5 Cara Mengamankan Website WordPress Dari Hacker

Diterbitkan: 2023-08-18


WordPress adalah sistem manajemen konten (CMS) populer yang terus-menerus menerima pembaruan keamanan. Namun, masih rentan terhadap serangan peretasan. Baik Anda memiliki situs e-niaga atau blog, penting untuk mempelajari cara mengamankan situs WordPress dari peretas.

Kabar baiknya adalah Anda tidak perlu menyewa pakar keamanan untuk tugas itu. Dengan melakukan beberapa tindakan pencegahan dan menggunakan alat yang tepat, Anda dapat menghentikan peretas mendapatkan akses ke situs web Anda dan mencuri data Anda. ️

Serangan peretasan WordPress yang umum

WordPress menguasai 43% situs di web, menjadikannya target populer di kalangan peretas [1] .

‍ Beberapa serangan yang paling umum meliputi:

  • Skrip Lintas Situs (XXS) . Ini adalah saat peretas dapat memasukkan kode berbahaya ke dalam situs karena situs web tersebut tidak memvalidasi atau membersihkan masukan pengguna dengan benar. Serangan XXS biasanya menargetkan situs yang menerima konten buatan pengguna melalui forum, bagian komentar, dan formulir.
  • Serangan brute force . Peretas mungkin mencoba membobol situs Anda dengan membuat beberapa kombinasi nama pengguna dan kata sandi hingga mereka menebak kredensial login yang benar. Kebanyakan dari mereka menggunakan perangkat lunak atau skrip khusus untuk mengotomatiskan serangan brute force.
  • Serangan injeksi Structured Query Language (SQL) . Pelaku kejahatan dapat mengeksploitasi kerentanan di situs web (atau plugin yang digunakannya) untuk memasukkan perintah SQL yang berbahaya. Mereka melakukan ini untuk mendapatkan akses ke database situs web dan mencuri informasi sensitif, seperti rincian kartu kredit.

Beberapa situs WordPress lebih rentan dibandingkan situs lainnya. Misalnya, jika Anda memiliki banyak plugin di situs web Anda, ini memberikan lebih banyak titik masuk potensial bagi peretas.

Selain itu, jika Anda memiliki toko online, website Anda mungkin menjadi target yang lebih menarik daripada blog pribadi. Ini karena banyak peretas mengincar data sensitif seperti nomor kartu kredit dan kredensial login.

Cara mengamankan website WordPress dari peretas (5 strategi)

Serangan peretasan dapat berdampak buruk pada bisnis Anda. Oleh karena itu, penting bagi Anda untuk mempelajari cara mengamankan situs WordPress dari peretas.

Untungnya, melindungi situs Anda tidak terlalu sulit. Mari kita lihat beberapa tindakan pencegahan yang efektif.

  1. Aktifkan otentikasi dua faktor
  2. Ubah URL masuk WordPress
  3. Batasi upaya masuk
  4. Pastikan inti, plugin, dan tema selalu mutakhir
  5. Pilih host web yang aman

1. Aktifkan otentikasi dua faktor ‍

Otentikasi dua faktor (2FA) adalah prosedur keamanan yang digunakan di banyak situs web dengan akun pengguna. Setelah Anda memasukkan nama pengguna dan kata sandi, sebuah situs mungkin meminta Anda memasukkan kode yang dikirimkan ke ponsel atau alamat email Anda:

2FA di Paypal.

Hal ini menambah lapisan keamanan tambahan, sehingga semakin mempersulit peretas untuk melakukan serangan brute force yang berhasil. Sebab, menebak nama pengguna dan kata sandi saja tidak cukup untuk mengakses suatu situs.

Sebagai pemilik website, Anda dapat menambahkan 2FA pada halaman login WordPress. Jika Anda menggunakan plugin seperti WP 2FA, Anda bahkan dapat menerapkannya pada pengguna lain di situs Anda, seperti editor dan penulis:

Salah satu cara efektif mengamankan website WordPress dari hacker adalah dengan menggunakan WP 2FA.

Pengguna dapat memilih untuk mengirim kode satu kali ke alamat email pribadi mereka atau membuat kode dengan aplikasi pilihan mereka (seperti Google Authenticator atau Authy).

Selain itu, plugin ini terintegrasi dengan WooCommerce serta alat e-niaga dan keanggotaan lainnya, sehingga Anda juga dapat mengatur 2FA untuk pelanggan dan anggota Anda.

2. Ubah URL login WordPress️

Cara lain untuk mencegah serangan brute force adalah dengan mengubah URL login WordPress situs Anda. Secara default, pengguna dapat mengakses dashboard WordPress dengan menambahkan /login/, /admin/, atau /wp-login.php ke URL situs. Namun, hal ini memudahkan peretas menemukan halaman login Anda.

Anda dapat mengubah URL login WordPress dengan plugin seperti WPS Hide Login:

WPS Sembunyikan Login.

Alat ini memungkinkan Anda membuat URL login khusus, menggunakan huruf dan karakter acak agar sulit ditebak. Ingatlah untuk menandai halaman login atau mencatat URL baru!

3. Batasi upaya login

Seperti disebutkan sebelumnya, peretas akan mencoba banyak kombinasi kata sandi dan nama pengguna untuk membobol situs Anda. Anda dapat menghentikan serangan brute force dengan membatasi jumlah upaya login yang dapat dilakukan pengguna.

Misalnya, Anda mungkin hanya mengizinkan dua kali upaya login yang gagal. Setelah itu, pengguna akan dikunci dari area admin (jangan khawatir – pengguna asli akan dapat mengatur ulang kata sandi mereka).

Batasi Upaya Login Reloaded memungkinkan Anda membatasi upaya login pada layar login WordPress default, serta WooCommerce dan halaman login khusus apa pun di situs Anda:

Batasi Upaya Masuk Plugin yang dimuat ulang adalah cara lain untuk mengamankan situs WordPress dari peretas.

Plugin akan memblokir alamat IP dan nama pengguna agar tidak melakukan upaya login lebih lanjut setelah jumlah percobaan ulang yang ditentukan tercapai. Agar aman, Anda mungkin ingin membatasi jumlah upaya login menjadi tiga per pengguna.

4. Pastikan core, plugin, dan tema selalu up to date️

Peretas dapat mengakses situs Anda melalui kerentanan pada plugin atau tema. Karena alasan ini, pengembang secara rutin merilis patch keamanan untuk plugin dan tema mereka.

Artinya, sangat penting bagi Anda untuk memperbarui plugin dan tema segera setelah versi baru tersedia. Hal yang sama berlaku untuk perangkat lunak WordPress, yang merupakan bagian penting lainnya dalam cara mengamankan situs WordPress dari peretas.

Anda dapat memeriksa pembaruan situs Anda dengan membuka Dasbor > Pembaruan . Di sini, Anda akan melihat perangkat lunak apa pun yang perlu diperbarui:

Memperbarui plugin adalah cara efektif untuk mengamankan situs WordPress dari peretas.

Anda sebaiknya memeriksa halaman ini secara rutin untuk menjaga keamanan situs Anda. Alternatifnya, Anda dapat mengatur pembaruan otomatis. Untuk melakukan ini, cukup navigasikan ke halaman Plugin dan klik opsi Aktifkan pembaruan otomatis di sebelah plugin:

Mengaktifkan pembaruan otomatis di WordPress.

Anda dapat melakukan hal yang sama untuk tema.

Perhatikan bahwa pembaruan kecil WordPress biasanya dilakukan secara otomatis secara default pada sebagian besar instalasi. Pembaruan kecil difokuskan pada pembaruan keamanan dan pemeliharaan dan dilambangkan dengan dua titik – misalnya, WordPress 5.6.1 atau 5.5.3.

Namun, pembaruan besar mungkin perlu dimulai secara manual. Ini bukan masalah karena Anda dapat menunggu untuk menerapkan pembaruan inti yang besar. Ini karena pembaruan besar secara eksklusif berfokus pada penambahan fitur baru daripada melakukan perbaikan keamanan. Pembaruan besar hanya memiliki satu titik – misalnya, WordPress 5.6 atau WordPress 5.5.

5. Pilih host web yang aman ️️

Jika Anda mencari cara lain untuk mengamankan situs WordPress dari peretas, Anda dapat bermigrasi ke penyedia hosting yang lebih andal. Host web yang baik harus memiliki beberapa langkah keamanan untuk melindungi kliennya.

Misalnya, mereka harus memantau server mereka untuk aktivitas mencurigakan dan secara teratur memperbarui perangkat lunak dan perangkat keras mereka. Jika Anda memilih paket hosting WordPress terkelola, host Anda kemungkinan akan melakukan pencadangan harian dan memindai situs Anda dari malware.

Jika Anda menggunakan paket hosting bersama, situs Anda berbagi sumber daya server dengan banyak situs web lain. Artinya, pelanggaran keamanan di situs web lain juga dapat berdampak pada situs Anda jika host Anda tidak mengisolasi akun yang berbeda dengan benar.

Oleh karena itu, Anda mungkin ingin mempertimbangkan untuk beralih ke layanan yang lebih aman, seperti hosting khusus atau server pribadi virtual (VPS). Dengan cara ini, situs Anda dihosting di lingkungan yang terisolasi dan kecil kemungkinannya terpengaruh oleh masalah keamanan di situs web pihak ketiga.

Amankan situs WordPress Anda hari ini️

WordPress adalah platform populer untuk membangun situs web, namun juga merupakan target umum bagi peretas. Pengguna jahat dapat mengeksploitasi kerentanan pada plugin dan tema untuk mendapatkan akses ke situs Anda dan mencuri informasi sensitif.

Mereka juga bisa mendapatkan akses ke data ini dengan melakukan serangan brute force.

Ringkasnya, berikut cara mengamankan website WordPress dari peretas:

  1. Aktifkan otentikasi dua faktor dengan plugin seperti WP 2FA. ‍
  2. Ubah URL login WordPress dengan WPS Sembunyikan Login. ️
  3. Batasi upaya login di situs Anda, gunakan alat seperti Limit Login Attempts Reloaded.
  4. Pastikan plugin dan tema selalu up to date. ️
  5. Pilih host web yang aman. ️️

Untuk beberapa tips yang lebih umum, Anda dapat melihat koleksi lengkap tips keamanan WordPress kami.

Apakah Anda memiliki pertanyaan tentang cara mengamankan situs WordPress dari peretas? Beri tahu kami di bagian komentar di bawah!

Panduan gratis

4 Langkah Penting untuk Mempercepat
Situs WordPress Anda

Ikuti langkah-langkah sederhana dalam seri mini 4 bagian kami
dan kurangi waktu pemuatan Anda sebesar 50-80%.