Daftar Periksa Keamanan WordPress Terbaik [Panduan Utama]

Diterbitkan: 2022-04-22

Jika Anda ingin mengamankan situs WordPress Anda, Anda akan menemukan banyak saran online, beberapa di antaranya baik, dan beberapa benar-benar merusak, meskipun bermaksud baik.

Dalam hal keamanan WordPress, Anda harus dapat mempercayai sumber Anda dan menemukan informasi yang tidak hanya kredibel, tetapi juga layak dan dapat diterapkan. Pada tahun 2020 saja, serangan malware tumbuh lebih dari 150% dan jumlahnya tampaknya tidak akan melambat dalam waktu dekat. Oleh karena itu, mengamankan situs WordPress Anda harus menjadi prioritas nomor satu Anda.

Cara terbaik untuk mengamankan situs WordPress Anda adalah dengan memasang plugin keamanan dan membiarkannya menangani beban berat. Tetapi bahkan tanpa satu pun, Anda masih dapat mengamankan situs web Anda secara besar-besaran dengan mengikuti daftar periksa keamanan WordPress yang dibahas di bawah ini.

TL;DR: Amankan situs WordPress Anda dengan MalCare, dan hindari pemeliharaan rutin terkait keamanan. Keamanan WordPress adalah labirin celah yang perlu Anda tambal. Lihat daftar periksa keamanan WordPress kami untuk memastikan Anda tidak melewatkan sesuatu yang penting.

Isi sembunyikan
1 Metode termudah untuk mengamankan situs WordPress Anda
2 Daftar Periksa Keamanan WordPress Terbaik
2.1 Untuk keamanan sehari-hari
2.2 Untuk keamanan bulanan
2.3 Untuk keamanan jangka panjang
2.4 Tindakan satu kali untuk keamanan penuh
3 Mengapa Keamanan Situs Web Itu Penting
4 Pikiran Terakhir

Metode termudah untuk mengamankan situs WordPress Anda

Seperti yang kami katakan, cara terbaik untuk mengamankan situs WordPress Anda adalah dengan menggunakan plugin keamanan, khususnya, MalCare. MalCare tidak hanya menangani checklist keamanan WordPress secara otomatis, tetapi juga tanpa Anda harus khawatir tentang melacak setiap detail kecil.

MalCare memiliki beberapa fitur yang bekerja sama untuk menjaga keamanan situs Anda. Namun tiga fitur teratasnya memastikan bahwa situs Anda tetap bebas malware—pemindaian, firewall, dan pembersihan. Dengan MalCare, Anda dapat menjadwalkan pemindaian otomatis di situs WordPress Anda dan mendapatkan peringatan jika terdeteksi sesuatu yang mencurigakan. MalCare juga melindungi situs Anda dengan firewall cerdas yang mencegah sebagian besar serangan. Dan yang paling penting, jika situs Anda diretas—mengingat tidak ada situs yang dapat dengan mudah diretas, MalCare membersihkan situs Anda dalam hitungan menit dengan satu klik tombol.

Alasan lain mengapa Anda harus memilih MalCare, adalah bahwa dengan langkah-langkah keamanan manual, selalu ada kemungkinan kesalahan manusia. Tapi kesalahan dalam keamanan dapat menyebabkan Anda lebih dari sekedar beberapa dolar. Jika peretasan semakin parah, mereka dapat menyebabkan pencurian data, perusakan situs web, kehilangan pelanggan, dan yang paling penting, hilangnya kepercayaan yang diderita bisnis Anda.

Daftar Periksa Keamanan WordPress Terbaik

Ada begitu banyak elemen ke situs WordPress yang melacak semuanya bisa menjadi luar biasa. Kami telah menyusun daftar periksa keamanan WordPress untuk Anda berdasarkan frekuensi waktu yang Anda perlukan untuk menangani tugas tersebut.

Untuk keamanan sehari-hari

Keamanan situs web adalah proses yang konstan dan tidak dapat menjadi komitmen satu kali. Tetapi ada cara di mana Anda dapat mengotomatiskan tugas sehari-hari. Tugas-tugas ini memastikan bahwa situs Anda aman dari masalah atau ancaman yang tidak terduga.

Pindai situs Anda

Penting untuk memindai situs Anda dari malware setiap hari. Sebuah situs web diretas setiap 38 detik di internet, dan ada kemungkinan besar Anda salah satunya. Memindai situs Anda secara teratur memastikan bahwa Anda adalah orang pertama yang mengetahui adanya ancaman atau malware di situs Anda dan membantu Anda mengambil tindakan sebelum penyerang dapat menyebabkan kerusakan pada situs Anda.

pemindaian situs yang diretas

Jika memindai situs Anda setiap hari secara manual tampak membosankan bagi Anda, Anda dapat memilih solusi keamanan seperti MalCare, yang memungkinkan Anda menjadwalkan pemindaian otomatis setiap hari, sehingga Anda tidak perlu khawatir kehilangan pemindaian atau harus menjalankannya secara pribadi .

Cadangkan situs web Anda

Ada beberapa alasan mengapa Anda harus membuat cadangan situs WordPress Anda, tetapi yang paling penting adalah keamanan. Jika tidak terdeteksi tepat waktu, malware dapat menyebabkan kerusakan pada situs WordPress Anda dan akibatnya menyebabkan hilangnya data atau perusakan situs web. Seringkali, web host menghapus situs dari server mereka jika mereka terinfeksi, dan kecuali Anda memiliki cadangan independen dari situs Anda, Anda harus memulai dari awal.

Penting untuk mencadangkan situs web bernilai tinggi setiap hari, sehingga tidak ada hal penting yang hilang. Ini terutama berlaku untuk situs WooCommerce yang membutuhkan pencadangan waktu nyata. Solusi praktis seperti BlogVault dapat membuat proses ini sangat mudah. BlogVault memungkinkan Anda untuk menjadwalkan pencadangan setiap hari, atau secara waktu nyata, tergantung pada kebutuhan Anda, dan menyimpan cadangan ini di server eksternal sehingga meskipun server situs web Anda diretas, pencadangan tetap aman.

Untuk keamanan bulanan

Periksa log aktivitas

Peretasan dan pemasangan malware, adware, atau program jahat lainnya biasanya terjadi secara diam-diam. Seringkali, satu-satunya jejak yang terlihat dapat ditemukan di log aktivitas situs Anda, catatan kronologis aktivitas yang dilakukan dan perubahan yang dibuat. Oleh karena itu, sebaiknya lakukan pemeriksaan bulanan pada log aktivitas situs Anda untuk mencari inkonsistensi atau aktivitas yang mencurigakan. Ini dapat membantu Anda melacak sejumlah detail penting jika situs Anda diretas, seperti alamat IP apa yang terlibat, dan bagaimana hal itu bisa terjadi.

Jika situs Anda adalah situs produksi tinggi yaitu Anda mempublikasikan konten setiap hari atau setiap minggu, memeriksa log aktivitas sebulan sekali mungkin akan membuat Anda kewalahan karena ada banyak perubahan di situs tersebut. Dalam hal ini, Anda dapat memeriksa log aktivitas seminggu sekali atau dua minggu sekali.

WordPress tidak menawarkan log aktivitas secara default sehingga Anda harus mengandalkan plugin untuk itu. Atau, MalCare memberi Anda log aktivitas yang terperinci dan mudah dipahami bersama dengan keamanan WordPress yang lengkap.

Perbarui situs web Anda

Idealnya, Anda harus memperbarui situs WordPress Anda segera setelah pembaruan baru dirilis, tetapi melakukan pembaruan bulanan juga berfungsi. Dengan mengikuti jadwal pembaruan bulanan, Anda dapat yakin bahwa situs Anda terlindungi dengan baik, dan setiap kerentanan baru ditambal.

Pembaruan sering kali menakutkan karena diketahui merusak situs. Tetapi jika Anda menggunakan plugin seperti BlogVault, Anda dapat menguji pembaruan Anda di situs pementasan dan menggabungkan perubahan dengan mulus dengan situs langsung Anda.

Periksa Search Console

Menambahkan situs WordPress Anda ke Google Search Console memiliki sejumlah manfaat terkait SEO, tetapi juga dapat membantu keamanan situs Anda. Search Console Google memiliki tab Masalah Keamanan yang menandai setiap malware yang terdeteksi di situs Anda, jadi memeriksanya dari waktu ke waktu dapat membantu Anda mendeteksi malware.

Jika Anda memindai situs Anda dengan MalCare secara teratur, Anda pasti sudah mendeteksi malware di situs Anda. Tetapi masih merupakan praktik yang baik untuk melihat apakah Google menganggap ada aktivitas mencurigakan yang sedang berlangsung di situs Anda.

Hapus tema dan plugin yang tidak digunakan

Menghapus tema dan plugin lama dan tidak digunakan memiliki dua tujuan. Yang pertama adalah mempercepat situs Anda, karena terlalu banyak file dapat menyebabkan kembung dan server melambat. Yang kedua adalah memastikan bahwa situs Anda tidak dapat diserang melalui mereka. Tema dan plugin yang tidak digunakan sering diabaikan dan tidak diperbarui, menciptakan kerentanan yang dapat dengan mudah dimanfaatkan. Jadi pastikan untuk menjalankan pemeriksaan bulanan pada semua tema dan plugin yang Anda gunakan dan hapus yang telah memenuhi tujuannya.

Catatan: Periksa juga plugin palsu di situs Anda. Malware sering disembunyikan sebagai folder plugin tetapi plugin palsu hanya memiliki satu atau dua file, tidak dapat ditemukan di repositori WordPress dan memiliki nama aneh seperti 'azzz' atau 'tiff'.

Perbarui kredensial Anda

Menggunakan kredensial yang sama terlalu lama atau menggunakannya kembali di beberapa akun adalah risiko besar. Untuk melindungi situs WordPress Anda, perbarui kata sandi Anda setidaknya sebulan sekali. Ini memastikan bahwa peretas yang mungkin telah memperoleh kata sandi Anda tidak dapat menggunakannya, dan juga mengeluarkan Anda dari akun Anda di semua perangkat. Meskipun sedikit merepotkan, ini memastikan bahwa Anda dapat mengontrol akses ke situs web Anda.

Periksa peran dan hak istimewa pengguna

Akun pengguna di situs WordPress Anda sama pentingnya dengan akun admin. Jika seorang peretas mendapatkan akses ke akun apa pun, mereka dapat menginfeksi situs Anda, meningkatkan hak istimewa peran mereka, dan bahkan mengunci Anda dari situs Anda sendiri.

Pastikan bahwa setiap pengguna di situs hanya memiliki hak istimewa yang diperlukan, dan akun pengguna lama dihapus. Periksa juga apakah ada hak pengguna yang telah ditingkatkan tanpa otorisasi Anda, itu bisa menjadi tanda malware.

Blokir IP berbahaya

Memblokir atau membatasi IP berbahaya dapat membuat hidup Anda jauh lebih mudah. Jika Anda diretas, Anda dapat melacak alamat IP asalnya, dan cukup memblokirnya. Ini menghentikan siapa pun dengan alamat IP tersebut untuk mengakses situs Anda. Metode ini digunakan untuk memerangi peretas, menghentikan bot atau troll, dan menjauhkan pengguna yang tidak sah. Jika Anda menggunakan firewall, itu akan secara otomatis memblokir IP berbahaya untuk Anda.

Anda juga dapat memblokir seluruh area geografis, jika Anda mengalami serangan berulang yang datang dari wilayah tersebut.

Uji cadangan Anda

Jika yang terburuk terjadi dan situs WordPress Anda tidak berfungsi, Anda dapat mengandalkan cadangan Anda untuk mengaktifkannya kembali. Tetapi Anda perlu memastikan bahwa cadangan Anda juga aman. Jika cadangan Anda telah diretas, memulihkannya tidak akan ada gunanya. Demikian pula, Anda juga perlu menguji apakah mereka berfungsi, atau Anda akan memulihkan situs yang rusak. Anda dapat menguji cadangan Anda dengan mudah jika Anda menggunakan BlogVault, dan memastikan bahwa cadangan tersebut dapat diandalkan.

Perbarui garam WordPress

WordPress menggunakan garam sebagai bagian dari proses enkripsi. Garam adalah string karakter acak yang ditambahkan ke kata sandi sebelum enkripsi. String yang dihasilkan adalah hash, dan itulah yang disimpan dalam database. Dengan begitu, jika seorang peretas dapat mengeluarkan kata sandi yang di-hash dari database, DAN mendekripsinya, mereka masih tidak tahu bagian mana dari kata sandi yang sebenarnya adalah kata sandi dan apa garamnya. Satu-satunya cara mereka akan tahu ini adalah jika mereka mendapatkan akses ke garam dan kunci keamanan di file konfigurasi.

Ini mirip dengan bagaimana kata sandi disimpan di cookie browser. Alasan Anda dapat tetap masuk ke situs mana pun adalah karena informasi sesi disimpan dalam cookie. Tetapi jika kata sandi plaintext disimpan di sana, itu akan berbahaya. Jadi WordPress menyimpan versi salted dan hash sebagai gantinya. Memiliki akses ke garam tidak berarti Anda dapat mendekripsi hash, tetapi itu mengurangi tingkat keamanan. Oleh karena itu, penting untuk memperbarui garam WordPress Anda secara berkala.

Untuk keamanan jangka panjang

Periksa SSL

SSL adalah protokol keamanan yang dirancang untuk mengenkripsi komunikasi apa pun ke dan dari server situs web Anda. Ini menghentikan penyerang mengakses, membaca, atau mengubah informasi apa pun yang sedang ditransfer.

Biasanya, Anda mengamankan situs Anda dengan SSL saat mendapatkan domain atau paket hosting. Namun, sertifikat SSL kedaluwarsa kira-kira setiap dua tahun, dan Anda perlu memastikan bahwa sertifikat itu diperbarui paling cepat. Ini sangat penting jika pengguna melakukan transaksi di situs web Anda, karena pelanggaran keamanan apa pun dapat menyebabkan rincian kartu kredit atau rincian rekening bank bocor.

Periksa paket hosting

Jika Anda lupa memperbarui paket hosting tepat waktu, akun WordPress Anda akan ditangguhkan. Ini dapat menyebabkan sejumlah masalah. Lalu lintas situs Anda akan terpukul, Anda akan kehilangan pelanggan, dan Anda bahkan mungkin kehilangan data. Memeriksa layanan hosting Anda secara teratur juga memungkinkan Anda menganalisis lalu lintas situs dan penggunaan server. Penggunaan server yang terlalu tinggi adalah gejala umum dari serangan brute force, dan menangkap serangan seperti itu lebih awal memiliki peluang yang lebih baik untuk menghentikannya. Saat Anda diperingatkan akan serangan brute force lebih awal, Anda dapat bertindak dan mengamankan situs Anda sebelum peretas mendapatkan akses ke situs Anda.

Tindakan satu kali untuk keamanan penuh

Meskipun keamanan WordPress perlu ditinjau terus-menerus, ada beberapa tindakan yang dapat Anda ambil sekali dan tidak harus memperbarui terus-menerus.

Berinvestasi dalam firewall yang kuat

Firewall melindungi situs WordPress Anda dengan menyaring lalu lintas berbahaya, dan menghentikan sebagian besar serangan sebelum mereka dapat menginfeksi situs web Anda. Ada beberapa jenis firewall, seperti firewall aplikasi web, firewall jaringan, atau firewall berbasis cloud. Firewall aplikasi web yang kuat seperti MalCare memungkinkan Anda untuk memfilter lalu lintas situs web Anda, dan memblokir pengunjung berdasarkan jumlah upaya login atau lokasi geografis.

Terapkan Otentikasi HTTP

Otentikasi HTTP adalah protokol yang memungkinkan akses ke sumber daya web hanya untuk mereka yang dimaksudkan untuk mengaksesnya. Otentikasi HTTP membatasi akses dengan meminta nama pengguna dan kata sandi ketika halaman web tertentu diminta. Sekarang jelas, Anda tidak dapat melakukan ini untuk seluruh situs web Anda, tetapi menerapkannya untuk dasbor admin atau halaman login Anda dapat secara signifikan mengurangi jumlah serangan bot.

Gunakan Otentikasi Dua Faktor

Otentikasi dua faktor adalah metode yang mengharuskan pengguna untuk menyajikan dua kunci terpisah untuk mengakses akun. Misalnya, jika Anda mencoba mengakses email Anda, biasanya Anda perlu memberikan nama pengguna dan kata sandi, tetapi ketika Anda menerapkan otentikasi dua faktor, Anda juga harus memberikan kunci yang dibuat secara real-time seperti kunci -waktu kata sandi atau PIN. Ini menurunkan jumlah upaya login dan tidak membanjiri server situs web Anda dengan permintaan login. Ini juga melindungi situs web Anda dari serangan brute force. Anda dapat menggunakan plugin seperti 2FA untuk mengaktifkan otentikasi dua faktor untuk situs Anda.

Batasi upaya masuk

Kami telah berbicara tentang bagaimana upaya login perlu dibatasi. WordPress, secara default, memungkinkan upaya login tanpa batas, dan ini menawarkan peluang matang bagi peretas untuk mencoba mengakses akun WordPress Anda dengan serangan brute force. Cara termudah untuk membatasi upaya login adalah dengan menggunakan plugin keamanan seperti MalCare, atau Anda dapat menambahkan kode khusus ke file function.php Anda.

Nonaktifkan XML-RPC

Mirip dengan WP REST API, XML-RPC adalah fitur WordPress yang memungkinkan Anda untuk mempublikasikan konten dari jarak jauh. Ini berguna jika Anda menggunakan aplikasi WordPress atau perlu mengaktifkan trackback dan pingback tetapi sebaliknya, ini dapat dieksploitasi oleh peretas untuk mendapatkan akses ke situs Anda melalui serangan brute force. Solusi termudah di sini adalah menonaktifkannya dengan plugin atau secara manual.

Nonaktifkan Penjelajahan Direktori

Ketika server Anda tidak menemukan file indeks untuk situs web, itu menunjukkan indeks isi direktori. Jika peretas dapat mengakses informasi ini, mereka dapat memeriksa apakah Anda memiliki file yang rentan di situs web Anda. Ini membuka situs web Anda terhadap risiko keamanan utama.

Untuk menghindari hal ini, Anda dapat menonaktifkan penjelajahan direktori dengan menambahkan sebaris kode ke file .htaccess Anda. Ikuti langkah-langkah ini untuk menonaktifkan penjelajahan direktori di situs WordPress Anda.

  • Unduh file .htaccess di situs Anda melalui klien FTP.
  • Buka file dan tambahkan kode berikut ke bagian bawah file:

Opsi Semua -Indeks

  • Sekarang simpan file, dan unggah ulang. Anda harus menghapus file asli dari situs Anda terlebih dahulu.

Batasi Izin File

Izin file di situs Anda menentukan siapa yang dapat mengakses bagian mana dari situs Anda dan siapa yang dapat mengubahnya. Biasanya, host web Anda mengonfigurasi semua informasi ini untuk Anda. Tetapi masih merupakan praktik yang baik untuk memahami izin file dan memastikan bahwa mereka dikonfigurasikan secara optimal.

Jika Anda ingin memahami cara kerja izin file dan bagaimana Anda dapat mengoptimalkannya untuk keamanan situs Anda, baca panduan kami yang terperinci dan ramah bagi pemula.

Sembunyikan file wp-config

File wp-config di situs web Anda penuh dengan informasi sensitif seperti kata sandi, kunci, dan garam. Jika peretas mendapatkan akses ke file tersebut, itu akan seperti menggulung karpet merah ke situs web untuk mereka. File wp-config terletak di folder public_html secara default, sehingga peretas tahu di mana mencarinya. Tetapi Anda dapat mengubah lokasi file, dan itu masih berfungsi dengan baik, sambil menyembunyikan informasi sensitif secara efektif.

Menonaktifkan Eksekusi PHP di Folder Tertentu

Peretas dapat mengunggah file PHP di situs Anda dengan menyamar sebagai file inti WordPress dan mendapatkan akses ke situs Anda. Beberapa folder seperti wp-uploads seharusnya tidak memiliki file PHP sama sekali. Jadi apa yang Anda lakukan dalam kasus ini?

Anda dapat menonaktifkan eksekusi PHP di folder ini sehingga meskipun peretas berhasil masuk ke file ini melalui pintu belakang apa pun, mereka tidak dapat mengakses situs Anda.

Daftar periksa keamanan WordPress

Mengapa Keamanan Situs Web Itu Penting

WordPress adalah platform yang aman, tetapi sangat populer dan menarik segala macam perhatian. Beberapa di antaranya adalah jahat. Untuk memastikan bahwa peretas tidak dapat memperoleh akses ke situs Anda, Anda perlu memastikan bahwa keamanan situs web Anda mutakhir, atau Anda dapat menghadapi konsekuensi yang mengerikan seperti:

  • Kehilangan pelanggan
  • Data hilang
  • Kredensial pribadi bocor
  • Kehilangan pendapatan
  • Masalah hukum
  • Memukul reputasi merek
  • Hilangnya kepercayaan

Pikiran Akhir

Keamanan WordPress bukanlah sebuah misteri. Jika Anda mengambil beberapa langkah untuk mengamankan situs Anda, Anda akan dapat menangkis serangan dan malware, dan menghindari kerusakan apa pun. Kami berharap daftar periksa keamanan WordPress ini membantu Anda memperketat tindakan keamanan Anda.

Jika Anda menginginkan solusi tanpa kerumitan yang tidak membahayakan keamanan Anda, MalCare adalah satu-satunya pilihan. Dengan pemindaian otomatis, firewall canggih, dan pembersihan sekali klik, MalCare adalah solusi 360 derajat yang melindungi situs Anda.

FAQ

Bagaimana cara mengamankan situs WordPress saya?

Metode termudah untuk mengamankan situs WordPress Anda adalah dengan memasang plugin keamanan seperti MalCare. MalCare memindai situs web Anda setiap hari untuk memastikan bahwa situs web Anda aman, dan melindungi situs web Anda dengan firewall canggihnya. Ini juga menawarkan pembersihan satu klik jika ada peretasan.

Apakah WordPress memiliki masalah keamanan?

WordPress adalah platform aman yang digunakan oleh lebih dari setengah situs web di internet. Namun, karena popularitas inilah yang menarik perhatian para peretas. Anda dapat mengamankan situs WordPress Anda dengan plugin keamanan untuk memastikan bahwa situs Anda aman dari elemen-elemen ini.

Bagaimana cara mengamankan situs WordPress saya tanpa plugin?

Jika Anda ingin mengamankan situs Anda tanpa menggunakan plugin, Anda perlu melakukan beberapa pemeriksaan keamanan secara teratur. Anda harus melakukan pemindaian situs, membuat cadangan, mencari perilaku mencurigakan di log aktivitas situs, dan secara manual membersihkan malware yang mungkin Anda deteksi. Daftar cara peretas dapat masuk ke situs Anda tidak ada habisnya, dan satu-satunya cara Anda dapat mengamankan situs tanpa harus terus-menerus waspada adalah dengan menggunakan plugin keamanan.