Panduan Komprehensif tentang Cara Mengamankan situs WordPress Anda.

Diterbitkan: 2018-10-16
Kebanyakan orang, ketika mereka pertama kali mulai merancang dan mengembangkan situs web mereka, terutama khawatir tentang membuat segala sesuatunya berjalan sesuai keinginan mereka dan membuat situs tampak hebat. Keamanan WordPress bukanlah salah satu perhatian utama mereka.

Ini lucu karena hampir semua orang pernah mendengar atau membaca tentang peretasan tetapi ketika datang ke situs kami, entah bagaimana kami berharap itu tidak terjadi pada kami. Karena mengapa seorang peretas tertarik pada sebagian kecil dari bisnis lokal kita, bukan? Salah. Keamanan WordPress sangat signifikan, dan dengan demikian, situs web WordPress Anda harus diamankan dan diikat secara memadai. Yuk simak alasannya!

Mengapa dan Bagaimana cara peretas meretas situs Anda?

Penting untuk memahami alasan di balik peretasan situs web sebelum kita membahas cara untuk mencegahnya terjadi. Ada beberapa alasan mengapa peretas tertarik dengan situs web Anda, meskipun itu situs bisnis kecil atau bahkan blog pribadi.

Dua alasan utama mengapa sebuah situs diretas adalah - Satu, untuk alasan politik seperti merusak situs web untuk menampilkan dan mendistribusikan konten yang mendukung ideologi atau kelompok tertentu.

Yang lainnya ditujukan untuk menghasilkan uang melalui cara-cara curang. Cara kerjanya adalah, situs web yang diretas digunakan sebagai perantara untuk mendistribusikan perangkat lunak berbahaya, dan dalam banyak kasus, pemilik situs bahkan tidak mengetahui hal ini.

Ini adalah pasar gelap online yang beroperasi melalui situs yang diretas. Website Anda berpotensi menjadi pihak yang terlibat dalam kegiatan kriminal!

Dampak negatif lainnya selain ini adalah:

  • Situs web yang diretas dan dirusak akan menodai reputasi merek Anda dan juga menyebabkan rasa malu yang besar.
  • Situs yang diretas biasanya diblokir oleh server hosting, yang mengakibatkan hilangnya bisnis.
  • Situs Anda, jika dipotong, dapat digunakan sebagai proxy spam.
  • Biaya pemulihan bisa sangat tinggi jika situs web Anda tidak dicadangkan.

Sekarang setelah kita mengetahui secara singkat mengapa situs Anda dapat diretas, mari kita lihat bagaimana peretas akan menemukan dan menargetkan situs khusus Anda dari jutaan yang tersedia secara online.

Pasti sangat tidak mungkin peretas akan menargetkan situs Anda, bukan? Bagaimanapun, itu hanya setetes di lautan situs web. Yah, maaf untuk memecahkan gelembung Anda tapi itu salah!

Hacking tidak dilakukan secara manual. Peretas menggunakan robot/program yang fungsinya hanya untuk berburu situs web yang rentan. Program-program ini biasanya berjalan di server cloud, di mana mereka diatur dan dihancurkan sesuai kebutuhan, meninggalkan sedikit atau tanpa jejak. Mereka dibangun untuk menemukan ribuan situs web setiap jam. Saat menemukan situs, itu dicari untuk kerentanan, yang terus-menerus ditemukan di WordPress dan pluginnya. Mereka juga dapat disebabkan karena kesalahan manusia seperti menggunakan kata sandi yang mudah ditebak atau hosting yang tidak dapat diandalkan atau tidak dapat diandalkan.

Mengamankan situs WordPress Anda, dengan demikian, bukanlah suatu pilihan tetapi suatu keharusan dan kami di sini untuk membantu Anda melalui prosesnya!

Panduan Anda untuk mengamankan WordPress

Pada akhir daftar panjang langkah-langkah keamanan yang mengikuti, Anda akan diperlengkapi untuk mendapatkan situs web WordPress Anda sepenuhnya dijamin. Ketika datang untuk mengamankan situs web, langkah-langkah utama yang spesifik perlu dilakukan oleh semua orang.

Ini adalah hal-hal yang tidak dapat diabaikan dan sebagian besar sederhana yang akan sangat membantu dan menjaga WordPress Anda cukup aman. Lalu ada serangkaian tindakan lain bagi Anda yang sangat paranoid tentang keamanan situs web Anda dan tidak keberatan bekerja lebih keras untuk menjaganya agar tetap sangat aman.

Pertama-tama mari kita bahas serangkaian tindakan sebelumnya, yaitu tugas keamanan yang diperlukan yang harus dilakukan semua pemilik situs web:

Ubah Nama Pengguna Default

Salah satu cara termudah dan tercepat untuk mengamankan WordPress Anda adalah dengan mengubah nama pengguna "Admin" default menjadi sesuatu yang tidak mudah ditebak. Idealnya, Anda harus mengubah nama pengguna administrator Anda selama instalasi WordPress itu sendiri, tetapi jika Anda belum melakukannya, Anda dapat mengganti namanya menggunakan phpMyAdmin atau dengan menjalankan skrip Bahasa Kueri Standar di database Anda.

Bagaimanapun, peretasan keamanan WordPress sederhana ini akan membantu situs web Anda menghindari banyak upaya peretasan acak.

Gunakan Kata Sandi yang Kuat & jangan gunakan kembali di berbagai platform

Peretas tahu bahwa kita, sebagai manusia, mencoba menjaga kata sandi yang aman dan identik karena kita cenderung melupakannya. Para perompak tahu bagaimana memanfaatkan ini, dan mereka biasanya memiliki daftar kata sandi yang paling umum digunakan yang akan mereka coba berkali-kali sampai mereka menemukannya. Teknik ini disebut brute-forcing password. Jadi menjaga kata sandi yang aman dan kompleks adalah langkah mudah untuk mengamankan WordPress Anda.

Hal lain yang perlu diingat adalah jangan pernah menggunakan kembali kata sandi. Apa yang dilakukan oleh penggunaan kembali kata sandi adalah, ini memberi peretas akses ke semua akun Anda yang lain jika salah satunya disusupi. Ya, mungkin tidak nyaman dan merepotkan bagi Anda untuk mengingat begitu banyak kata sandi yang berbeda dan rumit, tetapi untuk membantu Anda mengatasinya, banyak pengelola kata sandi di pasar membantu Anda menyimpan dan menjaga keamanan kata sandi Anda. Kami menyarankan menggunakan ini.

Selalu jalankan WordPress versi terbaru

Sangat penting untuk terus memperbarui WordPress Anda karena, dengan setiap pembaruan inti, WordPress memperbaiki masalah keamanan yang baru ditemukan. Sering kali, orang menonaktifkan pembaruan inti WordPress karena versi terbaru mungkin tidak kompatibel dengan beberapa plugin. Hal penting yang perlu diingat adalah bahwa situs web yang diretas jauh lebih bermasalah daripada plugin yang rusak sementara.

Jangan Ubah Inti WordPress

Mengedit file sumber inti WordPress adalah ide yang buruk karena menghilangkan kemudahan memperbarui WordPress Anda secara otomatis ke versi terbaru, yang pentingnya telah kita bahas di poin sebelumnya. Jika Anda telah mengubah inti WordPress, pembaruan ke versi terbaru akan membuat Anda kehilangan perubahan ini.

Jadi apa yang harus Anda lakukan jika Anda ingin mengubah fungsionalitas WordPress?

Menulis plugin adalah jawabannya. Ini memberi Anda kebebasan untuk melakukan apa pun yang Anda inginkan tanpa harus berkompromi pada inti WordPress.

Hal yang sama berlaku untuk tema dan plugin juga. Setiap upaya tweaking inti akan mengakibatkan hilangnya kemampuan untuk memperbarui ke versi terbaru. Secara keseluruhan, selalu ada cara lain untuk mendapatkan fungsionalitas yang Anda inginkan dan mengubah inti bukanlah cara yang tepat.

Pastikan semua plugin dan Tema Anda diperbarui

Alasan di balik kebutuhan untuk memperbarui plugin dan ide Anda sama dengan alasan di balik memperbarui WordPress Anda. Anda bertanggung jawab untuk selalu memperbaruinya ke versi terbaru, apakah Anda melakukannya secara manual atau otomatis, untuk menjaga situs Anda aman dari serangan peretasan.

Jika Anda menggunakan plugin yang diunduh dari WordPress.org, Anda dapat mengaktifkan pembaruan latar belakang otomatis, dan untuk pembaruan plugin komersial lainnya, Anda harus menanganinya melalui mekanisme plugin mereka. Juga, pastikan untuk selalu mengaktifkan keanggotaan plugin Anda untuk mendapatkan pembaruan terbaru.

Sekarang saat memperbarui tema , Anda mungkin khawatir tentang apa yang akan terjadi pada semua perubahan yang Anda buat pada tema saat Anda melakukan pembaruan. Apa yang harus Anda lakukan saat membuat perubahan pada tema adalah melakukannya melalui "tema anak" daripada membuat perubahan langsung ke tema yang sebenarnya.

Saat melakukannya, Anda dapat dengan mudah memperbarui tema ke versi terbaru tanpa kehilangan perubahan apa pun yang telah Anda buat sejauh ini. Untuk memeriksa tema mana yang memerlukan pembaruan, buka "Tampilan" lalu "Tema" di WordPress Anda. Anda juga dapat mengaktifkan pembaruan latar belakang otomatis dengan cara yang sama seperti yang dilakukan dengan plugin.

Selalu unduh plugin, Tema, dan Skrip hanya dari sumber resminya

Mungkin tergoda untuk mendapatkan tema dan plugin dari sumber tidak resmi dengan harga yang lebih baik atau gratis, tetapi bukan ide yang cerdas untuk melakukannya. Ini karena banyak dari tema dan plugin bajakan ini di-tweak secara salah oleh peretas untuk dijadikan pintu belakang bagi mereka untuk menjalankan skema jahat mereka.

Anda harus selalu mengandalkan situs yang aman untuk menemukan plugin dan tema berkualitas untuk memastikan WordPress Anda aman. Yang paling umum adalah WordPress.org. Situs terpercaya lainnya adalah WordPress.com, ThemeForest.net, CodeCanyon.net, dll.

Situs Anda harus selalu menjalankan versi terbaru PHP

PHP adalah mesin yang mendasari WordPress, dan muncul dengan beberapa pembaruan versi.

Tetapi menurut halaman Statistik WordPress Global, hampir 80% instalasi WordPress berjalan pada versi PHP yang tidak lagi didukung! Ini memprihatinkan karena pertama, situs web Anda tidak mendapat manfaat dari fitur kinerja yang keluar dengan versi terbaru dan ini juga menyebabkan tidak memperbaiki gangguan keamanan apa pun yang ditemukan di versi sebelumnya.

Inilah sebabnya mengapa penting untuk memastikan situs Anda menjalankan versi PHP terbaru.

Saat memperbarui inti WordPress, plugin dan tema adalah tugas yang cukup jelas. Pembaruan versi PHP sebagian besar bergantung pada server hosting Anda. Ini adalah salah satu alasan mengapa penting untuk memilih server hosting yang aman . Ini akan membuat versi terbaru PHP tersedia untuk Anda dengan instalasi WordPress Anda. Layanan hosting WordPress yang aman juga akan memiliki tim proaktif yang tugasnya adalah memeriksa kerentanan terbaru yang terpapar pada situs Anda dan mengambil tindakan untuk menguranginya.

Perbarui situs Anda hanya melalui jaringan tepercaya

Siapa yang tidak suka menggunakan Wifi internet gratis di tempat-tempat seperti bandara atau bahkan kafe lokal, bukan? Namun perlu diingat, Koneksi Wifi Terbuka ini mudah untuk dimata-matai. Anda harus menghindari mengakses situs admin WordPress Anda melalui jaringan seperti itu. Dan terutama dalam hal memperbarui situs web Anda, selalu gunakan sistem tepercaya seperti yang ada di rumah atau kantor Anda.

Gunakan Anti-Virus

Jika kebetulan ada virus di desktop Anda, virus itu dapat menyebar dengan cepat dengan mereplikasi dirinya ke situs web Anda. Ini adalah skema yang biasanya digunakan oleh virus untuk menginfeksi situs Anda. Itu kemudian dapat memata-matai dan mendapatkan akses ke kata sandi Anda atau bahkan bank dan detail pribadi Anda. Inilah sebabnya mengapa Anda harus memastikan bahwa workstation Anda menggunakan antivirus yang andal dan diperbarui.

Amankan situs Anda menggunakan plugin keamanan WordPress

Plugin keamanan memberi tahu Anda kerentanan apa yang terpapar pada situs Anda dan memberi Anda panduan tentang cara memperbaikinya. Menggunakan plugin adalah cara yang mudah namun aman untuk mengamankan situs WordPress Anda, dan itu menuntut sedikit atau tanpa usaha dari Anda. Mereka menjalankan pemindaian dan memberi Anda tinjauan terperinci tentang masalah apa pun yang dilacak dalam situs web Anda.

Beberapa plugin keamanan tepercaya adalah Total Security, Vulnerable Plugin Checker, iThemes Security Pro, dan Plugin Inspector.

Buat cadangan situs Anda

Jika semua langkah di atas gagal dan keamanan situs Anda masih terganggu, maka langkah inilah yang akan menyelamatkan Anda.

Sangat penting untuk membuat dan menjadwalkan pencadangan untuk situs Anda. Cadangan yang direncanakan ini merupakan bagian tak terpisahkan dari kebijakan keamanan situs karena memastikan bahwa jika situs Anda disusupi, itu akan dipulihkan ke versi sebelum kerusakan dengan mudah.

Tidak hanya dalam kasus peretasan, tetapi juga dalam kasus kecelakaan atau kesalahan teknis, memiliki cadangan memastikan Anda dapat membuat situs Anda kembali dan berjalan kembali dalam waktu singkat.

Daftar langkah-langkah keamanan utama dan penting kami berakhir di sini!

Kita sekarang telah mencapai bagian kedua di mana kita akan membahas tips keamanan WordPress untuk fanatik keamanan kita. Ini untuk para admin yang menginginkan berbagai lapisan perlindungan untuk situs web mereka.  

Pastikan Anda telah mengatur Kunci Otentikasi Rahasia WordPress

Anda akan menemukan 8 kunci keamanan dan otentikasi WordPress di wp-config.php Anda. Ini hanyalah variabel arbitrer yang membuatnya lebih sulit untuk menyimpulkan kata sandi WordPress Anda dengan menambahkan elemen keacakan pada bagaimana mereka disimpan dalam database.

Mari kita lihat bagaimana Anda dapat menggunakannya.

  • Pertama, gunakan WordPress Random Generator untuk menghasilkan satu set kunci.
  • Kemudian, edit file wp.config Anda. Anda akan menemukan tempat untuk menambahkan kunci unik yang dihasilkan pada langkah sebelumnya di bagian "Kunci Unik Otentikasi".

Anda tidak seharusnya membagikan atau membuat kunci ini menjadi publik.

Batasi Upaya Masuk

Kami telah berbicara tentang brute-forcing dan bagaimana peretas menggunakannya untuk mengetahui kata sandi Anda. Menerapkan mekanisme untuk membatasi upaya login sangat penting karena alasan ini.

Untungnya, ada plugin yang melakukan ini untuk Anda. Plugin "Batasi Login WordPress" mendeteksi banyak upaya kata sandi yang salah dan menonaktifkan upaya lebih lanjut untuk jangka waktu tertentu yang mengakibatkan upaya paksa yang gagal dan ternyata meningkatkan keamanan situs Anda.

Aktifkan Otentikasi Dua Faktor

Otentikasi Dua Faktor atau 2FA adalah cara yang sangat efisien untuk mengamankan login WordPress Anda. Saat mengaktifkan 2FA, setiap kali Anda masuk ke admin WordPress Anda, Anda akan memerlukan token keamanan berbasis waktu (unik untuk setiap pengguna) selain kata sandi biasa Anda. Token keamanan ini kedaluwarsa dalam waktu singkat, yang umumnya 60 detik.

Ini mempersulit siapa pun untuk mendapatkan akses ke login Anda meskipun mereka memiliki kredensial login Anda (karena mereka tidak akan memiliki token keamanan saat ini).

Mengaktifkan 2FA dengan demikian adalah cara yang terbukti sepenuhnya untuk memperkuat login Anda dan menghindari serangan brute force pada detail login Anda.

Nonaktifkan eksekusi PHP

Ketika peretas mendapatkan akses ke situs Anda, salah satu hal pertama yang mereka lakukan adalah mengeksekusi PHP dari dalam direktori. Hal yang cerdas untuk dilakukan adalah menonaktifkan ini sama sekali. Kemudian, bahkan jika ada beberapa kerentanan di situs WordPress Anda, perlindungan ini secara proaktif akan menghentikan upaya peretas lainnya untuk menghambat situs Anda.

Ini adalah langkah besar menuju keamanan WordPress dan dapat menyebabkan kerusakan pada tema dan plugin tertentu yang mungkin memerlukannya, tetapi tetap disarankan untuk menerapkannya di direktori paling berisiko wp-include dan upload.

Anda dapat menerapkan perlindungan ini melalui file .htaccess Anda dengan menambahkan kode berikut ke dalamnya:

  • <File *.php>
  • Pesan Izinkan, Tolak
  • Tolak dari semua
  • </File>

Nonaktifkan Pengeditan File

Kami biasanya mengutak-atik file plugin dan tema saat kami masih pada tahap awal membuat situs web karena secara default, admin WordPress diizinkan untuk mengedit file PHP. Namun, setelah situs web kami dikembangkan, kami tidak akan banyak menggunakan opsi edit ini.

Karena itu, disarankan untuk menonaktifkan pengeditan file untuk admin WordPress setelah situs web aktif dan aktif. Ini karena bahkan jika seorang peretas berhasil masuk ke situs Anda, mereka tidak akan memiliki hak edit dan tidak akan dapat mengubah file untuk menjalankan skema jahat mereka. Untuk menonaktifkan pengeditan file, masukkan perintah berikut di file wp-config.php: define('DISALLOW_FILE_EDIT', true);

Pisahkan database WordPress Anda

Jika Anda membuat semua situs Anda di database yang sama dan bahkan salah satunya disusupi, maka semua situs WordPress lain yang dihosting di database yang sama juga terancam diretas. Saat menginstal WordPress Anda, Anda harus selalu membuat database baru dan memberikan nama database, database, dan kata sandi yang terpisah. Pastikan ini berbeda dari situs atau login lain yang Anda gunakan.

Apa yang dilakukan adalah, jika salah satu situs Anda diretas, infeksi akan berhenti menyebar ke tempat Anda yang lain bahkan pada akun hosting bersama yang sama.

Jika tidak digunakan, nonaktifkan XML-RPC

Sebuah aplikasi dapat mengakses WordPress Anda melalui sesuatu yang dikenal sebagai API (Application Programming Interface). Untuk menjelaskannya kepada Anda secara langsung, contoh XML-RPC menggunakan aplikasi telepon Anda untuk memperbarui situs Anda. Ada juga plugin khusus yang menggunakan fungsionalitas XML-RPC.

Namun, jika Anda tidak menggunakan aplikasi pihak ketiga dan yakin tidak ada plugin WordPress yang menggunakan situs web Anda melalui XML-RPC, sebaiknya nonaktifkan karena XML-RPC dapat digunakan sebagai alat untuk meretas situs web Anda. lokasi.

Amankan File wp-config.php Anda

File wp-config.php adalah salah satu data paling penting yang menyimpan banyak pengaturan konfigurasi yang diperlukan seperti detail login database Anda, hashing garam kata sandi, dll. Anda tidak ingin ada orang yang mengganggu di sini, dan dengan demikian, langkah-langkah keamanan untuk mengamankan file konfigurasi WordPress kritis ini harus diambil.

Jika Anda belum menonaktifkan PHP Execution (Dibahas di Poin 15), tambahkan perintah ini ke file .htaccess Anda:

  • <file wp-config.php>
  • pesan izinkan, tolak
  • tolak dari semua
  • </file>

Instal Firewall

Untuk membuatnya sangat sederhana, Software Fireballs mencegah sesuatu masuk atau menghentikannya agar tidak keluar. Dalam hal ini, mereka membantu mencegah peretas mendekati situs web Anda (atau pihak situs web Anda). Anda perlu menggunakan Web Application Firewall (WAF), dan salah satu firewall sumber terbuka dan paling dapat diandalkan yang umumnya tersedia dengan layanan hosting WordPress secara gratis adalah firewall "ModSecurity".
Anda dapat mengetahui apakah layanan hosting Anda menawarkan ini dan jika ya, Anda dapat memanfaatkan dan mengaktifkannya.

Idealnya Anda juga harus menggunakan Firewall Jaringan Pengiriman Konten (CDN) untuk meningkatkan kinerja situs Anda dengan menyajikan sumber daya yang melimpah dengan cepat. CDN juga melindungi situs web Anda dari berbagai masalah keamanan WordPress.

Hentikan Pelaporan Kesalahan PHP

Pelaporan kesalahan bermanfaat pada saat mengembangkan situs web karena membuat Anda mengetahui kesalahan dan Anda dapat segera memperbaikinya. Tetapi ketika pelaporan kesalahan diaktifkan di situs web yang aktif dan aktif, itu berfungsi sebagai petunjuk yang sangat signifikan bagi peretas dan membuat pekerjaan mereka jauh lebih nyaman daripada yang seharusnya. Laporan kesalahan dapat memberikan informasi penting kepada siapa pun yang mencarinya.

​Dengan demikian , menonaktifkan pelaporan Kesalahan PHP setelah situs aktif memastikan bahwa setidaknya risiko keamanan WordPress yang disebabkan oleh pengungkapan informasi sensitif mengenai situs web Anda diminimalkan. Untuk menonaktifkan pelaporan kesalahan PHP, buat perubahan pada file php.ini Anda seperti yang dinyatakan di bawah ini:

  • error_reporting = 4339
  • display_errors = Mati
  • display_startup_errors = Mati
  • log_errors = Aktif
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • abaikan_repeated_errors = Aktif
  • abaikan_repeated_source = Mati
  • html_errors = Mati

Gunakan Pencatatan Keamanan untuk memantau Keamanan WordPress Anda

Menonton log Anda membantu Anda mengetahui tentang serangan apa yang terjadi di situs Anda dan membekali Anda untuk menghentikannya. Ini adalah cara yang cukup bagus untuk meningkatkan keamanan WordPress Anda. Sebagai contoh minimal, jika Anda mengetahui bahwa sebagian besar upaya peretasan berasal dari area tertentu, mungkin area yang tidak dilayani situs web Anda, Anda dapat memblokir area tersebut menggunakan firewall. Dianjurkan untuk menggunakan Plugin Audit keamanan untuk menyimpan log audit reguler.

Itu saja!

Dengan ini, kami telah mengakhiri panduan panjang dan komprehensif kami untuk mengamankan sepenuhnya situs WordPress Anda. Tidak diragukan lagi bahwa daftar periksa ini mungkin sedikit berlebihan bagi Anda jika Anda tidak terlalu memikirkan untuk memastikan situs web Anda sebelumnya. Tetapi hal baiknya adalah, sebagian besar langkah ini tidak akan menuntut banyak usaha dari Anda untuk menjalankannya, dan seiring berjalannya waktu, ini akan menjadi bagian rutin dari rutinitas pemeliharaan WordPress Anda. Agar adil, sebagian besar dari Anda tidak akan melakukan semua langkah yang disebutkan di atas, dan tidak apa-apa. Tetapi semakin banyak langkah-langkah keamanan yang Anda lakukan, semakin aman situs Anda. Sedikit usaha ekstra dari Anda sekarang akan sangat membantu!