Plugin Keamanan WordPress – Apakah Anda Membutuhkannya?

Diterbitkan: 2023-03-24

Dengan Google memberikan lebih dari 22 juta hasil untuk “Plugin keamanan WordPress” dan lebih dari 1.000 plugin keamanan yang terdaftar di halaman plugin WordPress resmi, tidak dapat disangkal popularitasnya. Tetapi pertanyaan sebenarnya adalah –apakah Anda benar-benar membutuhkannya di situs Anda untuk memulai?

Berdasarkan penamaan mereka sendiri dan apa yang diiklankan dapat dilakukan untuk situs Anda, beberapa solusi di ruang ini memposisikan diri sebagai plugin yang harus dimiliki untuk memastikan WordPress beroperasi dengan aman.Agaknya, agar Anda bisa berhenti mengkhawatirkan keamanan sepenuhnya.

Ini jauh dari kenyataan.

Faktanya, menggunakan plugin keamanan WordPress yang dibuat dengan buruk sebenarnya dapat memperlambat situs Anda – menambahkan fungsionalitas yang seharusnya terjadi secara realistis di tingkat jaringan bahkan sebelum permintaan diproses oleh server Anda.

Jadi, tanpa basa-basi lagi, mari selami.

Apakah Anda Membutuhkan Plugin Keamanan WordPress?

Setiap situs web adalah target potensial bagi peretas jahat – beberapa target lebih besar dari yang lain. Ini bukan rahasia.

Publikasi populer Fast Company baru-baru ini (pada saat penulisan)sistem mereka dilanggar oleh seseorang yang kemudian mengirimkan pemberitahuan Apple News yang menyinggung.

Orang yang mencoba mendapatkan akses ke situs dengan niat jahat tidak serta merta menargetkan bisnis yang lebih besar. Usaha kecil dan menengah berpotensi mewakili target yang lebih mudah jika mereka menganggap ini, mungkin mengambil lebih sedikit tindakan pencegahan sebagai hasilnya.

Di luar kerumitan menangani situasi, waktu yang terbuang percuma, dan hilangnya pendapatan yang dapat dihasilkan situs Anda saat situs Anda tetap tidak dapat diakses, perusahaan memiliki kewajiban hukum untuk melindungi informasi pelanggan. Kewajiban ini disertai dengan risiko tindakan pengaturan.

Tak perlu dikatakan bahwa tidak ada yang ingin menjadi korban serangan. Tetapi mengingat ekosistem global situs WordPress secara independen bernilai sekitar $635,5 miliar (USD) – tidak mengherankan jika menjual jaminan keamanan terbukti menjadi peluang bisnis yang bagus.

Bagaimana Peretas Menyerang Situs WordPress

WordPress adalah open-source, jadi kerentanan yang ditemukan di inti WordPress dan tema atau plugin apa pun pada akhirnya diketahui publik. Sayangnya, ini bisa terjadi sebelum WordPress dapat mengeluarkan tambalan untuk kerentanan, menciptakan jendela peluang bagi mereka yang berniat buruk. Aktor jahat sangat menyadari peluang ini, memungkinkan mereka untuk mulai secara otomatis menargetkan situs yangmungkinmenjalankan tema atau plugin yang rentan – untuk melihat kemungkinannya.

Bahkan tanpa kerentanan ini, sangat umum bagi orang dan bot untuk menggunakan serangan brute force untuk mencoba mendapatkan akses ke situs. Ini melibatkan pengiriman beberapa permintaan login berulang kali dalam upaya untuk mengidentifikasi akun pengguna yang menggunakan kombinasi nama pengguna dan kata sandi default atau umum.

Ada banyak cara yang memungkinkan situs WordPress dapat diretas, oleh karena itu pendekatan yang luas di tingkat server sangat penting .Beberapa risiko peretasan yang paling mungkin adalah sebagai berikut:

Serangan Brute Force : Jenis serangan ini melibatkan berulang kali mencoba kombinasi nama pengguna dan kata sandi yang berbeda dalam upaya untuk mendapatkan akses ke panel admin situs.

SQL Injection : Jenis serangan ini melibatkan penyuntikan kode berbahaya ke dalam basis data situs web, yang kemudian dapat digunakan untuk mencuri informasi sensitif atau mengganggu fungsionalitas situs.

Cross-Site Scripting (XSS) : Jenis serangan ini melibatkan menyuntikkan kode berbahaya ke situs web, yang kemudian dijalankan oleh browser pengguna.Ini dapat digunakan untuk mencuri informasi sensitif, seperti kredensial masuk, atau untuk mengalihkan pengguna ke situs web jahat.

Injeksi File : Jenis serangan ini melibatkan pengunggahan file berbahaya ke situs web, seperti pintu belakang atau malware.File-file ini kemudian dapat digunakan untuk mendapatkan akses tidak sah ke situs.

Perangkat lunak yang kedaluwarsa : Jika situs web tidak diperbarui secara berkala, situs web tersebut mungkin memiliki kerentanan yang dapat dimanfaatkan oleh peretas.

Phishing : Jenis serangan ini menipu pengguna untuk memberikan informasi sensitif seperti kredensial login, nomor kartu kredit, dan informasi pribadi lainnya dengan membuat halaman login palsu.

Mengapa Plugin Keamanan Bukan Pilihan Cerdas

Berdasarkan cara kerja plugin, plugin hanya berfungsi setelah permintaan mencapai server. Ini berarti bahwa plugin keamanan hanya mungkin menantang hal-hal di tingkat PHP. Misalnya, ini dapat mencakup login dengan beberapa mekanisme untuk mencegah kemungkinan akses tidak sah setelah server menerima permintaan tersebut.

Hasil dari ini, tentu saja, memakan sumber daya server tambahan pada setiap permintaan ke server karena berada di antara permintaan dan awal pemrosesan keluaran. Terbukti, ini bahkan tidak mudah: pluginvulnerabilities.com menguji 31 ​​plugin keamanan terhadap kerentanan zero-day, dan hanya 6 dari mereka yang mampu menangkis serangan.

Plugin keamanan WordPress harus dimuat sepenuhnya sebelum dapat mulai memproses lalu lintas. Artinya, plugin ini akan menghabiskan sumber daya meskipun situs web Anda tidak diserang .

Juga tidak jarang plugin keamanan WordPress sendiri memiliki kerentanannya sendiri , dan ini juga dapat dimanfaatkan oleh peretas.

Misalnya, Wordfence, plugin keamanan populer dengan lebih dari 4 juta pengguna, telah melaporkan banyak kerentanan, seperti Cross Site Scripting dan Broken Access Control selama bertahun-tahun. Kerentanan ini dengan cepat ditambal, tetapi ini tidak mengubah fakta bahwa sistem terbuka, meskipun untuk sementara waktu.

Ada juga bahaya bahwa plugin keamanan dapat menciptakan rasa aman yang palsu .Telah terjadi sebelumnya bahwa administrator situs memasang plugin keamanan populer, percaya bahwa itu akan melindungi situs mereka dari semua jenis serangan, mengabaikan langkah-langkah keamanan penting lainnya seperti pembaruan perangkat lunak reguler, kata sandi yang kuat, otentikasi dua faktor , dan cadangan.

Masalah lain yang kami lihat adalah di mana plugin keamanan menyebabkanmasalah kompatibilitas dengan tema yang ada atau plugin lain.Dalam beberapa kasus, konflik ini dapat mengakibatkan situs Anda rentan terhadap serangan.

Dan itu juga cukup umum untuk mengalamipositif palsu dengan menggunakan plugin keamanan.Plugin yang terlalu bersemangat dapat menandai tindakan yang sah sebagai berbahaya, yang dapat menyebabkan alarm palsu dan ketidaknyamanan bagi administrator dan pengguna.

Intinya adalah ketika datang ke keamanan situs WordPress Anda,tidak ada solusi plugin yang dapat Anda gunakan untuk mengatur-dan-melupakannya .Keamanan adalah binatang organik yang berkembang yang membutuhkan kewaspadaan terus-menerus.

Apakah Ada Plugin Keamanan yang Layak Digunakan?

Jadi bagaimana Anda melindungi situs web WordPress?

Pertama-tama, bekerjalah dengan penyedia hosting WordPress yang menghadirkan kompetensi dalam keamanan, penskalaan, dan kinerja – seperti yang kami lakukan di Servebolt. Kami melakukan pekerjaan berat terkait dengan menjaga keamanan infrastruktur dasar untuk situs Anda sepenuhnya.

Di luar ini, Anda ingin semua permintaan jahat (dan berpotensi jahat) diblokir bahkan sebelum mereka mencapai server Anda – sebelum mereka memiliki kesempatan untuk menghabiskan sumber daya sehingga Anda dapat memberikan pengalaman terbaik bagipengunjung situs web yang sebenarnya.

Salah satu contoh dari jenis solusi ini adalah Cloudflare. Cloudflare adalah perusahaan yang menyediakan berbagai layanan keamanan internet, termasuk Content Delivery Network (CDN), Domain Name System (DNS), dan Web Application Firewall (WAF). Layanan ini bekerja sama untuk melindungi situs web dari beberapa bentuk serangan dunia maya, seperti serangan DDoS, injeksi SQL, dan pembuatan skrip lintas situs (XSS). Cloudflare juga menawarkan fitur tambahan seperti enkripsi SSL/TLS, serta sistem manajemen bot untuk lebih meningkatkan keamanan situs web.

Di Servebolt, selain pendekatan ini, kami menawarkan dua layanan proaktif terkelola, Accelerated Domains,danServebolt CDN, yang dapat memperkuat keamanan situs web Anda.Mereka dibangun di atas penawaran Cloudflare Enterprise, dan kami memberikan dua domain gratis kepada semua pelanggan yang mendaftar.

Kami menggunakan produk keamanan berbasis server, serta membangun di atas WAF dari Cloudflare saat diterapkan melalui kami. Kami menambahkan tindakan keamanan tambahan untuk mengurangi upaya peretasan, serta mencegah akses langsung ke server saat menggunakan Cloudflare untuk mengurangi upaya peretasan secara paksa. Tindakan ini dikonfigurasikan untuk memblokir permintaan yang berpotensi membahayakan secara otomatis dantidak memerlukan konfigurasi atau pemeliharaan apa pun .

Selain itu, beberapa plugin dapat meningkatkan keamanan situs Anda, meskipun ini sama sekali tidak memberikan solusi satu atap:

  • Dua Faktor :Plugin ini dikembangkan oleh tim WordPress, dan memungkinkanOtentikasi Dua Faktormenggunakan kata sandi satu kali berbasis waktu (OTP, Google Authenticator), Faktor ke-2 Universal (FIDO U2F, YubiKey), email, dan verifikasi cadangan kode.

Jika kredensial Anda bocor di internet, server Anda dapat dilanggar meskipun sebagian besar lalu lintas berbahaya diblokir oleh firewall.Kami sangat menyarankan penggunaan autentikasi dua faktor untuk mencegah aktor jahat.

Alternatif yang kami gunakan di Servebolt adalah Cloudflare Access .

  • Patchstack &WPScan:Pemindai kerentanan seperti Patchstack atau WPScan dapat membantu melacak kerentanan. WP Scan, misalnya, terus-menerus memeriksa ancaman ke server Anda terhadap database yang dikenal dengan 37.000+ kerentanan yang dikelola oleh para profesional keamanan WordPress. Jika ancaman terdeteksi, itu dapat memicupemberitahuan melalui email atau menggunakan webhook khusus dengan semua informasi dan rekomendasi yang diperlukan untuk menyelesaikan masalah.

Tips Untuk Memperkuat Situs WordPress Anda

Menggunakan Accelerated Domains atau Servebolt CDN mengamankan situs Anda dari banyak serangan terkenal. Mereka secara otomatis menerapkan pembatasan laju masuk dan XML-RPC untuk mengamankan dari serangan brute force berbahaya di laman masuk situs Anda. Tetapi Anda dapat lebih meningkatkan keamanan Anda dengan menerapkan praktik keamanan tambahan berikut di situs web Anda.

Membatasi Akses File

Setiap file dan folder di server Anda memiliki hak akses yang terkait dengannya yang menentukan siapa yang dapat membaca, menulis, dan mengeksekusi file atau direktori yang diberikan. Meskipun memiliki izin terbuka pada aset publik situs Anda mungkin tidak terlihat seperti masalah besar, ini jelas merupakan praktik yang buruk. Selain itu, beberapa file sensitif, seperti .htaccessdanwp-config.php,harus dikunci dengan aman.

Kami menyarankan Anda untuk mengunci semua file sensitif sebanyak mungkin dan melonggarkan izin ini hanya untuk sementara saat Anda benar-benar membutuhkannya.

Untuk.htaccess, Anda harus mengubah tingkat izin ke 644 – ini akan memberi pemilik akses baca-tulisfile , dengan semua pengguna lain hanya dapatmembacafile.

Anda dapat membatasi izin ini lebih jauh untuk filewp-config.phpdengan menyetel mode izin ke400 atau 440, artinya hanya pemilik (atau, secara opsional, juga anggota lain dari grup yang dipilih) yang dapat membaca file, sementara modifikasi hanya dapat dibuat oleh pengguna root.

Mari kita lihat detail persyaratan izin untuk direktori WordPress tertentu:

  • Direktori root WordPress (/):

Semua file, kecuali.htaccess, seharusnya hanya dapat ditulis oleh akun Anda – setel mode izin ke 644 untuk semua file kecuali.htaccess.

  • Area administrasi WordPress (/wp-admin/):

Semua file harus dapat ditulis hanya oleh akun Anda – setel mode izin ke 644 untuk semua file.

  • Logika aplikasi WordPress (/wp-includes/):

Semua file harus dapat ditulis hanya oleh akun Anda – setel mode izin ke 644 untuk semua file.

  • Konten yang disediakan pengguna (/wp-content/):

Direktori ini dimaksudkan agar dapat ditulisi oleh Anda dan proses server web – setel mode izin ke 664 untuk semua file.

Namun, di dalam direktori /wp-content/, Anda mungkin menemukan:

  • File tema (/wp-content/themes/):

Jika Anda ingin menggunakan editor tema bawaan, semua file harus dapat ditulis oleh proses server web. Jika Anda tidak perlu menggunakan editor, maka semua file hanya dapat ditulis oleh akun pengguna Anda.

  • File plugin (/wp-content/plugins/):

Semua file harus dapat ditulis hanya oleh akun pengguna Anda. Namun, beberapa plugin pihak ketiga mungkin memerlukan akses tulis. Kami menyarankan Anda menghapus izin menulis dan memberikannya hanya untuk plugin tertentu berdasarkan kasus per kasus.

Nonaktifkan Eksekusi File PHP di Direktori Terpilih

Anda dapat lebih meningkatkan keamanan situs web WordPress Anda dengan membatasi eksekusi file PHP di direktori yang tidak diperlukan.

Lokasi pertama di mana Anda harus menonaktifkannya adalah folder/wp-content/Anda karena pengguna mungkin mengunggah skrip PHP berbahaya dan mencoba menjalankannya.

Anda dapat menonaktifkan eksekusi PHP dengan membuat file bernama.htaccessdi folder yang diinginkan dan menempelkan kode berikut ke dalamnya:

 <File *.php>

menyangkal dari semua

</File>

Kode di atas membuat aturan yang melarang eksekusi file PHP apa pun di direktori yang ditentukan. Ini berarti bahwa bahkan jika seorang peretas menyuntikkan kode berbahaya PHP ke dalam file, itu tidak dapat dijalankan di server, mencegah kerusakan apa pun pada situs web Anda.

Nonaktifkan Pengindeksan dan Penjelajahan Direktori

Penjelajahan direktori adalah fitur server web yang menampilkan semua file dan direktori yang tersedia di direktori situs web tertentu. Saat diaktifkan, siapa pun di internet dapat melihat semua konten di jalur mana pun di situs web. Ini adalah risiko keamanan utama karena dapat mengungkap informasi rahasia dan konfigurasi server.

Misalnya, jika seseorang mengunjungi https://www.example.com/static , mereka akan dapat melihat (dan mengunduh) semua file yang ada di jalur ini. Sangat disarankan untuk mematikan fitur ini. Anda dapat melakukannya dengan menambahkan baris berikut ke file.htaccessAnda .

 Opsi -Indeks

Gunakan Fail2ban untuk Menghentikan Serangan Brute Force

Fail2ban adalah utilitas untuk server yang secara dinamis dapat membuat aturan firewall untuk memblokir alamat IP berdasarkan kondisi yang telah ditentukan. Anda dapat menggunakannya dengan WordPress untuk memblokir sementara pengguna jika mereka gagal masuk 3 kali berturut-turut.

Jangan Gunakan Nama Pengguna "admin".

Bagi seorang peretas, akun dengan hak administratif setara dengan permata mahkota – akun admin dapat membuka kunci semua pintu di server. Tidak mengherankan, ini adalah akun pertama yang menjadi target peretas. Sebaiknya gunakan nama yang berbeda untuk akun administrator ini untuk mempersulit proses ini bagi mereka dan mencegah serangan brute-force.

Jika Anda masih menggunakan nama pengguna “admin”, Anda harus membuat akun kedua dengan nama yang berbeda dan memberinya akses administrator.Masuk ke akun kedua Anda – dan hapus akun admin lama.

Membatasi Keistimewaan Pengguna Basis Data

Keamanan basis data sangat penting untuk situs web apa pun. Saat menginstal beberapa situs di server Anda, buat database dan pengguna terpisah untuk setiap situs. Ini membuatnya lebih sulit bagi penyusup untuk mendapatkan akses ke sistem yang lengkap dan mencuri informasi pribadi.

Anda juga harus mengonfigurasi hak istimewa akun MySQL dengan benar dan menonaktifkan fitur yang tidak diperlukan, seperti koneksi TCP jarak jauh. Anda juga dapat membatasi upaya login jika pengguna database tidak berada di lokasi yang masuk daftar putih. Misalnya, Anda dapat memblokir akses ke koneksi root jika koneksi tidak dimulai di localhost.

Selain itu, WordPress hanya memerlukan izin baca dan tulis ke database MySQL untuk fungsi normal. Jika Anda hanya memberikan SELECT, INSERT, UPDATE, dan DELETE ke pengguna database Anda, semuanya akan tetap berfungsi dengan baik. Namun, terkadang plugin pihak ketiga dan pembaruan WordPress dapat menyebabkan kesalahan saat mencoba mengubah skema database atau membuat tabel baru. Baca catatan rilis dan dokumentasi setiap plugin dengan hati-hati jika Anda menggunakan langkah keamanan ini.

Ubah URL wp-admin

Agar lebih menantang bagi peretas untuk meluncurkan serangan brute force di situs WordPress Anda, pertimbangkan untuk mengubah URL default dasbor admin Anda menjadi sesuatu yang tidak jelas. Untuk melakukan ini, Anda dapat menggunakan plugin seperti WPS Hide Login atau Change wp-admin login , yang memungkinkan Anda menyesuaikan URL login dengan mudah.

Nonaktifkan Pengeditan File

Fitur pengeditan file di WordPress memungkinkan administrator untuk mengedit file tema dan plugin dari dasbor secara langsung. Meskipun berguna saat menyiapkan situs, ini dapat menimbulkan risiko keamanan jika akun administrator disusupi. Menonaktifkan fungsionalitas pengeditan file mengurangi risiko ini.

Ini juga akan mengurangi pengeditan yang tidak disengaja dan menegakkan dokumentasiperubahan yang lebih baik, karena semua revisi baru akan dilacak pada kontrol versi dan perlu melalui pengujian sebelum ditayangkan di situs.

Untuk menonaktifkan pengeditan file di WordPress, Anda dapat menambahkan baris kode berikut ke file wp-config.php situs Anda:

 tentukan ('DISALLOW_FILE_EDIT', true );

Mengubah Awalan Basis Data

WordPress menggunakan string teks umum di semua nama tabel untuk memudahkan identifikasi. Mengubah awalan ini mempersulit aktor jahat untuk menebak nama tabel Anda saat melakukan serangan injeksi SQL dan bentuk eksploitasi database lainnya.

Meskipun ini mungkin tampak seperti peningkatan kecil dan tidak signifikan, sebagian besar serangan di internet dilakukan oleh bot otomatis yang hanya mengincar buah yang menggantung rendah. Dengan mengubah nilai default, Anda dapat bertahan dari sebagian besar serangan otomatis .

Awalan database Anda saat ini disimpan di file wp-config.php di direktori root WordPress Anda. Nilai default terlihat seperti ini.

 $table_prefix = 'wp_';

Anda dapat mengganti awalan “wp_” dengan awalan baru yang unik sesuai pilihan Anda. Ingatlah bahwa Anda hanya diperbolehkan menggunakan huruf, angka, dan garis bawah. Misalnya:

 $table_prefix = 'my_custom_prefix_123_';

Setelah Anda menyimpan perubahan ke file wp-config.php, Anda perlu memperbarui tabel SQL yang ada secara manual dengan nama baru. Jika Anda tidak yakin bagaimana melakukannya, Anda dapat menggunakan plugin seperti Brozzme DB Prefix .

Secara Otomatis Logout Pengguna Tidak Aktif

Menerapkan fitur keluar otomatis di WordPress dapat membantu meningkatkan keamanan situs Anda dengan menghentikan sesi pengguna secara otomatis setelah periode tidak aktif tertentu. Fitur ini dapat membantu mencegah akses tidak sah ke situs Anda jika pengguna lupa keluar atau jika mereka meninggalkan perangkatnya tanpa pengawasan.

Untuk mengimplementasikan fitur auto-logout di WordPress, Anda bisa menggunakan plugin seperti Inactive Logout . Melakukannya akan membantu melindungi privasi pengguna dengan memastikan bahwa informasi sensitif tidak dapat diakses oleh individu yang tidak sah.

Laporan Setelah Tindakan – Ambil Tindakan Sekarang Untuk Melindungi Situs & Reputasi Anda

30.000 situs web diretas setiap hari , dan dengan WordPress memberdayakan 43% web, itu mewakili kemungkinan 12.900 situs WordPress disusupi secara serius setiap hari.

Sayangnya, saran yang tersedia secara online yang merinci cara menjaga keamanan situs WordPress tidak jelas, ketinggalan zaman, atau salah. Nasihat buruk ini, ketergantungan hanya pada plugin pihak ketiga, dan asumsi bahwa setelah keamanan disetel, Anda bisa melupakannya, yang menghasilkan begitu banyak pelanggaran ini.

Meskipun keamanan tidak pernah 'selesai', itu tidak perlu memusingkan, dan sebagian besar saran dalam artikel ini cukup mudah untuk kebanyakan orang. Tentu saja, memiliki perusahaan hosting web yang kuat yang menangani keamanan dengan serius sebagaimana mestinya merupakan langkah awal yang besar bagi kebanyakan orang.

Ada pertanyaan tentang menjaga keamanan situs WordPress Anda?Jangan ragu untuk menghubungi kami & kami akan dengan senang hati memandu Anda melalui bagaimana Servebolt Cloud dapat membantu Anda memberikan pengalaman terbaik bagi pengunjung Anda. Atau, jika panduan ini sudah menjawab semua pertanyaan Anda dan Anda siap mencoba pendekatan Servebolt…

Tertarik dengan hosting terkelola yang secara empiris lebih cepat? Coba pendekatan kami ke hosting WordPress :

  • Skalabilitas: Dalam uji beban kerja pengguna sebenarnya, Servebolt memberikan waktu respons rata-rata 65 md, waktu respons 4,9x lebih cepat daripada yang terbaik kedua.
  • Waktu muat global tercepat: Waktu muat halaman rata-rata 1,26 detik menempatkan kami di urutan teratas daftar hasil WebPageTest global.
  • Kecepatan komputasi tercepat: Server Servebolt memberikan kecepatan database yang belum pernah terdengar sebelumnya, memproses kueri 2,44 kali lebih banyak per detik daripada rata-rata dan menjalankan PHP 2,6 kali lebih cepat daripada yang terbaik kedua!
  • Keamanan dan waktu aktif yang sempurna: Dengan waktu aktif 100% di semua monitor dan peringkat A+ pada penerapan SSL kami, Anda dapat yakin bahwa situs Anda online dan aman.