Kesalahan Keamanan WordPress Teratas & Cara Memperbaikinya - MalCare

Kesalahan Keamanan WordPress: Tahukah Anda bahwa setiap menit ada 90.978 percobaan peretasan yang dilakukan di situs web WordPress? Setelah situs Anda diretas, peretas menggunakannya untuk melakukan segala macam aktivitas jahat seperti mengirim email spam (baca – peretasan phishing), menyerang situs web lain, menyuntikkan tautan spam, mengalihkan pengunjung, dll.

Inilah sebabnya mengapa pemilik situs WordPress seperti Anda harus menganggap serius masalah keamanan mereka. Tidak ada peluru perak yang dapat Anda gunakan untuk menyelesaikan semua kebutuhan keamanan Anda, tetapi Anda perlu melakukan banyak hal dengan benar. Di internet, ada banyak saran tentang cara menjaga situs Anda tetap aman dan terlindungi. Beberapa dari mereka adalah saran yang saling bertentangan dan beberapa sudah ketinggalan zaman. Banyak pendapat tentang apa yang harus dilakukan dan tidak boleh dilakukan oleh pemilik situs, dan di tengah semua kebingungan itu, kesalahan tidak bisa dihindari.

Menjaga keamanan situs bukanlah pekerjaan mudah, terutama bagi pemilik situs baru yang cenderung melakukan kesalahan yang dapat membuat mereka rentan terhadap serangan peretasan biasa. Mengetahui kesalahan keamanan umum yang dilakukan pemilik situs web akan membantu menghindarinya. Dan itulah mengapa kami membuat daftar ini agar dapat berhenti membuat kesalahan yang dilakukan sebagian besar pemilik situs WordPress.

Kesalahan Keamanan WordPress Teratas yang Dilakukan Pemilik Situs:

Kami menyarankan untuk menjalankan audit keamanan WordPress sebelum mengambil tindakan apa pun di bawah ini –

1. Tidak Memperbarui Inti, Plugin & Tema WordPress

Memperbarui inti dan add-on WordPress (yaitu tema dan plugin) adalah langkah keamanan yang baik. Memperbaruinya tidak hanya menambahkan lebih banyak fitur ke situs tetapi juga membantu menambal kerentanan. Karena ekosistem tempat WordPress bekerja, berita tentang kerentanan menyebar dengan sangat cepat dan peretas mencoba memanfaatkan situasi tersebut. Jika Anda tidak memperbarui situs Anda yang akan membantu menambal kerentanan, situs Anda akan mudah dibobol.

Sementara beberapa pemilik situs tidak memperbarui situs mereka karena mereka tidak mengetahui bagaimana pembaruan terkait dengan keamanan, yang lain takut akan ketidakcocokan. Situs web WordPress dapat rusak setelah memperbarui inti WordPress, dan add-onnya.

Pembaruan WordPress dirancang agar kompatibel dengan semua versi sebelumnya. Jadi jika situs Anda menjalankan versi 4.1, Anda masih dapat memperbaruinya ke versi terbaru, yaitu 4.9. Namun terlepas dari semua tindakan pencegahan yang diambil, setiap pembaruan membawa berita tentang kerusakan situs web. Berikut adalah contoh dari WordPress versi terbaru 4.9.6.

Anda mungkin mengalami masalah serupa saat memperbarui add-on WordPress, yaitu tema dan plugin. Seringkali masalah ketidakcocokan muncul pada tema dan plugin karena pengembang terburu-buru merilis pembaruan baru atau mungkin pengembang tidak kompeten. Plugin dan tema memiliki pasar yang sangat kompetitif dan dalam upaya untuk menonjol dari yang lain, pengembang didorong untuk menambahkan lebih banyak fitur baru dalam waktu sesingkat mungkin. Terkadang mereka tidak diberi cukup waktu untuk melihat apakah versi tersebut kompatibel dengan setiap versi WordPress sebelumnya. Jadi jika seseorang menggunakan versi WordPress yang sangat awal, dan memperbarui plugin yang hanya berfungsi dengan beberapa versi WordPress terbaru, situsnya akan rusak.

Kekhawatiran seputar masalah kompatibilitas antara WordPress Core dan add-on dapat menyebabkan pemilik situs melewatkan pembaruan keamanan.

Cara memperbaikinya: Layanan pementasan dapat mengatasi masalah ini. Proses pembuatan situs duplikat untuk menguji instalasi inti WordPress dan add-onnya disebut Staging. Layanan cadangan seperti BlogVault atau bahkan penyedia host web seperti Kinsta menawarkan lingkungan pementasan. Periksa dengan host web atau layanan cadangan Anda (jika Anda menggunakannya) untuk mengetahui apakah mereka memiliki opsi untuk menggelar situs. Jika tidak, daftarlah dengan layanan yang memungkinkan Anda membuat situs.

Selain memperbarui plugin, tema, dan inti Anda, kami sangat menyarankan agar Anda terus memperbarui garam dan kunci keamanan WordPress Anda.

2. Menggunakan Pengaya Berkualitas Buruk

Tidak semua plugin dan tema WordPress dibuat dengan baik. Beberapa mengabaikan pemeriksaan jaminan kualitas, sementara yang lain dikembangkan oleh pemrogram amatir. Penting bagi pengguna untuk memperhatikan apa yang dia pilih untuk digunakan atau dibeli. Namun sayangnya, banyak pengguna WordPress tidak memiliki pengetahuan teknis yang membuat mereka tidak siap untuk mengetahui seberapa bagus plugin atau tema tersebut.

Cara memperbaikinya: Untuk membantu pengguna tersebut, kami telah membuat daftar beberapa karakteristik yang akan membantu menemukan tema atau plugin yang bagus:

Saya. Pastikan Anda mendapatkan add-on dari sumber terkenal seperti repositori Plugin WordPress atau penjual populer seperti Tema Elegan, Themeforest, dll.

ii. Pastikan pengaya memiliki peringkat yang baik di repositori WordPress dan ditinjau oleh orang yang telah menggunakan tema/plugin di situs mereka . Pencarian Google cepat akan membantu Anda menemukan ulasan.

aku aku aku. Verifikasi bahwa plugin sudah ada sejak lama dan telah teruji oleh waktu. Cari pembaruan keamanan dan perbaikan bug yang tercantum di repositori WordPress atau situs web resmi.

iv. Dan pastikan sering update dan update terakhir dilakukan kurang dari 2 bulan yang lalu.

3. Menggunakan Plugin & Tema Ilegal

Banyak situs web menjual tema dan plugin premium tanpa biaya. Menggunakan produk gratis ini dapat menyebabkan bencana karena banyak dari add-on WordPress ini yang sengaja disuntikkan malware di dalamnya. Menginstal add-on ilegal ini ke situs Anda seperti membuka pintu dan mengundang peretas ke situs Anda. Setelah penyerang berhasil membobol situs Anda menggunakan kode buruk di tema/plugin yang baru saja Anda instal, mereka akan menggunakan situs Anda untuk melakukan sejumlah aktivitas jahat seperti mengirim email spam atau menyerang situs lain. Selain itu, memiliki malware di situs Anda dianggap sebagai disusupi yang menyebabkan penyedia hosting menangguhkan mesin telusur akun Anda seperti Google untuk memasukkan situs Anda ke daftar hitam, dan menangguhkan akun AdWords Anda.

Cara mengatasinya: Beli tema dan plugin asli dari pasar populer seperti ThemeForest , Elegant Themes , dll. Selama periode penjualan, Anda dapat membeli tema dan plugin dengan harga yang jauh lebih murah. Seseorang dapat mencari situs web resmi dari tema atau plugin pilihan kita.

4. Menyimpan Plugin & Tema yang Tidak Digunakan di Situs Anda

Menyimpan tema dan plugin yang tidak terpakai di situs web memberikan peluang bagi peretas untuk menyusup ke situs Anda. Banyak pemilik situs tidak mengupdate add-on yang tidak aktif karena mereka tidak mengetahui manfaat keamanannya. Bagi mereka, pembaruan menghadirkan fitur baru, dan karena mereka tidak menggunakan plugin, mereka merasa tidak memerlukan fitur baru. Jika pembaruan dirilis untuk menambal kerentanan, maka situs Anda tetap berisiko hingga Anda memperbaruinya.

Cara memperbaikinya: Satu-satunya solusi di sini adalah menyingkirkan tema dan plugin WordPress yang tidak aktif. Begini caranya:

Kunjungi halaman 'plugin terpasang' dari dasbor WordPress situs Anda.

Di halaman tersebut, ada opsi yang disebut 'tidak aktif'. Pilih itu.

Ini akan dibawa ke halaman lain dari mana Anda dapat menghapus plugin yang tidak aktif . Namun sebelum menekan tombol 'tidak aktif', kami sarankan Anda memastikan bahwa Anda tidak memerlukan plugin tersebut dalam waktu dekat.

5. Menggunakan Praktik Login Situs Web yang Buruk

Dua praktik masuk yang umum namun sangat berbahaya adalah menggunakan kredensial masuk yang mudah ditebak dan tidak keluar saat situs tidak digunakan. Penyerang memprogram bot yang mencoba masuk ke situs Anda menggunakan kombinasi nama pengguna yang mudah diingat (seperti admin) dan kata sandi (seperti kata sandi123) untuk meretas situs. Metode peretasan situs yang aneh ini disebut serangan brute force.

Cara memperbaikinya: Anda disarankan untuk menggunakan nama pengguna dan kata sandi yang unik (disarankan baca – panduan perlindungan halaman masuk WordPress). Satu kelemahan di sini adalah kredensial unik sulit untuk diingat. Oleh karena itu, Anda harus memelihara dokumen yang berisi kredensial ini. Dan pastikan dokumen tersebut dienkripsi untuk mencegah akses tidak sah.

6. Memberikan Setiap Akses Admin Pengguna

Membuat setiap penggunaan admin adalah ide yang buruk terutama untuk situs web di mana ada banyak pengguna yang tidak dikenal oleh pemilik situs secara pribadi. WordPress memungkinkan pemilik situs untuk menetapkan peran berikut kepada pengguna – Administrator, Editor, Penulis, Kontributor, Pelanggan, Manajer SEO, Editor SEO. Beresiko menjadikan semua orang Admin karena memberikan akses ke semua area situs.

Memberi pengguna akses tidak terbatas ke seluruh situs mengarah pada eksploitasi seperti yang terlihat dalam kasus ini dengan TechCrunch (situs teknologi populer) yang diretas oleh OurMine (grup peretas). Setelah mendapatkan akses ke akun pengguna, OurMine dapat memposting di situs. Berikut tangkapan layar beranda saat pembaca bangun setelah TechCrunch diretas:

Cara memperbaikinya: Setiap peran pengguna di WordPress hanya mengizinkan akses ke area tertentu di situs. Berdasarkan apa yang perlu dilakukan pengguna di situs Anda, Anda dapat menetapkan peran ini. Mengikuti prinsip ini memastikan bahwa hanya orang yang Anda percayai yang dapat mengakses seluruh situs. Dan jika terjadi kesalahan, Anda tahu siapa yang bertanggung jawab.

7. Tidak Mengambil Cadangan

Cadangan adalah jaring pengaman Anda. Tidak memilikinya dapat membuat Anda dalam masalah saat terjadi bencana. Jika situs Anda diretas dan posting dihapus, Anda dapat dengan mudah mengembalikan situs Anda kembali normal menggunakan cadangan. Tetapi menggunakan sembarang layanan cadangan tidak disarankan karena banyak layanan cadangan tidak efisien. Misalnya, banyak plugin cadangan menyimpan cadangan di server web Anda. Beberapa dari mereka menyimpan cadangan di satu tempat. Server situs web Anda bukanlah tempat yang ideal untuk menyimpan cadangan karena server menanggung beban pencadangan selain melakukan proses reguler. Ini menghambat kecepatan situs Anda. Menyimpan hanya satu cadangan berarti jika Anda kehilangannya kembali, Anda tidak akan memiliki cadangan lain untuk digunakan kembali.

Cara memperbaikinya: Sebelum memilih layanan pencadangan, periksa fitur untuk melihat di mana mereka menyimpan cadangan. Jika Anda tidak dapat menemukan informasi yang tepat, kirimi mereka email yang menanyakan pertanyaan langsung ke mana mereka menyimpan cadangan dan apakah mereka menyimpannya di beberapa lokasi. Untuk mengetahui lebih lanjut tentang cara memilih cadangan yang andal, lihat pos ini .

8. Tidak Menggunakan Jasa Keamanan

Banyak pemilik situs web, terutama mereka yang memiliki situs web kecil yang menarik lalu lintas lebih rendah menganggap situs mereka tidak penting dan karena itu tidak akan menarik perhatian peretas. Tapi hacker hari ini memiliki banyak alasan untuk menyerang sebuah website kecil . Mereka mungkin menggunakannya untuk menyimpan file atau mengirim email spam, antara lain. Banyak grup peretasan, pada kenyataannya, lebih suka menyerang situs kecil karena situs web kecil kurang aman dan karena itu lebih mudah diretas. Mereka meluncurkan serangan brute force besar-besaran di mana bot mencoba menebak nama pengguna dan kredensial yang benar untuk masuk ke situs. Salah satu teknik peretasan yang paling disukai adalah memanfaatkan plugin dan tema yang rentan.

Cara memperbaikinya: Layanan keamanan standar menawarkan fitur keamanan penting seperti WordPress Firewall yang membantu mencegah peretas masuk ke situs Anda.

Selain mengambil langkah-langkah di atas untuk memperbaiki situs Anda, Anda dapat mengambil beberapa langkah keamanan lainnya. Kami sangat menyarankan untuk mengikuti panduan ini – Amankan Situs WordPress Anda Dengan wp-config.php.

Setiap kali kerentanan dalam plugin atau tema atau bahkan inti muncul, pengembang merilis tambalan melalui pembaruan. Oleh karena itu, memperbarui semua tema, plugin, dan inti WordPress Anda adalah praktik keamanan yang baik. MalCare – salah satu plugin keamanan WordPress terbaik di luar sana menawarkan fitur Manajemen Situs yang memungkinkan Anda memperbarui plugin, tema, dan inti WordPress dari dasbor MalCare. Ini sangat membantu bagi orang-orang yang memiliki banyak situs web untuk dipelihara. Masuk ke setiap situs web dan memperbarui tema, plugin, dan inti adalah pekerjaan yang menghabiskan waktu. Layanan seperti MalCare memudahkan pemilik situs untuk mengikuti praktik keamanan yang baik.

Selain firewall dan manajemen situs, plugin keamanan juga menawarkan layanan pemindaian harian. Jika situs web Anda terinfeksi malware, plugin akan membantu Anda memperbaiki situs web yang diretas. Jika Anda merasa lebih nyaman dengan tim yang menyediakan layanan pemeliharaan situs web WordPress kepada Anda secara langsung untuk mengelola keamanan situs web Anda sepenuhnya, WP Buffs akan menjadi pilihan yang bagus. Mereka menjaga pembaruan, keamanan, kecepatan situs web, dan pengeditan berkelanjutan terlepas dari apakah Anda mengelola 1 atau 1000 situs web!

Apa selanjutnya?

Menggunakan plugin keamanan WordPress yang baik adalah langkah pertama untuk membangun situs web yang aman atau menjaga keamanan WordPress. Beberapa langkah keamanan lainnya yang dapat Anda ambil termasuk pemblokiran IP, melindungi halaman login, dan mengikuti panduan lengkap keamanan WordPress ini untuk mempelajari lebih lanjut cara mengamankan situs WordPress Anda.

Jika Anda telah melakukan salah satu dari kesalahan ini di masa lalu, semoga postingan tersebut membantu untuk melihat kesalahan apa yang telah Anda lakukan dan cara memperbaikinya. Kami menyambut setiap pertanyaan yang mungkin Anda miliki tentang kesalahan keamanan WordPress ini dan perbaikannya. Silakan hubungi kami melalui halaman hubungi kami .