Daftar Periksa 9-Poin Untuk Toko WooCommerce yang Aman

WooCommerce adalah plugin eCommerce populer untuk WordPress, mendukung lebih dari 28% dari semua toko online. Sebagai perangkat lunak yang dapat diakses publik, WordPress dapat disesuaikan dan dimodifikasi untuk membangun situs web WooCommerce yang unik. Di sisi lain, sama seperti semua situs web di internet, situs web WordPress juga rentan terhadap peretas. Dan itu tidak benar-benar ada hubungannya dengan situs web inti WordPress, melainkan karena masalah keamanan yang dapat dihindari.

Dalam posting ini, kami membawa Anda melalui tip keamanan WooCommerce teratas untuk mencegah toko eCommerce Anda disusupi oleh pengguna jahat. Anda dapat merencanakan dan menerapkannya dengan cara yang berbeda, tetapi ada solusi yang mudah dan efektif untuk mengoptimalkan keamanan situs Anda, yang juga kami diskusikan di sini.

Daftar Periksa 9 Poin untuk Memperkuat Keamanan WooCommerce Anda

Berikut adalah cara-cara di mana Anda dapat meningkatkan keamanan WooCommerce Anda. Beberapa dari langkah-langkah keamanan ini dapat Anda terapkan sendiri dengan mudah, yang lain memerlukan intervensi dari pakar WordPress.

1. Tetap perbarui plugin Anda

Memperbarui plugin dan tema Anda sangat penting – inilah alasannya:

• Peretas dapat mengeksploitasi kerentanan dalam plugin dan tema, dan mulai menyerang situs web Anda melalui plugin/tema tersebut. Mereka mungkin berhasil mengakses data bisnis dan pelanggan untuk menjual di web gelap, mentransfer dana atau melakukan penipuan, di antara tindakan ilegal lainnya.

• Plugin usang bertanggung jawab atas 91% pelanggaran keamanan, sehingga pembaruan diperlukan. Selain itu, ribuan situs web diretas setiap hari. Jika peretas berhasil menguasai toko Anda, mereka dapat meneruskan kode berbahaya kepada pengguna yang tidak curiga ke situs Anda. Atau mereka mungkin meluncurkan serangan DDoS untuk memperlambat atau mematikan situs web Anda, menyebabkan waktu henti, yang telah dikirimkan dengan biaya rata-rata $5.600 per menit.

• Pembaruan plugin dan tema hadir dengan perbaikan bug dan peningkatan kinerja. Versi terbaru memperbaiki masalah yang diidentifikasi dalam versi perangkat lunak sebelumnya, dan bahkan dapat menambahkan fitur baru. Mempertahankan plugin/tema membuat mereka dapat digunakan dan aman.

Untuk memperbarui tema atau plugin WordPress, kunjungi tab 'Pembaruan' di Admin WordPress Anda. Kami menyarankan Anda terlebih dahulu memperbarui tema/plugin di situs pementasan – tiruan dari situs web langsung Anda – untuk menguji perubahan sebelum menerapkannya ke situs langsung Anda. Ini karena memperbarui plugin terkadang dapat menyebabkan 'kesalahan fatal' karena kode plugin tidak kompatibel dengan kode yang digunakan dalam file WP inti.

Jika Anda memiliki latar belakang teknis, Anda dapat lebih mudah mengatur situs pementasan Anda. Jika tidak, seorang profesional dapat mengaturnya untuk Anda, membantu memastikan bahwa pembaruan dapat diinstal dengan baik. Anda dapat menjaga keamanan WooCommerce Anda dan juga menghindari konsekuensi apa pun yang timbul dari masalah pembaruan.

2. Pilih penyedia hosting WooCommerce khusus

Apakah Anda memerlukan hosting khusus untuk WooCommerce? Nah, mengingat rata-rata situs WooCommerce adalah database-intensif dan harus mengakomodasi lalu lintas tinggi, perusahaan hosting WooCommerce khusus lebih cocok daripada layanan hosting biasa. Dari sudut keamanan WooCommerce, penyedia semacam itu diharapkan dapat memberikan dukungan khusus yang mencakup semua area yang diperlukan di situs Anda.

Berikut adalah beberapa fitur keamanan untuk ditinjau saat Anda mencari penyedia hosting:

• Sertifikat SSL untuk mengaktifkan koneksi terenkripsi dan memblokir peretas agar tidak melihat nama, alamat, kata sandi, nomor kartu kredit, dan data sensitif lainnya.

• Pencadangan otomatis untuk membuat situs Anda kembali dan berjalan jika terjadi serangan.

• Pemantauan serangan untuk mendeteksi dan mengurangi serangan secara real-time.

• Dukungan 24/7 dari pakar hosting WooCommerce berpengetahuan yang siap membantu Anda dengan masalah keamanan.

• Lingkungan staging bawaan untuk menguji plugin dan perubahan dengan aman ke toko Anda sebelum Anda meluncurkannya secara langsung.

Pada kinerja, Anda mungkin ingin fokus pada jaminan uptime yang dijanjikan oleh penyedia. Jika Anda memiliki situs WooCommerce besar dengan banyak produk dan menarik lalu lintas substansial setiap hari, tidak kurang dari jaminan uptime 99,9% akan berhasil.

3. Siapkan firewall menggunakan plugin keamanan WordPress

Bahkan jika penyedia hosting Anda memberi Anda firewall, menyiapkannya di tingkat situs web akan menambah lapisan keamanan lain, mencegah akses tidak sah ke jaringan komputer Anda. Anda dapat menggunakan plugin untuk menyiapkan firewall, dan menambahkan lebih banyak penyesuaian jika Anda memiliki pengetahuan teknis tingkat lanjut. WordFence adalah firewall tepercaya untuk WordPress. Ini adalah plugin keamanan WordPress lengkap, menawarkan serangkaian fungsi, seperti:

• Firewall aplikasi web (WAF) yang mengidentifikasi dan memblokir lalu lintas berbahaya

• Perlindungan terhadap serangan brute force yang memblokir pengguna setelah sejumlah upaya login yang salah

• Pemindaian perangkat lunak perusak untuk mengidentifikasi perangkat lunak berbahaya yang mungkin telah dipasang oleh peretas di situs Anda

• Mengaktifkan keamanan login seperti reCAPTCHA dan otentikasi dua faktor

Banyak fitur WordFence terpenting tersedia dengan versi gratis. Memutakhirkan ke versi premium berharga $99 per tahun, dan dilengkapi dengan fitur-fitur canggih seperti pemblokiran IP waktu-nyata dan aturan firewall yang melindungi situs dari ancaman dan malware baru segera setelah tim WordFence mendeteksinya.

Dimungkinkan untuk secara manual menerapkan fitur-fitur yang ditawarkan oleh plugin keamanan all-in-one seperti WordFence. Beberapa cukup mudah dilakukan tetapi memiliki persyaratan khusus. Misalnya, jika Anda ingin mengatur firewall Anda sendiri, Anda memerlukan akses penuh ke server Anda, yang tidak mungkin dilakukan kecuali Anda menggunakan server khusus. Selain itu, Anda harus bekerja di antarmuka baris perintah, yang sederhana dan menyenangkan hanya jika Anda memiliki keterampilan pengembangan web.

4. Jadikan halaman login Anda lebih aman

Area admin situs web Anda berada di bawah ancaman serangan brute force, yang berupaya mendapatkan akses ke WP-admin Anda dengan mencoba berbagai kombinasi nama pengguna dan kata sandi. Serangan brute force atau penggunaan akun kredensial curian untuk lebih dari 80% pelanggaran dalam peretasan. Ada beberapa tindakan keamanan WooCommerce yang dapat Anda ambil untuk meningkatkan keamanan halaman login admin untuk toko Anda:

Ubah nama pengguna Anda dari 'admin' menjadi yang lain

Trik umum bagi peretas adalah memanfaatkan nama pengguna admin WordPress default, yaitu 'admin', untuk mencoba dan masuk ke akun Anda. Versi awal WordPress secara default menggunakan nama pengguna 'admin', jadi mungkin pemilik toko sudah terbiasa menggunakannya. Mengubah 'admin' ke nama lain diperlukan untuk mengurangi risiko serangan Wp-admin, dan tidak ada apa-apa! Berikut langkah-langkahnya:

1. Buka > tambahkan pengguna baru
2. Buat pengguna baru dengan nama pengguna yang Anda inginkan, dan berikan peran 'administrator'
3. Keluar dari akun 'admin' sebelumnya dan masuk ke akun baru
4. Kembali ke daftar pengguna dan hapus akun 'admin' yang lama

Aktifkan otentikasi dua faktor (2FA)

Otentikasi dua faktor memerlukan dua metode untuk memverifikasi identitas Anda. Ini bertindak sebagai garis pertahanan kedua untuk membatasi akses ke akun admin WordPress Anda. Anda dapat mengaktifkannya dengan aplikasi authenticator, yang menambahkan 2FA ke akun yang ingin Anda lindungi.

Aplikasi Authenticator menghasilkan kode satu kali yang dapat Anda gunakan untuk mengonfirmasi bahwa Andalah yang masuk ke akun admin WP Anda. Pertama-tama Anda harus menyiapkan perangkat autentikator di ponsel cerdas atau tablet Anda. Selama proses ini, aplikasi akan menghasilkan kunci rahasia yang Anda simpan ke ponsel Anda dengan memindai kode QR atau mengetik kode secara manual jika ponsel Anda tidak memiliki kamera. Dengan ini, server aplikasi dan ponsel Anda memiliki salinan kunci rahasia. Setelah itu, setiap kali Anda memasukkan nama pengguna dan kata sandi untuk masuk, aplikasi mengirimkan kode akses – biasanya nomor enam digital – yang Anda ketik untuk masuk ke akun admin Anda.

Berikut adalah contoh cara mengatur 2FA menggunakan WordFence:

1. Unduh aplikasi autentikator seperti Google Authenticator ke ponsel cerdas atau tablet Anda
2. Instal dan aktifkan WordFence
3. Buka halaman 'keamanan masuk' di WordFence
4. Buka aplikasi autentikator Anda dan pindai kode QR yang ditampilkan di WordFence
5. Klik 'unduh' di bagian kode pemulihan – ini memberi Anda serangkaian kode yang dapat Anda gunakan jika Anda kehilangan akses ke aplikasi autentikator Anda
6. Masukkan kode 6 digit dari aplikasi authenticator Anda
7. Klik 'aktifkan'

5. Memerlukan kata sandi yang kuat untuk akun toko

WooCommerce menawarkan Anda fleksibilitas untuk membuat toko yang sesuai dengan model bisnis Anda. Ini termasuk menyediakan tingkat akses yang berbeda dalam tim. Mengamankan akun toko semua anggota tim Anda adalah cara sederhana untuk memperkuat keamanan WooCommerce.

Meskipun karyawan memahami bahwa kata sandi mereka harus kuat, mereka masih cenderung menggunakan kata sandi yang lemah yang dapat diretas dalam waktu kurang dari satu detik. Kebijakan kata sandi yang kuat dapat menegaskan kembali perlunya membuat kata sandi yang rumit. Daripada hanya memiliki beberapa peran seperti manajer toko atau administrator membuat kata sandi yang aman, menerapkan kebijakan kompleksitas kata sandi untuk semua pengguna adalah pilihan yang lebih aman.

Salah satu cara untuk mencapai ini adalah dengan menggunakan plugin Keamanan iThemes untuk memaksa akun toko mengatur kata sandi yang kuat untuk diri mereka sendiri. Inilah cara Anda dapat melakukannya:

1. Instal dan aktifkan plugin
2. Pada halaman penyiapan, pilih 'eCommerce' sebagai jenis situs web
3. Pilih 'Self' sebagai pengguna
4. Saat plugin bertanya 'apakah Anda ingin mengamankan akun pengguna Anda dengan kebijakan kata sandi?', atur sakelar ke 'ya'

6. Buat kata sandi unik untuk semua platform eCommerce pihak ketiga

Aspek keamanan WooCommerce yang sering diabaikan adalah kerentanan berbagai akun yang Anda gunakan untuk layanan yang terhubung ke toko WooCommerce Anda terhadap peretasan kata sandi. Menggunakan kata sandi yang sama untuk semua layanan yang Anda hubungkan ke toko WooCommerce Anda membuat pekerjaan peretas menjadi mudah. Inilah yang harus Anda pertimbangkan untuk dilakukan:

• Tetapkan kata sandi yang berbeda di semua gateway pembayaran Anda seperti Stripe dan PayPal, hosting Anda, dan layanan pihak ketiga lainnya yang Anda gunakan untuk toko WooCommerce Anda. Bahkan jika salah satu kata sandi Anda terbuka, akun Anda yang lain akan aman.

• Pastikan kata sandi cukup berbeda satu sama lain. Menggunakan kembali kata sandi hanya dengan mengubah atau menambahkan angka atau karakter tidak efektif.

7. Pertahankan pencadangan toko Anda secara teratur

Meskipun pencadangan tidak akan melindungi situs Anda dari peretas, pencadangan memastikan bahwa Anda memiliki akses ke data berharga Anda jika situs Anda disusupi. Memiliki salinan cadangan data Anda dapat membantu membuat situs Anda kembali online setelah serangan cyber atau peristiwa lainnya, seperti kegagalan perangkat keras atau crash karena lonjakan lalu lintas. Pencadangan harian memastikan bahwa informasi pelanggan, pesanan, dan produk Anda dapat dipulihkan saat terjadi peristiwa yang tidak terduga, dan bahwa kelangsungan bisnis dipertahankan untuk menghindari kehilangan pelanggan dan pendapatan.

Solusi praktis adalah dengan menggunakan plugin cadangan WordPress waktu nyata seperti BlogVault. Pencadangan waktu nyata menawarkan kemampuan untuk memulihkan data ke titik waktu mana pun, dan sangat berguna jika Anda memiliki basis data besar yang selalu menghadapi ancaman masalah terkait keamanan.

8. Amankan basis data Anda

Basis data WordPress Anda menyimpan semua informasi di situs web Anda, menjadikannya target yang menarik. WordPress menggunakan MySQL sebagai sistem manajemen basis datanya. Kode PHP di situs WordPress Anda berisi perintah SQL untuk berkomunikasi dengan database. Salah satu cara SQL dapat diretas adalah ketika peretas menggunakan sepotong kode SQL untuk memanipulasi database dan mendapatkan akses ke informasi berharga. Jenis serangan ini adalah injeksi SQL dan umum di antara situs web berbasis basis data.

Untungnya, ada beberapa cara untuk mengamankan database WordPress Anda – berikut adalah dua cara untuk membantu Anda memulai:

Ubah awalan tabel default

Awalan tabel default untuk toko WooCommerce adalah wp_ . Membiarkan pengaturan ini pada default membuka toko Anda untuk injeksi SQL. Anda dapat mengubah pengaturan ini di PhpMyAdmin ketika Anda mengatur toko Anda, atau menggunakan plugin seperti DB Prefix. Pastikan untuk mencadangkan database WP Anda sebelum membuat perubahan apa pun pada awalan tabel. Dan jika Anda memiliki sedikit pemeliharaan WordPress dan pembaruan keamanan yang direncanakan, Anda dapat mengarahkan pengunjung situs web ke halaman pemeliharaan atau halaman sementara.

Amankan file wp-config Anda

File wp-config.php adalah file terpenting di toko WooCommerce Anda karena berisi semua informasi database toko Anda – termasuk kata sandi admin. Dengan memindahkan file ini dari posisi defaultnya di subdirektori root ke subdirektori yang lebih tinggi, akan lebih sulit bagi calon peretas untuk menemukannya.

Catatan: Codeable tidak berafiliasi dengan rekomendasi (plugin) mana pun yang disebutkan dalam posting.

9. Pekerjakan profesional keamanan WordPress yang berpengalaman

Tindakan paling efektif nomor satu yang dapat Anda lakukan untuk menjaga keamanan toko WooCommerce Anda adalah dengan menyewa seorang profesional keamanan WordPress. Dari menginstal sertifikat SSL dasar hingga menerapkan firewall untuk melindungi dari serangan brute force di situs eCommerce yang lebih besar, mempekerjakan seorang profesional keamanan membebaskan Anda untuk fokus pada bagian lain dari toko Anda, seperti mengelola pesanan dan melacak inventaris.

Cara menemukan pakar keamanan WooCommerce

Anda memiliki banyak pilihan, termasuk DIY, menyewa agen atau mencari pekerja lepas di banyak pasar di web. Agen yang menyediakan pakar keamanan WordPress umumnya mengemas layanan yang berbeda dalam satu paket, jadi jika Anda memilih opsi ini, perhatikan layanan apa pun yang mungkin tidak Anda perlukan.

Di pasar freelancer, Anda dapat membayar ekstra untuk memiliki pilihan pengembang WP yang diperiksa atau Anda harus menilai mereka sendiri. Di situs-situs ini, Anda memilih tawaran terbaik, dan tidak ada jaminan bahwa seorang pekerja lepas akan menawar proyek di mana mereka merasa kompeten, hanya karena situs tersebut tidak membuat persyaratan ini secara eksplisit.

Opsi yang lebih baik adalah menemukan pakar keamanan di Codeable:

• Codeable adalah platform freelancer khusus di WordPress.
• Ini mencocokkan proyek Anda dengan profesional WordPress/WooCommerce terverifikasi yang telah mengerjakan proyek keamanan yang serupa dengan proyek Anda. Ini menghilangkan dugaan dan membantu memastikan bahwa Anda memiliki individu yang tepat untuk pekerjaan itu.
• Apa yang membedakan Codeable dari pasar freelance generik adalah bahwa Anda hanya akan bekerja dengan para ahli yang mampu menjalankan proyek Anda dengan sukses. Anda dapat menikmati ketenangan pikiran mengetahui bahwa Anda memiliki akses ke profesional keamanan WooCommerce yang telah menyetujui proyek setelah memikirkannya dengan cermat.
• Codeable adalah pilihan yang bagus untuk proyek yang lebih kecil atau tugas satu kali seperti audit keamanan. Ini bekerja lebih murah daripada menyewa agen dan menghemat waktu yang signifikan untuk kegiatan strategis.
• Proses perekrutannya mudah dan tidak ada kewajiban bagi Anda untuk merekrut jika Anda berubah pikiran tentang keamanan dan rencana pemeliharaan WooCommerce Anda.

Amankan Toko WooCommerce Anda Terhadap Ancaman yang Muncul

Memiliki rencana keamanan Woocommerce memungkinkan Anda untuk merespons secara efektif terhadap ancaman keamanan siber yang ada dan yang baru. Mengelola masalah keamanan khusus WordPress dan eCommerce secara proaktif sangat penting untuk menjalankan bisnis tanpa gangguan, menghindari kerugian finansial karena peretasan, dan menjaga kepercayaan pelanggan.

Pakar keamanan WordPress dari Codeable dapat membantu Anda mengelola risiko keamanan Anda.

Kirimkan proyek Anda dan segera mitigasi masalah keamanan Anda. Codeable ramah biaya dan menawarkan jaminan uang kembali, sehingga Anda dapat mengujinya dengan tugas kecil dan kemudian menentukan apakah Anda ingin menggunakannya untuk proyek keamanan yang lebih besar.