Cara Melakukan Audit Keamanan WordPress - 8 Langkah Mudah - MalCare

Sekali waktu Anda duduk dan menjalankan audit keamanan WordPress lengkap di situs Anda. Itu bukan sesuatu yang Anda sukai, tetapi Anda melakukannya untuk menjauhkan para peretas jahat.

• Anda melanjutkan dan memasang plugin keamanan WordPress di situs web Anda karena para ahli mengatakan demikian.
• Anda memperbarui semua plugin dan tema WordPress Anda karena Anda tahu persis apa yang terjadi jika Anda tidak memperbaruinya.
• Anda membaca tentang langkah-langkah pengerasan situs web dan Anda menerapkan yang bertahan lama.

Singkatnya: Anda 100% yakin bahwa situs web Anda aman dan terlindungi dari peretas.

Dan kemudian, beberapa bulan kemudian, Anda bangun dengan harapan semuanya berjalan seperti biasa…

Hanya untuk mengetahui bahwa situs web Anda telah diretas.

Bisa jadi apa saja. Ini mungkin pengalihan berbahaya ke situs lain. Atau Anda mungkin mengetahui bahwa situs web Anda memiliki sembulan yang mencoba menjual sesuatu yang sama sekali tidak ada hubungannya dengan bisnis Anda.

Saat itulah Anda menyadari bahwa Anda telah gagal mengamankan situs web Anda.

Ini adalah skenario yang dihadapi oleh sebagian besar pemilik situs WordPress. Dan jika ini yang Anda hadapi, maka Anda datang ke artikel yang tepat.

Inilah masalahnya: Satu-satunya kesalahan Anda adalah Anda berasumsi bahwa audit keamanan WordPress adalah aktivitas satu kali. Ketika Anda mencentang semua kotak di daftar, Anda mengira semuanya sudah selesai dan dibersihkan.

Sebenarnya, keamanan situs web Anda sama seperti iklan — ini adalah aktivitas yang berkelanjutan. Anda tidak akan berhenti mengiklankan bisnis Anda, bukan?

Alat keamanan situs web dan tindakan pencegahan terus meningkat, tetapi para peretas tidak akan duduk diam dan membiarkan Anda mengendalikan bisnis Anda. Itu urusan Anda dan Anda harus berjuang untuk itu setiap hari.

Audit keamanan WordPress adalah cara paling sederhana untuk mengetahui apa yang berfungsi dan apa yang tidak. Apakah langkah-langkah keamanan Anda sudah usang?

Tanpa audit keamanan WordPress setiap 3 bulan, kemungkinan peretas masuk ke situs web Anda dan merusak bisnis Anda jauh lebih tinggi.

Tapi jangan khawatir, ini semua bisa dihindari dengan memastikan tindakan keamanan Anda mutakhir. Hari ini, kami akan menunjukkan kepada Anda langkah-langkah tentang cara menjalankan audit keamanan WordPress yang sukses di situs web Anda.

TL; DR: Untuk mengamankan situs WordPress Anda sepenuhnya, sebaiknya gunakan plugin keamanan. Instal MalCare untuk memindai dan memantau situs Anda secara teratur. Ini juga akan memblokir upaya peretasan di situs Anda. Dan ya, itu juga secara otomatis melakukan audit keamanan WordPress untuk Anda setiap hari.

Apa itu Audit Keamanan WordPress?

Cepat atau lambat, sebagian besar situs web WordPress mengalami masalah keamanan. Misalnya, plugin dan tema dapat mengembangkan kerentanan yang dapat dimanfaatkan oleh peretas untuk membobol situs web Anda.

Begitu mereka mendapatkan akses ke situs Anda, mereka dapat mengalihkan lalu lintas Anda, menampilkan konten dan iklan ilegal, menipu pelanggan Anda, dan mencuri data pribadi, di antara daftar panjang tindakan jahat.

Audit keamanan WordPress dapat membantu mengidentifikasi masalah ini dengan segera sehingga Anda dapat mengambil tindakan untuk menutup celah keamanan di situs Anda. Saat Anda menjalankan audit keamanan, Anda akan memeriksa langkah-langkah keamanan yang ada di situs web Anda. Kemudian identifikasi tindakan keamanan apa lagi yang dapat Anda terapkan di situs web Anda untuk memastikannya terlindungi.

Audit keamanan penuh dapat melibatkan beberapa langkah dan dapat menjadi berantakan jika Anda tidak memiliki proses dan daftar periksa.

Sekarang, kemungkinan besar Anda telah melakukan audit keamanan WordPress sebelumnya. Maksud di balik artikel ini adalah untuk membantu Anda menyiapkan proses yang dapat Anda ulangi setiap 3 bulan sekali. Idealnya, audit keamanan WordPress harus dilakukan setiap hari. Namun untuk amannya dan tetap masuk akal, sebaiknya lakukan ini setiap bulan.

Hari ini, kami akan membawa Anda melalui Panduan Audit Keamanan WordPress langkah demi langkah kami. Jejak audit ini akan memungkinkan Anda untuk melakukan audit yang lengkap dan komprehensif terhadap situs web Anda.

Cara Menjalankan Audit Keamanan yang Sukses

Dalam audit ini, kami akan meninjau keamanan situs web Anda secara menyeluruh. Mari kita mulai.

1. Evaluasi plugin keamanan Anda
2. Uji solusi cadangan WordPress Anda
3. Periksa penyiapan admin Anda saat ini
4. Hapus plugin yang tidak terpakai terpasang dan aktif
5. Hapus Tema WordPress Ekstra Terpasang
6. Evaluasi penyedia dan paket hosting Anda saat ini
7. Periksa pengguna yang memiliki akses FTP
8. Periksa langkah-langkah Pengerasan WordPress Anda

1. Evaluasi plugin keamanan Anda

Plugin keamanan situs web Anda adalah pos pemeriksaan pertama Anda. Jika Anda belum menggunakan plugin keamanan, pertimbangkan untuk segera mengaktifkannya di situs Anda. Plugin keamanan melindungi situs web WordPress dari peretas dan bot. Ada banyak pilihan untuk dipilih. Tetapi tidak semuanya efektif oleh karena itu Anda harus memilih plugin keamanan yang tepat. Berikut daftar fitur yang HARUS ditawarkan oleh plugin keamanan Anda:

1. Pemindaian malware – Peretas selalu mencari plugin yang rentan. Kami sangat menyarankan menggunakan plugin yang akan menjalankan pemindaian harian situs web Anda. Itu harus melakukan pemindaian mendalam yang memeriksa setiap file dan folder situs web Anda, termasuk database Anda.

2. Pemindaian di luar situs – Proses pemindaian membutuhkan banyak sumber daya server untuk dijalankan. Jika plugin menggunakan server Anda sendiri, pemindaian dapat membebani situs Anda dan menyebabkannya melambat. Cari plugin yang menggunakan servernya sendiri untuk memindai situs Anda.

3. Firewall – Anda memerlukan firewall di situs web Anda yang secara proaktif akan memblokir peretas dan bot berbahaya serta alamat IP yang mencoba masuk ke situs Anda. Untuk menyiapkan firewall, Anda memerlukan keahlian teknis. Namun, Anda dapat menemukan plugin keamanan yang memasang dan mengaktifkannya untuk Anda.

4. Perlindungan login – Peretas sering menyerang halaman login Anda dan mencoba berbagai kombinasi nama pengguna dan kata sandi untuk masuk ke situs web Anda (dikenal sebagai serangan brute-force). Plugin keamanan harus dapat memblokir serangan tersebut.

5. Peringatan waktu nyata – Jika ada aktivitas mencurigakan di situs Anda, plugin akan mendeteksinya dan segera memberi tahu Anda. Hal ini memungkinkan Anda untuk mengambil tindakan segera.

6. Pembersihan malware – Plugin keamanan yang baik akan memungkinkan Anda membersihkan situs web dengan cepat. Itu harus dapat membersihkan situs web Anda sepenuhnya.

7. Log aktivitas – Log audit keamanan WordPress melacak aktivitas pengguna di situs Anda seperti siapa yang masuk, detail upaya masuk yang gagal, apa yang dilakukan pengguna WordPress di situs web. Log aktivitas berguna saat Anda ingin mengetahui bagaimana situs Anda diretas atau perubahan apa yang dilakukan yang menyebabkannya tidak berfungsi.

Jika Anda merasa solusi keamanan Anda tidak efektif, Anda dapat memilih dari plugin keamanan teratas yang tersedia.

Kami merekomendasikan penggunaan MalCare karena mencakup semua fitur ini. Ini memiliki salah satu pemindai malware terbaik yang dapat mendeteksi segala jenis malware. Selain itu, Anda dapat membersihkan infeksi malware apa pun dalam waktu kurang dari beberapa menit!

2. Uji solusi pencadangan WordPress Anda

Memiliki cadangan situs WordPress Anda dapat berguna jika terjadi kesalahan. Anda dapat dengan mudah memulihkan cadangan dan mengembalikan situs Anda ke normal.

Tetapi apa yang terjadi jika cadangan Anda gagal? Apa yang terjadi jika Anda tidak dapat memulihkannya?

Inilah sebabnya mengapa Anda perlu menguji cadangan Anda. Jika Anda menggunakan cadangan host, beberapa di antaranya tidak menawarkan opsi pengujian. Inilah yang kami sarankan untuk menguji cadangan Anda:

Instal plugin cadangan BlogVault di situs WordPress Anda. Ini akan secara otomatis mengambil cadangan lengkap dari situs Anda.

Perhatikan bahwa pencadangan pertama mungkin memakan waktu cukup lama karena akan menyalin seluruh situs web ke servernya sendiri. Pencadangan selanjutnya jauh lebih cepat karena menggunakan teknologi inkremental yang hanya mencadangkan perubahan yang dilakukan.

Setelah pencadangan selesai, dari dasbor BlogVault, akses opsi 'Test Restore'.

Setelah selesai, itu akan mengingatkan Anda bahwa pemulihan Anda berhasil.

3. Periksa pengaturan admin Anda saat ini

WordPress memungkinkan banyak orang untuk berkolaborasi dan berkontribusi pada pengembangan WordPress dan pemeliharaan WordPress. Tetapi tidak setiap pengguna WordPress membutuhkan akses lengkap ke situs tersebut. Misalnya, seorang penulis hanya memerlukan akses untuk menulis dan menerbitkan konten. Mereka tidak perlu memiliki akses untuk melakukan perubahan lain seperti menginstal plugin atau mengubah tema.

Untuk mencegah memberikan akses lengkap kepada setiap pengguna di situs Anda, WordPress memiliki enam peran pengguna berbeda yang dapat Anda tetapkan – Admin Super, Administrator, Editor, Penulis, Kontributor, dan Pelanggan. Setiap peran memiliki tingkat izin yang berbeda.

Saat melakukan audit keamanan WordPress, hal pertama yang perlu Anda analisis adalah pengguna yang telah Anda tambahkan ke situs WordPress Anda.

• Periksa berapa banyak dari pengguna ini yang memiliki akses admin.
• Tentukan berapa banyak yang benar-benar membutuhkan akses admin.
• Batasi akses dan berikan izin lebih rendah dengan mengubah peran pengguna bagi mereka yang tidak perlu menjadi admin.
• Pastikan Anda dapat mengenali semua pengguna di dasbor Anda. Hapus semua pengguna yang tidak Anda kenal karena bisa jadi itu adalah akun pengguna nakal yang dibuat oleh peretas.

Selanjutnya, pastikan siapa saja yang menjadi admin di website Anda tidak menggunakan username 'admin' . Ini adalah nama pengguna yang paling umum digunakan admin WordPress untuk akun mereka. Peretas sangat menyadari hal ini dan mencoba menggunakan nama tersebut untuk mendapatkan akses ke situs Anda

Untuk mengubah nama dari 'admin' menjadi sesuatu yang lebih unik, Anda harus terlebih dahulu membuat akun pengguna baru untuk orang tersebut. Anda dapat menetapkan semua konten ke pengguna WordPress baru yang Anda buat. Selanjutnya, Anda dapat menghapus akun 'admin' yang lama.

4. Hapus plugin yang tidak terpakai terpasang dan aktif

Bekerja dengan WordPress selama lebih dari satu dekade, kami telah melihat banyak kasus situs web WordPress diretas karena plugin yang rentan.

Plugin untuk WordPress dibuat oleh pengembang pihak ketiga yang memelihara dan memperbaruinya. Namun, seperti perangkat lunak apa pun, kerentanan muncul seiring waktu. Pengembang biasanya cepat memperbaikinya dan merilis pembaruan. Pembaruan ini akan berisi tambalan keamanan yang akan menghapus kerentanan dari situs Anda.

Jika Anda menunda pembaruan, maka situs Anda tetap rentan.

• Selama audit Anda, periksa daftar plugin yang telah Anda pasang. Banyak dari kita pemilik situs web cenderung mencoba tema dan plugin baru. Kami tidak menggunakan sebagian besar dari mereka tetapi lupa bahwa mereka masih terpasang di situs kami. Hapus plugin yang tidak Anda gunakan. Ini akan menghapus elemen yang tidak perlu dari situs Anda dan mengurangi kemungkinan peretas masuk ke situs Anda.
• Pastikan Anda mengenali semua plugin yang terpasang. Jika Anda atau tim Anda tidak mengenali plugin apa pun, kami sarankan untuk menghapusnya. Ini karena ketika peretas membobol situs Anda, terkadang mereka memasang plugin mereka sendiri. Plugin ini berisi pintu belakang yang memberi mereka akses rahasia ke situs Anda.
• Jika Anda telah menginstal plugin versi bajakan atau null, segera hapus. Perangkat lunak semacam itu sering kali berisi malware yang menginfeksi situs Anda saat Anda memasangnya. Peretas menggunakan perangkat lunak bajakan untuk mendistribusikan malware mereka.

Sekarang Anda hanya memiliki plugin yang Anda gunakan, pastikan Anda memperbaruinya saat dan ketika pengembang merilis pembaruan.

5. Hapus Tema WordPress Tambahan yang Dipasang

Sebagai pemilik situs web, kami cenderung memasang tema yang berbeda untuk menemukan yang kami sukai. Namun, sering kali, kita lupa menghapus yang tidak kita perlukan. Sama seperti plugin, tema juga dapat mengembangkan kerentanan.

Kami menyarankan untuk menghapus semua tema lain dan hanya menyimpan tema yang Anda gunakan. Pastikan Anda menggunakan versi terbaru yang tersedia dari tema aktif Anda.

6. Evaluasi penyedia dan paket hosting Anda saat ini

Berkat hosting bersama, lebih banyak orang dapat membuat situs web tanpa investasi besar. Paket hosting bersama lebih murah dan disesuaikan untuk situs WordPress kecil.

Anda mungkin telah memilih paket hosting bersama saat memulai, tetapi saat Anda tumbuh, Anda perlu mengevaluasi apakah Anda perlu meningkatkan.

Paket hosting bersama berarti Anda berbagi server dengan situs web lain. Anda tidak memiliki kendali atas apa yang dilakukan situs web lain yang berbagi server Anda. Jika situs mereka diretas, itu dapat menghabiskan terlalu banyak sumber daya server. Ini akan memperlambat situs web Anda dan menurunkan kinerjanya. Ada juga sedikit kemungkinan bahwa infeksi malware dapat menyebar ke situs yang menggunakan server yang sama. Jadi, jika Anda mampu membeli peningkatan, kami menyarankan untuk beralih ke server khusus.

Jika Anda tidak puas dengan layanan host Anda saat ini, Anda dapat membandingkan host yang berbeda dan melihat apakah Anda ingin memigrasikan situs web Anda ke yang lebih baik.

7. Periksa pengguna yang memiliki akses FTP

FTP adalah File Transfer Protocol yang memungkinkan Anda menghubungkan komputer lokal ke server situs web Anda. Anda dapat mengakses file dan folder situs web Anda dan membuat perubahan.

Karena Anda dapat menambah, memodifikasi, dan menghapus file situs WordPress Anda, akses ke FTP harus diberikan hanya kepada mereka yang Anda percayai dan benar-benar membutuhkan akses.

Kami merekomendasikan untuk memeriksa daftar pengguna FTP dan mengatur ulang kata sandi FTP Anda, jika perlu. Untuk melakukannya, Anda perlu mengakses akun hosting WordPress > cPanel > akun FTP.

Di sini, Anda akan melihat daftar semua akun FTP yang dibuat untuk situs web Anda. Anda dapat menghapus yang tidak memerlukan akses.

8. Periksa langkah-langkah Pengerasan WordPress Anda

WordPress merekomendasikan langkah-langkah pengerasan tertentu yang membuat situs web Anda lebih aman. Ini termasuk:

1. Menonaktifkan editor file di plugin dan tema
2. Menonaktifkan instalasi plugin
3. Menyetel ulang kunci dan garam WordPress
4. Menerapkan kata sandi yang kuat
5. Membatasi upaya login WordPress
6. Menerapkan otentikasi dua faktor

Jika Anda memerlukan panduan lebih lanjut, kami sarankan untuk membaca Panduan Komprehensif kami untuk Pengerasan WordPress .

Selama audit keamanan WordPress Anda, kami sarankan untuk memeriksa apakah langkah-langkah ini sudah diterapkan. Misalnya, jika Anda menggunakan plugin untuk membatasi upaya login atau autentikasi 2 faktor, pastikan plugin tersebut masih berfungsi dan diperbarui. Periksa untuk melihat apakah ada opsi yang lebih baik tersedia.

Banyak tindakan pengerasan membutuhkan keahlian teknis untuk diterapkan. Namun, jika Anda menggunakan plugin keamanan MalCare, Anda dapat mengimplementasikan tindakan pengerasan WordPress dalam beberapa klik.

Ini adalah delapan tugas yang sangat penting untuk dilakukan secara teratur. Kami merekomendasikan melakukan audit dua kali setahun atau setidaknya setiap tahun. Untuk meringkas apa yang kami bahas, inilah daftar periksa yang dapat Anda ikuti:

Daftar Periksa Untuk Audit Keamanan WordPress

1. Plugin Keamanan – Evaluasi plugin keamanan Anda. Kami merekomendasikan menggunakan MalCare.

2. Cadangan WordPress – Uji cadangan situs web Anda untuk memastikannya dapat dipulihkan. Kami merekomendasikan menggunakan opsi pemulihan uji BlogVault.

3. Pengguna Admin – Periksa pengaturan admin Anda saat ini. Pastikan Anda telah memberikan hak istimewa admin hanya kepada mereka yang membutuhkannya. Hapus semua pengguna yang tidak aktif.

4. Plugin – Hapus plugin yang tidak terpakai terpasang dan aktif. Simpan hanya plugin yang benar-benar Anda gunakan dan pastikan plugin tersebut diperbarui secara berkala.

5. Tema – Hapus Tema WordPress Tambahan yang Dipasang. Simpan hanya tema aktif di situs Anda dan pastikan Anda menggunakan versi terbaru yang tersedia.

6. Host Web – Evaluasi penyedia dan paket hosting Anda saat ini. Kami merekomendasikan penggunaan host web tepercaya dan paket server khusus.

7. FTP – Periksa pengguna yang memiliki akses FTP. Berikan akses hanya kepada mereka yang membutuhkannya.

8. Pengerasan – Pastikan tindakan Pengerasan WordPress Anda utuh dan terkini.

Pikiran Akhir

Kami harap artikel ini membantu Anda membuat proses berulang untuk audit keamanan WordPress. Jika Anda dapat terus menjalankan proses ini secara teratur, kami jamin Anda dapat mencegah peretas melewati keamanan situs Anda.

Ya, audit keamanan WordPress lengkap adalah proses yang panjang dan membosankan. Tetapi kenyataannya adalah hal itu dapat membantu melindungi bisnis Anda untuk waktu yang lama.

Dan jika menurut Anda audit keamanan WordPress terlalu membosankan, Anda dapat mengotomatiskan prosesnya dengan menginstal plugin MalCare. Tidak seperti kebanyakan plugin keamanan situs web lainnya, MalCare menawarkan rangkaian lengkap alat keamanan yang dapat melakukan lebih dari sekadar audit keamanan WordPress.

MalCare mengotomatiskan banyak aktivitas keamanan yang membosankan dan manual seperti pemindaian dan penghapusan malware, pencadangan situs reguler, pemasangan firewall dan perlindungan bot, dan pengerasan WordPress.

Anda dapat menyelesaikan semua ini hanya dengan beberapa klik di dasbor canggih yang mudah digunakan.

Amankan Situs WordPress Anda dengan MalCare !