Cara Mencegah Situs WordPress Diretas
Diterbitkan: 2024-05-28Situs web WordPress menyumbang lebih dari 43 persen dari semua situs web, dan popularitas ini menjadikan platform ini target serangan online. Artinya, meskipun manfaat WordPress tampaknya tidak terbatas, ada juga kerentanan yang dapat dieksploitasi oleh peretas.
Oleh karena itu, sebaiknya ambil langkah keamanan web yang tepat untuk mencegah situs WordPress Anda diretas. Dengan cara ini, Anda dapat mengamankan semua data sensitif Anda, menjaga reputasi bisnis Anda, dan menjaga kepercayaan dan loyalitas pelanggan.
Dalam postingan ini, kita akan melihat lebih dekat peretasan dan kerentanan umum WordPress. Kemudian, kami akan menunjukkan cara mencegah upaya peretasan WordPress.
Seberapa umumkah peretasan WordPress?
Perangkat lunak inti WordPress sangat aman dan diaudit secara berkala oleh pengembang. Meski begitu, popularitas sistem pengelolaan konten (CMS) menjadikannya target bagi peretas yang ingin memanfaatkan jaringan luas untuk mencuri informasi sensitif, mendistribusikan malware, dan melakukan tindakan jahat lainnya.
WordPress juga dapat menjadi sasaran karena, sebagai perangkat lunak sumber terbuka, WordPress membuat semua kerentanan keamanan diketahui publik. Faktanya, WPScan saat ini memiliki 49.000 kerentanan WordPress yang terdaftar di database-nya.
Hal ini dapat memudahkan pelaku kejahatan untuk mengkompromikan perangkat lunak. Ditambah lagi, sebagai platform yang ramah bagi pemula, banyak pengguna WordPress tidak tahu cara memelihara dan mengamankan situs web mereka dengan benar. Misalnya, salah satu cara terbaik untuk mengamankan WordPress adalah dengan selalu memperbarui perangkat lunak. Namun hanya 80 persen pengguna WordPress yang telah menginstal perangkat lunak versi enam.
Dan, dari 80 persen tersebut, hanya 75 persen yang menggunakan rilis WordPress terbaru. Oleh karena itu, situs web ini mungkin akan lebih sulit mencegah peretasan WordPress.
Kerentanan umum yang menyebabkan situs WordPress diretas
Sekarang setelah Anda mengetahui lebih banyak tentang masalahnya, mari kita lihat kerentanan utama yang dapat menyebabkan peretasan WordPress.
1. Inti dan plugin WordPress ketinggalan jaman
Perangkat lunak inti WordPress diperbarui secara berkala dengan fitur-fitur baru, perbaikan bug, dan peningkatan keamanan lainnya. Faktanya, sudah ada sepuluh rilis WordPress sepanjang tahun ini.
Rilis terbaru hadir dengan dua perbaikan bug di Core, 12 perbaikan untuk editor blok, dan satu perbaikan keamanan tambahan. Sebagian besar pengembang plugin juga merilis versi terbaru dari perangkat lunak mereka yang dilengkapi dengan perbaikan keamanan.
Jadi, ketika sebuah perangkat lunak telah ada selama beberapa waktu, peretas akan cenderung mencari cara untuk mengeksploitasi kelemahannya. Kemudian, mereka dapat menggunakannya sebagai pintu belakang untuk mendapatkan akses tidak sah ke situs web Anda untuk melakukan aktivitas jahat.
2. Kata sandi yang lemah
Penyebab umum lainnya dari peretasan WordPress adalah pilihan kata sandi yang lemah, dan ini adalah salah satu cara termudah untuk mengatasinya. Kabar buruknya adalah banyak pengguna yang mengutamakan kenyamanan dibandingkan keamanan saat mengatur kata sandi baru.
Faktanya, “123456” adalah kata sandi yang paling umum digunakan tahun lalu, dan digunakan lebih dari 4,5 juta kali. Kata sandi kedua yang paling banyak digunakan adalah “admin”, yang digunakan empat juta kali.
Meskipun pemilik situs web memahami pentingnya kata sandi yang kuat, tidak semua pengguna akan mengambil tindakan pencegahan untuk menetapkannya. Itulah mengapa merupakan ide bagus untuk mengedukasi pengguna dan menerapkan kata sandi yang kuat di seluruh WordPress menggunakan alat seperti Pengelola Kebijakan Kata Sandi.
3. Tema yang tidak aman dan ketinggalan jaman
Seperti halnya dengan inti dan plugin WordPress, tema yang tidak aman dan ketinggalan jaman adalah kandidat utama lainnya untuk peretasan WordPress. Seperti halnya plugin, tema usang sering kali tidak memiliki patch keamanan dan perbaikan bug.
Selain itu, plugin tersebut mungkin menjadi tidak kompatibel dengan plugin lain dan perangkat lunak inti, yang dapat menyebabkan kesalahan WordPress seperti layar putih kematian. Selain itu, karena WordPress adalah sumber terbuka, pengembang mana pun dapat menjual tema secara online.
Itulah mengapa penting untuk tetap berpegang pada sumber dan pengembang tepercaya untuk memastikan tema aman digunakan. Tanda positif lainnya adalah seringnya pembaruan, yang dapat Anda periksa di halaman tema khusus. Memeriksa peringkat dan membaca ulasan juga berguna. Banyaknya instalasi yang aktif juga dapat menunjukkan bahwa suatu tema aman untuk digunakan.
4. Kurangnya plugin keamanan
Plugin keamanan menyediakan cara proaktif untuk mendeteksi ancaman dan melindungi situs Anda dari serangan WordPress. Lebih baik lagi, sebagian besar plugin keamanan bekerja secara otomatis. Artinya, setelah alat keamanan Anda dikonfigurasi, alat tersebut akan bekerja di latar belakang tanpa memerlukan pengelolaan manual.
Tanpa plugin keamanan, tanda-tanda umum upaya peretasan WordPress akan mudah terlewatkan. Misalnya, solusi seperti Jetpack Security hadir dengan perlindungan brute force dan firewall aplikasi web (WAF) untuk menyaring lalu lintas mencurigakan di situs Anda.
Terlebih lagi, Jetpack menyediakan pemindaian malware secara real-time, serta perlindungan komentar dan spam. Anda juga dapat mengotomatiskan proses pencadangan dan menyimpan salinan situs web Anda di lokasi yang aman dan terpencil. Selain itu, mudah untuk memulihkan situs web Anda jika terjadi kesalahan.
Bagaimana peretas mengeksploitasi kerentanan ini
Sekarang setelah Anda mengetahui kerentanan utama yang menyebabkan peretasan WordPress, mari kita lihat cara paling umum yang digunakan peretas untuk mengeksploitasi kerentanan ini. Metode utama peretasan WordPress adalah menargetkan file inti, plugin, tema, atau halaman login.
Banyak peretas memanfaatkan bot yang secara otomatis memindai situs web untuk mengidentifikasi kelemahan yang nantinya dapat dieksploitasi. Selain itu, peretas dapat menipu situs web dengan menggunakan agen pengguna yang berbeda, mengirimkan informasi berbeda ke situs web tentang browser dan sistem operasi.
Halaman login WordPress juga merupakan titik masuk umum bagi peretas. Jika Anda tidak mengubah URL halaman login WordPress default, siapa pun dapat menemukannya dengan menambahkan akhiran tertentu seperti “/admin” di akhir nama domain Anda.
Kemudian, penyerang dapat memanfaatkan serangan brute force yang melibatkan percobaan ratusan kombinasi nama pengguna dan kata sandi hingga mereka mendapatkan akses ke situs Anda. Dan, seperti yang telah kita diskusikan, banyak pengguna mengandalkan kata sandi lemah yang dapat dibobol dengan sangat cepat.
Konsekuensi finansial dan reputasi dari situs yang diretas
Salah satu alasan utama mengapa orang ingin mengetahui cara mencegah upaya peretasan WordPress adalah untuk menghindari konsekuensi finansial dari situs yang diretas. Tentu saja, jika orang yang tidak berwenang mendapatkan akses ke situs Anda, mereka dapat melihat, merusak, dan mencuri data pribadi.
Jika Anda menyimpan informasi pribadi atau rincian pembayaran pelanggan, Anda mungkin melanggar undang-undang perlindungan data yang dikenakan sanksi berat. Faktanya, pelanggaran GDPR yang parah bisa mencapai 20 juta Euro. Dan tahun lalu, kerugian rata-rata akibat pelanggaran data di Amerika Serikat mencapai hampir 9,5 juta dolar.
Tidak hanya itu, pelanggaran jenis ini hanyalah pelanggaran privasi yang dapat mengakibatkan hilangnya kepercayaan dan loyalitas pelanggan lama. Akibatnya, hal ini dapat menyebabkan kerusakan permanen pada reputasi perusahaan Anda. Hal ini mungkin sulit untuk dipulihkan, terutama jika merek Anda kurang mapan.
Anda juga harus memikirkan biaya untuk memperbaiki atau memulihkan situs web, yang bergantung pada jenis peretasan WordPress. Untuk menghadapi serangan ransomware, Anda mungkin perlu membayar banyak uang untuk mendapatkan kembali akses ke situs Anda. Sementara itu, membersihkan atau mengganti file situs penting bisa jadi mahal.
Terakhir, situs web yang diretas dan dianggap mencurigakan atau berbahaya dapat dimasukkan ke dalam daftar blokir Google. Jika ini terjadi, akan sulit untuk menghapus situs Anda dari daftar blokir. Dan, karena situs web Anda tidak akan muncul di hasil penelusuran hingga situs tersebut dihapus dari daftar ini, kemungkinan besar Anda akan terkena dampak pada lalu lintas dan pendapatan.
Langkah-langkah untuk mencegah situs WordPress diretas
Sekarang setelah Anda mengetahui penyebab utama dan akibat peretasan, mari kita lihat cara mencegah upaya peretasan WordPress.
1. Selalu perbarui WordPress
Salah satu cara utama bagi peretas untuk mendapatkan akses tidak sah ke situs Anda adalah dengan mengeksploitasi kerentanan yang diketahui pada perangkat lunak versi lama. Ini berlaku untuk perangkat lunak inti WordPress, plugin, dan tema.
Selain itu, sebagian besar pembaruan dilengkapi dengan perbaikan bug dan peningkatan keamanan lainnya yang mempersulit peretas untuk melakukan serangan. Dan dalam hal plugin dan tema, bahkan perangkat lunak yang dinonaktifkan pun dapat menjadi sasaran, jadi sebaiknya hapus perangkat lunak yang tidak lagi Anda gunakan.
Untuk mencegah peretasan WordPress, penting untuk memperbarui situs web Anda segera setelah versi baru tersedia. Biasanya Anda akan melihat pemberitahuan ketika pembaruan sudah siap. Namun, Anda juga bisa membuka Dashboard → Updates di layar admin WordPress.
Di sini, Anda dapat melihat apakah ada versi baru WordPress yang akan diinstal, atau Anda dapat mengeklik tautan Periksa lagi untuk memastikannya. Jika ada versi baru yang tersedia, sebaiknya buat cadangan situs Anda sebelum menjalankan pembaruan, dan lakukan pembaruan di lingkungan pementasan terlebih dahulu.
Lebih jauh ke bawah, Anda akan melihat semua tema dan plugin terdaftar yang memiliki pembaruan yang tersedia.
Untuk memperbarui plugin dan tema, centang kotak di samping masing-masing plugin, lalu klik Perbarui Plugin atau Perbarui Tema.
Untuk ketenangan pikiran, sebaiknya aktifkan pembaruan otomatis untuk plugin yang Anda gunakan secara rutin. Dengan cara ini, Anda tidak perlu khawatir perangkat lunak menjadi usang dan tidak aman. Untuk melakukan ini, cukup navigasikan ke halaman Plugin Terpasang .
Di kolom Pembaruan Otomatis , Anda akan melihat tautan Aktifkan pembaruan otomatis di samping setiap plugin yang diinstal. Yang harus Anda lakukan hanyalah mengeklik tautannya. Kemudian, jika Anda berubah pikiran suatu saat, nonaktifkan saja fitur ini.
2. Pilih penyedia hosting yang aman
Jika Anda bertanya-tanya bagaimana cara mencegah upaya peretasan WordPress, penting untuk memilih penyedia hosting yang aman. Meskipun ada banyak sekali host web yang tersedia, beberapa solusi mengambil tindakan ekstra untuk melindungi server dari ancaman yang diketahui.
Layanan hosting yang berkualitas juga harus menyertakan metode untuk memantau lalu lintas yang mencurigakan (seperti firewall). Selain itu, sebagian besar web host yang baik memiliki alat untuk mencegah serangan penolakan layanan terdistribusi (DDoS), dan menyediakan cadangan rutin untuk memulihkan situs web Anda dengan cepat.
Bluehost adalah salah satu penyedia hosting populer yang menawarkan berbagai paket terjangkau.
Bluehost juga menawarkan serangkaian fitur keamanan yang komprehensif. Faktanya, ia menawarkan enkripsi data, pencadangan otomatis, pemindaian malware, dan dukungan 24/7. Lebih baik lagi, paket tertentu dilengkapi dengan mitigasi DDoS, firewall aplikasi web (WAF), dan banyak lagi.
Penting juga untuk mempertimbangkan jenis hosting situs web yang akan Anda gunakan. Meskipun shared hosting adalah pilihan yang paling terjangkau, namun memiliki risiko kontaminasi lintas situs yang lebih tinggi. Itu karena dengan paket jenis ini, Anda akan berbagi server dengan situs web lain yang mungkin tidak melakukan tindakan pencegahan keamanan yang sama seperti Anda.
Dengan mengingat hal ini, lebih baik memilih hosting dedicated atau virtual private server (VPS).
Atau, solusi hosting terkelola biasanya menyediakan lingkungan yang aman untuk situs web Anda karena banyak tugas pemeliharaan yang ditangani untuk Anda. Hal ini sering kali mencakup pencadangan, pembaruan, dan konfigurasi keamanan lainnya.
3. Instal plugin keamanan lengkap
Seperti disebutkan, salah satu cara paling mudah untuk mencegah peretasan WordPress adalah dengan memasang plugin keamanan lengkap. Dengan cara ini, Anda dapat mengotomatiskan banyak proses keamanan sehingga Anda tidak perlu terus-menerus memeriksa atau memperbarui konfigurasi secara manual.
Sekali lagi, ada sejumlah plugin keamanan yang tersedia, tetapi Jetpack Security merupakan pilihan yang sangat baik untuk situs WordPress.
Dengan dasbor yang ramping dan antarmuka yang intuitif, cocok untuk pemula sekalipun. Anda akan mendapatkan akses ke WAF premium untuk memfilter semua lalu lintas web yang masuk. Dan, Anda bahkan dapat memblokir alamat IP tertentu yang Anda tahu mencurigakan.
Berkat log aktivitas 30 hari, Anda dapat mengawasi setiap tindakan yang dilakukan di situs web Anda. Hal ini memudahkan untuk mengidentifikasi penyebab masalah dan kesalahan keamanan. Selain itu, Jetpack menyediakan pemindaian malware real-time dengan banyak perbaikan sekali klik.
Terlebih lagi, semua cadangan disimpan di Jetpack Cloud. Jadi, jika server Anda disusupi, cadangan Anda tetap aman dan terlindungi. Dan, Anda dapat memulihkan situs Anda ke titik waktu yang tepat, sambil tetap mempertahankan detail pesanan pelanggan saat ini.
4. Terapkan kebijakan kata sandi yang kuat
Jika Anda ingin mengetahui cara mencegah upaya peretasan WordPress, strategi lainnya adalah memperkuat prosedur login WordPress. Sebagian besar dari hal ini melibatkan penggunaan dan penerapan kebijakan kata sandi yang kuat.
Kata sandi yang kuat berisi campuran huruf besar dan kecil, angka, dan karakter khusus. Namun, meskipun kata sandi Anda memenuhi semua parameter ini, kata sandi tersebut masih dapat dibobol secara instan jika kurang dari tujuh karakter. Oleh karena itu, yang terbaik adalah memilih kata sandi yang panjang.
Namun, meskipun Anda mengikuti praktik terbaik ini untuk kata sandi Anda sendiri, hal ini pada dasarnya sia-sia jika pengguna lain di situs Anda menggunakan kata sandi yang lemah. Oleh karena itu, merupakan ide bagus untuk menerapkan kata sandi yang kuat di seluruh WordPress menggunakan plugin seperti Pengelola Kebijakan Kata Sandi.
Dengan cara ini, Anda dapat menentukan kekuatan kata sandi, memaksa pengaturan ulang kata sandi, dan menentukan jangka waktu masa berlaku kata sandi akan otomatis berakhir. Selain itu, dengan versi premium, Anda dapat mengunci pengguna yang tidak aktif dan membuat kata sandi acak untuk mencegah serangan brute force.
5. Menerapkan otentikasi dua faktor (2FA)
Kata sandi yang kuat memainkan peran penting dalam memperketat prosedur login WordPress, tetapi Anda dapat menambahkan lapisan keamanan tambahan menggunakan otentikasi dua faktor. Dengan pengaturan ini, pengguna perlu memberikan kunci kedua (serta kata sandi) untuk mendapatkan akses ke situs Anda.
Biasanya, kunci kedua ini adalah kode unik yang dikirim ke alamat email atau perangkat seluler yang terkait dengan akun pengguna. Kabar baiknya adalah Anda dapat mengamankan login — termasuk memerlukan 2FA — dengan memaksa login situs melalui akun WordPress.com. Hal ini dapat dilakukan dengan fitur autentikasi aman di Jetpack.
Dengan cara ini, meskipun peretas berhasil mendapatkan kembali kata sandi dan nama pengguna, mereka tidak akan dapat memasukkan kunci kedua (yang biasanya dihasilkan secara real-time).
6. Amankan izin file dan direktori
Situs web WordPress terdiri dari berbagai file dan direktori dengan kontrol yang menentukan pengguna mana yang dapat mengakses dan mengeditnya. Tanpa izin ini, siapa pun yang memiliki akses ke situs Anda dapat melihat dan mengubah file.
Hal ini dapat menjadi masalah keamanan, terutama jika akun pengguna diambil alih oleh pelaku jahat yang kemudian dapat menyebabkan kerusakan. Jika Anda menggunakan cPanel, atau mengakses situs Anda melalui protokol transfer file (FTP), Anda mungkin pernah melihat file dan direktori WordPress.
Secara umum, nilai izin file yang benar untuk WordPress adalah 644 untuk file dan 755 untuk folder. Namun, ada kalanya Anda mungkin lebih memilih untuk mengamankan file Anda lebih lanjut, seperti yang sering terjadi pada file wp-config.php dan file .htaccess .
Jika Anda ingin membuat file-file ini kurang permisif, Anda dapat mengubah nilainya menjadi 640 atau 600. Bahkan, untuk mengunci file lebih jauh, Anda mungkin lebih memilih nilai 444, namun ini dapat membatasi plugin yang memerlukan akses ke file tersebut. (seperti banyak plugin caching).
7. Instal sertifikat SSL
Protokol lapisan soket aman (SSL) memberikan lapisan keamanan tambahan untuk situs web yang menangani transfer informasi sensitif seperti data kartu kredit. Dengan sertifikat SSL, data dienkripsi. Artinya, meskipun disadap oleh peretas, pesan tersebut tetap tidak dapat dibaca.
Selain itu, keamanan SSL memverifikasi kepemilikan situs web Anda, yang mencegah peretas membuat versi palsu. Oleh karena itu, juga dapat membantu membangun kredibilitas dan meningkatkan kepercayaan pelanggan.
Kabar baiknya adalah banyak penyedia web hosting menawarkan sertifikat SSL gratis sebagai bagian dari layanan hosting mereka. Atau, Anda dapat membeli sertifikat SSL dari otoritas sertifikat yang valid seperti Let's Encrypt.
Kami menjaga situs Anda. Anda menjalankan bisnis Anda.
Jetpack Security menyediakan keamanan situs WordPress yang komprehensif dan mudah digunakan, termasuk pencadangan real-time, firewall aplikasi web, pemindaian malware, dan perlindungan spam.
Amankan situs Anda8. Instal firewall aplikasi web (WAF)
Cara populer lainnya untuk mencegah peretasan WordPress adalah dengan memasang firewall aplikasi web. Ini memungkinkan Anda memfilter semua lalu lintas masuk dan memblokir alamat IP yang mencurigakan.
Ini adalah tindakan pencegahan yang berfungsi seperti penghalang, sehingga Anda dapat yakin bahwa peretas bahkan tidak akan berhasil masuk ke situs web Anda. Dan, jika Anda menggunakan Jetpack Security, Anda dapat mengakses lapisan keamanan tambahan ini dan mengonfigurasi aturan khusus untuk lapisan tersebut.
Untuk mengaktifkan firewall Jetpack, Anda memerlukan paket yang menyertakan Jetpack Scan terlebih dahulu. Lalu, buka Jetpack → Pengaturan. Kemudian, gulir ke bawah ke bagian Firewall dan gunakan tombol sakelar untuk mengaktifkan firewall, memblokir IP tertentu, dan mengizinkan IP tertentu.
Untuk memblokir atau mengizinkan IP, Anda harus memasukkan alamat IP lengkap di kotak yang relevan. Kemudian, klik Simpan daftar blokir atau Simpan daftar izin.
9. Pindai situs Anda secara teratur untuk mencari kerentanan
Jika Anda bertanya-tanya bagaimana cara mencegah upaya peretasan WordPress, ada baiknya juga menyiapkan pemindaian kerentanan secara berkala. Dengan cara ini, Anda dapat mengakses perlindungan sepanjang waktu dan mendeteksi potensi ancaman dengan cepat.
Jetpack Security memberikan perlindungan 24/7 berkat WAF dan pemindaian malware real-time yang mendeteksi ancaman terkini. Namun, jika anggaran Anda terbatas, Anda mungkin lebih memilih untuk memulai dengan Jetpack Scan, yang menyediakan akses ke fitur-fitur ini saja (tanpa manfaat tambahan Keamanan Jetpack seperti pencadangan real-time dan perlindungan spam).
Anda masih dapat menggunakan layanan WAF dan malware Jetpack. Dan, jika ada yang salah dengan situs Anda, Anda akan langsung diberitahu melalui email. Salah satu fitur terbaiknya adalah semua pemindaian dilakukan di server Jetpack sendiri, sehingga Anda masih dapat mengakses situs Anda meskipun situs sedang down.
Plugin ini akan mengidentifikasi kerentanan apa pun pada plugin, tema, serta file dan direktori tertentu. Secara default, Anda akan mendapatkan pemindaian harian, namun Anda juga dapat memulai pemindaian secara manual. Dan, Anda dapat melihat hasil pemindaian langsung dari dasbor Anda (dan mengaktifkan perbaikan sekali klik untuk sebagian besar masalah).
10. Hapus akun pengguna yang tidak aktif
Akun pengguna yang tidak aktif dapat menyumbat situs web Anda dan meningkatkan masalah keamanan. Biasanya, jika pengguna belum masuk ke akunnya dalam 90 hari terakhir, ini merupakan tanda yang jelas bahwa pengguna tidak aktif.
Penting untuk menghapus akun ini untuk mencegah masalah keamanan. Misalnya, akun lama berisi kata sandi yang sudah lama tidak diubah, sehingga kemungkinan besar kata sandi tersebut bocor di web gelap.
Kemudian, masuk ke dashboard WordPress dan buka Pengguna → Semua Pengguna. Di bawah profil pengguna, Anda dapat mengirimkan tautan pengaturan ulang kata sandi jika Anda mau. Atau, cukup klik Hapus dan konfirmasi tindakan di halaman berikutnya.
Terserah Anda untuk menentukan batasan spesifik tentang cara Anda mendefinisikan akun yang tidak digunakan. Anda mungkin memiliki pengguna yang telah membuat akun namun tidak pernah memberikan kontribusi atau membeli produk. Atau, mungkin ada pengguna yang tidak pernah menggunakan akunnya secara konsisten.
Jika Anda berurusan dengan banyak pengguna, dan Anda tidak yakin seberapa aktif mereka, Anda selalu dapat menginstal plugin gratis seperti WP Last Login untuk melacaknya. Alat ini memungkinkan Anda melihat tanggal login terakhir pengguna langsung di dashboard WordPress.
11. Lacak dan pantau aktivitas pengguna
Cara hebat lainnya untuk mencegah upaya peretasan WordPress adalah dengan melacak dan memantau aktivitas pengguna. Dengan cara ini, Anda dapat menyimpan catatan lengkap setiap tindakan yang dilakukan di situs web Anda.
Misalnya, bergantung pada alat yang Anda gunakan, Anda mungkin dapat melihat kapan pengguna menjalankan pembaruan, memasang plugin, mengunggah gambar, meninggalkan komentar, dan banyak lagi. Hal ini membuat pengelolaan situs jauh lebih transparan, dan dapat mempercepat perbaikan dan proses debug.
Kabar baiknya adalah jika Anda menggunakan Jetpack Security, Anda akan mendapatkan akses ke log aktivitas yang menyimpan tindakan pengguna. Lebih dari itu, Anda akan mendapatkan informasi mendetail tentang peristiwa tersebut, termasuk pengguna yang melakukan tindakan tersebut dan waktu pasti terjadinya.
Lebih baik lagi, bahkan dengan Jetpack versi gratis, Anda dapat melihat 20 acara terakhir yang diadakan di situs Anda. Ini dapat membantu Anda mencegah serangan brute force karena Anda juga akan diberitahu tentang upaya login oleh pengguna.
12. Ganti nama akun pengguna “admin” default
Seperti yang telah kita bahas, peretas dapat dengan mudah mengakses situs Anda jika Anda tidak mengubah URL halaman login default (yang akan kita bahas nanti). Namun, banyak juga yang tetap menggunakan “admin” sebagai nama pengguna akun WordPress mereka.
Artinya, peretas hanya perlu menebak kata sandi Anda dengan benar, dan mereka akan mendapatkan kendali penuh atas situs web Anda, karena akun administrator tidak memiliki batasan. Oleh karena itu, yang terbaik adalah mengubah nama akun “admin” default untuk mencegah peretasan WordPress.
Untuk melakukan ini, buka Pengguna → Tambahkan Pengguna Baru di dasbor WordPress. Lengkapi semua bidang yang wajib diisi, termasuk nama pengguna unik yang bukan “admin”. Kemudian, gunakan menu tarik-turun Peran untuk memilih Administrator .
Sekarang, klik Tambahkan Pengguna Baru di bagian bawah halaman. Sekarang, di layar Semua Pengguna , Anda akan melihat akun administrator baru yang baru saja Anda buat.
Pada titik ini, Anda harus keluar dari akun Anda saat ini (akun admin lama) dan masuk kembali ke WordPress menggunakan kredensial akun administrator baru Anda. Kemudian, kembali ke layar Pengguna → Semua Pengguna dan klik tautan Hapus di bawah akun administrator lama.
Namun, penting untuk mengaitkan semua postingan dan halaman ke akun administrator baru. Jika tidak, konten apa pun yang dibuat menggunakan akun admin lama akan dihapus.
Oleh karena itu, Anda harus mencentang kotak yang bertuliskan Atribusikan semua postingan ke dan gunakan kotak tarik-turun untuk memilih pengguna admin baru.
Kemudian, klik Konfirmasi Penghapusan.
13. Sembunyikan wp-admin/ dan wp-login.php
Untuk membantu mencegah upaya peretasan WordPress, Anda juga dapat menyembunyikan halaman wp-admin dan wp-login.php. Secara default, WordPress menggunakan URL login standar yang menggabungkan nama domain Anda dengan akhiran wp-login.php.
Struktur dasar ini terlihat sama meskipun Anda menggunakan subdomain dan subdirektori. Oleh karena itu, peretas dapat memasukkannya ke dalam bilah pencarian dan langsung masuk ke halaman login WordPress Anda.
Selain itu, jika Anda menggabungkan domain Anda dengan akhiran wp-admin, peretas dapat diarahkan ke halaman login admin. Jadi, jika Anda ingin mempersulit penyerang mengakses situs Anda, sebaiknya ubah URL halaman login.
Cara termudah untuk melakukannya adalah dengan menggunakan plugin seperti WPS Hide Login, yang membuat direktori wp-admin dan halaman /wp-login.php tidak dapat diakses.
Dengan menggunakan alat ini, Anda dapat menggantinya dengan URL login khusus yang hanya akan Anda bagikan kepada pengguna yang Anda percayai. Ini juga berfungsi pada subdomain dan subfolder. Namun jika tidak ingin menggunakan plugin, Anda juga bisa menyembunyikan URL halaman login secara manual.
14. Amankan file /wp-config.php Anda
Cara umum lainnya untuk mencegah upaya peretasan WordPress adalah dengan mengamankan file wp-config.php Anda. Ini adalah salah satu file WordPress terpenting karena berisi informasi tentang instalasi WordPress Anda, seperti detail koneksi database dan kunci keamanan WordPress.
Kabar buruknya adalah WordPress memiliki lokasi default untuk file tersebut, sehingga memudahkan peretas untuk menemukannya. Oleh karena itu, Anda dapat memindahkan folder ini ke luar direktori root situs Anda (yang biasanya berlabel / public_html ) dan itu akan tetap berfungsi.
Selain itu, Anda mungkin juga ingin membatasi izin file sehingga hanya pemilik sebenarnya yang dapat mengedit file tersebut. Untuk melakukan ini, Anda perlu mengunduh file .htaccess , yang juga dapat Anda temukan di folder root.
Kemudian, di editor teks biasa, buka file dan tambahkan kode berikut:
<files wp-config.php> order allow,deny deny from all </files>
Sekarang, Anda dapat mengunggah file .htaccess yang telah diperbarui kembali ke folder root untuk menolak akses ke file wp-config.php .
15. Cadangkan situs Anda secara teratur
Sangat mudah untuk panik ketika situs web Anda diretas. Namun, jika Anda memiliki salinan situs web terbaru, Anda dapat segera mengatasi masalah tersebut.
Meskipun Anda dapat membuat cadangan database secara manual, metode paling sederhana adalah dengan menginstal plugin keamanan seperti Jetpack Security. Dengan cara ini, Anda akan mendapatkan akses ke Jetpack VaultPress Backup, yang merupakan solusi pencadangan WordPress khusus.
Plugin ini membuat cadangan pertama situs Anda segera setelah pembelian selesai. Ini adalah pilihan ideal untuk toko e-niaga karena mencadangkan semua data pelanggan dan pesanan serta gambar, konten halaman, dan banyak lagi.
Bagian terbaiknya adalah, tidak seperti opsi hosting web bawaan, cadangan disimpan di penyimpanan cloud jarak jauh Jetpack. Itu berarti Anda dapat memulihkan versi situs yang bersih bahkan ketika Anda tidak dapat masuk. Selain itu, Anda dapat memilih waktu yang tepat untuk memulihkan situs Anda.
Cara Jetpack Security menangani keamanan WordPress demi ketenangan pikiran
Sekarang setelah Anda mengetahui cara mencegah upaya peretasan WordPress, berikut cara Jetpack Security melindungi situs web Anda sehingga Anda bisa merasa tenang.
Pemindaian malware dan kerentanan 24/7
Salah satu cara utama Jetpack Security membantu Anda mencegah peretasan WordPress adalah dengan pemindaian malware dan kerentanan secara real-time. Malware mengacu pada perangkat lunak berbahaya yang dapat digunakan untuk mencuri atau menghapus data, membajak fungsi inti, dan memata-matai aktivitas komputer Anda.
Namun, Jetpack Scan tidak terbatas pada deteksi malware saja. Ini juga dapat mengidentifikasi perubahan mencurigakan pada file inti WordPress, plugin yang ketinggalan jaman atau tidak aman, dan shell berbasis web, yang memberikan akses penuh kepada peretas ke server Anda.
Setelah Anda menginstal Jetpack Security, pemindaian pertama akan segera dimulai. Lalu, buka Jetpack → Protect → Scan untuk melihat hasilnya (walaupun Anda mungkin perlu mengotorisasi akun WordPress.com Anda terlebih dahulu).
Di sini, Anda juga dapat memulai pemindaian baru secara manual, dan melihat hasil pemindaian Anda. Selain itu, Anda akan dapat melihat apakah ada ancaman aktif. Dan, jika terdapat lebih dari satu ancaman yang teridentifikasi, ancaman-ancaman tersebut akan diprioritaskan berdasarkan tingkat keparahannya.
Jika ancaman terdeteksi, Anda juga akan menerima pemberitahuan email instan dan dapat melihat ancaman di dashboard WordPress. Terlebih lagi, Jetpack sering kali memberikan solusi sekali klik untuk menyelesaikan masalah.
Pencadangan waktu nyata dan pemulihan sekali klik
Cadangan memungkinkan Anda pulih dengan cepat dari peretasan WordPress. Tanpa cadangan, situs web Anda mungkin tidak aktif untuk sementara waktu, saat Anda mencoba mengidentifikasi patch untuk mengatasi masalah tersebut. Hal ini kemungkinan besar akan berdampak pada lalu lintas dan pendapatan situs web Anda.
Dengan Jetpack Security, Anda cukup mengganti situs web yang terpengaruh dengan versi yang bersih dan terbaru. Pencadangan real-time Jetpack disimpan di cloud, sehingga meskipun seluruh server Anda terpengaruh, Anda masih dapat mengakses situs web yang direplikasi.
Terlebih lagi, Jetpack bahkan mencadangkan pesanan, produk, dan database WooCommerce — yang membantu Anda tetap mematuhi undang-undang perlindungan data. Dan proses restorasi dapat dilakukan hanya dengan satu klik.
Perlindungan serangan brute force
Serangan brute force terdaftar sebagai salah satu penyebab utama serangan siber yang dihadapi oleh bisnis di Amerika Serikat pada tahun 2022. Serangan ini juga menduduki peringkat kelima penyebab utama serangan ransomware di seluruh dunia pada tahun 2023.
Serangan brute force memperlambat situs Anda karena permintaan server yang berulang, namun tujuan sebenarnya adalah untuk mendapatkan akses ke file situs penting tempat peretas dapat memasukkan kode atau skrip berbahaya. Namun dengan Jetpack Security, Anda dapat memblokir serangan semacam ini melalui dasbor Anda.
Yang harus Anda lakukan adalah pergi ke Jetpack → Pengaturan dan gulir ke bawah ke bagian yang relevan di mana Anda akan melihat tombol untuk mengaktifkan atau menonaktifkan fitur tersebut.
Faktanya, rata-rata, Jetpack memblokir 5.193 serangan brute force selama masa pakai situs web. Ini secara otomatis memblokir IP berbahaya bahkan sebelum mereka mencapai situs Anda. Dan, Anda dapat mengizinkan IP yang dikenal untuk mengurangi kesalahan positif.
Log aktivitas pengguna 30 hari
Jika Anda ingin mengetahui cara mencegah upaya peretasan WordPress, log aktivitas adalah solusi terbaik. Dengan cara ini, Anda dapat melacak setiap tindakan yang dilakukan di situs Anda — seperti pembaruan plugin dan tema, modifikasi pengaturan, dan login pengguna.
Dengan Jetpack Security, Anda dapat menyimpan tindakan pengguna hingga 30 hari, yang dapat menyederhanakan tugas pengelolaan situs, serta meningkatkan efektivitas proses debug dan perbaikan. Selain itu, Anda akan mendapatkan informasi mendetail tentang setiap acara, termasuk stempel waktu, pengguna, dan deskripsi.
Perbaikan satu klik yang mudah
Cara lain Jetpack Security membantu mencegah peretasan WordPress adalah dengan perbaikannya yang mudah dan sekali klik. Hal ini membedakan Jetpack dari plugin keamanan lain yang mungkin bagus dalam mengidentifikasi masalah, namun tidak menyediakan cara untuk menyelesaikannya.
Artinya, situs web Anda mungkin mengalami downtime yang lama karena konten Anda tidak dapat diakses oleh pengunjung, dan Anda tidak dapat memperoleh pendapatan. Kabar baiknya adalah jika Anda menggunakan Jetpack Security, Anda akan mendapatkan akses ke pemindaian kerentanan secara real-time.
Seperti yang kami sebutkan, Anda dapat melakukan pemindaian dengan membuka Jetpack → Protect → Scan . Di sini, Anda juga dapat melihat hasil scan. Selain itu, Anda dapat menemukan informasi lebih lanjut tentang ancaman yang terdeteksi dan bahkan mengeklik tombol Perbaiki semua untuk menyelesaikan masalah secara massal.
Beri komentar dan bentuk perlindungan spam
Akismet adalah salah satu plugin anti-spam paling populer, dan menawarkan beberapa kemampuan yang mengesankan. Ini memblokir rata-rata 7,5 juta pengiriman spam per jam. Dan dengan Keamanan Jetpack (serta paket Jetpack pilihan lainnya), Anda akan mendapatkan akses ke plugin untuk memblokir spam komentar dan membentuk spam.
Tentu saja, penanganan spam bisa sangat membuat frustrasi, dan dapat membuat situs web Anda terlihat kurang dapat dipercaya dan diandalkan dari sudut pandang pelanggan. Tapi, itu juga dapat mengandung malware berbahaya yang dapat digunakan untuk merusak perangkat dan mencuri data sensitif.
Pada dasarnya, bagian komentar dan bidang bentuk memungkinkan siapa pun untuk berinteraksi dengan situs web Anda. Dengan demikian, area ini cenderung menjadi target utama untuk serangan spam.
Untungnya, Anda dapat mengatasi masalah ini dengan pergi ke Jetpack → Akismet anti-spam dari dasbor Anda.
Di sini, Anda dapat melihat berapa banyak upaya spam yang telah diblokir, dan melihat peringkat akurasi yang menganggap spam yang terlewatkan dan positif palsu.
Selain itu, Anda dapat mengatur penyaringan spam otomatis sehingga Anda tidak perlu melihat contoh spam terburuk dan paling meresap. Atau, Anda dapat mengonfigurasi pengaturan sehingga setiap bagian spam diarahkan ke folder spam khusus tempat Anda dapat mengulasnya.
5 juta+ situs trust jetpack untuk keamanan situs web mereka
Sementara WordPress sebagian besar dianggap sebagai platform yang aman untuk situs web, itu juga target yang menarik bagi peretas karena sangat populer. Dengan mengingat hal itu, penting untuk mengambil langkah -langkah untuk mencegah peretasan WordPress. Dengan cara ini, Anda dapat lebih melindungi data pelanggan dan menjaga reputasi baik Anda.
Kata sandi yang kuat, otentikasi dua faktor, dan firewall aplikasi web semuanya merupakan pertahanan yang hebat. Tetapi, Anda juga perlu memilih host web yang aman, menjaga perangkat lunak tetap terkini, dan memindai situs Anda secara teratur untuk kerentanan.
Dengan Jetpack Security, Anda akan mendapatkan akses ke plugin keamanan all-in-one yang mencegah serangkaian serangan online. Ini membantu Anda mengotomatiskan cadangan, memantau aktivitas pengguna, memblokir komentar dan membentuk spam, dan mengakses perbaikan satu klik. Mulailah hari ini!