Audit Keamanan WordPress: 7 Langkah Sederhana untuk Melindungi Situs Anda

Diterbitkan: 2020-07-06

Situs web Anda berisiko lebih dari yang Anda kira. Jangan khawatir! Anda tidak sendirian dalam perlombaan ini. Kebanyakan orang percaya situs web mereka aman padahal sebenarnya tidak.

Tidak heran, situs WordPress Anda dapat diretas karena beberapa kesalahan umum Anda. Ini bahkan dapat terjadi karena tidak memperbarui ke versi WordPress yang lebih baru dan kehilangan fitur keamanan penting.

Lebih dari 70% instalasi WordPress rentan terhadap serangan peretas.

– Keamanan WP Putih

Namun, ada cara efektif untuk mengatasi risiko keamanan yang akan segera terjadi di situs web Anda setiap saat. Sama seperti ancaman yang selalu ada, Anda harus memantau situs web Anda dengan melakukan audit keamanan rutin. Ini dapat menyelamatkan Anda dari banyak potensi ancaman mulai dari pelanggaran data hingga bahkan ransomware.

Dalam artikel ini, kami akan menunjukkan beberapa cara mudah untuk menjaga situs Anda aman dari peretas atau kejadian yang tidak diinginkan.

Daftar Isi

  • Apa itu Audit Keamanan WordPress?
  • Mengapa Audit Keamanan Reguler Penting untuk Situs Web Anda?
  • Melakukan Audit Keamanan WordPress
    • Melakukan Audit Keamanan WordPress Secara Manual
      • Periksa pembaruan apa pun
      • Simpan dan Periksa cadangan WordPress
      • Menilai kerentanan akun admin
      • Periksa pengguna dan akun
      • Hapus plugin yang tidak perlu
      • Copot tema yang tidak digunakan
      • Jalankan pemindaian keamanan
    • Melakukan Audit Keamanan WordPress menggunakan Plugin
      • Log Aktivitas WP
      • Keamanan Wordfence

Apa itu Audit Keamanan WordPress?

How to Perform WordPress Security Audit

Situs web Anda dapat berada di bawah ancaman karena berbagai alasan. Misalnya, plugin atau tema usang dapat dieksploitasi oleh peretas. Atau salah satu admin situs web Anda mungkin telah menetapkan kata sandi yang lemah yang dapat dibobol oleh orang luar. Itulah mengapa Anda perlu memiliki daftar periksa untuk memeriksa semua kerentanan keamanan yang mungkin dimiliki situs web WordPress Anda yang berharga.

Singkatnya, audit keamanan WordPress adalah operasi untuk memeriksa situs web Anda secara teratur untuk segala jenis aktivitas berbahaya atau risiko keamanan.

Mengapa Audit Keamanan Reguler Penting untuk Situs Web Anda?

Orang sering tidak menganggap serius keamanan situs web. Sebagian besar pemilik situs web percaya bahwa WordPress cukup mampu untuk menjaga keamanan semua situs web yang dibangun di platformnya. Yang lain tampaknya berpikir bahwa situs web mereka tidak memiliki hal khusus yang layak untuk diretas, jadi siapa yang akan meretas situs web mereka.

Hackers Can use Your Site in Many Ways
Peretas dapat Menggunakan Situs Anda dengan Banyak Cara

Tetapi peretas tidak selalu meretas situs web untuk mendapatkan data Anda. Ketika situs web Anda diretas, itu dapat digunakan oleh peretas untuk banyak aktivitas jahat, seperti –

  • Menambang cryptocurrency
  • Menghosting halaman phishing
  • Mengirim email spam
  • Untuk menjalankan program mereka sendiri melalui situs web Anda
  • Meminta tebusan, juga dikenal sebagai ransomware
  • Alihkan lalu lintas Anda ke situs web yang dapat membahayakan keamanannya

Jadi, jika menurut Anda situs web Anda aman karena tidak memiliki data sensitif, pikirkan dua kali!

Selain itu, meskipun WordPress sendiri adalah platform yang sangat aman, ia tidak dapat melindungi situs web Anda kecuali penggunanya bekerja sama dengan mereka. Menurut WordPress, hanya 41% penggunanya yang menggunakan versi terbaru dari platformnya. Karena versi yang lebih baru hadir dengan pembaruan keamanan bersama dengan fitur lainnya, versi yang lebih lama lebih rentan terhadap pelanggaran keamanan.

WordPress Versions in Use Right Now
Versi WordPress yang Digunakan Saat Ini (Kredit: WordPress)

Mempertimbangkan semua fakta di atas, jelas bahwa keamanan situs web Anda tidak dapat dipecahkan kecuali Anda melakukan audit situs WordPress secara teratur.

Cara Melakukan Audit Keamanan WordPress (7 Langkah Mudah untuk Audit Manual)

Situs web Anda dapat dilanggar karena berbagai alasan, oleh karena itu Anda tidak dapat meninggalkan kebutuhan bisnis yang terlewat saat melakukan audit keamanan. Saat melakukan audit keamanan, selalu pertahankan daftar periksa rutin untuk memastikan semua celah potensial tertutup. Demi kenyamanan Anda, saya telah membuat daftar hal-hal yang harus Anda periksa saat melakukan audit keamanan.

Anda dapat melakukan operasi secara manual atau menggunakan plugin audit WordPress. Saya akan menunjukkan cara manual terlebih dahulu, dan kemudian, saya akan berbicara tentang beberapa plugin yang dapat Anda gunakan alternatif untuk melakukan audit keamanan secara otomatis.

Jika Anda tidak ingin menggunakan plugin, karena banyak plugin yang tampaknya mengurangi kecepatan halaman Anda, Anda dapat melakukan audit keamanan manual di situs WordPress Anda. Cukup ikuti langkah-langkah di bawah ini untuk memastikan situs web Anda berada di jalur yang benar.

1. Periksa Pembaruan Terbaru

Tetap perbarui situs Anda adalah salah satu cara terbaik untuk menjaganya tetap terlindungi. Anda mungkin berpikir pembaruan WordPress adalah tentang fitur-fitur baru, dan Anda mungkin bahkan tidak menyukai beberapa di antaranya. Namun terlepas dari itu, Anda harus memeriksa dan menginstal pembaruan saat melakukan audit keamanan di situs Anda.

Alasan di balik memperbarui versi WordPress Anda adalah karena versi yang lebih baru selalu dilengkapi dengan patch keamanan baru. Tim keamanan WordPress bekerja sama dengan pakar keamanan top di seluruh dunia untuk menjaga platform tetap aman dan sehat.

Anda dapat memeriksa pembaruan WordPress dari WP Admin Dashboard > Dashboard > Updates

WordPress Updates


Seiring dengan pembaruan WordPress, Anda juga harus memeriksa apakah ada pembaruan untuk plugin dan tema Anda. Ingat, peretas juga dapat mengeksploitasi celah apa pun pada plugin atau tema Anda untuk masuk ke situs Anda. Jadi, saya sarankan Anda memeriksa dan memperbarui semua plugin dan tema secara teratur. Anda dapat menemukan opsi pembaruan plugin dan tema di halaman yang sama dengan pembaruan WordPress.

2. Simpan dan Periksa Cadangan WordPress

Mencadangkan situs web Anda secara teratur dapat berguna jika situs web Anda diretas atau Anda kehilangan data apa pun karena malware.

Penyedia hosting berkualitas sering kali menyediakan layanan pencadangan otomatis. Tetapi bahkan jika penyedia hosting Anda menyediakan layanan pencadangan otomatis, Anda harus memasang plugin pencadangan berkualitas untuk WordPress untuk memastikan pencadangan rutin situs web Anda dan semua data Anda.

Setelah menginstal plugin cadangan, selama setiap audit keamanan, periksa apakah cadangan berjalan secara rutin.

3. Menilai Kerentanan Akun Admin

12345, 123456, 123456789, ketiganya adalah kata sandi paling populer di tahun 2019. Daftar yang disusun oleh NordPass dari 500 juta kata sandi yang bocor secara online memberi peringkat semua kata sandi populer dan 10 besar di antaranya ada di gambar di bawah ini.

Most Popular Password in 2019
Kata Sandi Paling Populer di 2019 (Sumber: NordPass)

Jika salah satu admin Anda menetapkan kata sandi begitu saja, kemungkinan besar situs web Anda akan segera dibobol. Pilih kata sandi yang kuat, lebih disukai yang disarankan oleh WordPress. Jika Anda adalah seseorang yang cenderung lupa, ada banyak aplikasi pengelola kata sandi untuk menyimpan kata sandi Anda.

Hal penting lainnya yang harus dipastikan selama audit keamanan Anda adalah tidak ada admin yang menetapkan nama pengguna admin . Ini adalah nama pengguna yang paling umum di WordPress dan tentu saja tidak boleh digunakan.

4. Periksa Pengguna dan Akun

Jika Anda memiliki forum atau situs web e-niaga yang memerlukan pengguna untuk mendaftar, Anda perlu memeriksa apakah ada pengguna yang mencurigakan selama audit keamanan. Anda dapat menemukan daftar semua pengguna dari WP Admin Dashboard > Users > All Users

Tetapi jika Anda memiliki jenis situs web lain dan tidak membutuhkan pengunjung untuk mendaftar, saya sarankan Anda mematikan opsi siapa pun yang dapat mendaftar dari Dasbor Admin WP > Umum > Siapa saja dapat mendaftar

Turning Off Anyone Can Register Option


5. Hapus Plugin yang Tidak Perlu

Memasang banyak plugin di situs web tidak hanya memakan ruang tetapi juga menimbulkan ancaman keamanan. Lebih baik mencopot pemasangan plugin saat Anda tidak membutuhkannya lagi.

Removing Unnecessary Plugins


Plugin lama sering membuka kerentanan keamanan di situs web Anda. Lebih baik untuk menghapusnya sama sekali daripada hanya menonaktifkan.

6. Copot Tema yang Tidak Digunakan

Saat menginstal WordPress, mereka mengemas tema default untuk memulai situs. Tapi setelah itu, kita semua mengubah tema kita sesuka kita. Terkadang kami menyimpan beberapa tema WordPress yang tidak pernah kami gunakan. Seperti plugin lama, tema lama ini dapat menyebabkan masalah di kemudian hari. Sekedar untuk keperluan backup, biasanya saya hanya menyimpan satu theme selain theme yang saya gunakan.

7. Jalankan Pemindaian Keamanan

Kami hampir selesai. Saatnya melakukan pemeriksaan malware terakhir dengan plugin keamanan. Ada banyak plugin keamanan untuk WordPress untuk membantu Anda dalam hal ini.

Setelah menginstal plugin keamanan di situs web Anda. Jalankan pemindaian penuh dan lihat apakah ada malware di situs web Anda. Pilih plugin yang juga dapat menangani upaya login brute force untuk mencegah serangan langsung di situs web Anda.

Cara Melakukan Audit Keamanan WordPress Menggunakan Plugin

Jika Anda tidak ingin melakukan semua tugas secara manual, ada cara lain untuk melakukan audit keamanan WordPress penting Anda. Ada beberapa plugin keamanan yang sangat bagus yang tersedia untuk situs web WordPress yang dapat secara otomatis melakukan semua tugas yang disebutkan di atas.

Log Aktivitas WP

wordpress security audit plugin

Log Aktivitas WP adalah salah satu plugin paling populer untuk melakukan audit keamanan di situs web Anda. Ini memantau setiap perubahan yang dibuat di situs web Anda dan memperingatkan untuk setiap aktivitas yang mencurigakan.

Anda dapat memeriksa jumlah pengguna yang login, aktivitas mereka, dan juga alamat IP mereka. Anda dapat membatasi jumlah upaya login, dan juga memecahkan masalah apa pun di situs web Anda. Secara keseluruhan, ini adalah plugin yang andal untuk menyerahkan tanggung jawab Anda.

Keamanan Wordfence

wordpress security audit plugin

Wordfence Security adalah plugin keamanan yang paling banyak diunduh sepanjang masa untuk WordPress. Ini memiliki serangkaian fitur keamanan yang pasti akan menjaga situs web Anda terlindungi.

Wordfence Security memiliki pemindai malware waktu nyata. Itu dapat memeriksa file inti, tema, dan plugin untuk malware, URL buruk, pintu belakang, spam SEO, pengalihan berbahaya, dan injeksi kode.

Anda juga dapat memantau lalu lintas langsung dengan plugin ini bersama dengan beberapa fitur berguna lainnya.

Membungkus

WordPress adalah salah satu platform paling aman untuk membangun situs web Anda. Jika Anda terus memperhatikan celah keamanan umum, meretas situs Anda tidak mungkin dilakukan. Dengan melakukan audit keamanan rutin, Anda dapat dengan mudah melacak semua kerentanan keamanan yang mungkin dimiliki situs web Anda.

Jika Anda bertekad tentang keamanan situs web Anda dan ingin tahu lebih banyak, inilah blog lain untuk mengetahui hal-hal yang berfungsi untuk keamanan WordPress.

Jika Anda memiliki pertanyaan tentang blog ini, silakan komentar di bawah. Kami akan dengan senang hati menanggapi setiap pertanyaan Anda.