5 Tips Keamanan Pasca-peluncuran Untuk Toko WooCommerce

Diterbitkan: 2016-04-12

Seperti yang telah kita bahas dalam pengantar keamanan WooCommerce ini, membuat dasar untuk toko yang aman dan terlindungi dengan baik hanya membutuhkan beberapa langkah. Tetapi sebagian besar tips yang kami tawarkan adalah hal-hal yang akan Anda lakukan sebelum meluncurkan toko Anda, atau mungkin segera setelahnya.

Keamanan bukanlah sesuatu yang dapat Anda pikirkan sekali dan tidak pernah lagi. Jika Anda tidak menjaga toko Anda tetap up-to-date, memperhatikan tren keamanan, atau memperkuat pertahanan Anda saat Anda tumbuh dan berkembang, Anda bisa menempatkan diri Anda dalam posisi yang sangat rentan… dan juga menempatkan pelanggan Anda dalam risiko.

Mari jelajahi beberapa cara lagi untuk mengamankan peluncuran pasca toko Anda.

1. Sembunyikan nomor versi WordPress

"Oke," Anda mungkin berkata, "apa? Bagaimana ini membuat saya tetap aman?”

Yah — tidak, tidak secara langsung. Tetapi jika Anda terkadang agak lambat untuk memperbarui WordPress, mengintip kode sumber Anda dengan mudah dapat memberi tahu penyerang potensial bahwa Anda berpotensi lebih rentan terhadap serangan lain .

Versi WordPress saat ini dapat ditemukan di tiga tempat:

  1. Tag meta generator di header Anda
  2. Tag meta generator di umpan RSS Anda
  3. String kueri

Jadi, jika Anda salah satu dari individu yang bermaksud baik yang ingin menguji pembaruan Anda selama satu atau dua hari dan perlu menyembunyikan nomor versi untuk alasan yang baik, Anda dapat menggunakan kode Frankie Jarrett untuk menyembunyikan nomor versi dari semua tiga tempat ini. Buka posnya untuk mengambilnya, lalu rekatkan ke file functions.php Anda .

Sekilas tentang kode, atas izin Frankie Jarrett.
Sekilas tentang kode, atas izin Frankie Jarrett.

Sekali lagi, menyembunyikan versi itu sendiri tidak akan melindungi Anda — Anda harus selalu memperbarui WordPress, WooCommerce , dan semua plugin dan ekstensi Anda . Namun kami juga memahami bahwa sering kali ada kesenjangan antara pengujian dan implementasi, sehingga hal ini dapat membantu Anda tetap aman untuk sementara.

2. Paksa SSL di halaman checkout Anda

Keamanan dimulai dengan koneksi yang aman. Dengan mengikuti tip ini, Anda dapat benar-benar yakin bahwa Anda melindungi pelanggan Anda dari mata-mata saat mereka memasukkan informasi penagihan dan pengiriman yang sensitif saat checkout.

Dengan pengaturan "Paksa checkout aman" diaktifkan di WooCommerce, semua halaman yang terkait dengan proses checkout Anda akan dipaksa untuk menggunakan HTTPS (yaitu, koneksi aman) setiap kali dimuat.

Karena hanya browser pelanggan dan toko Anda yang dapat mendekripsi informasi yang dikirim melalui koneksi HTTPS, mencentang kotak ini memastikan bahwa pembayaran Anda aman, dan tidak ada orang dengan niat jahat yang dapat mengintip nomor kartu kredit atau informasi sensitif lainnya yang mengalir masuk. dan keluar dari toko Anda.

Keterangan
Memaksa pembayaran yang aman membuat Anda dan pelanggan Anda tetap aman. Satu-satunya prasyarat adalah sertifikat SSL.

Pengaturan ini dapat diaktifkan dan dinonaktifkan di WooCommerce dengan membuka WooCommerce > Checkout dan mengaktifkan atau menonaktifkan kotak centang kedua.

Perhatikan bahwa sertifikat SSL yang valid diperlukan agar pengaturan ini berfungsi dengan baik di toko Anda. Jika Anda belum memperoleh sertifikat SSL, baca panduan ini untuk mempelajari lebih lanjut tentang mengapa itu penting dan bagaimana mendapatkannya dengan sedikit atau tanpa biaya.

Anda dapat mempelajari lebih lanjut tentang pengaturan ini di WooCommerce dengan membaca halaman ini di dokumen kami.

3. Buat pencadangan dan pemindaian keamanan sebagai acara harian

Dalam posting pertama kami tentang keamanan, kami merekomendasikan penggunaan perangkat lunak tepercaya untuk memindai situs Anda dari potensi kerentanan, serangan brute force, atau malware. Sekarang setelah Anda meluncurkan, inilah saatnya untuk membawa hal-hal ke tingkat berikutnya.

Dengan toko Anda aktif dan berjalan, pencadangan dan pemindaian keamanan harus dilakukan setiap hari . Pencadangan sangat penting karena memberikan Anda sesuatu untuk dijadikan sandaran jika terjadi kehilangan data, sementara pemindaian keamanan mencegah kehilangan (atau infeksi) terjadi sejak awal.

Anda dapat mengatur frekuensi pemindaian, pencadangan, dan pemberitahuan sesuka Anda, tetapi kami merekomendasikan pencadangan harian dan pemindaian harian setidaknya . Beberapa solusi menawarkan pencadangan waktu nyata dan pemindaian yang lebih sering — perlindungan masuk paksa Jetpack juga waktu nyata — tetapi Anda dapat meningkatkan atau menurunkan frekuensi sesuai keinginan.

Jika Anda masih mencari solusi keamanan dan pencadangan yang andal dan efektif, paket Jetpack Premium disertakan dengan cadangan — dan pelanggan WooCommerce dapat menghemat 15% secara instan . Dapatkan Jetpack untuk ketenangan pikiran sejak hari pertama.

4. Ubah awalan default yang digunakan di database WordPress Anda

Kelihatannya aneh, ada beberapa orang jahat di luar sana yang melancarkan serangan terhadap situs web untuk kesenangan mereka sendiri. Meskipun Anda mungkin berpikir toko Anda 100% aman, ada beberapa kerentanan kecil yang akan ditemukan dan dieksploitasi oleh para spammer dan peretas ini, jika ada kesempatan.

Satu kerentanan potensial yang diketahui datang melalui penggunaan pengaturan tabel database default selama pengaturan dan instalasi WordPress. Mengubah pengaturan ini dapat membantu mencegah kode berbahaya disuntikkan ke server Anda.

Awalan default untuk tabel database yang digunakan untuk menyimpan informasi WordPress adalah wp_. Karena sebagian besar pemilik toko tidak mengubah awalan ini selama penyiapan (atau bahkan tidak memiliki opsi untuk melakukannya, tergantung pada host/prosedur penginstalan mereka), menggunakan default dapat menempatkan mereka pada risiko serangan injeksi SQL (antara lain ) , semua karena peretas tahu betul apa nama tabel default ini.

Sekarang, tentu saja, Anda mungkin sudah menyiapkan WordPress dan WooCommerce. Tapi belum terlambat untuk mengubah pengaturan ini. Satu atau dua kueri SQL yang dijalankan di phpMyAdmin akan membuat Anda lurus dalam waktu singkat.

Dengan beberapa SQL yang ditempatkan dengan baik, Anda dapat mengganti nama awalan tabel Anda dan menambahkan lapisan keamanan lain ke instalasi WordPress Anda. (Kredit gambar: Menggali Ke WP)
Dengan beberapa SQL yang ditempatkan dengan baik, Anda dapat mengganti nama awalan tabel Anda dan menambahkan lapisan keamanan lain ke instalasi WordPress Anda. (Kredit gambar: Menggali Ke WP)

Lihat tutorial langkah demi langkah yang terperinci dan sangat membantu ini dari Digging Into WP untuk mempelajari cara mengubah awalan tabel database Anda menjadi sesuatu yang jauh lebih kompleks — dan jauh, jauh lebih aman.

Kueri SQL bukan milik Anda? Ada beberapa plugin gratis yang akan melakukan hal yang sama, tetapi berhati-hatilah — mengizinkan akses tak terbatas ke database SQL Anda bisa berbahaya . Paling tidak, hapus instalan plugin seperti ini setelah Anda selesai menggunakannya sehingga tidak ada potensi penggantian nama yang tidak disengaja di masa mendatang.

5. Singkirkan akun "admin" Anda

Nasihat terakhir ini mungkin tampak menjengkelkan bagi sebagian dari Anda, atau bahkan mungkin seperti pengetahuan umum bagi orang lain. Tapi ini penting, jadi kami ingin meluangkan waktu untuk menekankannya di sini.

Menggunakan akun admin default bawaan WordPress tidak disarankan saat Anda menjalankan toko online . Sama seperti awalan tabel database, peretas tahu bahwa akun ini (sangat mungkin) ada secara default, yang memberikan peluang lebih baik bagi mereka untuk masuk secara paksa.

Bahkan akun yang terdengar serupa , seperti "testadmin", "administrator", atau "pemilik" menempatkan toko Anda dalam risiko — mereka mudah ditebak. Seperti yang dijelaskan oleh halaman Attacking WordPress di HackerTarget.com (jangan khawatir, ini adalah sumber untuk saran, bukan cara untuk meretas), begitu peretas mengetahui adanya akun, mereka dapat dengan cepat menggunakan alat untuk menebak kata sandi Anda :

[...]. 500 kata sandi diuji terhadap akun "testadmin" (yang ditemukan selama enumerasi pengguna). 500 kata sandi itu diuji dalam 1 menit 16 detik! Saat pengujian berjalan, situs masih merespons; administrator server web tidak akan tahu serangan itu terjadi tanpa semacam sistem pemantauan log keamanan.

Mereka mungkin salah memasukkan kata sandi, tetapi sekarang mereka tahu sesuatu yang lain: akun ini ada. (Kredit gambar: HackerTarget.com)
Mereka mungkin salah memasukkan kata sandi, tetapi sekarang mereka tahu sesuatu yang lain: akun ini ada. (Kredit gambar: HackerTarget.com)

Moral dari cerita ini: akun administrator Anda harus diberi nama yang unik dan tidak mungkin ditebak oleh seseorang yang berniat jahat . Gunakan nama panggilan yang unik, nama lengkap dengan beberapa inisial di antaranya, atau hal lain yang tidak mudah ditebak (misalnya, nama depan dan belakang Anda atau nama toko Anda).

Dan ingatlah untuk menggunakan kata sandi yang aman , jadi meskipun seseorang menebak nama akun Anda, mereka tetap tidak dapat masuk. Jika Anda memerlukan penyegaran tentang apa yang aman dan tidak, lihat bagian #2 di pos ini.

Perhatikan keamanan dengan serius setelah toko Anda online

Meskipun ada banyak hal yang dapat Anda lakukan untuk membuat toko aman sebelum diluncurkan, keamanan harus menjadi perhatian berkelanjutan bagi pemilik toko — bukan hal yang "satu dan selesai" . Dengan mengikuti tip berikut dan menjaga toko Anda dan WordPress diperbarui, Anda akan berada dalam posisi yang bagus untuk menjaga pelanggan Anda — dan tim Anda — aman dan sehat.

Ada pertanyaan tentang tips keamanan yang direkomendasikan dalam posting ini? Atau lebih baik lagi, ada tips lanjutan yang ingin Anda bagikan? Kami menyambut umpan balik dan pemikiran Anda di komentar di bawah.