Panduan Praktis untuk Keamanan WordPress

Dengan meningkatnya pelanggaran keamanan Web, sangat penting untuk mengambil langkah-langkah pencegahan untuk menjaga situs web Anda aman dari penyusup. Jadi, jika Anda memiliki situs WordPress, baca terus. Kami akan memberi Anda beberapa kiat dan alat yang dapat Anda gunakan untuk membuat situs web WordPress Anda aman dan terlindungi.


“Itu tidak akan terjadi pada situs saya!” Ini adalah pemikiran umum yang sebagian besar dari kita miliki ketika kita mendengar bahwa seorang hacker melanggar keamanan situs.

Mungkin, orang dengan situs web yang diretas percaya bahwa dia pasti telah melakukan sesuatu yang sangat salah dengan membocorkan informasi penting. Mungkin orang itu membuat kesalahan besar dengan mengabaikan keamanan situs webnya.

Anda mungkin merasa aman menggunakan CMS dan platform blogging yang sangat populer seperti WordPress untuk situs Anda. Namun, Anda harus mencatat bahwa popularitas global WordPress yang luar biasa adalah salah satu alasan utama mengapa peretas menargetkan situs berdasarkan platform ini..

WordPress adalah platform yang sangat ramah pengguna, dan ini membuatnya lebih rentan terhadap serangan dari peretas dan spammer. Sejak awal, Anda harus menjadikan keamanan sebagai prioritas utama untuk situs web Anda bersama dengan hosting dan desain Web.

Berikut ini adalah studi mendalam tentang berbagai langkah yang perlu Anda ambil untuk meningkatkan keamanan situs WordPress Anda. Kami juga akan melihat tips teratas untuk melindungi situs WordPress, plugin keamanan WordPress teratas, dan alat pengujian.

Anda perlu menyadari bahwa tidak ada situs web yang dapat 100% aman dan bahkan informasi yang dibagikan di sini tidak akan membuat situs Anda benar-benar aman. Tujuan utamanya adalah untuk membantu Anda dalam mengambil semua tindakan pencegahan yang diperlukan untuk menjaga situs web WordPress Anda aman dari sebagian besar serangan.

Dasar-dasar Keamanan Web

Anda mungkin berpikir bahwa sangat tidak mungkin situs Anda akan diretas di masa depan karena tidak pernah menghadapi masalah keamanan di masa lalu terkait malware, kode berbahaya, atau bahkan komentar spam.

Tapi, salah satu hal paling mendasar yang perlu diingat tentang keamanan Web adalah Anda harus tetap aktif dan tidak reaktif. Ini berarti Anda harus mengambil beberapa langkah pencegahan sejak awal, daripada percaya bahwa seseorang tidak dapat meretas situs Anda, dan berupaya meningkatkan keamanannya..

Juga, sebelum melompat ke langkah-langkah untuk keamanan WordPress, Anda perlu menyadari pentingnya memiliki keamanan ini di tempat.

Banyak orang mengunjungi situs web Anda. Beberapa dari mereka dapat berlangganan buletin situs Anda, dan beberapa dapat mendaftar sebagai anggota forum situs Anda. Data yang dibagikan oleh pengunjung Anda juga rentan terhadap serangan jika situs Anda diretas. Jadi, adalah tanggung jawab Anda untuk memastikan keamanan data situs web Anda, yang, pada gilirannya, akan melindungi data pengunjung Anda.

Jika situs WordPress Anda menarik sedikit lalu lintas, Anda mungkin berpendapat bahwa tidak ada alasan bagi peretas untuk menyerang situs Anda ketika ada ribuan situs web populer lainnya yang tersedia secara online. Jika demikian, maka mungkin inilah saatnya bagi Anda untuk memahami alasan mengapa seorang peretas dapat mencoba untuk melanggar situs web Anda.

Peretas tidak khawatir apakah situs Anda hanya menarik beberapa pengunjung karena, begitu mereka mendapatkan akses ke situs Anda, mereka dapat menggunakan server Anda untuk mengirim email spam. Mereka melakukan ini untuk membantu mereka memasarkan layanan, produk, atau situs mereka.
Dengan peningkatan aktivitas spamming jenis ini dari server yang diretas, peluang alamat IP Anda mendapatkan daftar hitam meningkat sangat besar. Atau, para peretas mungkin lebih suka menggunakan server Anda untuk aktivitas situs web mereka sendiri karena alamat IP mereka sudah masuk daftar hitam.

Selain menyadari alasan peretasan, Anda juga perlu memahami cara-cara berbeda yang dapat dilakukan peretas atau spammer terhadap situs web Anda. Ini selanjutnya akan membantu Anda merencanakan kegiatan situs Anda sedemikian rupa sehingga situs Anda menjadi kurang rentan terhadap ancaman keamanan.

Mereka dapat menyerang melalui plugin atau tema WordPress apa pun. Bahkan, ada beberapa kasus di mana masalah dengan plugin keamanan telah memungkinkan peretas untuk menyerang situs web yang menggunakan plugin tersebut. Selain itu, peretas dapat memanfaatkan kerentanan keamanan apa pun di platform hosting Anda dan menggunakan parameter URL apa pun untuk mengakses database Anda.

Dengan cara ini, mereka dapat memodifikasi data Anda, mengubah kata sandi Anda, atau bahkan menghapus data. Sangat mengejutkan mengetahui bahwa banyak serangan bahkan terjadi karena kata sandi yang lemah untuk mengakses panel admin WordPress atau bahkan untuk mengakses panel kontrol hosting.

Setelah mengembangkan pemahaman dasar tentang perlunya mengamankan situs WordPress Anda, kini Anda dapat membaca lebih lanjut untuk mempelajari cara-cara meningkatkan keamanan situs web Anda..

9 Tips Keamanan untuk Melindungi Situs WordPress Anda dari Peretas

Biarkan Situs WordPress Anda Diperbarui

Jika Anda terus menunda memperbarui situs WordPress Anda karena Anda takut kehilangan data karena pembaruan yang salah, maka Anda harus segera mulai membuat cadangan. Setelah Anda membuat cadangan situs Anda, Anda dapat dengan mudah melanjutkan dan memperbarui versi WordPress Anda ke yang terbaru. Anda perlu melakukan ini karena WP memperbaiki bug keamanan dari versi sebelumnya dengan setiap versi baru yang tersedia.

Juga, informasi WordPress menginformasikan kepada publik tentang perbaikan ini, yang membuat situs Anda yang sudah ketinggalan zaman menjadi semakin rentan. Jadi, biasakan menggunakan opsi “Perbarui Tersedia” secara teratur setelah Anda masuk ke dasbor admin WordPress Anda.

Perbarui Tema dan Plugin yang Anda Gunakan dan Hapus Yang Tidak Digunakan

Anda perlu menyimpannya Plugin WordPress dan tema diperbarui untuk alasan yang sama Anda perlu memperbarui versi WordPress secara keseluruhan. Seorang peretas dapat dengan mudah memanipulasi plugin atau tema yang sudah usang (melalui lubang keamanan) untuk mendapatkan akses ke admin situs web Anda.

Jadi, jangan khawatir tentang kompatibilitas plugin Anda dengan tema Anda saat ini, tetapi Anda harus memastikan bahwa Anda selalu menggunakan versi terbaru dari keduanya.

Sepanjang baris yang sama, pastikan bagian plugin Anda di dashboard admin WordPress hanya berisi plugin yang Anda gunakan. Hapus yang tidak Anda gunakan karena Anda cenderung tidak memperbarui plugin semacam itu, dan ini lagi meningkatkan kerentanan mereka terhadap serangan keamanan.

Harap perhatikan bahwa penting untuk “menghapus” plugin Anda yang tidak digunakan dan tidak hanya “menonaktifkan” mereka.

Hindari Mengunduh Tema atau Plugin dari Sumber Tidak Dikenal

Anda mungkin tergoda untuk mengunduh beberapa plugin atau tema premium secara gratis walaupun itu dari sumber yang tidak dikenal.

Meskipun Anda mungkin merasa senang mendapatkan fitur-fitur canggih tanpa biaya, Anda mungkin lupa memperhatikan ancaman keamanan yang dibawa oleh fitur-fitur ini. Plugin dari sumber yang tidak dikenal dapat memperkenalkan malware atau menyisipkan kode berbahaya ke situs Anda. Alih-alih mengambil risiko besar, selalu disarankan untuk hanya mengunduh tema dan plugin dari sumber-sumber terkenal.

Anda dapat menggunakan Plugin-Check atau Theme-Check untuk masing-masing memeriksa kode plugin dan tema Anda. Kode yang ditulis dengan buruk dapat memudahkan peretas untuk mendapatkan akses ke situs web Anda.

Jika Anda tidak sepenuhnya yakin tentang sumbernya dan tidak tahu cara memeriksa kualitas kode, Anda dapat memilih desain WordPress gratis dari platform WordPress.org.

Memiliki Nama Pengguna dan Kata Sandi Admin yang Kuat

Untuk membuat situs Anda menggunakan platform WordPress, Anda mendapatkan akses ke dasbor back-end. Secara default, WP menghasilkan nama pengguna (admin) dan kata sandi yang kuat untuk Anda masuk ke dasbor admin ini selama instalasi WordPress. Tetapi, setelah instalasi, Anda harus mengubah nama pengguna admin WordPress Anda menjadi sesuatu yang unik bagi Anda.

Bersamaan dengan itu, Anda harus ingat untuk mengubah kata sandi menjadi sesuatu yang tidak diketahui oleh orang-orang di sekitar Anda atau dari pengunjung situs web Anda. Misalnya, jika situs Anda mengungkapkan tanggal lahir atau nama pasangan Anda, pastikan kata sandi Anda tidak mengandung keduanya. Ini membuat sulit bagi peretas mana pun untuk menebak kata sandi Anda. Anda juga harus menyimpan kata sandi yang aman untuk akun panel kontrol Anda.

Selain itu, Anda dapat mencoba menambahkan CAPTCHA ke halaman login WordPress Anda untuk lebih meningkatkan keamanan situs Anda. Ini akan memastikan bahwa bot atau skrip tidak dapat memperoleh akses ke situs web Anda melalui serangan brute force.

Tambahkan Otentikasi Keamanan WordPress Dua Langkah

Berapa banyak kata sandi yang akan saya pelihara dan perbarui secara berkala? Anda mungkin memiliki pertanyaan tentang mempertahankan kata sandi yang kuat untuk berbagai titik masuk ke panel WordPress atau panel kontrol Anda.

Anda dapat menikmati login gratis kata sandi ke panel WordPress Anda menggunakan sesuatu seperti Plugin otentikasi dua faktor. Dengan plugin ini, Anda dapat menggunakan ponsel Anda untuk mengautentikasi login aman Anda ke dashboard admin WordPress bersama dengan PIN atau sidik jari. Jadi, bahkan jika ponsel Anda hilang, detail akun Clef Anda tetap aman.

Atau, Anda dapat menggunakan Google Authenticator untuk memastikan otentikasi dua langkah. Dengan ini, Anda perlu menggunakan kata sandi serta memasukkan kode login unik yang dihasilkan sebagai SMS ke ponsel Anda.

Cari Perusahaan Hosting yang Aman

Memiliki versi situs WordPress terbaru tidak masalah jika peretas dapat memecahkan versi PHP lama dari platform yang meng-host situs Anda. Jadi, Anda perlu menggunakan layanan hosting dari penyedia hosting Web yang sangat andal.

Tuan rumah Anda harus memiliki kemampuan untuk memperluas dukungan untuk versi MySQL terbaru dan versi PHP. Itu juga harus memiliki sistem deteksi intrusi yang efisien untuk mengidentifikasi serangan pada waktunya dan harus menawarkan situs Anda firewall aplikasi Web untuk meningkatkan keamanan.

Batasi Jumlah Upaya Masuk

Peretas menggunakan serangan brute force untuk memecahkan kata sandi yang Anda gunakan untuk masuk ke panel WordPress Anda. Mereka terus mencoba upaya login acak hingga berhasil.

Bahkan jika kata sandi Anda kuat, itu membantu untuk mengidentifikasi jumlah upaya login yang tidak masuk akal dan membatasi alamat IP yang melakukan upaya ini. Anda kemudian dapat mencekal alamat IP tersebut untuk jangka waktu tertentu. Anda dapat melakukannya dengan memanfaatkan plugin seperti Penguncian Login atau Solusi Keamanan Masuk.

Jadwalkan Pencadangan Sering dari Situs Web Anda

Ini adalah langkah penting karena bahkan membantu Anda ketika seseorang meretas atau membahayakan situs Anda. Ketika seseorang meretas situs Anda, Anda dapat dengan mudah kembali ke versi sebelumnya dari situs web Anda yang tidak dikompromikan. Anda juga dapat menggunakan solusi otomatis apa pun untuk cadangan, seperti VaultPress atau BackUpBuddy.

Jaga agar Ruang Admin WordPress Anda Terlindungi Dengan Baik

Hanya sejumlah orang tertentu yang perlu memiliki akses ke dasbor admin Anda. Selain itu, sedapat mungkin, cobalah untuk membatasi izin bagi mereka yang mengakses dasbor Anda. Ini akan membantu Anda mengurangi ancaman serangan dari sumber yang tidak dikenal.
Anda juga perlu memastikan bahwa orang lain memiliki akses terbatas atau tidak ada ke folder WordPress / wp-admin / atau file wp-login.php. Anda dapat mengizinkan akses ke alamat IP Anda sendiri dengan menambahkan potongan kode berikut dalam file .htaccess:

pesanan ditolak, izinkan
Tolak dari semuanya
Izinkan dari zz.zz.zz.zz

Dalam kode di atas, Anda hanya perlu mengganti “zz.zz.zz.zz” dengan set alamat IP Anda sendiri untuk lokasi atau perangkat yang berbeda.

Jika Anda tidak berurusan dengan alamat IP statis, maka metode ini mungkin tidak cocok untuk Anda. Dalam kasus seperti itu, Anda dapat menggunakan plugin yang dibahas di atas untuk membatasi upaya login.

Plugin Keamanan WordPress untuk Mendeteksi Kode Berbahaya di Situs Anda

Jika seorang hacker menyerang situs Anda, itu akan membantu untuk membatasi kerusakan atau mengambil tindakan tepat waktu jika Anda segera mengetahuinya. Jadi, mari kita lihat beberapa plugin keamanan WordPress teratas yang dapat mendeteksi kode jahat yang dimasukkan ke situs web Anda.

Perlindungan Situs WP AntiVirus

Plugin populer ini, ditawarkan oleh SiteGuarding.com, membantu mendeteksi dan menghapus virus atau kode jahat apa pun yang ditemukan di situs WordPress Anda. Ini memindai melalui item seperti file plugin, file tema, dan semua unggahan untuk dengan cepat mendeteksi ancaman keamanan, termasuk backdoors, adware, spyware, rootkit, worm, Trojan horse, dan alat penipuan.

Jika Anda terus mengunduh tema dan plugin dari situs torrent (alih-alih membeli salinan asli dari pengembang), maka Anda perlu memiliki plugin jenis ini untuk keamanan yang lebih baik..

Keamanan Wordfence

Plugin ini menawarkan keamanan kelas perusahaan gratis dengan melindungi situs Anda dari malware serta potensi peretasan. Ia memeriksa apakah situs Anda telah memiliki infeksi dan melakukan pemindaian sisi server yang mendalam terhadap kode sumber situs Anda.
Ini membandingkan kode dengan Repositori WordPress Resmi untuk plugin, inti, dan tema. Ini tidak hanya mengamankan situs web Anda dari sebagian besar ancaman, tetapi juga membuat situs web Anda 50 kali lebih cepat dari sebelumnya.

Wordfence juga memungkinkan pemblokiran real-time dari penyerang yang dikenal. Ini berarti bahwa jika seorang peretas menyerang plugin ini di situs lain, peretas itu juga akan diblokir secara otomatis dari situs Anda.

Itu dapat memblokir seluruh jaringan alamat IP berbahaya ketika ada ancaman kode berbahaya dimasukkan ke situs Anda. Lebih lanjut membantu untuk memblokir ancaman dalam bentuk pencakar, perayap, dan bot yang diidentifikasi selama pemindaian keamanan. Itu juga memindai Trojan, kode yang mencurigakan, backdoors, URL phishing, malware, kerentanan HeartBleed, dan sebagainya.

Jika Anda adalah pengguna premium, Anda juga dapat memblokir negara, dan Anda sering dapat menjadwalkan pemindaian untuk periode tertentu.

Pemindai Eksploitasi

Exploit Scanner selalu mencari sesuatu yang mencurigakan dalam file dan database situs WordPress Anda, termasuk posting dan tabel komentar.

Itu juga memindai plugin yang Anda gunakan untuk nama file yang menyesatkan atau tidak biasa. Jika menemukan kode atau file berbahaya, plugin ini memberikan laporan terperinci kepada administrator situs dan menyerahkannya kepadanya untuk menghapus kode berbahaya.

Keamanan Sucuri

Ini adalah perangkat keamanan komprehensif untuk digunakan untuk deteksi malware, pengerasan keamanan, dan pemantauan integritas keamanan. Ini sangat mendukung untuk fitur keamanan situs Anda yang ada.

Beberapa fungsi utama plugin ini termasuk pemantauan integritas file, pemantauan daftar hitam, audit aktivitas keamanan, pemindaian malware jarak jauh, pengerasan keamanan, dan tindakan keamanan yang diambil pasca peretasan, pemberitahuan keamanan, dan firewall situs web.

Cara Memindai Situs WordPress Anda untuk Malware Tersembunyi?

Karena WordPress adalah platform sumber terbuka, ia mudah rentan terhadap infeksi atau suntikan malware oleh peretas. Beberapa cara umum yang digunakan peretas untuk menyuntikkan malware ke situs Anda meliputi:

  • Pharma Hacks (injeksi spam di database atau file Anda)
  • Phishing (memperoleh informasi sensitif, seperti alamat email, kata sandi, dan nama pengguna)
  • Pengalihan Malicious (mengarahkan pengunjung situs Anda ke halaman situs lain di mana ada file yang terinfeksi atau kode jahat yang diunduh)
  • Suntikan File dan Database (penambahan kode berbahaya dalam database atau file situs Anda)
  • Backdoors (mendapatkan akses ke area admin Anda atau akun FTP)
  • Semua peretas ingin memastikan bahwa pemilik situs tidak mengetahui bahwa mereka meretas situsnya. Ini memungkinkan para peretas untuk menginfeksi pengunjung situs melalui spam yang terus menerus untuk periode yang lebih lama.

Jadi, tujuan Anda adalah untuk terus mencari malware tersembunyi di situs yang tidak Anda ketahui dan singkirkan file atau folder yang terinfeksi.

Anda dapat melakukan ini dengan menggunakan malware yang memindai plugin WordPress seperti yang tercantum di bawah ini:

Menggunakan Sucuri SiteCheck Scanner untuk memindai potensi malware. Cukup buka situsnya sini dan masukkan URL situs web Anda. Pemindai gratis ini akan melakukan pemindaian menyeluruh terhadap situs Anda untuk menemukan malware, kesalahan situs web, status daftar hitam, dan perangkat lunak yang ketinggalan zaman.

Satu-satunya kelemahan adalah bahwa Anda perlu melakukan pemindaian ini secara manual dengan versi gratis. Anda dapat meningkatkan ke paket premium dan mendapatkan peringatan melalui Twitter, email atau RSS, setiap kali mendeteksi malware.

Hapus situs web Anda dari daftar hitam apa pun jika peretas telah lama menggunakan server Anda untuk melakukan spam. Layanan premium juga membantu menghilangkan malware. Anda bahkan dapat mencoba plugin keamanan Sucuri yang telah dibahas sebelumnya untuk meningkatkan perlindungan malware.

Menggunakan Pemindai Anti-Malware untuk mencari malware, virus, backdoors, dan ancaman serupa yang diketahui serta menghapusnya secara otomatis. Fitur premium utama dari plugin ini adalah untuk menambal halaman wp-login.php Anda untuk menghentikan serangan brute-force.

Selain itu, Anda dapat menggunakan plugin keamanan WordPress apa pun yang dibahas di atas untuk mengidentifikasi kode berbahaya.

Alat Pengujian Keamanan Situs Web

Untuk melindungi situs web Anda dari serangan, Anda perlu terus-menerus menguji tingkat keamanan situs Anda dengan menggunakan alat pengujian tertentu seperti:

Wapiti melihat kerentanan (pengungkapan file, injeksi basis data, injeksi skrip lintas situs, konfigurasi .htacake lemah, dan lainnya) di situs web Anda. Alat ini menggunakan pendekatan pemindaian kotak hitam.

Ini berarti tidak mempelajari kode sumber aplikasi tetapi memeriksa halaman web untuk formulir dan skrip di mana ia dapat menyuntikkan data. Itu menyuntikkan muatan untuk mengidentifikasi skrip yang rentan. Ini memberikan laporan dalam berbagai format, seperti HTML, XML, Teks, dan JSON.

Google Nogotofail menguji lalu lintas jaringan suatu situs untuk mendeteksi dan memperbaiki koneksi TLS atau SSL yang lemah dan lalu lintas teks-sensitif pada berbagai perangkat. Anda juga dapat mengaturnya sebagai server VPN atau server proxy atau bahkan router.

Anda dapat mencoba pemindai sumber terbuka dan tester bernama Vega. Platform berbasis GUI ini berada di Jawa dan bekerja dengan platform OS X, Windows, dan Linux. Ini terdiri dari proxy pencegat untuk melakukan pemeriksaan taktis dan pemindai otomatis untuk melakukan tes cepat.

Alat ini dapat digunakan untuk mengidentifikasi skrip lintas situs (XSS), injeksi SQL, dan kerentanan serupa.
Kami harap tip dan informasi tentang keamanan WordPress ini akan membantu Anda meningkatkan keamanan situs Anda hingga tingkat yang lebih tinggi.

Sudahkah Anda mencoba beberapa plugin atau metode yang meningkatkan keamanan situs web WordPress Anda? Silakan bagikan pengalaman Anda dan terus menyebarkan kesadaran tentang pentingnya keamanan situs web di antara jaringan Anda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map