Keamanan WordPress: 8 Langkah untuk Mengamankan Situs Web Anda Terhadap Peretas

Diterbitkan: 2019-02-26

Keamanan situs web adalah masalah serius, tetapi banyak yang mungkin tidak tahu seberapa serius masalah itu. Namun, ketika Anda mengetahui bahwa tidak kurang dari 50.000 situs web unik diretas setiap hari, Anda akan mulai memiliki firasat tentang masalah ini.

Masalahnya, sebagian besar situs web saat ini dijalankan di platform WordPress. Itu berarti sebagian besar situs web yang jatuh ke peretas didasarkan pada WordPress.

Sementara WordPress sendiri telah melakukan yang terbaik untuk memastikan situs yang dijalankan di CMS mereka aman, kesalahan bisa saja terjadi. Dalam bagian ini, kita akan berbicara tentang bagaimana memastikan itu tidak terjadi.

Padahal sebelumnya…

Mengapa Anda Membutuhkan Keamanan WordPress?

Bergantung pada tentang apa situs web Anda, ada banyak hal yang bisa salah ketika seseorang melanggar keamanan Anda. Beberapa di antaranya adalah:

  • Mengunggah malware – Seorang peretas dapat mengunggah malware ke server situs web Anda karena berbagai alasan.

Mereka dapat menggunakan ini untuk mengumpulkan data dan informasi tentang situs web Anda dan bagaimana Anda menjalankannya karena satu dan lain alasan. Mereka bahkan dapat membuatnya sedemikian rupa sehingga malware seperti itu diunduh secara otomatis ke komputer pengunjung Anda.

Itu tidak hanya menghancurkan niat baik Anda dengan pengunjung situs web, tetapi juga membuat situs web Anda masuk daftar hitam. Hampir tidak mungkin untuk mendapatkan kembali reputasi Anda ketika hal itu terjadi.

  • Mencuri informasi pengguna – Jika situs web Anda menyimpan informasi pengguna (profil yang berisi nama, tanggal lahir, usia, jenis kelamin, dan sebagainya), ini akan menjadi penting bagi peretas.

Mereka dapat memanen data tersebut dan menjualnya di web hitam, ke perusahaan penambangan data atau personel lain yang tertarik. Itu merupakan pelanggaran data yang dipercayakan oleh pengguna kepada Anda, dan melanggar janji Anda untuk menjaga keamanan data mereka.

  • Mencuri informasi keuangan – Ini sangat umum di situs WordPress yang digunakan untuk menjalankan toko online. Terkadang, itu mungkin bukan situs web berbasis e-niaga yang ketat, tetapi situs yang menjual penawaran atau lainnya.

Ketika itu terjadi, para peretas memiliki semua yang mereka butuhkan untuk merampok semua orang yang pernah mengirimkan rincian kartu kredit/pembayaran mereka ke situs web Anda. Selain fakta bahwa ini akan membuat banyak pelanggan Anda merasa tidak nyaman, mereka tidak akan senang membeli dari Anda lagi jika mereka tahu pelanggaran itu berasal dari Anda.

  • Memanipulasi pendapatan Anda – Situs web Anda dapat memperoleh pendapatan dari sumber afiliasi, aliran iklan, dan banyak lagi. Jika peretas mendapatkan akses, mereka dapat mengubah detail sumber afiliasi/ iklan/ pendapatan Anda menjadi milik mereka dan mengalihkan penjualan Anda ke pihak mereka.

Mereka bahkan dapat mengubah akun penerima Anda dan mendapatkan pendapatan Anda di akun mereka sendiri.

Tentu saja, itu hanya beberapa hal yang bisa salah ketika situs WordPress Anda tidak seaman mungkin. Ada banyak alasan lain mengapa peretas mungkin ingin mendapatkan akses ke situs web Anda. Tanggung jawab, dengan demikian, terletak pada Anda untuk memastikan mereka kesulitan melakukannya.

Menjaga situs web WordPress Anda tetap aman

Ingin menghapus situs web Anda dari daftar sasaran empuk peretas? Berikut adalah beberapa hal yang dapat Anda lakukan:

1. Amankan halaman login Anda

Sebelum situs web Anda dapat diretas sama sekali, peretas harus masuk ke halaman admin. Jika Anda menggunakan pengaturan default WordPress, yang harus mereka lakukan adalah menambahkan / wp-admin atau /wp-login.php di akhir nama domain Anda dan mereka berada di halaman admin.

Tanpa menyadarinya, Anda telah membuat satu langkah mudah bagi mereka.

Untuk menyiasatinya, sesuaikan halaman login Anda agar hanya muncul dengan alamat yang ditunjuk secara khusus. Dengan begitu, Anda dapat tetap berada di luar jaringan bagi sebagian besar peretas.

2. Terapkan penguncian situs web

Serangan brute force berkembang pesat karena dapat mencoba beberapa kata sandi sampai mereka mendapatkan yang benar. Itu memberi peretas kebebasan untuk mencoba banyak kemungkinan kombinasi sebelum membobol dasbor Anda.

Cara sederhana untuk mengatasi hal ini adalah dengan menentukan jumlah percobaan gagal yang dapat dilakukan pengguna sebelum mereka diblokir dari area admin.

Bagian terbaik dari langkah ini adalah Anda juga mendapat pemberitahuan saat aktivitas semacam itu direkam, membantu Anda menjaga kapal lebih ketat. Banyak firewall WordPress dan plugin keamanan yang memungkinkan Anda melakukan ini.

Mungkin layak untuk dilihat.

3. Pilih perusahaan hosting yang bagus

Jangan menjadi bagian dari mereka yang percaya bahwa perusahaan hosting yang relatif mahal membuat Anda membayar untuk nama merek. Lebih sering daripada tidak, ini adalah orang-orang yang memberi Anda beberapa lapisan keamanan atas opsi yang lebih murah.

Selain manfaat tambahan yang datang dengan membayar uang ekstra itu, Anda juga mendapatkan keamanan yang lebih baik untuk semua upaya Anda. Jika Anda tidak tahu cara memilih hosting yang tepat, Anda dapat mengikuti panduan utama kami tentang cara memilih hosting WordPress.

4. Jauhi tema nulled

WordPress mengemas banyak tema berbayar dan gratis untuk digunakan di situs web Anda. Tema-tema ini telah dirancang dan dikodekan oleh pengembang yang sangat terampil yang tahu apa yang mereka lakukan. Tema juga telah diuji oleh WordPress untuk memastikannya sesuai dengan standar pengaturan.

Namun, beberapa situs web menawarkan versi crack/nulled dari tema berbayar secara gratis. Ini mungkin terdengar bagus sampai Anda mengetahui bahwa tema yang diretas berisi kode berbahaya yang dapat merusak situs web Anda. Lihat panduan kami tentang cara memilih tema yang sempurna untuk situs Anda.

5. Nonaktifkan pengeditan file

Secara default, situs WordPress Anda memiliki fungsi editor kode yang memungkinkan Anda membuat perubahan pada tema dan plugin. Anda dapat menemukannya dengan membuka dasbor Editor di bawah Appearances atau Plugins .

Saat peretas mendapatkan akses ke situs Anda, mereka bisa masuk ke sini untuk memasukkan kode berbahaya – dan Anda bahkan tidak akan mengetahuinya sampai terlambat.

Cara terbaik untuk melawan serangan tersebut sampai Anda menemukan ada sesuatu yang salah adalah dengan menonaktifkan kemampuan untuk mengedit plugin dan tema.

6. Perbarui situs web Anda

Salah satu hal termudah yang dapat Anda lakukan untuk melindungi situs WordPress Anda adalah memastikannya tetap diperbarui dari waktu ke waktu.

Ketika pembaruan baru masuk, itu berarti pengembang telah menemukan kelemahan yang mereka anggap cukup penting untuk ditambal. Tidak menutup celah ini akan membuat Anda rentan terhadap cacat yang telah mereka lihat, sehingga memudahkan seseorang yang mengetahui jalan keluar dari kekurangan tersebut untuk mengeksploitasi Anda.

Hal yang sama berlaku untuk plugin dan juga PHP – mereka juga dapat diperbarui, dan harus diperbarui segera setelah Anda mendapatkan pemberitahuan. Berikut adalah panduan kami untuk meningkatkan situs WordPress ke versi PHP terbaru.

Catatan, sebelum melakukan pembaruan apa pun di situs WordPress Anda, Anda sangat disarankan untuk membuat cadangan seluruh situs Anda.

7. Nonaktifkan fitur XML-RPC

Dengan peluncuran WordPress, fitur XML-RPC disertakan secara otomatis.

Akan menjadi tidak baik untuk penambahan ini jika kita tidak melihat sisi baiknya. Bagaimanapun, itulah yang membuatnya mudah untuk menghubungkan akun WordPress Anda dengan aplikasi seluler dan desktop Anda dengan mulus.

Namun, itu juga memudahkan serangan brute force terjadi pada tingkat yang jauh lebih cepat.

Misalnya, seorang peretas tidak perlu membuat 500 tebakan kata sandi saat Anda mengaktifkan fitur tersebut. Yang perlu mereka lakukan hanyalah membuat sekitar 50 permintaan dengan fungsi system.multicall dan mereka akan dapat mencoba ribuan kata sandi dalam jangka waktu yang sama.

Perbaikan sederhana untuk ini adalah menonaktifkan fitur, terutama jika Anda tidak menggunakannya.

8. Keluarkan pengguna yang tidak aktif

Tidak setiap kali peretas perlu mendapatkan akses ke situs web Anda dari lokasi yang jauh. Jika Anda memiliki banyak pengguna di situs web Anda, peretas seperti itu hanya dapat berkeliaran sampai pengguna meninggalkan komputer mereka.

Itulah mengapa Anda tidak boleh membiarkan siapa pun diam terlalu lama di area dasbor. Jika Anda telah mengamati banyak situs web perbankan dan keuangan, ini adalah model yang sama yang mereka gunakan untuk menjaga keamanan data pengguna mereka.

Salah satu cara untuk menyelesaikannya adalah menginstal plugin Idle User Logout. Konfigurasikan untuk menyatakan jumlah waktu yang Anda inginkan agar setiap pengguna menghabiskan waktu menganggur sebelum mereka diminta untuk masuk lagi, dan Anda siap melakukannya.

Setelah semua yang telah dikatakan, itu adalah praktik yang baik untuk mempersiapkan yang terburuk. Meskipun Anda harus menerapkan hal di atas, pastikan Anda mencadangkan situs web Anda dari waktu ke waktu, Anda dapat melakukannya dengan mudah menggunakan plugin cadangan gratis seperti Plugin Cadangan WPvivid kami. Dengan begitu, Anda selalu dapat memulihkan dari titik terakhir pencadangan jika terjadi sesuatu.

Kami tidak berharap itu untuk Anda.

Punya beberapa tips lain yang Anda gunakan untuk mengamankan situs WordPress Anda yang belum kami sebutkan di sini? Beri tahu kami tentang mereka di komentar.

Artikel ini telah membahas langkah-langkah paling penting untuk perlindungan WordPress, kami juga telah membuat panduan utama tentang cara mengamankan situs WordPress dari semua aspek yang mungkin juga Anda perlukan.