16 Masalah Keamanan WordPress (Kerentanan) & Tips Untuk Memperbaikinya

WordPress memudahkan siapa saja untuk memiliki situs web dengan cepat, tetapi ada banyak kebisingan online yang berbicara tentang berapa banyak masalah keamanan yang dimilikinya.

Apakah WordPress memiliki masalah keamanan? Ya
Apakah mereka tidak dapat diatasi? Tidak
Haruskah itu menghentikan Anda membangun situs web Anda dengan WordPress? Pasti tidak

Perkiraan konservatif menempatkan jumlah situs web sekitar 2 miliar, dan WordPress mendukung hampir 45% dari mereka. Itu karena WordPress sangat produktif sehingga mengalami banyak peretasan. Sebagai konsekuensi langsung, WordPress telah berkembang menjadi sistem yang sangat aman. Faktanya, banyak masalah keamanan yang telah diselesaikan WordPress selama bertahun-tahun masih ada di CMS lain.

Pada artikel ini, kami akan menjelaskan masalah keamanan WordPress yang harus Anda waspadai, dan yang lebih penting, bagaimana Anda dapat melindungi situs web Anda darinya.

TL;DR: Lindungi situs web Anda dari masalah keamanan WordPress dengan MalCare. MalCare adalah plugin keamanan all-in-one, yang menggabungkan pemindai malware, pembersih otomatis, dan firewall di satu tempat. Selain itu, Anda dapat dengan aman memperbarui situs web Anda dan mencegah peretas mengeksploitasi kerentanan keamanan. Jika Anda mencari solusi ahli untuk masalah keamanan WordPress, Anda telah menemukannya dengan MalCare.

Apakah WordPress memiliki masalah keamanan?

Ya, ada masalah keamanan dengan WordPress, tetapi ini tidak sulit untuk ditangani lagi. Anda tidak perlu memiliki pengalaman pengembangan atau terbiasa mengutak-atik kode WordPress untuk dapat menangkal ancaman. Ikuti perbaikan sederhana yang diuraikan dalam artikel ini, dan Anda akan memiliki situs web WordPress yang kuat dan aman.

16 Masalah keamanan WordPress umum yang dapat memengaruhi situs web Anda

WordPress memang memiliki banyak masalah keamanan, tetapi hal baiknya adalah semuanya dapat diselesaikan dengan mudah. Tidak ada yang ingin menghabiskan waktu mengelola keamanan situs web mereka, alih-alih mengembangkannya atau meningkatkan pendapatan mereka.

Terlepas dari kerentanan keamanan WordPress dan kata sandi yang disusupi, malware dan serangan juga merupakan masalah keamanan. Meskipun serangan malware dan WordPress terkadang digunakan secara bergantian, keduanya berbeda. Malware adalah kode berbahaya yang disuntikkan peretas ke situs web Anda; sedangkan serangan adalah mekanisme yang mereka gunakan untuk menyuntikkan malware. Dalam daftar di bawah ini, kami telah membahas semua 4 jenis masalah keamanan WordPress.

Berikut adalah daftar masalah keamanan wordpress umum yang perlu Anda ketahui:

• Plugin dan tema kedaluwarsa
• Kata sandi yang lemah
• Malware di situs WordPress Anda
• malware spam SEO
• Penipuan phishing
• Pengalihan berbahaya
• Kata sandi yang digunakan kembali
• Perangkat lunak kosong
• Pintu belakang di situs WordPress Anda
• wp-vcd.php malware
• Serangan brute force
• injeksi SQL
• Serangan skrip lintas situs
• Situs web menggunakan HTTP bukan HTTPS
• Email spam dikirim dari WordPress
• Akun pengguna yang tidak aktif

1. Plugin dan tema yang kedaluwarsa

Plugin dan tema WordPress semuanya dibuat dengan kode dan, seperti yang kami jelaskan sebelumnya, pengembang terkadang membuat kesalahan dalam kode. Kesalahan dapat menyebabkan penyimpangan dalam keamanan, yang disebut kerentanan.

Peneliti keamanan mencari kerentanan keamanan WordPress dalam perangkat lunak populer, untuk membuat Internet menjadi tempat yang lebih aman. Ketika mereka menemukan kerentanan, mereka mengungkapkannya kepada pengembang untuk diperbaiki. Pengembang yang bertanggung jawab kemudian merilis patch keamanan dalam bentuk pembaruan, yang menyelesaikan kerentanan. Setelah waktu yang cukup telah berlalu, peneliti keamanan kemudian akan mengumumkan temuan mereka.

Idealnya, pada saat ini, plugin dan tema sudah diperbarui. Namun, itu sangat sering tidak terjadi. Dan peretas mengetahui dan mengandalkan kecenderungan ini untuk menyerang situs web, dan mengeksploitasi kerentanan.

Pembaruan terkadang dapat merusak situs, kecuali jika Anda melakukannya dengan hati-hati. Gunakan BlogVault untuk mengelola pembaruan, sehingga situs dicadangkan sebelum pembaruan, dan Anda dapat memastikan semuanya berfungsi dengan baik pada tahap sebelum pindah ke situs langsung.

Perbaiki: Kelola pembaruan segera di situs web Anda.

2. Kata sandi yang lemah

Peretas menggunakan program yang disebut bot untuk menyerang halaman login, mencoba banyak kombinasi nama pengguna dan kata sandi untuk masuk ke situs web. Seringkali bot dapat mencoba sebanyak ratusan kombinasi per menit, menggunakan kata-kata kamus dan kata sandi yang umum digunakan untuk menerobos. Begitu mereka berhasil, peretas memiliki akses pintu terbuka ke situs web Anda.

Di sisi lain, password yang kuat sulit untuk diingat, jadi admin memilih yang mudah diingat, seperti nama hewan peliharaan, tanggal lahir, atau bahkan permutasi dari kata 'password'.

Namun, ini membuat keamanan situs rentan terhadap serangan. Informasi ini tersedia secara online secara sah melalui media sosial dan situs lain, dan secara tidak sah melalui pelanggaran data atau web gelap. Hal terbaik yang harus dilakukan adalah memiliki kata sandi yang kuat dan unik untuk menjaga akun Anda, dan karenanya situs web, aman.

Catatan: Anda perlu mengatur kata sandi yang kuat di seluruh akun situs Anda, yang mencakup akun pengguna dan akun hosting Anda. Admin tidak sering mengubah kredensial SFTP dan basis data, tetapi jika Anda telah melakukannya, pastikan Anda juga menetapkan kata sandi yang kuat untuk ini.

Selain itu, Anda dapat membatasi upaya login di WordPress. Jika pengguna memiliki terlalu banyak login yang salah, mereka akan dikunci untuk sementara, atau mereka perlu mengisi CAPTCHA untuk membuktikan bahwa mereka bukan bot. Tindakan ini mencegah bot keluar, dan memungkinkan kesalahan manusia.

Perbaiki: Terapkan kata sandi yang kuat dan batasi upaya masuk untuk memblokir bot.

3. Malware di situs WordPress Anda

Malware adalah istilah umum yang digunakan untuk mendeskripsikan kode apa pun yang memungkinkan aktivitas tidak sah di situs web Anda. Pada poin selanjutnya, kita juga akan melihat kasus tertentu, seperti penipuan backdoor dan phishing.

Ketika kita berbicara tentang mengatasi masalah keamanan WordPress, tujuannya adalah untuk mencegah malware. Namun, seperti yang telah kami katakan sebelumnya, tidak ada sistem yang 100% antipeluru. Anda dapat melakukan segalanya dengan benar, dan peretas yang cerdas akan menemukan cara baru untuk menembus pertahanan. Ini jarang terjadi, tetapi itu terjadi. Jadi bagaimana Anda menangani malware, jika sudah ada di situs web Anda?

Pertama-tama, Anda perlu mengonfirmasi bahwa malware memang ada di situs web Anda. Malware dapat bersembunyi di file, folder, dan di database. Kami telah melihat file malware menyamar sebagai file inti WordPress, sebagai file gambar, dan bahkan muncul sebagai plugin. Satu-satunya cara untuk memastikan apakah situs web Anda terinfeksi atau tidak adalah dengan memindainya setiap hari. Untuk itu, Anda perlu menginstal MalCare.

MalCare menggunakan algoritme canggih untuk mendeteksi malware di situs web Anda. Pemindai lain menggunakan teknik yang sebagian efektif seperti perbandingan file dan pencocokan tanda tangan untuk menandai malware. MalCare menggunakan 100+ sinyal untuk memeriksa perilaku kode, lalu menandainya sebagai malware jika tujuannya berbahaya. Ini memiliki dua keuntungan besar: satu, tidak ada kesalahan positif, kode kustom mana yang ditandai sebagai malware; dan dua, bahkan varian terbaru dari malware terdeteksi dengan benar.

MalCare 95%+ akurat saat memindai malware, dan sepenuhnya gratis. Jika hasil pemindaian menunjukkan bahwa situs web Anda diretas, baru Anda perlu meningkatkan versi untuk membersihkannya. Dengan MalCare, fitur pembersihan otomatis akan menghapus malware dari situs WordPress Anda secara operasi, membuat situs web Anda bersih sekali lagi.

Perbaiki: Pindai dan bersihkan situs web Anda dengan MalCare.

4. malware spam SEO

Spam SEO adalah malware yang sangat mengerikan yang digunakan oleh peretas untuk mengalihkan lalu lintas situs web Anda dari situs web Anda ke situs web mereka yang teduh dan berisi spam. Mereka melakukan ini dengan membajak hasil pencarian Anda di Google, memasukkan kode ke halaman Anda yang ada, atau dengan mengarahkan lalu lintas ke situs web mereka sendiri. Terkadang mereka melakukan semua hal ini. Bagaimanapun, itu selalu menjadi berita buruk.

Ada beberapa varian umum dari malware spam SEO, seperti peretasan kata kunci Jepang dan peretasan farmasi. Kedua varian ini mendapatkan ketenaran tersendiri karena gejalanya secara khusus karakter Jepang atau kata kunci farmasi dalam hasil pencarian.

Semua jenis malware spam SEO sangat sulit untuk dihapus secara manual karena mereka dapat membuat ratusan ribu halaman spam baru, yang tidak mungkin dihapus dengan mudah. Plus, mereka memasukkan malware ke dalam file dan folder inti WordPress yang penting, seperti file .htaccess, yang dapat merusak situs jika tidak dibersihkan dengan benar.

Selalu situs dengan jenis malware ini ditandai di Google Search Console, masuk ke daftar hitam Google, dan mengarahkan host web untuk menangguhkan akun hosting Anda. Oleh karena itu, kunci untuk menangani peretasan ini adalah menyerahkannya kepada ahlinya, yang dalam hal ini adalah plugin keamanan WordPress yang disebut MalCare.

MalCare tidak hanya akan menyingkirkan malware, tetapi juga memastikan situs Anda dilindungi dengan firewall canggih.

Perbaiki: Hapus malware spam SEO dengan MalCare.

5. Penipuan phishing

Malware phishing adalah penipuan dua bagian yang menipu pengguna agar memberikan detail rahasia mereka dengan menyamar sebagai merek tepercaya.

Bagian pertama adalah mengirim email yang tampak resmi ke pengguna yang tidak curiga, biasanya dengan peringatan yang mengerikan bahwa sesuatu yang buruk akan terjadi jika mereka tidak segera memperbarui kata sandi mereka atau sesuatu. Misalnya, ketika email phishing memalsukan pelanggan host web, mereka mungkin mengatakan bahwa situs tersebut dalam bahaya untuk dihapus.

Paruh kedua penipuan terjadi di situs web. Email phishing biasanya memiliki tautan yang membawa pengguna ke situs web yang tampaknya resmi, dan meminta mereka memasukkan kredensial mereka. Situs web ini jelas palsu, dan ini adalah jumlah orang yang mengkompromikan akun mereka.

Di situs web WordPress, phishing hadir dalam dua jenis, tergantung pada bagian mana dari penipuan yang terjadi. Dalam kasus pertama, admin WordPress mendapatkan email phishing tentang bagaimana pembaruan basis data diperlukan untuk situs web mereka, dan mereka ditipu untuk memasukkan detail login mereka.

Di sisi lain, peretas dapat menggunakan situs web Anda untuk halaman palsu. Seringkali admin situs web menemukan logo perbankan atau logo situs web e-commerce di situs web mereka, meskipun mereka tidak memiliki alasan untuk berada di sana. Ini digunakan untuk menipu orang.

Google sangat cepat menindak penipuan phishing, dan terutama di situs web yang menghosting halaman ini. Situs web Anda akan masuk daftar hitam dan ditampar dengan pemberitahuan deteksi situs web phishing, dan itu sangat buruk bagi kepercayaan dan branding pengunjung. Meskipun Anda tidak bersalah, situs web Anda telah menjadi tuan rumah penipuan. Sangat penting bahwa Anda menyingkirkan malware ini sesegera mungkin, dan mengambil langkah-langkah menuju pengendalian kerusakan.

Perbaiki: Hapus malware phishing dari situs web Anda dengan MalCare, dan beri tahu pengguna Anda untuk tidak mengeklik tautan apa pun dari dalam email.

6. Pengalihan berbahaya

Salah satu peretasan WordPress terburuk adalah peretasan redirect berbahaya. Sangat frustasi untuk mengunjungi situs web Anda, hanya untuk dibawa ke situs web lain yang berisi spam atau scam, menjual produk dan layanan yang meragukan. Seringkali, admin WordPress bahkan tidak dapat masuk ke situs web mereka karena malware redirect yang diretas.

Ada banyak varian malware ini, dan menginfeksi file dan database situs web sepenuhnya. Kami telah melihat contoh malware redirect yang diretas di setiap posting situs dengan lebih dari 500 posting. Itu adalah mimpi buruk, dan admin sangat frustrasi.

Satu-satunya cara untuk menyingkirkan malware pengalihan berbahaya adalah dengan menggunakan plugin keamanan. Bahkan, Anda mungkin memerlukan bantuan untuk menginstal plugin sama sekali, karena Anda tidak dapat masuk ke situs web Anda. Di situlah tim dukungan MalCare dapat membantu. Mereka akan memandu Anda melalui proses instalasi, dan jika perlu membersihkan situs untuk Anda.

Fix: Singkirkan malware redirect yang diretas dengan MalCare.

7. Kata sandi yang digunakan kembali

Kata sandi yang digunakan kembali dapat berupa kata sandi yang kuat, seperti yang kita bicarakan di bagian sebelumnya, tetapi kata sandi itu tidak selalu unik.

Misalnya, akun media sosial dan akun situs web Anda memiliki rangkaian huruf, karakter, dan angka yang sama untuk kata sandi. Anda sudah terbiasa mengetiknya, dan Anda pikir itu tidak bisa ditebak jadi itu kata sandi yang bagus.

Nah, Anda setengah benar. Ini adalah kata sandi yang bagus, tetapi hanya untuk satu akun. Aturan praktisnya adalah jangan pernah menggunakan kembali kata sandi di seluruh akun. Dan alasannya adalah potensi ancaman pelanggaran data.

GoDaddy mengalami pelanggaran pada September 2021, yang baru mereka temukan pada November 2021. Saat itu, 1,2 juta basis data pengguna dan kredensial SFTP telah disusupi. Jika salah satu dari pengguna tersebut telah menggunakan kata sandi itu di tempat lain, seperti rekening bank, informasi itu sekarang berada di tangan peretas. Menjadi jauh lebih mudah untuk membobol akun lain.

Kami mempercayai berbagai layanan dan situs web untuk mengamankan data kami, tetapi tidak ada sistem yang sepenuhnya antipeluru. Hal-hal dapat dan akan pecah pada kesempatan. Tujuannya adalah untuk menahan kerusakan sebanyak mungkin. Membuat kata sandi yang unik dan kuat untuk setiap akun membantu Anda melakukannya.

Perbaiki: Tetapkan kata sandi unik dan gunakan pengelola kata sandi untuk mengingatnya.

8. Perangkat lunak kosong

Plugin dan tema nulled adalah versi premium dengan lisensi yang di-crack yang tersedia secara online gratis. Terlepas dari dimensi moral mencuri dari pengembang, perangkat lunak yang dibatalkan adalah risiko keamanan WordPress yang sangat besar.

Sebagian besar tema dan plugin nulled penuh dengan malware. Peretas mengandalkan orang untuk menginginkan produk premium yang bagus, dan menunggu mereka memasangnya. Situs web mendapat dosis malware yang dikirimkan langsung ke sana, dan situs tersebut sekarang diretas. Ini adalah satu-satunya alasan mengapa ada orang yang repot-repot memecahkan perangkat lunak premium. Robin Hood tidak terlibat dalam ekosistem WordPress.

Bahkan jika tema dan plugin yang dibatalkan tidak memiliki malware—yang sangat jarang—Anda tidak dapat memperbaruinya. Karena mereka bukan versi resmi, mereka jelas tidak menerima dukungan dari pengembang. Jadi, jika kerentanan ditemukan dan pengembang merilis tambalan keamanan, perangkat lunak yang dibatalkan juga kedaluwarsa dengan kerentanan, selain memiliki malware yang diinstal di dalamnya.

Fix: Hindari plugin dan tema nulled seperti wabah.

9. Backdoors di situs WordPress Anda

Pintu belakang, seperti namanya, adalah cara alternatif dan terlarang untuk mengakses kode situs web Anda. Seiring dengan malware, peretas menyuntikkan kode pintu belakang ke situs web Anda, jadi jika malware ditemukan dan dihapus, maka dapat memperoleh kembali akses menggunakan pintu belakang.

Backdoors adalah salah satu alasan utama kami tidak menyarankan untuk membersihkan malware secara manual dari situs web Anda. Anda mungkin dapat menemukan skrip malware dan menghapusnya, tetapi pintu belakang dapat disembunyikan dengan sangat cerdik dan menjadi hampir tidak terlihat.

Satu-satunya cara untuk menghapus backdoors dari situs web Anda adalah dengan menggunakan plugin keamanan WordPress, seperti MalCare. MalCare menyingkirkan backdoors serta malware dengan cepat dan mudah dengan fitur auto-clean.

Fix: Gunakan plugin keamanan untuk menghapus backdoors.

10. malware wp-vcd.php

Malware wp-vcd.php menyebabkan popup spam di situs WordPress Anda yang mengarahkan pengguna ke situs web lain. Ini memiliki tujuan yang sama dengan peretasan spam SEO dan pengalihan berbahaya, tetapi bekerja secara berbeda. Ini memiliki beberapa varian seperti wp-tmp.php dan wp-feed.php.

Malware wp-vcd.php menginfeksi situs web dengan kode yang dijalankan setiap kali situs dimuat. Ini adalah salah satu peretasan paling membuat frustrasi yang menginfeksi situs WordPress, karena segera setelah Anda menghapusnya, tampaknya akan segera kembali; dalam beberapa kasus, secara instan. Jika pernah ada malware yang bisa disamakan dengan virus berulang yang tidak bisa ditendang, wp-vcd.php adalah salah satunya.

Malware wp-vcd.php menginfeksi situs web terutama melalui plugin dan tema yang dibatalkan. Wordfence lebih jauh menyebutnya: "malware yang Anda instal di situs Anda sendiri"; yang menurut kami agak keras, tetapi itu menggarisbawahi bahaya perangkat lunak yang dibatalkan.

Fix: Singkirkan malware wp-vcd.php dari situs web Anda secara instan dengan MalCare.

11. Serangan brute force

Peretas menggunakan bot untuk membombardir halaman login Anda dengan kombinasi nama pengguna dan kata sandi, untuk mendapatkan akses. Metode ini dikenal sebagai serangan brute force, dan dapat berhasil jika kata sandinya lemah, atau sama dengan yang ditemukan dalam pelanggaran data.

Serangan brute force tidak hanya buruk untuk keamanan, tetapi juga menghabiskan sumber daya server situs Anda. Setiap kali halaman login dimuat, itu membutuhkan beberapa sumber daya. Biasanya, penggunaan disk dapat diabaikan, sehingga tidak mempengaruhi kinerja secara nyata. Tetapi bot brute force memalu halaman login dengan kecepatan beberapa ratus—jika bukan ribuan—kali per menit. Jika situs Anda menggunakan hosting bersama, akan ada konsekuensi yang nyata.

Cara untuk menangkal serangan brute force adalah dengan memiliki perlindungan bot untuk situs web Anda, serta membatasi upaya login yang salah. MalCare hadir dengan perlindungan bot yang dibangun ke dalam plugin keamanan.

Anda juga dapat mengaktifkan CAPTCHA di halaman login Anda. Anda mungkin melihat saran untuk menyembunyikan halaman login Anda dengan mengubah URL default, tetapi jangan lakukan ini. Sangat sulit untuk mendapatkan kembali jika URL itu hilang, dan Anda akan dikunci dari situs web Anda bersama dengan para peretas.

Fix: Batasi upaya login dan dapatkan perlindungan bot untuk situs web Anda.

12. Injeksi SQL

Semua situs web WordPress memiliki database yang menyimpan informasi penting tentang situs web tersebut. Hal-hal seperti pengguna, kata sandi hash mereka, posting, halaman, komentar disimpan dalam tabel dan diedit dan diambil secara teratur oleh file situs web. Basis data jarang dapat diakses secara langsung, dan dikendalikan oleh file situs web untuk keamanan.

Injeksi SQL adalah serangan yang sangat berbahaya, karena peretas dapat berinteraksi langsung dengan database. Mereka menggunakan formulir di situs web Anda untuk menyisipkan kueri SQL, yang memungkinkan mereka untuk memanipulasi atau membaca dari database. SQL adalah bahasa pemrograman yang digunakan untuk membuat perubahan pada database, seperti menambah, menghapus, memodifikasi, atau mengambil data. Inilah sebabnya mengapa serangan injeksi SQL sangat berbahaya.

Solusinya adalah terus memperbarui plugin dan tema Anda, karena kerentanan keamanan WordPress seperti input yang tidak bersih menyebabkan serangan injeksi SQL yang berhasil. Selain itu, firewall yang baik akan menjauhkan pelaku jahat dari situs web Anda.

Perbaiki: Perbarui semuanya, dan instal firewall.

13. Serangan skrip lintas situs

Serangan skrip lintas situs, atau XSS, pada situs web mirip dengan injeksi SQL, di mana peretas memasukkan kode ke dalam situs web. Perbedaannya adalah bahwa kode tersebut menargetkan pengunjung berikutnya di situs web Anda, bukan database situs web Anda.

Dalam serangan XSS, malware ditambahkan ke situs web Anda. Seorang pengunjung datang, dan browser mereka berpikir bahwa malware adalah bagian dari situs web Anda, dan dengan demikian pengunjung diserang. Umumnya, serangan skrip lintas situs digunakan untuk mencuri data dari pengunjung yang tidak menaruh curiga.

Cara untuk melindungi pengunjung situs Anda adalah dengan memastikan bahwa kerentanan XSS tidak ada di situs web Anda. Cara termudah untuk melakukannya adalah memastikan bahwa situs web Anda diperbarui sepenuhnya. Anda dapat meningkatkan keamanan ke tingkat berikutnya dengan menginstal plugin firewall WordPress juga.

Perbaiki: Instal firewall WordPress, dan perbarui semua yang ada di situs web.

14. Situs web menggunakan HTTP bukan HTTPS

Anda mungkin telah memperhatikan bahwa banyak situs web sekarang memiliki kunci hijau di dekat bilah URL. Ini adalah lencana kepercayaan bagi pengunjung untuk mengatakan bahwa situs web menggunakan SSL. SSL adalah protokol keamanan yang mengenkripsi lalu lintas bolak-balik dari situs web.

Sebuah analogi yang baik untuk ini adalah memikirkan panggilan telepon. Data yang lewat antara dua orang di telepon dimaksudkan untuk tetap berada di antara mereka sebagai percakapan pribadi. Namun, jika orang ketiga dapat memanfaatkan jalur tersebut, mereka akan memahami data tersebut dan oleh karena itu data tersebut tidak lagi bersifat pribadi. Namun, jika dua orang asli menggunakan kode yang hanya dapat mereka pecahkan, terlepas dari seberapa banyak orang ketiga mendengarnya, arti sebenarnya dari informasi tersebut tersembunyi dari mereka.

Ini adalah cara kerja SSL untuk situs web. Ini mengenkripsi data yang dikirim ke dan dari situs web, sehingga informasi sensitif tidak dapat dibaca oleh pihak ketiga dan digunakan secara tidak sah.

Internet secara keseluruhan telah bergerak menuju keamanan data dan privasi dalam dekade terakhir, dan SSL telah muncul sebagai salah satu cara mendasar untuk mencapai tujuan itu. Bahkan Google sangat menganjurkan untuk situs web yang mendukung SSL, sejauh menghukum situs web non-SSL pada hasil pencarian mereka.

Perbaiki: Instal sertifikat SSL di situs web Anda.

15. Email spam dikirim dari WordPress

Email adalah landasan pemasaran digital, dan ini adalah cara untuk terlibat dan berinteraksi dengan pengunjung situs web. Orang-orang juga menjadi semakin bijaksana tentang email yang ingin mereka terima, jadi ada kepercayaan mendasar yang ada.

Mengingat sifat kepercayaan yang rapuh, sangat buruk untuk berpikir bahwa seorang peretas dapat memasukkan malware ke situs web Anda dan mengirim email spam ke pengunjung Anda. Namun, itulah yang dilakukan beberapa malware. Ini membajak fungsi inti WordPress wp_mail() untuk mengirim email spam.

Malware biasanya menyebabkan daftar hitam Google dan penangguhan host web, tetapi dalam kasus email spam, host web Anda juga akan memasukkan layanan email Anda ke daftar hitam dan Anda akan melihat banyak kesalahan lainnya. Bahkan, jika spammer menambahkan alamat email ke situs web Anda juga, maka Anda berada dalam bahaya email Anda masuk daftar hitam sama sekali.

Perbaiki: Bersihkan malware email spam dari situs web Anda, dan gunakan alat pemasaran email sebagai gantinya.

16. Akun pengguna yang tidak aktif

Pengguna di situs web berubah terus-menerus. Jika Anda menjalankan blog dengan banyak penulis dan editor, misalnya, kemungkinan besar penulis baru sering ditambahkan ke situs web, sementara penulis lama pergi.

Inti di sini adalah akun pengguna lama yang tidak segera dihapus menjadi masalah keamanan WordPress dari waktu ke waktu. Karena akun ada tetapi kata sandi tidak diperbarui secara teratur, mereka rentan terhadap serangan. Akun pengguna yang tidak aktif menderita bahaya yang sama dari kata sandi yang disusupi, jadi menghapus akun yang tidak digunakan secara aktif adalah pembersihan yang diperlukan.

Selain itu, penting untuk mengetahui siapa yang melakukan apa di situs web Anda. Tindakan pengguna yang tidak biasa atau tidak terduga adalah sinyal awal dari akun yang diretas.

Perbaiki: Hapus akun pengguna yang tidak aktif dan gunakan log aktivitas.

Praktik terbaik untuk mencegah masalah keamanan WordPress

Masalah keamanan WordPress terus berkembang, dan sulit untuk tetap berada di atasnya selain semua pekerjaan lain yang dilakukan untuk menjalankan situs web. Oleh karena itu, berikut adalah beberapa praktik keamanan yang baik yang dapat membantu Anda melindungi situs web Anda dari malware dan peretas, tanpa usaha ekstra dari Anda.

• Instal plugin keamanan: Pertahanan terbaik WordPress Anda terhadap peretas adalah plugin keamanan yang baik seperti MalCare. Plugin keamanan WordPress harus memiliki pemindai dan pembersih malware. Idealnya, itu juga harus dilengkapi dengan firewall, perlindungan brute force, perlindungan bot, dan log aktivitas. MalCare memiliki semua ini, dan pakar keamanan siap sedia untuk bantuan apa pun. Ini adalah solusi lepas tangan, hanya mengingatkan Anda ketika tindakan diperlukan, dan tidak menghabiskan sumber daya server dalam tawar-menawar. Instal MalCare sekarang, dan bernapas lega.

• Gunakan firewall: Firewall aplikasi web melindungi situs web Anda dari semua jenis pelaku jahat. Peretas ingin mengeksploitasi kerentanan di situs web Anda, selain masalah keamanan WordPress lainnya. Firewall mencegahnya, dengan hanya mengizinkan pengunjung yang sah. Ini harus dimiliki untuk situs web Anda, dan lebih baik lagi jika disertakan dengan plugin keamanan Anda.
• Perbarui semuanya : Pastikan inti, plugin, dan tema WordPress selalu diperbarui. Pembaruan sering kali berisi tambalan keamanan untuk kerentanan, dan oleh karena itu sangat penting untuk memperbarui sesegera mungkin. Namun, kami tahu bahwa menerapkan pembaruan tidak selalu mudah. Untuk meminimalkan risiko, perbarui situs web Anda dengan aman menggunakan BlogVault. Situs Anda dicadangkan tepat sebelum pembaruan, dan Anda dapat melihat kinerja pembaruan pada tahap terlebih dahulu sebelum memperbarui situs web langsung Anda.
• Memiliki otentikasi dua faktor: Kata sandi dapat diretas, terutama jika tidak terlalu kuat atau telah digunakan kembali. Otentikasi dua faktor menghasilkan token login real-time selain kata sandi yang jauh lebih sulit untuk dipecahkan. Anda dapat mengaktifkan otentikasi dua faktor menggunakan plugin, seperti WP 2FA atau yang lain dari daftar ini.
• Terapkan kebijakan kata sandi yang kuat: Kami tidak dapat cukup menekankan pentingnya kata sandi yang kuat dan unik. Kami merekomendasikan menggunakan pengelola kata sandi. Untuk melindungi situs web Anda dari masalah keamanan, seperti serangan brute force, plugin keamanan Anda juga harus membatasi upaya login.
• Pencadangan reguler: Terkadang pencadangan adalah upaya terakhir dengan peretasan, dan situs web Anda harus selalu memiliki cadangan yang disimpan jauh dari server situs web Anda. Pelajari lebih lanjut tentang cara mencadangkan situs WordPress Anda.

• Gunakan SSL: Instal sertifikat SSL di situs web Anda untuk mengenkripsi komunikasi bolak-balik darinya. SSL telah menjadi standar de facto, dan Google secara aktif mempromosikan penggunaannya untuk pengalaman menjelajah yang lebih aman.

• Lakukan audit keamanan setiap beberapa bulan: Tinjau pengguna dan tindakan mereka di situs web, dengan log aktivitas. Aktivitas yang tidak biasa dapat menjadi sinyal peringatan dini malware. Disarankan juga untuk menerapkan kebijakan hak istimewa paling rendah untuk akun admin dan pengguna. Terakhir, bersihkan plugin atau tema yang tidak digunakan di situs web Anda. Tema dan plugin yang dinonaktifkan diabaikan untuk pembaruan, dan kerentanan keamanan WordPess tidak dicentang menyebabkan situs web diretas.
• Pilih plugin dan tema yang memiliki reputasi baik: Ini sedikit subjektif sebagai ukuran keamanan, tetapi ada baiknya menggunakan plugin dan tema terbaik di situs web Anda. Periksa apakah pengembang secara teratur memperbarui produk mereka, misalnya. Selain ulasan online dan pengalaman dukungan pengguna lain, ini adalah metrik penting. Selain itu, perangkat lunak premium umumnya merupakan taruhan yang lebih baik secara keseluruhan. Tetapi yang paling penting, jangan pernah menggunakan perangkat lunak nulled. Itu sering membawa malware dalam kode, yang telah di-crack karena alasan itu. Itu bukan risiko yang berharga.

Anda juga dapat memperkuat situs WordPress Anda, dan mendidik diri sendiri tentang cara kerja keamanan WordPress.

Penyebab utama peretasan di situs WordPress

Ada dua tautan lemah dalam keamanan situs WordPress Anda: kerentanan dan kata sandi . 90%+ malware disuntikkan melalui kerentanan, 5%+ karena sandi yang disusupi atau lemah, dan <1% karena penyebab lain, seperti layanan host web yang buruk.

Kerentanan

Meskipun WordPress sendiri aman, situs web dibangun dengan lebih dari sekadar WordPress inti. Kami menggunakan plugin dan tema untuk memperluas fungsionalitas situs web kami, menambahkan fitur, memiliki desain yang bagus, dan berinteraksi dengan pengunjung situs web. Semua ini dicapai dengan plugin dan tema.

Plugin dan tema, seperti WordPress, dibuat dengan kode. Saat pengembang menulis kode, mereka dapat membuat kesalahan yang menghasilkan celah. Celah dalam kode dapat dimanfaatkan oleh peretas untuk melakukan tindakan yang tidak dimaksudkan oleh pengembang.

Misalnya, jika situs web Anda mengizinkan pengguna untuk mengunggah gambar, katakanlah untuk gambar profil, unggahan tersebut hanya boleh berupa file gambar. Namun, jika pengembang belum memasukkan batasan tersebut, peretas dapat mengunggah file PHP yang penuh dengan malware. Setelah diunggah ke situs web, peretas kemudian dapat mengeksekusi file tersebut dan malware akan menyebar ke seluruh situs. Celah ini adalah kerentanan. Ada jenis lain, tentu saja, tetapi ini adalah yang utama yang menimpa situs WordPress.

Kata sandi yang disusupi

Jika peretas memiliki kredensial akun Anda, mereka tidak perlu meretas situs web Anda. Itulah mengapa kata sandi yang kuat sangat penting.

Ada dua cara utama agar kata sandi menjadi tautan terlemah dalam rantai keamanan WordPress. Salah satunya adalah dengan menggunakan kata sandi yang mudah diingat, yang akibatnya mudah ditebak oleh peretas dan bot mereka. Dan cara kedua adalah ketika pengguna menggunakan kembali kata sandi di seluruh situs web dan layanan.

Pelanggaran data terlalu umum. Misalnya, pengguna memiliki kata sandi yang sama untuk dua akun berbeda: situs web e-niaga dan akun Twitter mereka. Jika situs web e-niaga memiliki pelanggaran data, di mana data pengguna dicuri, akun Twitter mereka sekarang disusupi. Peretas dapat masuk ke akun dan menyebabkan segala macam kekacauan.

Kerentanan dan kata sandi yang disusupi adalah risiko keamanan WordPress yang dapat Anda tangani dengan mudah, dengan alat yang tepat dan saran yang tepat. Untungnya, kedua hal itu ada di sini.

Kesimpulan

Masalah keamanan WordPress dapat menakutkan bagi admin yang tidak berpengalaman, tetapi itu tidak berarti tidak ada solusi untuk itu. Masalah keamanan dapat diselesaikan dengan mudah, dengan mendengarkan saran ahli. Kami, di MalCare, sangat yakin bahwa keamanan WordPress harus menjadi urusan lepas tangan, membuat Anda bebas melakukan hal lain dengan tenang.

Kami berharap artikel ini membantu menghilangkan rasa takut. Jika ada sesuatu yang belum kami tangani, harap beri tahu kami. Kami akan senang mendengar dari Anda.

FAQ

Apakah WordPress memiliki masalah keamanan?

WordPress adalah sistem yang aman, tetapi seperti sistem lainnya, itu tidak sempurna. Plugin dan tema menambahkan fungsionalitas dan kompleksitas ke situs web, tetapi juga membawa risiko keamanan. Namun, ada cara untuk menguranginya dengan sukses, sehingga situs web WordPress terlindungi dari peretas.

Apakah WordPress mudah diretas?

WordPress tidak mudah diretas, namun, beberapa plugin dan temanya mungkin tidak seaman itu. Memasang plugin keamanan dengan firewall terintegrasi, seperti MalCare akan membuat situs web WordPress jauh lebih aman.

Apakah WordPress aman untuk perdagangan?

WordPress aman untuk perdagangan, jika situs web memiliki plugin keamanan dengan firewall terpasang. Plugin keamanan akan melakukan pemindaian harian untuk memperingatkan pengguna tentang malware. MalCare adalah plugin keamanan hebat yang tidak hanya memindai situs web, tetapi juga menyediakan opsi pembersihan otomatis 1-klik. MalCare juga dilengkapi dengan firewall untuk menjauhkan lalu lintas buruk dari situs web perdagangan, selain melindungi situs web dari bot yang mengikis data.

Apa persyaratan keamanan WordPress yang harus Anda miliki?

The must-have WordPress security requirements are:

• Malware scanner
• Malware cleaner
• WordPress firewall
• Brute force protection
• Bot protection
• Log aktivitas
• Otentikasi dua faktor

These features go a long way toward protecting websites from WordPress security issues.

Are outdated WordPress plugins a security risk for a site?

Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.