TipsTutorial
Trending

20 Langkah untuk Mengamankan Situs WordPress Anda

Keamanan wordpress menjadi hal yang sedang di perbincangkan para penggunanya saat ini, pelajari tentang ancaman paling umum saat ini terhadap situs web WordPress, dan cara menjaga situs web WordPress Anda tetap aman dan terlindungi dari serangan siber.

Jika Anda pemilik website, maka Anda perlu memprioritaskan keamanan. Dan jika WordPress adalah CMS nya maka keamanan adalah prioritas utama.

Secara keseluruhan, WordPress adalah CMS yang aman, tetapi karena open-source, WordPress mengalami berbagai kerentanan kritis. Untungnya, mencapai keamanan WordPress itu sederhana ketika Anda mengambil langkah yang tepat.

Dalam artikel ini, kita akan membahas detail kerentanan keamanan paling umum dan berbahaya yang menyertai penggunaan WordPress. Kemudian, kami akan membahas semua langkah yang Anda perlukan untuk mengelola situs web WordPress yang aman dan terjamin. Berikut Langkah Untuk Mengamankan Situs WordPress

Mengapa Anda Membutuhkan Keamanan WordPress

Mari kita bahas alasan mengapa setiap situs web sukses yang dibangun dengan WordPress mengutamakan keamanan. Ini berlaku untuk bisnis dari semua ukuran, reputasi, dan industri.

Ini melindungi informasi dan reputasi Anda

Jika penyerang mendapatkan informasi pribadi tentang Anda atau pengunjung situs web Anda, tidak ada habisnya apa yang dapat mereka lakukan dengan informasi tersebut. Pelanggaran keamanan membuka Anda terhadap kebocoran data publik, pencurian identitas, ransomware, server mogok, dan daftar lainnya yang terus berlanjut. Salah satu dari peristiwa ini jauh dari kata ideal untuk pertumbuhan dan reputasi bisnis Anda, dan biasanya membuang-buang waktu, uang, dan energi.

Pengunjung Anda mengharapkannya

Seiring pertumbuhan bisnis Anda, jumlah masalah yang harus Anda pecahkan dan harapan pelanggan Anda tentang cara Anda mengatasi masalah tersebut akan meningkat. Salah satu masalah tersebut adalah menjaga keamanan informasi pelanggan Anda. Jika Anda tidak dapat memberikan layanan mendasar ini sejak awal, Anda akan merusak kepercayaan pelanggan kepada Anda.

Pelanggan Anda harus percaya bahwa informasi mereka akan digunakan dan disimpan dengan aman, baik itu informasi kontak, informasi pembayaran (yang memerlukan kepatuhan PCI), atau tanggapan dasar terhadap survei. Ada 2 hal serius yang perlu diketahui di sini:

  1. Jika langkah-langkah keamanan Anda berhasil, pelanggan Anda tidak perlu tahu.
  2. Jika mereka pernah melihat berita tentang keamanan situs Anda, kemungkinan itu adalah berita buruk dan sebagian besar tidak akan kembali.

Google menyukai situs web yang aman

Menjaga situs web WordPress Anda tetap aman adalah dasar untuk mempertahankan situs web di peringkat atas.

Mengapa? Karena situs web yang aman adalah situs yang dapat dicari. Keamanan situs web secara langsung mempengaruhi visibilitas dari pencarian di Google (dan mesin pencari lainnya), dan untuk sementara waktu. Keamanan adalah salah satu cara termudah untuk meningkatkan peringkat pencarian Anda.

Jelas, melindungi properti online Anda harus menjadi perhatian utama. Setiap situs web perlu memastikan keamanan bagi pengunjung dan penggunanya, dan kami akan membahas langkah-langkah untuk melakukannya. Tapi pertama-tama, Anda mungkin bertanya-tanya: Apakah WordPress aman?

Mari kita lihat di bawah ini.

Seberapa amankah WordPress?

WordPress adalah sistem manajemen konten yang aman. Namun, itu bisa jadi rentan terhadap serangan sama seperti CMS lainnya.

Tidak ada jalan lain: Situs web yang menggunakan WordPress adalah target populer untuk serangan siber. Dalam laporan keamanan WordPress-nya, layanan firewall bernama Wordfence memblokir 18,5 miliar permintaan serangan kata sandi di situs web WordPress. Itu hampir 20 miliar serangan di situs WordPress saja.

data-serangan-website-yang-menggunakan-wordpress

data serangan terhadap website yang menggunakan cms wordpress

Ini mungkin tidak terlalu mengejutkan, mengetahui bahwa 42,7% dari semua situs web menggunakan WordPress. Namun, hampir dua puluh miliar serangan masih cukup tinggi, bahkan jika memperhitungkan pangsa pasar WordPress.

Berita buruknya berlanjut: 8 dari 10 risiko keamanan WordPress termasuk dalam skor keparahan “Sedang” atau “Tinggi” menurut Common Vulnerability Scoring System.

laporan-vulnerabilities-by-severity

laporan vulnerabilities by severity

Tetapi sebelum Anda menghapus akun WordPress dengan susah payah, Anda harus tahu bahwa angka-angka ini tidak sepenuhnya salah WordPress. Atau, setidaknya, bukan kesalahan dari produk WordPress itu sendiri.

WordPress mempekerjakan tim keamanan besar yang terdiri dari peneliti dan insinyur kelas dunia yang mencari kerentanan dalam sistemnya, dan secara teratur merilis pembaruan keamanan untuk perangkat lunak mereka. Sejauh inti WordPress berjalan kami membahasnya. Masalahnya terletak pada bagaimana WordPress tersedia untuk penggunanya.

WordPress adalah perangkat lunak terbuka (open source), artinya kode sumber tersedia bagi siapa saja untuk dimodifikasi dan didistribusikan. Karena WordPress adalah sumber terbuka, perangkat lunak ini dapat disesuaikan dan dioptimalkan tanpa batas. Ada ribuan plugin, tema, dan pengembang dengan keterampilan untuk memodifikasi kode backend itu sendiri. Fleksibilitas ini adalah fitur yang menentukan dari WordPress, dan sebagian besar dari apa yang membuatnya begitu kuat dan digunakan secara luas.

Kelemahan dari semua kebebasan ini adalah bahwa situs web WordPress yang tidak dikonfigurasi atau dipelihara dengan benar rentan terhadap berbagai masalah keamanan. WordPress memberikan banyak kekuatan kepada penggunanya, dan dengan kekuatan besar datang tanggung jawab besar. Tanggung jawab yang banyak diabaikan. Peretas mengetahui hal ini dan menargetkan situs web WordPress yang sesuai.

Namun, Anda bisa tenang dengan mengetahui hal berikut: Keamanan yang sempurna tidak ada, terutama di dunia online. Seperti yang dinyatakan WordPress:

“Keamanan adalah pengurangan risiko, bukan penghapusan risiko. Ini tentang menggunakan semua kontrol yang sesuai yang tersedia untuk Anda, dengan alasan, yang memungkinkan Anda untuk meningkatkan pengamanan untuk mengurangi kemungkinan menjadikan diri Anda target, dan kemudian diretas.”

Anda tidak akan pernah dapat menjamin kekebalan penuh terhadap ancaman online, tetapi Anda dapat mengambil langkah-langkah untuk membuatnya jauh lebih kecil kemungkinannya untuk terjadi. Fakta bahwa Anda membaca ini berarti Anda mungkin peduli dengan keamanan dan bersedia bekerja lebih keras untuk menjaga Anda dan pengunjung Anda tetap aman. Singkatnya, WordPress aman, tetapi hanya jika penggunanya memperhatikan keamanan dengan serius dan mengikuti praktik terbaik.

Masalah Keamanan WordPress

Jadi, apa yang bisa terjadi jika seseorang memilih untuk mengesampingkan semua langkah ini dan tidak melakukan apa pun untuk mengamankan situs WordPress mereka? Ternyata, banyak. Jenis serangan siber yang paling umum di situs WordPress adalah:

Upaya Masuk Brute-Force

Ini adalah salah satu jenis serangan yang paling sederhana. Login brute force terjadi ketika penyerang menggunakan otomatisasi untuk memasukkan banyak kombinasi nama pengguna-kata sandi dengan sangat cepat, akhirnya menebak kredensial yang tepat. Peretasan brute force dapat mengakses informasi yang dilindungi kata sandi, bukan hanya login.

Pembuatan Skrip Lintas Situs (Cross-Site Scripting / XSS)

XSS terjadi ketika penyerang “menyuntikkan” kode berbahaya ke backend situs web target untuk mengekstrak informasi dan merusak fungsionalitas situs. Kode ini dapat diperkenalkan di backend dengan cara yang lebih kompleks, atau dikirimkan hanya sebagai respons dalam formulir yang dipakai  pengguna.

Database Injections

Juga dikenal sebagai injeksi SQL, ini terjadi ketika penyerang mengirimkan serangkaian kode berbahaya ke situs web melalui beberapa masukan pengguna, seperti formulir kontak. Situs web kemudian menyimpan kode di basis datanya. Sama halnya dengan serangan XSS, kode berbahaya berjalan di situs web untuk mengambil atau mengkompromikan informasi rahasia yang disimpan dalam database.

Backdoors

Backdoor adalah file yang berisi kode yang memungkinkan penyerang melewati login standar WordPress dan mengakses situs Anda kapan saja. Penyerang cenderung menempatkan backdoor di antara file sumber WordPress lainnya, membuatnya sulit ditemukan oleh pengguna yang tidak berpengalaman. Bahkan ketika dihapus, penyerang dapat menulis varian pintu belakang ini dan terus menggunakannya untuk melewati login Anda.

Meskipun WordPress membatasi jenis file apa yang dapat diunggah pengguna untuk mengurangi kemungkinan pintu belakang, itu masih merupakan masalah yang harus diperhatikan.

Serangan Denial-of-Service (DoS Attack)

Serangan ini mencegah pengguna yang berwenang mengakses situs web mereka sendiri. Serangan DoS paling sering dilakukan dengan membebani server dengan lalu lintas dan menyebabkan crash. Efeknya diperburuk dalam kasus serangan penolakan layanan terdistribusi (DDoS), serangan DoS yang dilakukan oleh banyak mesin sekaligus.

Phishing

Ketika penyerang menghubungi target yang menyamar sebagai perusahaan atau layanan yang sah, ini dikenal sebagai phishing. Upaya phishing biasanya meminta target untuk menyerahkan informasi pribadi, mengunduh malware, atau mengunjungi situs web berbahaya. Jika penyerang mengakses akun WordPress Anda, mereka bahkan dapat mengoordinasikan serangan phishing terhadap pelanggan Anda sambil menyamar sebagai Anda.

contoh-percobaan-pishing

Hotlinking

Hotlinking terjadi ketika situs web lain menampilkan konten yang disematkan (biasanya berupa gambar) yang dihosting di situs web Anda tanpa izin, sehingga konten tersebut tampak seperti miliknya. Sementara lebih mirip dengan mencuri daripada serangan besar-besaran, hotlinking biasanya ilegal dan memberikan korban masalah serius, karena mereka harus membayar setiap kali konten diambil dari server mereka ketika ditampilkan di situs web lain.

Agar kejahatan ini terjadi, peretas perlu menemukan lubang di keamanan situs. Kerentanan umum yang dicari peretas saat menargetkan situs web WordPress meliputi:

  • Plugin: Akun plugin pihak ketiga untuk sebagian besar pelanggaran keamanan WordPress. Karena plugin dibuat oleh pihak ketiga dan memiliki akses ke backend situs web Anda, plugin merupakan saluran umum bagi peretas untuk mengganggu fungsionalitas situs Anda.
  • Versi WordPress Lama: WordPress terkadang merilis versi baru dari perangkat lunak mereka untuk menambal kerentanan keamanan. Ketika perbaikan keluar, kerentanan menjadi pengetahuan publik, dan masalah dengan versi lama WordPress sering menjadi sasaran peretas.
  • Halaman login: Halaman login backend untuk situs WordPress apa pun secara default adalah URL utama situs dengan “/wp-admin” atau “/wp-login.php” ditambahkan di bagian akhir. Penyerang dapat dengan mudah menemukan halaman ini dan mencoba entri brute force.
  • Tema: Ya, bahkan tema WordPress Anda dapat membuka situs Anda dari serangan siber. Tema usang mungkin tidak kompatibel dengan versi WordPress terbaru, memungkinkan akses mudah ke file sumber Anda. Selain itu, banyak tema pihak ketiga yang tidak mengikuti standar kode WordPress, menyebabkan masalah kompatibilitas dan kerentanan serupa.

Point-point penting untuk keamanan WordPress Anda:

  1. Amankan prosedur login Anda.
  2. Gunakan hosting WordPress yang aman.
  3. Perbarui versi WordPress Anda.
  4. Perbarui ke versi terbaru PHP.
  5. Instal satu atau lebih plugin keamanan.
  6. Gunakan tema WordPress yang aman.
  7. Aktifkan SSL/HTTPS.
  8. Pasang firewall.
  9. Cadangkan situs web Anda.
  10. Lakukan pemindaian keamanan WordPress secara teratur.
  11. Saring karakter khusus dari input pengguna.
  12. Batasi izin pengguna WordPress.
  13. Gunakan pemantauan WordPress.
  14. Catat aktivitas pengguna.
  15. Ubah URL login WordPress default.
  16. Nonaktifkan pengeditan file di dasbor WordPress.
  17. Ubah awalan file database Anda.
  18. Nonaktifkan file xmlrpc.php Anda.
  19. Pertimbangkan untuk menghapus akun admin WordPress default.
  20. Pertimbangkan untuk menyembunyikan versi WordPress Anda.

Sekarang setelah kita melewati bagian yang menakutkan, mari kita bahas apa yang dapat Anda lakukan untuk mengurangi ancaman serangan siber di situs WordPress Anda.

Keamanan situs web, dan dengan ekstensi keamanan situs web WordPress, mengikuti serangkaian praktik terbaik. Beberapa di antaranya berlaku untuk semua situs web secara umum (misalnya kata sandi yang kuat dan autentikasi dua faktor, SSL, dan firewall), sementara yang lain berlaku khusus untuk situs web WordPress (misalnya menggunakan plugin yang aman dan tema WordPress yang aman).

Untuk menjaga situs Anda tetap aman, kami sarankan untuk mengikuti sebanyak mungkin praktik terbaik ini semampu Anda. Pertama, kami akan membahas praktik terbaik dasar. Kemudian kami akan menambahkan langkah tambahan yang dapat Anda ambil jika situs Anda sangat berisiko atau jika Anda ingin melangkah lebih jauh.

Praktik Terbaik Keamanan WordPress

1. Amankan prosedur login Anda.

Langkah paling mendasar untuk mengamankan situs web Anda adalah menjaga keamanan akun Anda dari upaya masuk yang berbahaya. Diantaranya:

  • Gunakan kata sandi yang kuat: Masih banyak  orang berfikir untuk menggunakan “123456” sebagai kata sandi. Pastikan bahwa semua pengguna dengan akun di backend WordPress Anda menggunakan kata sandi yang kuat untuk login. Anda mungkin ingin menggunakan salah satu pengelola kata sandi yang kami rekomendasikan untuk membuat kata sandi yang kuat dan melacaknya untuk Anda.
  • Aktifkan autentikasi dua faktor: Autentikasi dua faktor (2FA) mengharuskan pengguna untuk memverifikasi masuk mereka dengan perangkat kedua. Ini adalah salah satu alat paling sederhana, namun paling efektif untuk mengamankan login Anda.
  • Jangan membuat nama pengguna akun apa pun dengan user “admin”: Kemungkinannya adalah, ini akan menjadi nama pengguna pertama yang akan dipasang oleh penyerang selama upaya masuk secara paksa. Jika Anda telah membuat pengguna dengan nama ini, buat akun administrator baru dengan nama pengguna yang berbeda.
  • Batasi upaya login: Menempatkan batasan pada berapa kali pengguna memasukkan kredensial yang salah dalam jangka waktu tertentu akan mencegah peretas memaksa login. Beberapa layanan hosting dan firewall mungkin menangani hal ini untuk Anda, tetapi Anda juga dapat menginstal plugin seperti Limit Login Attempts untuk pekerjaan itu.
  • Tambahkan captcha: Anda mungkin pernah melihat fitur keamanan ini di banyak situs web lain. Mereka menambahkan lapisan keamanan ekstra ke login Anda dengan memverifikasi bahwa Anda memang benar sebagai manusia dan bukan robot. Anda dapat menggunakan plugin untuk menambahkan captcha ke situs Anda. reCaptcha oleh BestWebSoft adalah salah satu yang kami rekomendasikan.
  • Aktifkan logout otomatis: Meskipun Anda harus ingat untuk keluar dari akun WP Anda setelah selesai, logout otomatis mencegah orang asing mengintip akun Anda jika Anda lupa. Untuk mengaktifkan auto-logout di akun WordPress Anda, coba plugin Inactive Logout.

2. Gunakan hosting terbaik demi keamanan WordPress

Saat memilih layanan yang menghosting situs web Anda, ada banyak faktor yang perlu dipertimbangkan, tetapi keamanan harus menjadi prioritas utama. Pertimbangkan layanan yang telah mengambil langkah-langkah untuk melindungi informasi Anda dan segera pulih jika terjadi serangan. Lihat daftar penyedia hosting WordPress yang kami rekomendasikan.

3. Perbarui versi WordPress Anda.

Versi lama dari perangkat lunak WordPress adalah target yang sangat umum bagi peretas. Pastikan Anda secara teratur memeriksa dan menginstal pembaruan WordPress sesegera mungkin untuk menghilangkan kerentanan yang ditemukan di versi yang lebih lama.

Untuk memperbarui WordPress ke versi terbaru, pertama-tama cadangkan situs Anda dan periksa apakah plugin Anda kompatibel dengan WordPress versi terbaru, perbarui plugin yang sesuai. Anda dapat merujuk ke panduan kami tentang cara memperbarui plugin WordPress Anda.

Setelah memperbarui plugin Anda, ikuti petunjuk pembaruan di situs web WordPress.

4. Perbarui ke versi PHP terbaru.

Memutakhirkan ke versi PHP terbaru adalah salah satu langkah terpenting yang dapat Anda ambil untuk menjaga keamanan situs web WordPress Anda. Saat upgrade siap, WordPress akan memberi tahu Anda di dasbor Anda. Ini kemudian akan meminta Anda untuk menuju ke akun hosting Anda untuk meningkatkan ke versi PHP terbaru. Jika Anda tidak memiliki akses ke akun hosting Anda, hubungi pengembang web Anda untuk meningkatkan versi.

5. Instal satu atau lebih plugin keamanan WordPress.

Kami sangat menyarankan untuk menginstal satu atau lebih plugin keamanan terkemuka di situs web Anda. Plugin ini melakukan banyak pekerjaan manual terkait keamanan untuk Anda, termasuk memindai situs web Anda untuk upaya penyusupan, mengubah file sumber yang mungkin membuat situs Anda rentan, mengatur ulang dan memulihkan situs WordPress, dan mencegah pencurian konten seperti hotlinking. Beberapa plugin terkemuka mencakup hampir semua yang ada di daftar ini. Langkah ini tidak diperlukan jika Anda menggunakan Sistem Manajemen Konten HubSpot yang menyediakan pemindaian malware dan deteksi ancaman di dalam platform.

Plugin mana pun yang Anda putuskan untuk dipasang, terkait keamanan atau tidak, pastikan plugin tersebut sudah mapan dan sah. Lihat daftar plugin keamanan WordPress yang direkomendasikan.

6. Gunakan tema WordPress yang aman.

Sama seperti Anda seharusnya tidak menginstal plugin yang tidak jelas di situs Anda, tahan keinginan untuk menggunakan sembarang tema WordPress yang terlihat bagus. Untuk mencegah kerentanan yang disebabkan oleh tema WordPress, pilih salah satu yang sesuai dengan standar WordPress.

Untuk memeriksa apakah tema Anda saat ini memenuhi persyaratan WordPress, salin URL situs web Anda (atau URL situs WordPress mana pun atau demo langsung tema apa pun) ke validator W3C. Jika Anda menemukan tema Anda tidak sesuai, cari tema baru di direktori tema WordPress resmi. Semua tema dalam direktori ini kompatibel dengan perangkat lunak WordPress dengan aman. Atau, lihat daftar tema WordPress yang direkomendasikan HubSpot, atau cari pasar tema kredibel lainnya.

7. Aktifkan SSL/HTTPS.

SSL (Secure Sockets Layer) adalah teknologi yang mengenkripsi koneksi antara situs web Anda dan browser web pengunjung, memastikan bahwa lalu lintas antara situs Anda dan komputer pengunjung Anda aman dari intersepsi yang tidak diinginkan.

Situs WordPress Anda perlu mengaktifkan SSL. Jika Anda pengguna CMS Hub, SSL gratis dan terpasang di platform sehingga Anda siap menggunakannya. Jika Anda menggunakan WordPress, maka tergantung pada kasus penggunaan Anda, Anda dapat memilih untuk melakukannya secara manual atau menggunakan plugin SSL khusus. Tidak hanya akan meningkatkan SEO, tetapi juga berperan langsung dalam kesan pertama pengunjung situs web Anda. Google Chrome bahkan akan memperingatkan pengguna jika situs yang mereka kunjungi tidak mengikuti protokol SSL, yang secara langsung mengurangi lalu lintas situs web.

Untuk melihat apakah situs WordPress Anda mengikuti protokol SSL, kunjungi beranda situs WordPress Anda. Jika URL beranda dimulai dengan “https://” (“s” berarti “aman”), koneksi Anda diamankan dengan SSL. Jika URL dimulai dengan “http://”, Anda harus mendapatkan sertifikat SSL untuk situs web Anda.

8. Pasang firewall untuk keamanan WordPress

Firewall berada di antara jaringan yang menghosting situs WordPress Anda dan semua jaringan lain, dan secara otomatis mencegah lalu lintas yang tidak sah memasuki jaringan atau sistem Anda dari luar. Firewall mencegah aktivitas berbahaya keluar dari situs Anda dengan menghilangkan koneksi langsung antara jaringan Anda dan jaringan lain.

Kami merekomendasikan untuk menginstal plugin Web Application Firewall (WAF) untuk melindungi situs WordPress Anda. Dengan CMS Hub, situs Anda akan hadir dengan WAF di dalam platform. Seperti semua hal lain dalam daftar ini, pertimbangkan dengan cermat jenis firewall dan plugin mana yang paling sesuai dengan kebutuhan Anda sebelum menentukan pilihan.

9. Backup secara berkala situs web Anda.

Diretas itu buruk. Kehilangan semua informasi Anda bahkan lebih buruk. Pastikan Anda memiliki informasi situs web Anda yang didukung oleh WordPress dan host Anda jika terjadi serangan (atau insiden lainnya) yang menyebabkan kehilangan data. Kami menyarankan pencadangan otomatis atau melakukan manual secara berkala setiap seminggu sekali atau 2-3 hari sekali.

10. Lakukan pemindaian keamanan WordPress secara teratur.

Sebaiknya lakukan pemeriksaan rutin di situs Anda. Targetkan setidaknya sebulan sekali. Ada beberapa plugin yang dapat memindai situs.

Setelah Anda mengambil langkah-langkah dasar ini, Anda kemudian dapat beralih ke langkah-langkah yang lebih maju untuk mengamankan situs WordPress Anda.

Praktik Terbaik Keamanan WordPress Tingkat Lanjut

1. Saring karakter khusus dari form input

Jika ada bagian dari situs web Anda yang menerima tanggapan dari pengunjung, baik itu formulir pembayaran, formulir kontak, atau bahkan bagian komentar pada posting blog, ini adalah peluang untuk serangan XSS atau injeksi basis data. Penyerang dapat memasukkan kode berbahaya ke salah satu bidang teks ini dan mengganggu backend situs web Anda.

Untuk menghindari masalah ini, pastikan Anda memfilter karakter khusus dari input pengguna sebelum diproses oleh situs Anda dan disimpan dalam database. Anda juga dapat menggunakan plugin untuk mendeteksi kode berbahaya. Atau, Anda dapat menggunakan plugin WordPress Form Plugin untuk memfilter karakter ini secara otomatis.

2. Batasi izin pengguna WordPress.

Jika situs WordPress Anda memiliki banyak akun pengguna, sebaiknya ubah peran setiap pengguna untuk membatasi akses mereka hanya pada apa yang mereka butuhkan. WordPress memiliki enam peran untuk dipilih untuk setiap pengguna. Dengan membatasi jumlah pengguna dengan izin administrator, Anda mengurangi kemungkinan penyerang memaksa masuk ke akun admin, dan membatasi kerusakan yang dapat terjadi jika penyerang menebak kredensial pengguna dengan benar.

3. Gunakan WordPress Monitoring.

Memiliki sistem pemantauan untuk situs web Anda akan mengingatkan Anda tentang aktivitas mencurigakan yang terjadi di situs Anda. Idealnya, tindakan Anda yang lain akan mencegah aktivitas seperti itu, tetapi lebih baik untuk mengetahuinya lebih cepat daripada nanti. Anda dapat menggunakan plugin WordPress Monitoring Plugin untuk mendapatkan peringatan jika ada pelanggaran.

4. Catat aktivitas pengguna.

Berikut cara lain untuk mengatasi masalah sebelum terjadi: Buat log semua aktivitas yang dilakukan pengguna di situs web Anda, dan periksa log ini secara berkala untuk aktivitas yang mencurigakan. Dengan cara ini, Anda akan melihat apakah pengguna lain bertindak mencurigakan (misalnya mencoba mengubah kata sandi, mengubah file tema atau plugin, menginstal atau menonaktifkan plugin tanpa izin). Log juga berguna untuk pembersihan setelah peretasan, menunjukkan kepada Anda apa yang salah dan kapan.

Ini bukan untuk mengatakan bahwa semua perubahan kata sandi atau modifikasi file selalu merupakan tanda peretas di antara tim Anda. Namun, jika Anda mempekerjakan banyak kontributor eksternal dan memberi mereka izin akses, ada baiknya untuk selalu mengawasi berbagai hal.

Banyak plugin WordPress membuat log aktivitas, dan ada beberapa plugin logging khusus untuk WordPress seperti WP Activity Log atau plugin Activity Log gratis.

5. Ubah URL login WordPress default.

Seperti yang telah saya sebutkan, URL default untuk halaman login WordPress untuk situs WordPress mana pun mudah ditemukan. Plugin seperti WPS Hide Login mengubah URL halaman login ini untuk Anda.

6. Nonaktifkan pengeditan file di dasbor WordPress.

Secara default, WordPress memungkinkan administrator mengedit kode file mereka secara langsung dengan editor kode. Ini memberi penyerang cara mudah untuk mengubah file Anda jika mereka mendapatkan akses ke akun Anda. Jika plugin belum menonaktifkan fitur ini, Anda dapat melakukan beberapa pengkodean ringan untuk menonaktifkannya sendiri. Tambahkan kode di bawah ini di akhir file wp-config.php:

// Disallow file edits

define( 'DISALLOW_FILE_EDIT', true );

7. Ubah awalan file database Anda (Prefix database).

Nama-nama file yang membentuk database WordPress Anda dimulai dengan “wp_” secara default. Peretas memanfaatkan pengaturan ini untuk menemukan file database Anda berdasarkan nama dan melakukan injeksi SQL.

Perbaikan sederhana? Ubah awalan menjadi sesuatu yang berbeda, seperti “wpdb_” atau “wptable_”. Hal ini dimungkinkan untuk mengatur ini saat menginstal CMS WordPress. Jika situs Anda sudah aktif dengan pengaturan ini, Anda dapat mengganti nama file-file ini. Dalam hal ini, kami sangat menyarankan menggunakan plugin untuk menangani proses ini, karena database Anda menyimpan semua konten Anda dan kesalahan konfigurasi akan merusak situs web Anda. Cari kemampuan untuk mengubah awalan tabel di antara fitur plugin keamanan pilihan Anda.

8. Nonaktifkan file xmlrpc.php Anda.

XML-RPC adalah protokol komunikasi yang memungkinkan CMS WordPress berinteraksi dengan web eksternal dan aplikasi seluler. Sejak penggabungan WordPress REST API, XML-RPC digunakan jauh lebih jarang daripada sebelumnya. Namun, masih digunakan oleh beberapa orang untuk meluncurkan serangan kuat di situs WordPress.

Ini karena teknologi XML-RPC memungkinkan penyerang mengirimkan permintaan yang berisi ratusan perintah, sehingga lebih mudah untuk melakukan serangan login brute force. XML-RPC juga kurang aman dibandingkan REST karena permintaannya berisi kredensial otentikasi yang dapat dieksploitasi.

Jika Anda tidak menggunakan XML-RPC, Anda dapat menonaktifkan file xmlrpc.php. Pertama, periksa apakah situs Anda menggunakan file tersebut. Colokkan URL Anda ke validator XML-RPC ini untuk memeriksa apakah situs Anda saat ini menggunakan protokol. Jika tidak, cara termudah untuk menonaktifkan file ini adalah dengan plugin seperti Disable XML-RPC-API. Plugin keamanan WordPress Anda mungkin juga dapat melakukan ini untuk Anda.

Gunakan baris kode berikut untuk ditambahkan di file .htaccess website Anda

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>   
order deny,allow   
deny from all   
allow from 123.123.123.123
</Files>

9. Pertimbangkan untuk menghapus akun admin WordPress default.

Kami telah membahas mengubah nama pengguna “admin” untuk akun admin WordPress default, tetapi jika Anda ingin mengambil langkah lebih jauh, singkirkan akun default ini sama sekali, dan buat akun baru dengan izin administrator yang sama. Ini adalah langkah yang baik untuk diambil jika menurut Anda nama pengguna dan kata sandi admin asli Anda telah ditemukan.

10. Pertimbangkan untuk menyembunyikan versi WordPress Anda.

Menyembunyikan versi WordPress Anda akan memastikan peretas tidak tahu bahwa situs Anda rentan. Seperti yang dibahas sebelumnya, Anda harus selalu memperbarui ke versi terbaru WordPress. Tetapi jika Anda belum mendapatkan kesempatan untuk melakukannya, sangat penting untuk menyembunyikan potensi kerentanan.

Apa yang Harus Dilakukan Jika Anda Diretas

Jadi, Anda telah menerapkan beberapa atau semua langkah di atas, dan sekarang Anda ingin lebih siap jika terjadi kesalahan. Atau, ada yang tidak beres. Apa pun itu, inilah yang harus dilakukan:

1. Tetap tenang.

Wajar untuk panik dalam situasi ini. Ingatlah bahwa pelanggaran keamanan dapat terjadi pada siapa saja. Penting untuk tetap berpikiran jernih sehingga Anda dapat menemukan sumber pelanggaran dan mulai menyelesaikannya.

2. Aktifkan mode pemeliharaan (maintenance mode) di situs web Anda.

Membatasi akses ke situs Anda membuat pengunjung menjauh dari Anda dan aman dari serangan. Buka situs web Anda hanya ketika Anda yakin situasinya terkendali.

3. Mulai membuat laporan insiden.

Catat semua detail relevan yang dapat membantu menyelesaikan masalah. Diantaranya:

  • Ketika Anda menemukan masalahnya.
  • Apa yang membuatmu percaya bahwa kamu diserang.
  • Tema Anda saat ini, plugin aktif, penyedia hosting, dan penyedia jaringan.
  • Setiap perubahan terbaru yang Anda buat pada situs WordPress Anda sebelum kejadian tersebut.
  • Log tindakan Anda saat menemukan dan memperbaiki masalah.

Perbarui dokumen ini saat lebih banyak detail tersedia.

4. Setel ulang akses dan izin.

Ubah semua kata sandi akun di situs WordPress Anda untuk mencegah perubahan situs web lebih lanjut. Selanjutnya, keluar paksa semua pengguna yang masih masuk.

Semua pemegang akun juga harus sangat mempertimbangkan untuk memperbarui kata sandi di perangkat kerja dan pribadi mereka, serta akun pribadi, karena Anda tidak dapat mengetahui dengan pasti apa yang dapat diakses penyerang di luar situs WordPress Anda.

5. Mendiagnosis masalah.

Cari sendiri masalahnya dengan plugin keamanan, atau, tergantung pada skala serangan, pekerjakan seorang profesional untuk mendiagnosis masalah dan memperbaiki situs Anda. Terlepas dari metode apa yang Anda pilih, jalankan pemindaian keamanan di situs Anda dan file lokal untuk menghapus file berbahaya yang tersisa atau kode yang mungkin ditinggalkan penyerang, dan untuk memulihkan file yang hilang.

6. Tinjau situs web dan saluran terkait.

Jika Anda memiliki akun untuk platform online lain yang ditautkan ke situs web Anda, seperti akun media sosial atau situs WordPress lainnya, periksa platform ini untuk melihat apakah mereka terpengaruh. Ubah juga kata sandi Anda untuk saluran ini.

7. Instal ulang cadangan, tema, dan plugin.

Instal ulang tema dan plugin Anda (periksa ulang apakah aman). Jika Anda memiliki cadangan, pulihkan cadangan terbaru sebelum kejadian.

8. Ubah kembali kata sandi situs Anda.

Ya, Anda telah mengatur ulang semua kata sandi WordPress sebelumnya, tetapi kredensial ini dapat dikompromikan saat Anda memperbaiki masalah. Anda tidak pernah bisa terlalu berhati-hati.

9. Peringatkan pelanggan dan pemangku kepentingan Anda.

Setelah situs Anda aktif dan berjalan kembali, pertimbangkan untuk menghubungi pelanggan Anda untuk memberi tahu mereka tentang serangan tersebut, terutama jika informasi pribadi diakses dan bocor. Ini adalah hal yang benar untuk dilakukan, dan bersiaplah untuk tanggapan negatif dari pelanggan.

10. Pastikan situs web Anda tidak masuk daftar hitam oleh Google.

Jika situs web Anda masuk daftar hitam oleh Google sebagai akibat dari serangan tersebut, Google tidak akan memperingatkan pengguna secara halus tentang memasuki situs web Anda:

peringatan website terkena malmware

Meskipun daftar hitam diperlukan untuk menjauhkan pengguna dari situs web berbahaya, itu juga akan menakuti sebagian besar lalu lintas dari situs sah Anda. Sucuri memiliki alat gratis untuk memindai situs web Anda untuk status daftar hitam Google.

11. Ikuti praktik terbaik di atas.

Mengambil semua tindakan pencegahan yang mungkin untuk membatasi kemungkinan serangan lain akan memberi Anda ketenangan pikiran. Mari kita berharap hal seperti ini tidak terjadi. Tetapi jika ya, Anda akan berada dalam kondisi yang jauh lebih baik.

Jangan anggap remeh keamanan website.

Penjahat dunia maya terus mengembangkan cara baru untuk memanfaatkan kehadiran online perusahaan melawan mereka, dan insinyur keamanan selalu mengembangkan metode baru untuk menghentikan mereka. Ini adalah siklus keamanan yang terus berubah di internet, dan kita semua terjebak di tengahnya. Selalu ingat keselamatan pelanggan Anda, sehingga mereka tidak perlu khawatir lagi.

Catatan: Setiap informasi hukum dalam konten ini tidak sama dengan nasihat hukum, di mana seorang pengacara menerapkan hukum untuk keadaan khusus bagi kliennya, jadi kami menekankan Anda tidak boleh mengandalkan ini sebagai nasihat hukum atau sebagai rekomendasi dari pemahaman hukum tertentu.

Related Articles

Close
Close