Pengujian Keamanan Situs Web: Cara Antipeluru Situs WordPress Anda
Diterbitkan: 2023-06-29Menjaga situs web Anda "aman" berarti melindunginya dari malware, penyerang, pelanggaran data, dan lusinan potensi masalah keamanan lainnya. Pengujian keamanan situs web memungkinkan hal ini dengan membantu Anda menemukan kerentanan apa pun di WordPress sebelum berubah menjadi masalah besar.
WordPress adalah Sistem Manajemen Konten (CMS) yang aman di luar kotak. Namun, selalu ada hal lain yang dapat Anda lakukan untuk meningkatkan keamanan situs web. Menguji masalah keamanan adalah pendekatan proaktif yang akan membantu Anda mencegah waktu henti dan perbaikan yang mahal. Selain itu, menjaga keamanan situs web Anda dapat membantu menjaga kepercayaan penggunanya.
Pada artikel ini, kita akan membahas langkah-langkah utama dalam pengujian keamanan situs web. Saran di sini diarahkan untuk situs web WordPress. Namun, sebagian besar pendekatan ini juga dapat diterapkan ke situs web jenis lain. Ayo mulai!
Daftar isi :
- Pindai situs web Anda untuk mencari kerentanan
- Periksa peran dan izin pengguna
- Lihat apakah ada pembaruan yang tersedia
- Periksa log aktivitas WordPress
- Tes untuk melihat apakah sistem cadangan Anda berfungsi
1. Pindai situs web Anda untuk mencari kerentanan
Dengan "kerentanan", yang kami maksud adalah kelemahan potensial dalam keamanan situs Anda. Kerentanan dapat berupa apa saja, mulai dari plugin yang kedaluwarsa hingga penggunaan PHP versi lama, gagal memblokir alamat IP yang mencurigakan, dan banyak lagi.
Cara termudah untuk memindai kerentanan di WordPress adalah dengan menggunakan plugin keamanan. Plugin keamanan WordPress paling populer menawarkan pemindaian kerentanan keamanan otomatis atau sesuai permintaan:
Untuk menutupi basis Anda, sebaiknya gunakan plugin keamanan yang juga memungkinkan Anda memantau perubahan file. Jenis pemindai ini memberi tahu Anda jika ada perubahan yang dilakukan pada file inti WordPress Anda. Biasanya, mereka juga mencatat informasi tentang kapan perubahan terjadi sehingga Anda dapat melacak masalah keamanan ke sumbernya.
Jika Anda memerlukan bantuan untuk memilih plugin keamanan yang tepat untuk kebutuhan Anda, kami telah menyusun daftar opsi teratas di sini.
Jika Anda tidak ingin menggunakan plugin keamanan WordPress, alternatif lain adalah memanfaatkan database kerentanan seperti WPScan. Anda dapat memindai situs web Anda dengan basis data WPScan menggunakan WP-CLI (jika Anda memiliki akses ke sana).
Kami merekomendasikan untuk mengotomatiskan proses ini agar berjalan setidaknya setiap hari atau setiap minggu. Dengan begitu, Anda akan selalu berada di atas setiap potensi kerentanan di situs web Anda dan dapat masuk dan memperbaikinya saat muncul.
2. Periksa peran dan izin pengguna
Jika Anda menjalankan situs web di mana banyak orang memiliki akses ke dasbor dan tingkat izin yang berbeda, ada baiknya untuk meninjaunya secara berkala. Dari sudut pandang keamanan, tidak boleh ada pengguna yang memiliki akses ke izin lebih dari jumlah minimum yang mereka perlukan untuk menjalankan pekerjaan atau berpartisipasi di situs.
Untuk menempatkannya dalam perspektif, mari kita bicara tentang peran pengguna administrator. Di WordPress (dan di sebagian besar sistem), admin memiliki izin yang diperlukan untuk mengubah bagian mana pun dari konfigurasi sistem. Ini berarti Anda dapat menginstal plugin, mengedit tema, menghapus konten, mengubah pengaturan situs, dan banyak hal lain yang tidak dapat dilakukan oleh pengguna biasa.
Seiring pertumbuhan situs, wajar jika ada masalah karena beberapa pengguna memiliki lebih banyak izin daripada yang dibutuhkan. Bayangkan Anda memecat seseorang dari tim Anda dan mereka mempertahankan akses ke akun mereka. Jika mereka seorang editor, mereka dapat menghapus atau menulis ulang konten, yang merupakan pengawasan keamanan yang sangat besar.
Untuk menghindari situasi seperti ini, sebaiknya tinjau peran dan izin pengguna setiap beberapa bulan (bergantung pada berapa banyak pengguna yang Anda miliki). Pastikan tidak ada yang memiliki izin yang seharusnya tidak dapat mereka akses dan ubah peran pengguna atau hapus akun sesuai kebutuhan.
3. Lihat apakah ada pembaruan yang tersedia ️
Menjaga WordPress dan semua komponennya tetap mutakhir adalah hal terpenting yang dapat Anda lakukan dalam hal keamanan situs web. Jika memungkinkan, Anda harus memeriksa dasbor setiap hari untuk plugin, tema, dan pembaruan inti yang tersedia. Cara termudah untuk melakukannya adalah dengan membuka halaman Pembaruan di dasbor:
Halaman itu mencakup semua pembaruan yang tersedia, termasuk plugin, tema, dan opsi inti. Atau, Anda dapat mengaktifkan pembaruan otomatis untuk inti WordPress dan plugin tertentu.
Pendekatan pembaruan otomatis dapat menghemat waktu Anda. Namun, kami menyarankan untuk menguji pembaruan utama WordPress di situs pementasan. Pembaruan ini terkadang dapat menyebabkan masalah kompatibilitas dengan plugin dan tema, jadi lebih aman untuk mengujinya di lingkungan tertutup.
Memantau situs Anda untuk pembaruan secara manual hanya perlu beberapa menit setiap hari. Ini adalah kunci untuk menjaga situs web Anda tetap aman karena perangkat lunak yang sudah usang kemungkinan besar mengandung kerentanan keamanan.
4. Periksa log aktivitas WordPress
Secara default, WordPress tidak menawarkan log aktivitas. Dengan "log aktivitas", yang kami maksud adalah catatan semua yang terjadi di situs web Anda. Itu termasuk upaya masuk, perubahan konfigurasi situs, pembaruan plugin, dan banyak jenis acara lainnya.
Memiliki akses ke log aktivitas adalah kunci untuk pengujian keamanan situs web karena memungkinkan Anda untuk menentukan peristiwa apa pun yang mungkin menimbulkan masalah. Misalnya, jika Anda melihat di log keamanan bahwa seseorang berulang kali mencoba masuk ke akun Anda, Anda akan tahu sedang terjadi serangan brute force.
Ada banyak plugin log aktivitas WordPress untuk dipilih. Kami merekomendasikan untuk memeriksa kumpulan plugin log aktivitas teratas kami dan mengujinya untuk melihat mana yang mencakup jenis peristiwa yang ingin Anda pantau.
Setelah Anda memiliki akses ke log keamanan, Anda ingin mengonfigurasi plugin untuk memberi tahu Anda jika ada kejadian tertentu. Ini akan menyelamatkan Anda dari keharusan menghabiskan waktu meneliti log secara manual setiap hari. Sebagai gantinya, Anda hanya akan menerima notifikasi ketika sesuatu yang serius terjadi.
5. Tes untuk melihat apakah sistem cadangan Anda berfungsi
Cadangan sangat penting untuk keamanan situs web apa pun. Kami menyarankan untuk mengonfigurasi pencadangan otomatis untuk WordPress sehingga Anda tidak perlu khawatir membuat salinan situs secara manual. Memiliki cadangan terbaru yang tersedia kapan saja berarti Anda dapat dengan mudah memulihkan situs web jika ada masalah keamanan.
Ini hanya berfungsi jika sistem cadangan Anda berfungsi penuh. Bergantung pada plugin atau alat cadangan apa yang Anda gunakan, itu mungkin membuat salinan situs Anda yang tidak berfungsi. Anda mungkin juga tidak dapat menyimpan cadangan jika Anda kehabisan ruang di server atau sistem penyimpanan pihak ketiga (yang kami sarankan untuk digunakan):
Saat melakukan pengujian keamanan situs web, sebaiknya gunakan situs pementasan untuk memverifikasi apakah pencadangan Anda berfungsi. Pilih satu atau beberapa cadangan terbaru dan gunakan fungsi pemulihan di plugin atau alat pihak ketiga yang Anda atur dan periksa apakah berfungsi.
Proses pemulihan seharusnya tidak menampilkan kesalahan apa pun dan situs web Anda akan berfungsi normal setelah selesai. Data terbaru mungkin tidak tersedia tergantung pada usia pencadangan, tetapi yang terpenting adalah bahwa pencadangan tersebut berfungsi sejak awal.
Pikiran terakhir tentang pengujian keamanan situs web
Pengujian keamanan situs web seharusnya tidak mengintimidasi. Anda dapat menyelesaikan sebagian besar proses yang diuraikan dalam artikel ini dalam waktu kurang dari satu jam. Semakin sering Anda melakukan ini, semakin aman situs web Anda dan membebaskan ruang mental untuk fokus pada aspek lain dalam menjalankannya.
Ketika datang ke WordPress, plugin sering melakukan banyak pekerjaan berat dalam hal keamanan, yang membuat prosesnya lebih sederhana. Inilah yang perlu Anda lakukan untuk menguji keamanan situs web Anda:
- Pindai situs web Anda untuk mencari kerentanan.
- Periksa peran dan izin pengguna.
- Lihat apakah ada pembaruan yang tersedia. ️
- Periksa log aktivitas WordPress.
- Tes untuk melihat apakah sistem cadangan Anda berfungsi.
Apakah Anda memiliki pertanyaan tentang pengujian keamanan situs web? Mari kita bicarakan mereka di bagian komentar di bawah .