6 alasan mengapa situs WordPress Anda rentan terhadap peretas
Diterbitkan: 2019-04-26Dengan fitur brilian dan opsi penyesuaian yang disediakan WordPress, tidak mengherankan jika hampir 33% situs web menggunakan CMS WordPress. Namun, potensi masalah keamanan adalah sesuatu yang dapat kembali menggigit pemilik situs.
Faktanya, dari 8.000 situs web yang diretas yang dianalisis dalam studi baru-baru ini, 74% menggunakan WordPress.
Jika Anda menggunakan situs web WordPress, penting untuk memastikan keamanan Anda diatur dengan benar untuk meminimalkan risiko.
Jadi apa tindakan terbaik yang harus diambil?
Masalah keamanan berikut adalah beberapa yang paling penting dan dapat membuat situs WordPress Anda rentan terhadap peretas. Penting bagi Anda untuk mengidentifikasi masalah ini dan memperbaikinya; langsung.
1. Layanan Hosting Tanpa Jaminan
Salah satu sumber daya utama yang digunakan untuk membuat situs web adalah web hosting.
Dari kinerja situs Anda hingga keamanannya, layanan hosting Anda dapat memengaruhi semuanya. Karena itu, sangat penting bagi Anda untuk memilih penyedia hosting yang menawarkan keamanan yang memadai.
Saat Anda mempertimbangkan dan menganalisis opsi hosting Anda, tips berikut akan membantu Anda.
- Telusuri semua fitur keamanan yang disediakannya.
- Pahami bahwa dalam hal hosting, mahal tidak selalu berarti lebih baik.
- Beberapa penyedia memiliki paket entry-level yang harganya sama dengan paket high-end dari penyedia hosting lainnya. Ini tidak selalu berarti mereka dapat dibandingkan.
- Ketahui perbedaan antara dua jenis layanan hosting paling populer.
Hosting Bersama:
Layanan hosting bersama menawarkan pemindaian keamanan dasar yang dapat mendeteksi malware WordPress.
Ini juga memungkinkan Anda untuk melacak pengunjung yang datang ke situs Anda. Ini dapat membantu Anda mengidentifikasi pengunjung berbahaya dan memblokir alamat IP mereka.
Sorotan utama dari layanan hosting bersama adalah kemampuannya untuk meng-host lebih dari satu situs web, yang juga membuatnya jauh lebih murah daripada jenis hosting lainnya.
Hosting Terkelola:
Ini adalah layanan hosting yang menyediakan firewall untuk keamanan bersama dengan pemindaian malware rutin.
Beberapa penyedia menawarkan 'Layanan hosting terkelola' yang membatasi akses ke file dan folder WordPress agar tetap aman.
Misalnya, WP-Engine mencegah perubahan di semua file PHP, sementara Pantheon tidak mengizinkan penulisan di folder kecuali folder yang berisi data tema dan plugin.
- Uji dukungan pelanggan:
Dukungan pelanggan adalah faktor lain yang perlu Anda pertimbangkan saat membandingkan penyedia hosting.
Apakah itu masalah sepele atau gangguan total; jika ini tentang layanan hosting, penyedia harus menawarkan dukungan pelanggan penuh.
Untuk mengetahui seberapa berkualitas sistem dukungan penyedia, cukup dapatkan detail kontak mereka dan hubungi mereka. Ajukan semua pertanyaan Anda dan lihat seberapa sabar dan kooperatif mereka saat menangani masalah Anda.
Berdasarkan pengalaman ini, Anda akan mendapatkan gambaran tentang bagaimana mereka akan bereaksi jika terjadi pelanggaran keamanan. Ini akan membantu Anda memutuskan apakah Anda ingin membeli dari mereka atau tidak.
Jika Anda telah membeli paket hosting dari penyedia yang salah, jangan khawatir. Anda tidak perlu menunggu paket Anda kedaluwarsa. Layanan seperti BlogVault dan Migrate Guru dapat membantu Anda bermigrasi ke penyedia hosting yang berbeda tanpa kesulitan.
2. Pembaruan sistem
Seperti CMS lainnya, WordPress membutuhkan pembaruan rutin. Mengabaikan hal ini dapat membuat situs WordPress Anda berpotensi menimbulkan risiko keamanan.
Faktanya, 80% situs web WordPress yang telah diretas menjalankan tema dan/atau plugin yang sudah ketinggalan zaman. Membuka mata, bukan?
Menjadi CMS open source dengan ribuan pengembang yang mengerjakan berbagai tema dan plugin berarti dasbor WordPress Anda mungkin menerima banyak pembaruan berdasarkan plugin dan tema yang Anda gunakan.
Anda perlu memastikan bahwa semua tema inti dan plugin diperbarui ke versi terbaru.
Langkah-langkah untuk Memperbarui Plugin:
- Buka dasbor WordPress Anda dan pergi ke Plugins > Installed Plugins
- Dasbor akan membawa Anda ke halaman yang menampilkan plugin yang telah Anda instal.
Identifikasi plugin yang tertunda dan perbarui dan klik 'perbarui sekarang'.
Demikian pula, Anda dapat memperbarui tema di situs Anda dengan cara yang hampir sama dengan membuka Appearance > Themes.
Ini juga akan membuka kunci fitur terbaru yang ditambahkan ke tema/plugin/sistem. Ini membantu menjaga keamanan dan stabilitas situs web Anda secara bersamaan.
3. Tema atau Plugin Bajakan
Meskipun menyiapkan situs web WordPress tidak akan menguras kantong Anda, membuatnya estetis dan kaya fitur bisa jadi karena tema/plugin WordPress yang bagus bisa menghabiskan biaya antara $10-$200.
Untuk menghindari biaya yang 'seharusnya' tidak diundang ini, webmaster sering kali mengambil rute yang lebih murah dan menggunakan plugin/tema nulled/bajakan, yang tersedia secara gratis atau dengan harga yang dapat diabaikan.
Apa hasil dari ini?
Ada beberapa kasus ketika situs web yang menggunakan tema nulled tanpa disadari memberikan akses pintu belakang ke peretas melalui URL: http://www.example.xyz?backdoor=go
Peretas dapat mengakses situs karena URL memicu pintu belakang ke situs web, membuat akun administrator WordPress baru dengan kredensial berikut:
Nama pengguna: admin pintu belakang
Kata sandi: Pa55W0rd
Ini umumnya merupakan hasil dari kode pendek tambahan yang telah ditambahkan ke file functions.php oleh pemilik tema yang sebenarnya.
Untuk menyelamatkan situs Anda dari risiko tersebut. Selalu dapatkan tema dan plugin dari repositori resmi WordPress atau sumber tepercaya lainnya seperti Theme Forest atau Themeisle.
4. Detail Login Dummy
Halaman masuk bawaan:
Menggunakan nama pengguna lama yang sama dan kata sandi yang mudah ditebak membuat hidup jauh lebih mudah bagi peretas yang mencoba masuk ke back-end situs web Anda.
Bagaimana cara memperbaiki?
- Masalah Nama Pengguna dan Kata Sandi:
Cobalah untuk membuat nama pengguna dan kata sandi yang belum Anda gunakan di akun lain.
Harap dicatat bahwa sangat penting untuk memiliki nama pengguna yang unik. Jika nama pengguna mudah ditebak, satu-satunya hal yang perlu diketahui oleh peretas adalah kata sandi Anda.
Pastikan untuk tidak pernah menampilkan nama pengguna Anda di situs web Anda. Untuk melakukan ini seperti memberi peretas undangan pribadi untuk berpesta di dasbor WordPress Anda. Sebagai gantinya, gunakan nama panggilan atau gelar yang berbeda dari nama pengguna. Masalah URL halaman login default: www.yoursite.com/wp-admin
Ini adalah pilihan URL halaman login WordPress yang paling mudah dan paling umum, yang membuat situs Anda rentan terhadap peretas.
Kebanyakan peretas tidak menyerang secara manual. Mereka memprogram bot untuk mengakses halaman login dan memecahkan kredensial login situs target.
Menggunakan URL halaman login default akan mengurangi pekerjaan bot dan peretas yang mencoba masuk ke situs web Anda.
Jalan keluar terbaik adalah mengubah URL login default.
Misalnya, mengubah – www.yoursite.com/wp-admin menjadi www.yoursite.com/welcometomysite
Untuk melakukannya, ikuti langkah-langkah sederhana ini.
– Pertama, ambil cadangan lengkap situs WordPress Anda menggunakan UpdraftPlus.– Kemudian instal dan aktifkan plugin 'Easy Hide Login' (gratis).
– Buka pengaturan plugin dan kirimkan slug login pilihan Anda (seperti “welcometomysite”).
– Ini akan mengubah alamat login WordPress Anda dari yoursite.com/wp-admi n ke yoursite.com/welcometomysite dan mempersulit orang untuk meretas situs Anda.
5. File PHP yang Dapat Ditulis
Sama seperti program komputer lain di dalam atau di luar web, situs web WordPress juga terdiri dari file dan folder.
Salah satu folder tersebut adalah folder 'Upload'. Folder ini menyimpan semua data tema dan plugin untuk situs Anda.
Peretas potensial dapat menemukan cara untuk mengunggah kode PHP ke folder ini untuk mendapatkan akses ke situs web Anda.
Setelah peretas memiliki akses melalui metode ini, mereka dapat mencuri konten yang Anda rencanakan untuk dipublikasikan di masa mendatang bersama dengan sumber daya penting lainnya seperti alamat email dari milis Anda. Mereka juga dapat menjual tautan balik dari situs Anda atau menggunakan konten Anda untuk membuat tautan ke situs web mereka tanpa sepengetahuan Anda. Atau yang terburuk, mereka dapat menghancurkan seluruh situs web dan menghapusnya.
Bagian terburuk dari jenis peretasan ini adalah Anda tidak akan tahu tentang semua ini sampai penyedia hosting Anda atau mesin pencari melarang situs web Anda.
Untuk menyelamatkan diri dari ini, Anda dapat menonaktifkan eksekusi PHP melalui langkah-langkah berikut.
- Buat file .htaccess di folder 'Upload' di direktori root situs web Anda di cPanel.
- Buat file baru dengan Notepad (di Windows) atau TextEdit (di Mac).
- Tempel kode berikut di file ini dan simpan sebagai .htaccess (bukan sebagai .htaccess.txt).
# MULAI WordPress
Mesin Tulis Ulang Hidup
Basis Tulis Ulang /
RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
Tulis Ulang %{REQUEST_FILENAME} !-d
Aturan Tulis Ulang . /index.php [L]
# SELESAI WordPress
- Unggah file ini ke folder 'Unggah'.
- Sekarang, Anda memiliki file .htaccess baru khusus untuk folder 'Unggahan' Anda. Klik kanan untuk mengeditnya dan paste kode berikut.
Pesan Izinkan, Tolak
Tolak dari semua
Setelah menerapkan langkah-langkah di atas, situs web Anda akan mencegah eksekusi file asing apa pun yang terdiri dari 'PHP'. Perubahan ini akan menambahkan batu bata lain ke dinding keamanan situs Anda.
Juga, perhatikan bahwa menggunakan metode ini sedikit berisiko. Bahkan kesalahan sepele dapat merusak situs Anda. Jadi, jika Anda tidak yakin tentang menggunakan cPanel, berkonsultasilah dengan seseorang yang yakin.
6. Kurangnya sertifikat SSL
Sementara http://yoursite.com dan https://yoursite.com keduanya akan memuat halaman web yang sama, ada perbedaan kecil yang dapat merusak kesepakatan.
Sertifikat SSL.
URL pertama pada contoh di atas tidak menggunakan sertifikat SSL, sedangkan contoh kedua adalah.
Ini dapat sangat memengaruhi keamanan situs web dengan membahayakan komunikasi antara perangkat pengunjung dan server web Anda.
Sertifikat SSL mengenkripsi informasi sehingga tidak dapat diakses oleh siapa pun kecuali penerima yang dituju. Untuk melindungi situs web Anda dari kebocoran seperti itu, disarankan untuk memasang sertifikat SSL sedini mungkin.
Memasang sertifikat SSL biasanya mudah dan mudah dilakukan. Anda biasanya dapat membeli sertifikat SSL dari penyedia hosting Anda, tetapi Jika mereka tidak menjual layanan SSL, Anda harus mempertimbangkan untuk membeli dari penyedia lain.
Mendapatkan sertifikat SSL dari penyedia hosting Anda juga akan menghemat kerumitan instalasi. Mereka akan mengatur semuanya dan Anda hanya perlu mengarahkan halaman 'http' Anda ke 'https'.
Kesimpulan
Gagal mengamankan situs WordPress Anda dari ancaman keamanan dapat merugikan bisnis Anda dalam beberapa cara. Tidak mengherankan bahwa semua webmaster perlu memperhatikan keamanan situs web dan memiliki plugin dan sistem cadangan yang memadai. Terlepas dari upaya terbaik Anda, jika yang terburuk terjadi dan situs Anda mengalami serangan berbahaya; UpdraftPlus dapat menyediakan opsi pencadangan dan pemulihan yang aman dan terjamin. Ini akan membantu memastikan situs web Anda selalu memiliki semua jaring pengaman yang penting, bahkan jika terjadi peretasan.
Dalam posting ini, Anda telah membaca tentang 6 celah yang berpotensi membahayakan keamanan situs WordPress Anda karena peretas. Semoga artikel ini membantu Anda mengamankan situs Anda dan meningkatkan keamanannya ke tingkat berikutnya.
Oleh Vaibhav Kakkar
Postingan 6 alasan mengapa website WordPress Anda rentan terhadap hacker muncul pertama kali di UpdraftPlus. UpdraftPlus – Cadangkan, pulihkan, dan plugin migrasi untuk WordPress.