Proses keamanan WordPress; Uji, Keraskan, Pantau, Tingkatkan
Diterbitkan: 2020-06-11Keamanan WordPress tidak berbeda dengan banyak area keamanan TI lainnya. Ini bukan perbaikan satu kali. Ini adalah sesuatu yang tidak pernah benar-benar selesai. Meskipun ada beberapa langkah yang dapat Anda ambil untuk meningkatkan keamanan WordPress Anda, persyaratan situs dan bisnis Anda akan berubah. Jadi mengadopsi penilaian keamanan point-in-time hanya akan memberi Anda rasa aman yang salah. Sebaliknya, strategi kemenangan adalah mengikuti proses yang berkesinambungan . Sebuah proses terus-menerus menguji pertahanan Anda dan mengulanginya untuk meningkatkan postur keamanan situs web Anda.
Artikel ini bertujuan untuk menawarkan proses iteratif jangka panjang yang mudah diikuti yang dapat Anda terapkan untuk memastikan upaya keamanan WordPress Anda berkelanjutan dan terus relevan dengan lanskap ancaman tempat Anda dan bisnis Anda beroperasi.
1. Uji Keamanan WordPress
Sebagian besar perjalanan keamanan WordPress dimulai dari sini; Anda telah melihat sesuatu yang salah konfigurasi tentang instalasi WordPress Anda, atau Anda membaca tentang menggunakan alat seperti WPScan atau nmap untuk menilai keamanan situs WordPress Anda. Mungkin Anda pernah menjadi korban insiden keamanan dan ingin membaca tentang cara menguji keamanan WordPress Anda.
Pengujian keamanan adalah langkah penting dalam strategi keamanan WordPress yang berkelanjutan. Dengan melihat situs web Anda melalui lensa yang sama dengan penyerang, Anda dapat lebih memahami postur keamanannya. Ini berarti Anda mengetahui apa yang dapat dilakukan untuk memperkuat pertahanan Anda terhadap kelemahan yang Anda identifikasi. Lihat langkah #2 untuk detail lebih lanjut tentang ini.
Jika Anda tidak yakin harus mulai dari mana dengan menguji keamanan WordPress Anda, pekerjakan profesional pihak ketiga. Tentu saja, tidak ada yang menghentikan Anda untuk secara bertahap membangun pengetahuan Anda untuk menguji situs WordPress Anda sendiri.
2. Pengerasan WordPress
Setelah Anda memahami apa yang telah ditemukan oleh pengujian keamanan Anda, inilah saatnya untuk memperkuat instalasi WordPress Anda. Secara default, WordPress cukup aman. Namun, ada banyak pilihan, pengoptimalan, dan perubahan yang dapat Anda lakukan pada penyiapan WordPress dan infrastruktur server Anda untuk membuat hidup penyerang lebih sulit. Banyak dari pengoptimalan ini — banyak di antaranya mungkin bergantung pada kasus penggunaan Anda. Proses ini biasanya disebut sebagai "pengerasan keamanan", atau sederhananya, "pengerasan".
Memperkuat instalasi WordPress Anda tentu bukan urusan satu kali. Anda perlu menginstal plugin baru dan memperluas fungsionalitas situs WordPress Anda untuk mengakomodasi perubahan kebutuhan bisnis. Tentu saja tidak ada kekurangan sumber daya untuk membantu Anda memulai dengan menopang keamanan WordPress. Berikut ini adalah dua prinsip inti yang harus Anda patuhi saat memperkuat pengaturan WordPress Anda.
Jalankan lebih sedikit perangkat lunak
Awalnya "jalankan lebih sedikit perangkat lunak" tidak terdengar sangat membantu. Namun kemungkinan besar Anda menjalankan lebih banyak perangkat lunak daripada yang diperlukan. Ini juga berarti lebih banyak ruang bagi penyerang untuk mengeksploitasi kelemahan potensial dalam perangkat lunak tambahan itu.
Jika Anda tidak yakin harus mulai dari mana, mulailah dengan melihat plugin WordPress Anda. Tanyakan pada diri Anda apa yang dapat Anda lakukan tanpa dan hapus. Terapkan prinsip yang sama untuk ekstensi PHP, konfigurasi server web, dan alat sistem operasi dan layanan jaringan.
Menghapus perangkat lunak pada umumnya bukanlah proses yang mudah untuk memulai. Namun, setiap kali Anda menjalani latihan ini, itu akan menjadi lebih sulit. Meskipun hasil dari menjalankan sistem yang lebih ramping sepadan dengan usaha.
Selain selalu memastikan untuk menguji setiap perubahan dalam lingkungan pengujian atau pementasan, Anda juga ingin memastikan Anda tidak menghapus perangkat lunak seperti firewall WordPress, log aktivitas WordPress, atau plugin monitor integritas file WordPress, yang ada untuk meningkatkan keamanan WordPress Anda.
Ini juga berlaku untuk plugin dan tema yang dinonaktifkan. Plugin yang dinonaktifkan harus segera dihapus, karena dalam beberapa kasus, kodenya masih dapat dieksploitasi jika rentan. Dalam hal tema, situs web Anda hanya menggunakan satu tema. Mungkin dua jika Anda memiliki pengaturan tema anak. Hapus semua tema tambahan di situs web Anda, termasuk tema default yang dikirimkan bersama WordPress.
Prinsip hak istimewa terkecil
WordPress tidak membutuhkan pengguna root MySQL untuk menjalankannya. Demikian juga, adalah ide yang buruk untuk menjalankan sebagian besar perangkat lunak sebagai root di server Linux (setara dengan Administrator di Microsoft Windows). Hanya gunakan akun admin / root jika ada alasan yang dapat dibenarkan untuk melakukannya.
Sejauh itu, sebagai aturan umum selalu berusaha sekuat tenaga untuk memberikan aplikasi atau pengguna hak istimewa seminimal mungkin untuk menyelesaikan pekerjaan. Tentu saja, menjalankan semuanya sebagai root atau administrator berarti semuanya akan berfungsi tanpa mengganggu hak istimewa. Namun, itu berpotensi sangat berbahaya. Menjalankan aplikasi (termasuk tugas seperti tugas cron) dengan hak administratif memungkinkan penyerang atau plugin berbahaya menyebabkan lebih banyak kerusakan jika terjadi pelanggaran keamanan.
Jika Anda tidak yakin harus mulai dari mana, mulailah dengan melihat siapa administrator di WordPress dan putuskan apakah Anda perlu membatasinya dalam beberapa cara — saat Anda melakukannya, Anda mungkin ingin memastikan bahwa Anda mengakses admin WordPress melalui HTTPS (SSL), dan Anda telah menerapkan otentikasi dua faktor (2FA) (atau setidaknya Anda telah menerapkan otentikasi HTTP untuk admin WordPress Anda).
Tentu saja, ada beberapa tips pengerasan keamanan WordPress lainnya yang dapat Anda terapkan untuk meningkatkan postur keamanan situs web WordPress Anda. Lihat tutorial dan tip keamanan WordPress kami untuk mempelajari lebih lanjut.
3. Pantau WordPress
Log sangat penting untuk menjaga keamanan sistem apa pun. Mereka adalah hal terdekat yang kita miliki dengan mesin waktu. Mampu menjawab apa yang terjadi dan kapan merupakan alat yang sangat diperlukan ketika menyelidiki insiden keamanan. Memiliki akses ke log yang tepat dapat membedakan antara menyadari bahwa penyerang telah mendapatkan pijakan ke situs web Anda, dan membiarkan pencurian tidak diketahui sampai terlambat.
Pelengkap untuk logging adalah pemantauan. Pada bentuknya yang paling dasar, pemantauan menunggu beberapa peristiwa terjadi (biasanya dengan melihat beberapa log secara berkala), mencatatnya dan biasanya dikonfigurasi dengan semacam sistem peringatan untuk memperingatkan administrator sistem bahwa sesuatu terjadi (seperti sistem deteksi intrusi WordPress ). Sementara banyak administrator sistem biasanya memantau penggunaan CPU dan memori, mereka mungkin kehilangan akses pemantauan ke WordPress.
Log aktivitas WordPress
Mampu melihat kembali log aktivitas WordPress untuk mengetahui dengan tepat apa yang telah dilakukan pengguna dalam jangka waktu tertentu adalah alat analisis yang penting dalam penyelidikan. Selain itu, Anda ingin dapat menghubungkan informasi ini dengan server web, kesalahan PHP, dan log basis data. Berikut adalah beberapa tip untuk memastikan Anda mencakup setidaknya penanganan log dasar dengan benar.
- Pastikan Anda memutar log dengan benar untuk memastikan Anda tidak kehabisan ruang disk
- Cadangkan log Anda secara berkala ke cadangan di luar lokasi (mis. Amazon S3 atau Digital Ocean Spaces)
- mencari tahu berapa lama Anda ingin menyimpan log dan mengonfigurasi kebijakan penyimpanan log aktivitas. Setidaknya 1 tahun retensi disarankan
- Pastikan Anda memiliki cara cepat untuk mengakses informasi penting di log Anda selama insiden
Log lainnya
Terlepas dari log aktivitas WordPress, sebagai administrator situs Anda memiliki akses ke banyak log lain, seperti log server web, log PHP, dan banyak lainnya. Lihat daftar file log untuk administrator WordPress untuk mempelajari lebih lanjut tentang semua file log berbeda yang dapat Anda akses. Postingan tersebut juga menyoroti bagaimana Anda dapat menggunakan informasi dari semua log untuk melacak insiden atau serangan.
4. Tingkatkan keamanan WordPress Anda
Setelah Anda selesai dengan siklus yang diuraikan di atas, langkah selanjutnya adalah mencoba dan menganalisis apa yang dapat Anda lakukan dengan lebih baik di waktu berikutnya. Seperti yang dibahas di awal artikel, ingatlah bahwa keamanan adalah proses yang berkelanjutan — coba dan ikuti terus berita keamanan WordPress, dan yang terpenting, pastikan Anda selalu mengetahui pembaruan keamanan WordPress.
Setelah Anda melalui proses ini beberapa kali, coba dan dokumentasikan secara spesifik tentang proses Anda sendiri . Buatlah rutinitas yang sering Anda ikuti. Selanjutnya, setiap kali Anda memperkenalkan perubahan ke situs WordPress Anda, ingatlah keamanan. Ikuti proses keamanan WordPress berulang dari Pengujian , Pengerasan , Pemantauan , dan Peningkatan keamanan situs web Anda setiap kali Anda membuat perubahan di situs web Anda.