Cara Melindungi Situs WordPress Anda [Satu-satunya Panduan yang Anda Butuhkan]
Diterbitkan: 2021-08-05
Pengguna WordPress cenderung menghabiskan banyak waktu untuk desain, konten, dan pengoptimalan situs web mereka, namun sering kali melupakan satu faktor penting: keamanan situs web. Meskipun mungkin tampak seperti masalah yang membosankan bagi orang yang bukan pengembang, menjaga keamanan WordPress Anda adalah bagian penting dari menjalankan bisnis Anda.
Mengapa Anda bisa bertanya?
Mari kita telusuri pertanyaan ini bersama-sama.
Banyak orang mengabaikan informasi ini karena mereka tidak pernah berurusan dengan situs web yang diretas sehingga mereka tidak dapat membayangkan kerumitan, waktu, dan upaya untuk menyelesaikannya.
Pertama-tama, jika Anda menjalankan bisnis online, atau setidaknya Anda mengelola sebagian bisnis Anda melalui situs web, serangan hacker pasti akan menghentikan proses kerja Anda. Jika Anda memiliki toko online, Anda tidak akan dapat menjual; jika Anda memesan janji temu melalui situs web Anda, Anda tidak akan dapat melakukannya.
Untuk toko online bervolume tinggi, ini sangat buruk - Anda tidak hanya tidak dapat menjual untuk sementara waktu, tetapi Anda juga dapat kehilangan pesanan. Pencadangan situs web biasanya dibuat sekali sehari, dan jika Anda diretas beberapa jam setelah selesai, semua pesanan yang dibuat sementara itu akan hilang.
Jika situs web Anda beroperasi, peretasan mungkin masih terjadi - misalnya, tautan dapat dimasukkan ke dalam kode dan mengarah ke situs web lain.
Jika Anda memonetisasi situs web Anda melalui iklan, Anda mungkin mendapatkan iklan Anda diganti dengan iklan orang lain (dan karena itu menampilkan iklan yang Anda tidak akan mendapatkan pendapatan dari).
Ada banyak kasus ketika situs web Anda mungkin disusupi, dan Anda perlu berhari-hari, jika bukan berminggu-minggu, untuk menyadarinya. Dalam skenario dengan injeksi tautan spam, ini dapat memengaruhi SEO Anda (karena Google sangat tidak menyukai tautan berisi spam). Akibatnya, peringkat Google Anda dapat menurun, dan Anda mungkin membutuhkan waktu yang sangat lama untuk memperbaiki kerusakan semacam ini.
Ada juga soal kepercayaan pelanggan; orang menjadi sangat khawatir ketika mereka mendengar situs web yang mereka gunakan telah diretas.
Penggunaan sertifikat SSL telah mencegah konsekuensi paling serius seperti kebocoran nomor kartu kredit, tetapi beberapa data masih dapat diperoleh. Pengguna dapat mengaitkan serangan peretas di situs web Anda dengan keamanan yang buruk dan memutuskan untuk berhenti menggunakan layanan Anda sama sekali.
Secara keseluruhan, jika situs web Anda diretas, Anda dapat memperbaikinya, tetapi melindungi WordPress Anda sejak awal adalah cara yang jauh lebih mudah.
Jika serangan telah terjadi, Anda dapat menggunakan plugin untuk memindai situs web Anda, tetapi sebagian besar plugin yang tersedia hanya akan menunjukkan file apa yang telah dimodifikasi baru-baru ini, dan Anda masih harus membersihkan semuanya secara manual.
Cara lain yang dapat Anda coba dan perbaiki adalah dengan memulihkan cadangan situs web Anda. Namun, ini bukan perbaikan yang dijamin 100%, terutama jika Anda tidak yakin kapan WordPress Anda diretas (dan oleh karena itu, salinan cadangan mana yang pasti bersih).
Anda juga dapat menghubungi agen khusus yang menawarkan penghapusan malware dan bantuan teknis; mereka akan bertindak relatif cepat dan membersihkan WordPress Anda untuk Anda, tetapi tentu saja ada biayanya.
Anda perlu mengingat bahwa meskipun Anda berhasil memperbaiki kerusakan, situasi ini dapat (dan kemungkinan besar akan) terjadi lagi jika Anda tidak mengatur perlindungan yang tepat.
Upaya terbaik Anda di sini adalah bertindak lebih dulu dan mengamankan situs web Anda dengan mengambil pendekatan perlindungan yang terperinci dan komprehensif.
Tapi apa artinya ini?
Jadi, bagaimana Anda melindungi situs WordPress Anda ? Langkah-langkah tindakan apa yang dapat Anda ambil? Kami senang Anda bertanya! Baca terus.
Cara web hosting biasanya dipilih adalah melalui rekomendasi dari seorang teman, melalui agen pembuat website atau melalui riset online.
Apa yang sering dicari oleh pengguna yang tidak berpengalaman adalah harga termurah. Namun, seperti kebanyakan hal dalam hidup, hosting yang andal dan berkualitas tinggi akan lebih mahal, dan juga akan menawarkan lebih banyak kepada Anda. Penyedia hosting yang baik menawarkan banyak fitur keamanan yang dapat membedakan apakah Anda harus berurusan dengan situs web yang diretas atau tidak.
Di sisi lain, penyedia hosting murah akan mengambil jalan pintas kapan pun mereka bisa untuk menutupi perbedaan, dan sayangnya, keamanan adalah area yang sangat menderita.
Izinkan kami memberi Anda contoh beberapa fitur yang kami sediakan untuk pelanggan kami. Selain opsi klasik seperti perlindungan DDoS, sertifikat SSL, dan Firewall Aplikasi Web, kami memiliki beberapa yang akan meningkatkan permainan keamanan situs web Anda.
Salah satunya adalah Patchman, sebuah aplikasi yang bisa sangat berguna bagi pengguna yang tidak memperbarui WordPress secara otomatis. Patchman memindai instalasi Anda dan memperbaiki kerentanan yang diketahui di file inti WordPress dan banyak plugin populer. Daripada memperbarui perangkat lunak secara otomatis untuk memperbaiki kerentanan, yang dapat menyebabkan masalah ketergantungan yang merusak situs, Patchman menerapkan perbaikan keamanan ke versi yang saat ini diinstal.
Anda dapat memiliki keyakinan penuh bahwa tambalan yang diterapkan akan terjadi dengan aman dan tanpa merusak situs web Anda.
Jika Anda menggunakan hosting bersama, memilih hosting yang aman dan berkinerja tinggi sangat penting. Banyak perusahaan juga menawarkan hosting WordPress, yang secara khusus dikonfigurasi untuk WordPress dan situs Anda biasanya akan berkinerja jauh lebih baik.
Jika Anda memiliki situs web bervolume tinggi dan memilih untuk meningkatkan akun hosting Anda, gunakan server khusus yang dikelola sepenuhnya akan menjamin tingkat keamanan yang lebih tinggi, dibandingkan dengan rekanan yang lebih murah (tidak terkelola).
Secara keseluruhan, lakukan riset menyeluruh tentang hosting web dan jangan biarkan harga memandu Anda dalam pilihan Anda.
Alasan ini terjadi adalah karena kerentanan ditemukan oleh peretas. Jika Anda tertarik untuk membaca lebih lanjut tentang topik ini, kami merekomendasikan artikel ini, tetapi untuk meringkasnya, kerentanan adalah "lubang' dalam kode aplikasi yang Anda gunakan. Ada pertempuran terus-menerus antara peretas dan pengembang perangkat lunak, di mana peretas menemukan dan mengeksploitasi kerentanan keamanan, dan pengembang berusaha untuk menambalnya dengan cepat.
Seperti aplikasi CMS lainnya, WordPress melewati siklus pembaruan, di mana fitur baru ditambahkan, dan pengembang bekerja untuk memperbaiki kerentanan yang diketahui. Setiap tahun, biasanya ada 1-3 pembaruan besar dan banyak pembaruan kecil, yang semuanya penting untuk keamanan, karena hampir selalu berisi tambalan keamanan.
Tapi tunggu - jika Anda memiliki sesuatu seperti Patchman, mengapa Anda masih perlu memperbarui?
Patchman mencakup file inti WordPress dan beberapa plugin paling populer, tetapi banyak plugin tidak ditambal melalui aplikasi. Ini berarti bahwa semua plugin tersebut, jika dibiarkan usang, akan dengan mudah menjadi titik masuk bagi peretas untuk melakukan apa yang mereka inginkan di situs web Anda.
Menjaga WordPress Anda diperbarui cukup mudah.
Pertama-tama, semua versi setelah 5.6 (dirilis pada Desember 2020) memiliki pembaruan otomatis yang diaktifkan, yang berarti Anda tidak perlu melakukan apa pun. Jika bukan karena alasan tertentu (misalnya pengembang Anda menonaktifkannya), ada beberapa cara untuk mengaktifkan pembaruan otomatis.
Salah satunya melalui Softaculous, aplikasi yang sering digunakan oleh pengguna cPanel untuk menginstal WordPress di server mereka. Pengelola WordPress Softaculous memungkinkan Anda untuk mengonfigurasi peningkatan otomatis; Anda dapat memilih untuk memutakhirkan secara otomatis hanya pembaruan kecil, atau jurusan juga.
Anda juga dapat memilih untuk meningkatkan plugin dan tema Anda secara otomatis. Terbaik dari semua, itu akan mengambil cadangan sebelum upgrade otomatis untuk berjaga-jaga jika ada kebutuhan untuk kembali.
Pilihan lain, jika Anda agak ahli dalam memodifikasi kode Anda, adalah dengan menggunakan konfigurasi pembaruan otomatis asli WordPress - cari tahu lebih lanjut tentang ini langsung di KB WordPress.
Banyak orang menggunakan nama pengguna "admin" karena ini muncul secara default saat menggunakan aplikasi perangkat lunak seperti Softaculous untuk menginstal WordPress Anda.
Jangan gunakan nama pengguna default , mempermudah peretas - pilih nama pengguna yang berbeda, seperti alamat email Anda. Jika Anda telah diberikan pengguna yang sudah dibuat dengan nama pengguna ini, buat administrator baru dan hapus yang sudah ada.
Hal yang sama berlaku untuk kata sandi Anda; semakin kuat, semakin baik. Pilih kata sandi panjang yang menyertakan angka dan karakter khusus atau, lebih baik lagi, buat kata sandi acak.
Jika Anda khawatir Anda akan lupa kata sandi Anda, cobalah untuk membuat sistem yang dapat membantu Anda mengingatnya. Beberapa orang suka menggunakan kombinasi karakter statis + nama situs web sebagai pembeda ( Jack1990Apple!), yang lain menggunakan kata sandi asosiatif.
Tentu saja, Anda cukup menyimpan detail login Anda dan tidak khawatir apakah Anda akan mengingatnya atau tidak. Jangan gunakan browser Anda untuk menyimpan detail login Anda! Ini adalah opsi yang cukup tidak aman (dan umum digunakan).
Jika Anda ingin menyimpan detail login Anda sehingga Anda tidak perlu mengetiknya setiap saat, gunakan pengelola kata sandi seperti Lastpass - mereka memiliki paket gratis, dan detail login Anda akan seaman mungkin. Dengan pengelola kata sandi, Anda hanya perlu mengingat 1 kata sandi (yang utama) dan juga menyimpan detail kartu kredit.
Pelanggan di layanan hosting bersama Kualo juga dilindungi dari serangan login brute force secara otomatis - dengan upaya brute force dibatasi dan diblokir.
Ini berarti bahwa meskipun peretas memiliki detail login persis Anda, mereka tetap tidak dapat login tanpa autentikasi tambahan tersebut.
Anda dapat menginstal plugin seperti WP 2FA dan memaksa pengguna lain di situs web Anda untuk menggunakannya juga (terutama jika mereka memiliki hak administrator atau editor). Ingatlah untuk selalu mengunduh kode cadangan Anda dan menyimpannya di lokasi yang aman, jika Anda kehilangan akses ke telepon Anda.
Either way, jika Anda membiarkannya seperti ini, Anda akan lebih mudah bagi peretas untuk mengidentifikasi pintu masuk ke backend Anda dan memulai serangan brute force.
Ubah URL (slug) ke halaman login Anda dengan menggunakan plugin seperti ThemeMyLogin atau cari plugin keamanan yang akan menyertakan beberapa fitur yang kami daftarkan (2FA, batasi upaya login, dll.).
Ada juga artikel bagus dari WPBeginner tentang cara mengubah URL login Anda secara manual, tetapi jika Anda tidak nyaman mengelola kode, sebaiknya jangan pergi ke sana.
Di sisi lain, setiap plugin yang Anda instal adalah bagian lain dari kode yang perlu diperhatikan (yaitu diperbarui). Banyaknya plugin juga meningkatkan risiko ketidakcocokan - ini adalah saat dua atau lebih plugin tidak dapat bekerja bersama - jadi Anda harus menghindari menginstal plugin yang tidak dapat digunakan.
Beberapa plugin keamanan terbaik akan menggabungkan beberapa fitur, seperti yang disebutkan di atas, sehingga mengurangi jumlah plugin yang harus Anda instal untuk melakukan semua hal yang sedang kita bicarakan. Beberapa contoh bagus adalah:
Jika banyak pengguna dengan hak administrator bekerja di situs web Anda, ini adalah cara terbaik untuk mencatat apa yang sedang dilakukan.
Dari perspektif keamanan, ini dapat menunjukkan kepada Anda berbagai informasi yang bisa sangat berguna - mulai dari upaya login yang gagal hingga perubahan pada file dan pengaturan situs WordPress. Jika Anda adalah orang yang suka melakukan perawatan situs web sendiri, fitur ini adalah suatu keharusan.
Opsi hebat (dan gratis) adalah WP Activity log, sebuah plugin yang telah ada selama bertahun-tahun dan juga dikenal dengan log detail dan kesederhanaan antarmuka.
Suatu kali, SSL diperlukan untuk situs web yang perlu aman untuk transaksi tertentu seperti pembayaran. Namun, saat ini, tidak masalah apakah Anda memproses pembayaran di situs web Anda atau tidak. SSL wajib untuk situs web mana pun yang memproses informasi sensitif seperti kata sandi, nama, alamat, dll.
Mekanisme di samping layar adalah sebagai berikut: tanpa SSL di situs web Anda, semua data yang ditransfer antara peramban web pengguna dan server web Anda dikirimkan dalam teks biasa yang dapat dibaca oleh peretas.
Setelah Anda menginstal SSL, informasi sensitif dienkripsi sebelum ditransfer antara kedua pihak – browser web pengguna dan server Anda, melindunginya dari pihak ketiga dengan maksud jahat.
Google menyadari pentingnya sertifikat SSL beberapa waktu lalu dan mulai menampilkan situs web posisi teratas yang dapat menawarkan transfer informasi terenkripsi.
Selain itu, pada tahun 2018, Google memperingatkan semua pemilik situs web bahwa setiap situs yang tidak memiliki SSL aktif akan ditampilkan sebagai "Tidak Aman" di URL. Ini menjadikan sertifikat SSL sebagai keharusan mutlak; kabar baiknya adalah cukup mudah untuk mendapatkannya, dan terlebih lagi, di beberapa perusahaan hosting (termasuk Kualo!) SSL disertakan secara gratis.
Sering kali, saat memasang tema/plugin baru atau bekerja secara aktif di situs Anda, sesuatu mungkin rusak, jadi memiliki cadangan di tempat tidak diragukan lagi adalah suatu keharusan.
Meskipun sebagian besar penyedia hosting yang andal akan menyiapkan cadangan harian untuk Anda, bukan ide yang buruk untuk mempelajari cara melakukannya secara manual atau menggunakan plugin cadangan seperti UpdraftPlus atau BackupBuddy. Keduanya memiliki opsi untuk mengunggah cadangan situs web Anda ke layanan cloud seperti Amazon atau mengekspornya secara lokal.
Anda juga dapat menggunakan fitur Softaculous Backup yang mudah diakses di cPanel Anda. Kabar baiknya adalah ia menawarkan kesederhanaan maksimum dan tanpa biaya tambahan. Berita buruknya adalah, tidak seperti rekan-rekannya, itu akan mengunggah cadangan di akun hosting Anda, sehingga akan menggunakan ruang disk dan juga disimpan di tempat yang sama dengan situs web itu sendiri. Jika sesuatu terjadi pada akun Anda (misalnya, menghapus file secara tidak sengaja atau intrusi peretas manual) salinan cadangan Anda mungkin juga disusupi.
Ingatlah selalu untuk membuat salinan cadangan jika Anda berencana untuk bekerja di WordPress dan Anda tidak yakin dengan hasil akhirnya!
Jika Anda menjalankan situs web eCommerce dengan lalu lintas tinggi, pencadangan setiap jam mungkin merupakan pilihan terbaik untuk Anda. Seperti disebutkan sebelumnya, situs web yang menghasilkan banyak pesanan dapat mengalami kerugian yang signifikan jika mereka harus memulihkan cadangan yang dilakukan beberapa jam sebelumnya.
Anda dapat melakukannya dengan menambahkan sepotong kode ke file wp-config.php Anda:
Anda dapat melakukan ini dengan membuka editor teks seperti Notepad dan menempelkan kode ini:
<File *.php>
tolak dari semua
</File>
Simpan file ini sebagai .htaccess dan unggah ke folder /wp-content/uploads/ di situs web Anda menggunakan klien FTP atau melalui Manajer File di cPanel.
Misalnya, jika seorang peretas ingin mencoba 1000 kata sandi berbeda di situs web Anda, mereka harus melakukan 1000 upaya masuk terpisah yang akan ditangkap oleh plugin keamanan atau firewall Anda. Namun, jika Anda tetap mengaktifkan XML-RPC, peretas dapat menggunakan fungsi system.multicall dan mencoba 1000 kata sandi berbeda dengan 30-60 permintaan.
Itu sebabnya kami sangat menyarankan untuk menonaktifkannya, dan Anda dapat melakukannya hanya dengan menambahkan kode di file .htaccess Anda:
Pada baris 5 Anda harus memasukkan IP Anda sendiri jika hanya itu yang ingin Anda pertahankan dari XML-RPC (jika tidak, hapus saja).
Catatan: Jika Anda adalah salah satu pengguna kami, tidak perlu melakukan langkah ini, karena XMLRPC Anda akan dilindungi oleh fitur Perlindungan Brute Force LiteSpeed.
Cara yang bagus untuk mengatasinya adalah dengan mencegah bot yang menyalahgunakan mendapatkan akses ke WordPress Anda. Masukkan kode berikut ke file .htaccess.
Berikan akses sesedikit mungkin kepada pengguna situs web Anda. Jika Anda memiliki penulis konten, misalnya, Anda tidak perlu menyediakan akun administrator - pengguna Editor akan baik-baik saja. Jangan membagikan akun Anda kecuali benar-benar diperlukan, dan jika Anda melakukannya - ubah kata sandi Anda segera setelah siapa pun yang Anda berikan tidak membutuhkannya lagi.
Jangan membagikan detail hosting Anda juga kecuali benar-benar diperlukan.
Jangan gunakan tema dan plugin WordPress nulled (diunduh secara ilegal)
Pada titik tertentu, mungkin menjadi godaan untuk menghemat uang dan mengunduh plugin atau tema yang tidak berlisensi. Dalam hal ini, Anda akan membayar dengan cara lain - kemungkinan besar dengan memposisikan pintu belakang ke WordPress Anda. Peretas sering menyembunyikan tautan spam atau kode berbahaya di dalam item yang tidak berlisensi dan menawarkannya untuk diunduh gratis.
Hindari mereka dengan biaya berapa pun dan jika Anda memesan situs web atau fungsionalitas, pastikan untuk mengonfirmasi dengan pengembang semuanya dilisensikan dengan benar.
Apakah Anda menemukan saran yang ditawarkan sulit untuk diikuti? Apakah kita melewatkan sesuatu yang penting? Ping kami di komentar, kami akan senang mendengar pendapat Anda!
Atau jika Anda siap untuk beralih ke hosting WordPress super aman dari Kualo, periksa paket kami di sini.
Mengapa Anda bisa bertanya?
Mari kita telusuri pertanyaan ini bersama-sama.
Mengapa Melindungi WordPress Anda Penting?
Seperti hal-hal terkait keselamatan lainnya dalam hidup, keamanan situs web adalah kejahatan yang diperlukan. Biasanya, ketika Anda menugaskan pengembang atau agensi untuk membuat situs web untuk Anda, topik keamanan akan muncul. Para ahli mengetahui secara langsung seberapa sering situs web diretas - terutama situs web WordPress karena popularitas platform tersebut. Mereka biasanya akan menyarankan Anda untuk melindungi situs web Anda dengan berbagai cara dan mungkin merekomendasikan beberapa praktik keamanan yang terkenal.Banyak orang mengabaikan informasi ini karena mereka tidak pernah berurusan dengan situs web yang diretas sehingga mereka tidak dapat membayangkan kerumitan, waktu, dan upaya untuk menyelesaikannya.
Pertama-tama, jika Anda menjalankan bisnis online, atau setidaknya Anda mengelola sebagian bisnis Anda melalui situs web, serangan hacker pasti akan menghentikan proses kerja Anda. Jika Anda memiliki toko online, Anda tidak akan dapat menjual; jika Anda memesan janji temu melalui situs web Anda, Anda tidak akan dapat melakukannya.
Untuk toko online bervolume tinggi, ini sangat buruk - Anda tidak hanya tidak dapat menjual untuk sementara waktu, tetapi Anda juga dapat kehilangan pesanan. Pencadangan situs web biasanya dibuat sekali sehari, dan jika Anda diretas beberapa jam setelah selesai, semua pesanan yang dibuat sementara itu akan hilang.
Jika situs web Anda beroperasi, peretasan mungkin masih terjadi - misalnya, tautan dapat dimasukkan ke dalam kode dan mengarah ke situs web lain.
Jika Anda memonetisasi situs web Anda melalui iklan, Anda mungkin mendapatkan iklan Anda diganti dengan iklan orang lain (dan karena itu menampilkan iklan yang Anda tidak akan mendapatkan pendapatan dari).
Ada banyak kasus ketika situs web Anda mungkin disusupi, dan Anda perlu berhari-hari, jika bukan berminggu-minggu, untuk menyadarinya. Dalam skenario dengan injeksi tautan spam, ini dapat memengaruhi SEO Anda (karena Google sangat tidak menyukai tautan berisi spam). Akibatnya, peringkat Google Anda dapat menurun, dan Anda mungkin membutuhkan waktu yang sangat lama untuk memperbaiki kerusakan semacam ini.
Ada juga soal kepercayaan pelanggan; orang menjadi sangat khawatir ketika mereka mendengar situs web yang mereka gunakan telah diretas.
Penggunaan sertifikat SSL telah mencegah konsekuensi paling serius seperti kebocoran nomor kartu kredit, tetapi beberapa data masih dapat diperoleh. Pengguna dapat mengaitkan serangan peretas di situs web Anda dengan keamanan yang buruk dan memutuskan untuk berhenti menggunakan layanan Anda sama sekali.
Secara keseluruhan, jika situs web Anda diretas, Anda dapat memperbaikinya, tetapi melindungi WordPress Anda sejak awal adalah cara yang jauh lebih mudah.
Bisakah Anda memperbaiki WordPress yang diretas?
Jika Anda tidak terbiasa dengan prosesnya, memperbaiki situs web WordPress yang diretas bisa sangat sulit. Membersihkan kode yang terinfeksi membutuhkan jenis pengetahuan tertentu. Tidak seperti banyak masalah teknis lainnya, akan sulit bagi Google untuk memperbaikinya dengan cepat karena sifat serangan peretas yang bervariasi.Jika serangan telah terjadi, Anda dapat menggunakan plugin untuk memindai situs web Anda, tetapi sebagian besar plugin yang tersedia hanya akan menunjukkan file apa yang telah dimodifikasi baru-baru ini, dan Anda masih harus membersihkan semuanya secara manual.
Cara lain yang dapat Anda coba dan perbaiki adalah dengan memulihkan cadangan situs web Anda. Namun, ini bukan perbaikan yang dijamin 100%, terutama jika Anda tidak yakin kapan WordPress Anda diretas (dan oleh karena itu, salinan cadangan mana yang pasti bersih).
Anda juga dapat menghubungi agen khusus yang menawarkan penghapusan malware dan bantuan teknis; mereka akan bertindak relatif cepat dan membersihkan WordPress Anda untuk Anda, tetapi tentu saja ada biayanya.
Anda perlu mengingat bahwa meskipun Anda berhasil memperbaiki kerusakan, situasi ini dapat (dan kemungkinan besar akan) terjadi lagi jika Anda tidak mengatur perlindungan yang tepat.
Upaya terbaik Anda di sini adalah bertindak lebih dulu dan mengamankan situs web Anda dengan mengambil pendekatan perlindungan yang terperinci dan komprehensif.
Tapi apa artinya ini?
Jadi, bagaimana Anda melindungi situs WordPress Anda ? Langkah-langkah tindakan apa yang dapat Anda ambil? Kami senang Anda bertanya! Baca terus.
Langkah yang Dapat Ditindaklanjuti untuk Melindungi situs WordPress Anda
1. Pilih Penyedia Hosting yang Baik
Sebelum berfokus pada langkah keamanan lainnya, memilih fondasi yang kuat untuk situs web Anda sangat penting. Bekerja dengan penyedia hosting yang baik yang dapat menawarkan Anda keamanan berlapis adalah cara paling sederhana untuk melindungi situs web Anda dari serangan cyber di masa mendatang. Pilihan penyedia web hosting jarang menjadi sesuatu yang direncanakan orang dengan cermat, terutama jika mereka tidak menjalankan bisnis online selama bertahun-tahun.Cara web hosting biasanya dipilih adalah melalui rekomendasi dari seorang teman, melalui agen pembuat website atau melalui riset online.
Apa yang sering dicari oleh pengguna yang tidak berpengalaman adalah harga termurah. Namun, seperti kebanyakan hal dalam hidup, hosting yang andal dan berkualitas tinggi akan lebih mahal, dan juga akan menawarkan lebih banyak kepada Anda. Penyedia hosting yang baik menawarkan banyak fitur keamanan yang dapat membedakan apakah Anda harus berurusan dengan situs web yang diretas atau tidak.
Di sisi lain, penyedia hosting murah akan mengambil jalan pintas kapan pun mereka bisa untuk menutupi perbedaan, dan sayangnya, keamanan adalah area yang sangat menderita.
Izinkan kami memberi Anda contoh beberapa fitur yang kami sediakan untuk pelanggan kami. Selain opsi klasik seperti perlindungan DDoS, sertifikat SSL, dan Firewall Aplikasi Web, kami memiliki beberapa yang akan meningkatkan permainan keamanan situs web Anda.
Salah satunya adalah Patchman, sebuah aplikasi yang bisa sangat berguna bagi pengguna yang tidak memperbarui WordPress secara otomatis. Patchman memindai instalasi Anda dan memperbaiki kerentanan yang diketahui di file inti WordPress dan banyak plugin populer. Daripada memperbarui perangkat lunak secara otomatis untuk memperbaiki kerentanan, yang dapat menyebabkan masalah ketergantungan yang merusak situs, Patchman menerapkan perbaikan keamanan ke versi yang saat ini diinstal.
Anda dapat memiliki keyakinan penuh bahwa tambalan yang diterapkan akan terjadi dengan aman dan tanpa merusak situs web Anda.
Jika Anda menggunakan hosting bersama, memilih hosting yang aman dan berkinerja tinggi sangat penting. Banyak perusahaan juga menawarkan hosting WordPress, yang secara khusus dikonfigurasi untuk WordPress dan situs Anda biasanya akan berkinerja jauh lebih baik.
Jika Anda memiliki situs web bervolume tinggi dan memilih untuk meningkatkan akun hosting Anda, gunakan server khusus yang dikelola sepenuhnya akan menjamin tingkat keamanan yang lebih tinggi, dibandingkan dengan rekanan yang lebih murah (tidak terkelola).
Secara keseluruhan, lakukan riset menyeluruh tentang hosting web dan jangan biarkan harga memandu Anda dalam pilihan Anda.
2. Tetap Perbarui WordPress Anda
Ini mungkin saran pertama yang akan Anda dengar dari pengembang web Anda - selalu perbarui semuanya! Banyak pemilik WordPress mengabaikan ini sebagai aturan, baik secara sadar atau tidak, dan menjadi target serangan berbahaya.Alasan ini terjadi adalah karena kerentanan ditemukan oleh peretas. Jika Anda tertarik untuk membaca lebih lanjut tentang topik ini, kami merekomendasikan artikel ini, tetapi untuk meringkasnya, kerentanan adalah "lubang' dalam kode aplikasi yang Anda gunakan. Ada pertempuran terus-menerus antara peretas dan pengembang perangkat lunak, di mana peretas menemukan dan mengeksploitasi kerentanan keamanan, dan pengembang berusaha untuk menambalnya dengan cepat.
Seperti aplikasi CMS lainnya, WordPress melewati siklus pembaruan, di mana fitur baru ditambahkan, dan pengembang bekerja untuk memperbaiki kerentanan yang diketahui. Setiap tahun, biasanya ada 1-3 pembaruan besar dan banyak pembaruan kecil, yang semuanya penting untuk keamanan, karena hampir selalu berisi tambalan keamanan.
Tapi tunggu - jika Anda memiliki sesuatu seperti Patchman, mengapa Anda masih perlu memperbarui?
Patchman mencakup file inti WordPress dan beberapa plugin paling populer, tetapi banyak plugin tidak ditambal melalui aplikasi. Ini berarti bahwa semua plugin tersebut, jika dibiarkan usang, akan dengan mudah menjadi titik masuk bagi peretas untuk melakukan apa yang mereka inginkan di situs web Anda.
Menjaga WordPress Anda diperbarui cukup mudah.
Pertama-tama, semua versi setelah 5.6 (dirilis pada Desember 2020) memiliki pembaruan otomatis yang diaktifkan, yang berarti Anda tidak perlu melakukan apa pun. Jika bukan karena alasan tertentu (misalnya pengembang Anda menonaktifkannya), ada beberapa cara untuk mengaktifkan pembaruan otomatis.
Salah satunya melalui Softaculous, aplikasi yang sering digunakan oleh pengguna cPanel untuk menginstal WordPress di server mereka. Pengelola WordPress Softaculous memungkinkan Anda untuk mengonfigurasi peningkatan otomatis; Anda dapat memilih untuk memutakhirkan secara otomatis hanya pembaruan kecil, atau jurusan juga.
Anda juga dapat memilih untuk meningkatkan plugin dan tema Anda secara otomatis. Terbaik dari semua, itu akan mengambil cadangan sebelum upgrade otomatis untuk berjaga-jaga jika ada kebutuhan untuk kembali.
Pilihan lain, jika Anda agak ahli dalam memodifikasi kode Anda, adalah dengan menggunakan konfigurasi pembaruan otomatis asli WordPress - cari tahu lebih lanjut tentang ini langsung di KB WordPress.
3. Pilih Nama Pengguna dan Kata Sandi yang Kuat
Upaya peretasan WordPress yang paling umum termasuk menggunakan detail login yang dicuri. Kita berbicara tentang apa yang disebut serangan Brute Force – jenis serangan siber yang efisien dan mudah, di mana peretas membiarkan komputer mencoba berbagai kombinasi nama pengguna dan kata sandi sampai mereka menemukan yang tepat.Banyak orang menggunakan nama pengguna "admin" karena ini muncul secara default saat menggunakan aplikasi perangkat lunak seperti Softaculous untuk menginstal WordPress Anda.
Jangan gunakan nama pengguna default , mempermudah peretas - pilih nama pengguna yang berbeda, seperti alamat email Anda. Jika Anda telah diberikan pengguna yang sudah dibuat dengan nama pengguna ini, buat administrator baru dan hapus yang sudah ada.
Hal yang sama berlaku untuk kata sandi Anda; semakin kuat, semakin baik. Pilih kata sandi panjang yang menyertakan angka dan karakter khusus atau, lebih baik lagi, buat kata sandi acak.
Jika Anda khawatir Anda akan lupa kata sandi Anda, cobalah untuk membuat sistem yang dapat membantu Anda mengingatnya. Beberapa orang suka menggunakan kombinasi karakter statis + nama situs web sebagai pembeda ( Jack1990Apple!), yang lain menggunakan kata sandi asosiatif.
Tentu saja, Anda cukup menyimpan detail login Anda dan tidak khawatir apakah Anda akan mengingatnya atau tidak. Jangan gunakan browser Anda untuk menyimpan detail login Anda! Ini adalah opsi yang cukup tidak aman (dan umum digunakan).
Jika Anda ingin menyimpan detail login Anda sehingga Anda tidak perlu mengetiknya setiap saat, gunakan pengelola kata sandi seperti Lastpass - mereka memiliki paket gratis, dan detail login Anda akan seaman mungkin. Dengan pengelola kata sandi, Anda hanya perlu mengingat 1 kata sandi (yang utama) dan juga menyimpan detail kartu kredit.
4. Batasi Upaya Masuk
Cara lain untuk mencegah serangan brute force (sekali lagi, mereka akan mencoba menerobos dengan menebak detail Anda) adalah dengan membatasi jumlah upaya login. Untungnya, ini adalah hal yang cukup mudah untuk dilakukan; cukup instal plugin seperti Loginizer atau, jika Anda menggunakan plugin keamanan, periksa apakah plugin tersebut tidak menawarkan fitur ini.Pelanggan di layanan hosting bersama Kualo juga dilindungi dari serangan login brute force secara otomatis - dengan upaya brute force dibatasi dan diblokir.
5. Gunakan 2FA (otentikasi dua faktor)
Otentikasi Dua Faktor telah menjadi semacam standar emas dalam beberapa tahun terakhir. Faktanya, banyak situs web terkemuka akan memaksa penggunanya untuk menerapkan 2FA di akun mereka sebagai salah satu cara paling andal untuk melindunginya. Cara kerjanya adalah memerlukan autentikasi tambahan (biasanya melalui ponsel Anda) setiap kali Anda masuk dari perangkat yang tidak dikenali.Ini berarti bahwa meskipun peretas memiliki detail login persis Anda, mereka tetap tidak dapat login tanpa autentikasi tambahan tersebut.
Anda dapat menginstal plugin seperti WP 2FA dan memaksa pengguna lain di situs web Anda untuk menggunakannya juga (terutama jika mereka memiliki hak administrator atau editor). Ingatlah untuk selalu mengunduh kode cadangan Anda dan menyimpannya di lokasi yang aman, jika Anda kehilangan akses ke telepon Anda.
6. Ubah URL halaman login Anda
Sama seperti nama pengguna "admin", detail WordPress terkenal lainnya dalam hal akses masuk adalah halaman masuknya. Yang default adalah "www.yourwebsite.com/wp-login.php" atau "www.yourwebsite.com/wp-admin"Either way, jika Anda membiarkannya seperti ini, Anda akan lebih mudah bagi peretas untuk mengidentifikasi pintu masuk ke backend Anda dan memulai serangan brute force.
Ubah URL (slug) ke halaman login Anda dengan menggunakan plugin seperti ThemeMyLogin atau cari plugin keamanan yang akan menyertakan beberapa fitur yang kami daftarkan (2FA, batasi upaya login, dll.).
Ada juga artikel bagus dari WPBeginner tentang cara mengubah URL login Anda secara manual, tetapi jika Anda tidak nyaman mengelola kode, sebaiknya jangan pergi ke sana.
7. Instal Plugin Keamanan
Pada saat penulisan artikel ini, ada lebih dari 50 juta plugin yang tersedia, baik yang gratis maupun yang berbayar. Sangat disayangkan untuk tidak memanfaatkan basis besar plugin yang dapat melindungi instalasi Anda dari serangan jahat.Di sisi lain, setiap plugin yang Anda instal adalah bagian lain dari kode yang perlu diperhatikan (yaitu diperbarui). Banyaknya plugin juga meningkatkan risiko ketidakcocokan - ini adalah saat dua atau lebih plugin tidak dapat bekerja bersama - jadi Anda harus menghindari menginstal plugin yang tidak dapat digunakan.
Beberapa plugin keamanan terbaik akan menggabungkan beberapa fitur, seperti yang disebutkan di atas, sehingga mengurangi jumlah plugin yang harus Anda instal untuk melakukan semua hal yang sedang kita bicarakan. Beberapa contoh bagus adalah:
- Keamanan Wordfence - opsi umum lainnya yang dikemas dengan fitur. Bagus untuk pengguna dengan banyak situs web melalui pusat Wordfence-nya, plugin memeriksa WordPress untuk beberapa risiko keamanan seperti kode berbahaya, injeksi spam, dan bahkan URL yang buruk
- WP Cerber Security - plugin hebat yang menampilkan kombinasi opsi yang kuat, banyak di antaranya direkomendasikan dalam artikel ini. Bahkan, ini mungkin salah satu plugin dengan daftar fitur keamanan terlengkap.
- All in One WP Security - plugin ini sangat populer di kalangan pengguna yang kurang berpengalaman secara teknis, dan juga tidak ada versi berbayar, jadi tidak ada batasan apa pun. Ini akan membutuhkan lebih banyak konfigurasi manual, tetapi kesederhanaannya memastikan kurva belajar yang relatif datar.
8. Instal Plugin Log Aktivitas
Ini adalah nasihat yang rapi yang dapat berguna dalam banyak kesempatan. Plugin log aktivitas akan merekam dan menampilkan log aktivitas apa pun yang dilakukan oleh pengguna yang berbeda di situs web Anda. Anggap saja sebagai semacam kamera CCTV, mengawasi semua yang terjadi di situs web Anda (dalam format teks, tentu saja!)Jika banyak pengguna dengan hak administrator bekerja di situs web Anda, ini adalah cara terbaik untuk mencatat apa yang sedang dilakukan.
Dari perspektif keamanan, ini dapat menunjukkan kepada Anda berbagai informasi yang bisa sangat berguna - mulai dari upaya login yang gagal hingga perubahan pada file dan pengaturan situs WordPress. Jika Anda adalah orang yang suka melakukan perawatan situs web sendiri, fitur ini adalah suatu keharusan.
Opsi hebat (dan gratis) adalah WP Activity log, sebuah plugin yang telah ada selama bertahun-tahun dan juga dikenal dengan log detail dan kesederhanaan antarmuka.
9. Instal Sertifikat SSL
Ini seharusnya tidak perlu dikatakan lagi, tetapi mari sertakan rekomendasi ini untuk berada di sisi yang aman.Suatu kali, SSL diperlukan untuk situs web yang perlu aman untuk transaksi tertentu seperti pembayaran. Namun, saat ini, tidak masalah apakah Anda memproses pembayaran di situs web Anda atau tidak. SSL wajib untuk situs web mana pun yang memproses informasi sensitif seperti kata sandi, nama, alamat, dll.
Mekanisme di samping layar adalah sebagai berikut: tanpa SSL di situs web Anda, semua data yang ditransfer antara peramban web pengguna dan server web Anda dikirimkan dalam teks biasa yang dapat dibaca oleh peretas.
Setelah Anda menginstal SSL, informasi sensitif dienkripsi sebelum ditransfer antara kedua pihak – browser web pengguna dan server Anda, melindunginya dari pihak ketiga dengan maksud jahat.
Google menyadari pentingnya sertifikat SSL beberapa waktu lalu dan mulai menampilkan situs web posisi teratas yang dapat menawarkan transfer informasi terenkripsi.
Selain itu, pada tahun 2018, Google memperingatkan semua pemilik situs web bahwa setiap situs yang tidak memiliki SSL aktif akan ditampilkan sebagai "Tidak Aman" di URL. Ini menjadikan sertifikat SSL sebagai keharusan mutlak; kabar baiknya adalah cukup mudah untuk mendapatkannya, dan terlebih lagi, di beberapa perusahaan hosting (termasuk Kualo!) SSL disertakan secara gratis.
10. Siapkan Pencadangan
Meskipun pencadangan mungkin tidak berfungsi 100% jika dan ketika Anda perlu memperbaiki masalah WordPress, pencadangan adalah garis pertahanan pertama Anda. Cadangan situs web dapat berguna tidak hanya ketika ada serangan peretas, tetapi juga ketika ada masalah teknis.Sering kali, saat memasang tema/plugin baru atau bekerja secara aktif di situs Anda, sesuatu mungkin rusak, jadi memiliki cadangan di tempat tidak diragukan lagi adalah suatu keharusan.
Meskipun sebagian besar penyedia hosting yang andal akan menyiapkan cadangan harian untuk Anda, bukan ide yang buruk untuk mempelajari cara melakukannya secara manual atau menggunakan plugin cadangan seperti UpdraftPlus atau BackupBuddy. Keduanya memiliki opsi untuk mengunggah cadangan situs web Anda ke layanan cloud seperti Amazon atau mengekspornya secara lokal.
Anda juga dapat menggunakan fitur Softaculous Backup yang mudah diakses di cPanel Anda. Kabar baiknya adalah ia menawarkan kesederhanaan maksimum dan tanpa biaya tambahan. Berita buruknya adalah, tidak seperti rekan-rekannya, itu akan mengunggah cadangan di akun hosting Anda, sehingga akan menggunakan ruang disk dan juga disimpan di tempat yang sama dengan situs web itu sendiri. Jika sesuatu terjadi pada akun Anda (misalnya, menghapus file secara tidak sengaja atau intrusi peretas manual) salinan cadangan Anda mungkin juga disusupi.
Ingatlah selalu untuk membuat salinan cadangan jika Anda berencana untuk bekerja di WordPress dan Anda tidak yakin dengan hasil akhirnya!
Jika Anda menjalankan situs web eCommerce dengan lalu lintas tinggi, pencadangan setiap jam mungkin merupakan pilihan terbaik untuk Anda. Seperti disebutkan sebelumnya, situs web yang menghasilkan banyak pesanan dapat mengalami kerugian yang signifikan jika mereka harus memulihkan cadangan yang dilakukan beberapa jam sebelumnya.
Langkah-Langkah yang Lebih Dapat Ditindaklanjuti untuk Melindungi situs WordPress Anda [Lanjutan]
Kiat-kiat yang akan Anda temukan di bagian ini memerlukan sedikit pengetahuan lebih lanjut dalam mengelola WordPress Anda dan kepercayaan diri untuk menulis langsung ke dalam kodenya. Jika Anda merasa tidak nyaman melakukan langkah-langkah ini, disarankan untuk berkonsultasi dengan pengembang WordPress yang dapat membantu Anda menjalankannya.11. Nonaktifkan Pengeditan File
WordPress hadir dengan editor kode bawaan, yang memungkinkan Anda mengedit file tema dan plugin dari panel admin Anda. Jika orang yang salah mendapatkan akses ke panel admin Anda, itu mungkin merupakan risiko keamanan yang sangat besar. Itu sebabnya kami menyarankan untuk menonaktifkan fitur ini.Anda dapat melakukannya dengan menambahkan sepotong kode ke file wp-config.php Anda:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Nonaktifkan Eksekusi File PHP untuk Direktori WordPress Tertentu
Tambahkan lapisan perlindungan lain dengan menonaktifkan eksekusi file PHP di direktori yang tidak diperlukan. Alasan Anda ingin melakukannya adalah karena peretas sering menggunakan fungsi tersebut untuk mengunggah file akses pintu belakang atau malware ke situs WordPress Anda. Ini adalah langkah berbahaya jika Anda tidak tahu apa yang Anda lakukan karena situs Anda mungkin berhenti bekerja, jadi berhati-hatilah! Direktori yang Anda cari adalah /wp-content/uploads/Anda dapat melakukan ini dengan membuka editor teks seperti Notepad dan menempelkan kode ini:
<File *.php>
tolak dari semua
</File>
Simpan file ini sebagai .htaccess dan unggah ke folder /wp-content/uploads/ di situs web Anda menggunakan klien FTP atau melalui Manajer File di cPanel.
13. Nonaktifkan XML-RPC
Setelah XML-RPC digunakan untuk menghubungkan situs WordPress Anda dengan web dan aplikasi seluler, tetapi karena WordPress merilis REST API-nya sendiri, XML-RPC menjadi kewajiban alih-alih fitur yang berguna.Misalnya, jika seorang peretas ingin mencoba 1000 kata sandi berbeda di situs web Anda, mereka harus melakukan 1000 upaya masuk terpisah yang akan ditangkap oleh plugin keamanan atau firewall Anda. Namun, jika Anda tetap mengaktifkan XML-RPC, peretas dapat menggunakan fungsi system.multicall dan mencoba 1000 kata sandi berbeda dengan 30-60 permintaan.
Itu sebabnya kami sangat menyarankan untuk menonaktifkannya, dan Anda dapat melakukannya hanya dengan menambahkan kode di file .htaccess Anda:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>Pada baris 5 Anda harus memasukkan IP Anda sendiri jika hanya itu yang ingin Anda pertahankan dari XML-RPC (jika tidak, hapus saja).
Catatan: Jika Anda adalah salah satu pengguna kami, tidak perlu melakukan langkah ini, karena XMLRPC Anda akan dilindungi oleh fitur Perlindungan Brute Force LiteSpeed.
14. Batasi akses bot
Meskipun situs web Anda akan selalu dirayapi oleh beberapa bot, bot yang buruk dapat membuat gangguan yang mengganggu. Mereka dapat memperlambat alur kerja Anda dan/atau mengganggu fungsionalitas situs WordPress Anda, sehingga menyebabkan hilangnya pengguna.Cara yang bagus untuk mengatasinya adalah dengan mencegah bot yang menyalahgunakan mendapatkan akses ke WordPress Anda. Masukkan kode berikut ke file .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outKiat non-teknis untuk menjaga WordPress Anda tetap aman
Gunakan Prinsip Keistimewaan Terkecil (POLP)Berikan akses sesedikit mungkin kepada pengguna situs web Anda. Jika Anda memiliki penulis konten, misalnya, Anda tidak perlu menyediakan akun administrator - pengguna Editor akan baik-baik saja. Jangan membagikan akun Anda kecuali benar-benar diperlukan, dan jika Anda melakukannya - ubah kata sandi Anda segera setelah siapa pun yang Anda berikan tidak membutuhkannya lagi.
Jangan membagikan detail hosting Anda juga kecuali benar-benar diperlukan.
Jangan gunakan tema dan plugin WordPress nulled (diunduh secara ilegal)
Pada titik tertentu, mungkin menjadi godaan untuk menghemat uang dan mengunduh plugin atau tema yang tidak berlisensi. Dalam hal ini, Anda akan membayar dengan cara lain - kemungkinan besar dengan memposisikan pintu belakang ke WordPress Anda. Peretas sering menyembunyikan tautan spam atau kode berbahaya di dalam item yang tidak berlisensi dan menawarkannya untuk diunduh gratis.
Hindari mereka dengan biaya berapa pun dan jika Anda memesan situs web atau fungsionalitas, pastikan untuk mengonfirmasi dengan pengembang semuanya dilisensikan dengan benar.
Pikiran Akhir
Pertimbangkan waktu (dan dana) yang akan Anda habiskan untuk mengamankan WordPress Anda sebagai investasi bisnis penting lainnya. Memperbaiki situs web yang diretas akan membuat Anda jauh lebih mahal - dalam kasus yang paling disayangkan, itu bahkan dapat merugikan bisnis Anda. Mengikuti panduan ini tidak akan menjamin perlindungan 100% terhadap serangan berbahaya, tetapi akan mengurangi kemungkinan hal itu terjadi secara signifikan.Apakah Anda menemukan saran yang ditawarkan sulit untuk diikuti? Apakah kita melewatkan sesuatu yang penting? Ping kami di komentar, kami akan senang mendengar pendapat Anda!
Atau jika Anda siap untuk beralih ke hosting WordPress super aman dari Kualo, periksa paket kami di sini.