat Anda miliki adalah cadangan lengkap yang dapat Anda pulihkan dengan cepat dan mudah. Meskipun host Anda menawarkan cadangan, penting bagi Anda untuk membuatnya sendiri. Mengapa? Karena jika server Anda disusupi, cadangan apa pun yang disimpan di sana juga dapat disusupi.

pencadangan sedang berlangsung di toko WooCommerce

Jetpack Backup adalah solusi yang sangat baik. Ada dua opsi paket:

  1. Pencadangan harian, yang menyimpan salinan situs Anda sekali sehari.
  2. Pencadangan waktu nyata , yang menyimpan salinan situs Anda setiap kali Anda memperbarui laman, menerbitkan pos baru, atau melakukan penjualan. Ini sangat berguna untuk toko online, karena Anda tidak perlu khawatir kehilangan informasi pesanan.

Jetpack menyimpan file cadangan di beberapa lokasi, benar-benar terpisah dari situs Anda. Ini berarti bahwa jika server Anda disusupi, cadangan Anda tidak akan terganggu. Dan dalam kebanyakan kasus, Anda bahkan dapat memulihkan cadangan jika situs Anda benar-benar tidak aktif!

Bagaimana memulihkan dalam skenario terburuk

Jika toko online Anda memiliki malware dan Anda memiliki Jetpack Security, Anda akan menerima pemberitahuan sehingga Anda dapat segera mengatasi masalah tersebut. Langkah pertama Anda adalah memeriksa log aktivitas Anda, di mana Anda dapat melihat daftar lengkap semua yang terjadi di situs Anda. Anda dapat menggunakan informasi ini untuk menentukan kapan peretasan terjadi dengan memeriksa aktivitas mencurigakan seperti login yang tidak dikenal dan halaman yang diedit.

log aktivitas yang menunjukkan semua yang terjadi di situs WordPress

Kemudian, cara tercepat untuk memulihkan adalah dengan Jetpack Backup. Hanya dalam beberapa klik, situs Anda dapat aktif dan berjalan kembali dengan waktu henti yang minimal. Yang harus Anda lakukan adalah memilih cadangan dari sebelum diretas dan menunggu sampai pulih. Ya, itu saja!

Setelah versi bersih toko Anda aktif dan berjalan, gunakan Jetpack Scan untuk memastikan tidak ada malware yang tersisa di situs Anda. Jetpack memecahkan sebagian besar ancaman yang diketahui untuk Anda, jadi jika ada yang ditemukan, kemungkinan besar Anda tidak perlu khawatir tentang pemecahan masalah.

Terakhir, luangkan waktu untuk mengamankan situs Anda dengan mengubah semua kata sandi dan memeriksa apakah tema, plugin, dan file inti Anda mutakhir.

Membutuhkan bantuan? Keamanan Jetpack mencakup dukungan prioritas dari tim teknis berpengalaman yang dapat mengarahkan Anda ke arah yang benar.

Jaga agar toko WooCommerce Anda tetap aman

Meluangkan waktu untuk mengamankan toko WooCommerce Anda sepenuhnya akan memastikan bahwa pelanggan Anda dapat berbelanja dengan percaya diri dan Anda tidak perlu khawatir tentang data atau reputasi Anda.

Dan salah satu cara terbaik untuk melakukannya adalah dengan menggabungkan Jetpack Security dan WooCommerce — itu masuk akal! Mereka adalah dua plugin WordPress yang mapan dan dihormati yang bekerja secara sinkron untuk melindungi situs web Anda dan menambahkan fitur. Bersama-sama, itu berarti lebih sedikit bagian yang bergerak, lebih sedikit plugin eksternal, dan ketenangan pikiran yang lebih besar bagi Anda sebagai pemilik bisnis.

Pertanyaan yang sering diajukan

Bisakah situs web WooCommerce diretas?

Ya, seperti situs mana pun, toko WooCommerce dapat diretas. Namun, WordPress dan WooCommerce menyertakan fitur yang akan membantu melindungi konten dan data pelanggan Anda. Dan, saat Anda menerapkan beberapa langkah keamanan dasar — ​​seperti memilih host yang baik, memperbarui semuanya, dan memasang plugin keamanan terbaik — Anda bisa tenang, mengetahui bahwa situs Anda ada di tangan yang tepat.

Apakah Anda memerlukan SSL untuk situs web WooCommerce?

Sertifikat SSL mengenkripsi informasi (seperti data dan alamat kartu kredit) yang dikirimkan di situs Anda, menjaganya tetap aman dari pihak jahat. Jika informasi tersebut diakses oleh peretas, itu dapat menempatkan bisnis Anda pada risiko hukum dan merusak reputasi Anda. Dan, sertifikat SSL tidak hanya melindungi Anda dan pelanggan Anda, tetapi juga penting untuk peringkat mesin telusur Anda.

Meskipun sertifikat SSL direkomendasikan untuk situs web apa pun, itu bahkan lebih penting untuk toko online karena jenis data yang mereka kumpulkan untuk memproses transaksi.

Sertifikat SSL mana yang terbaik untuk situs web WooCommerce?

Sebagian besar penyedia hosting utama menyertakan sertifikat SSL dalam paket mereka, sementara yang lain menyediakannya dengan biaya tambahan. Biasanya, ini mudah dipasang hanya dalam beberapa klik.

Namun, jika host Anda tidak menawarkan ini, kami sarankan Let's Encrypt. Ini adalah layanan tepercaya, menawarkan sertifikat SSL gratis untuk mendukung web yang lebih aman. Catatan: banyak sertifikat SSL yang disertakan dalam paket hosting berasal dari Let's Encrypt.

Pelajari lebih lanjut tentang memasang sertifikat SSL di toko WooCommerce Anda.

Bagaimana cara memaksa HTTPS di situs web WooCommerce?

Ketika Anda berhasil menambahkan sertifikat SSL ke toko Anda, itu mengubah URL Anda dari http://example.com menjadi https://example.com. Huruf "s" di "https" adalah singkatan dari SSL.

Saat Anda memaksakan HTTPS di toko Anda, pengunjung yang mengetik versi "http" situs Anda akan secara otomatis dialihkan ke versi "https". Ini memastikan bahwa semuanya dienkripsi dengan benar untuk setiap pembelanja.

Anda dapat memaksa HTTPS dengan menambahkan beberapa baris kode ke file .htaccess Anda atau dengan menggunakan plugin WordPress. Kinsta memberikan panduan hebat untuk melakukan ini.

Apakah WooCommerce lebih aman daripada Shopify?

Shopify adalah platform yang dihosting yang menangani keamanan untuk Anda. Meskipun ini memiliki manfaatnya — Anda tidak perlu khawatir tentang penerapan langkah-langkah keamanan — itu juga berarti bahwa Anda hampir tidak memiliki kendali atas perlindungan Anda sendiri.

Dan itu juga tidak berarti bahwa Shopify lebih aman. Bagaimanapun juga, peretas dan bot tidak membeda-bedakan. Mereka hanya mencoba situs demi situs sampai mereka menemukan satu yang bisa mereka masuki. Jadi, jika Anda menerapkan langkah-langkah keamanan yang tepat, toko Anda akan sama amannya — dan, dalam banyak kasus, lebih aman — daripada yang lain di platform apa pun.

Penting juga untuk dicatat bahwa WordPress dan WooCommerce didukung oleh tim yang bersemangat membantu Anda sukses. Mereka terus bekerja untuk menjaga keamanan platform, itulah sebabnya mengapa memperbarui perangkat lunak Anda secara teratur sangat penting.

Panduan dari WooCommerce ini memberikan detail lebih lanjut tentang perbandingannya dengan Shopify.