Melindungi Situs WordPress Anda Terhadap Ransomware

WordPress adalah CMS paling populer di dunia. Dan meskipun ini biasanya merupakan hal yang baik, itu juga dapat membuat WordPress menjadi target perangkat lunak berbahaya yang mencari jangkauan luas.

Sayangnya, karena serangan cyber telah menjadi lebih besar dan lebih terukur selama bertahun-tahun, dalam jangka panjang seringkali bukan masalah 'jika' tetapi 'kapan' bisnis online akan diserang. Dan keberhasilan serangan ransomware yang dipublikasikan baru-baru ini berarti bahwa tren ini kemungkinan akan berlanjut.

Meskipun demikian, ada banyak langkah yang dapat Anda ambil untuk membuat situs web Anda tidak terlalu rentan terhadap serangan umum.

Memahami Risiko

Ransomware adalah perangkat lunak yang dipasang penyerang di server atau komputer Anda setelah menggunakan eksploitasi untuk mendapatkan akses. Setelah diinstal, perangkat lunak akan sering dijalankan secara otomatis, baik segera atau setelah tidak aktif untuk sementara waktu.

Hingga beberapa tahun yang lalu, serangan ransomware biasanya menargetkan workstation Windows. Namun, pada tahun 2017 analis mulai mencatat peningkatan kasus serangan di situs WordPress.

Setelah perangkat lunak dijalankan, ransomware menggunakan enkripsi yang kuat untuk mengunci semua file Anda, menolak akses Anda. Apa yang Anda tinggalkan sebagai gantinya adalah antarmuka yang menuntut pembayaran tebusan – biasanya dalam bitcoin yang tidak dapat dilacak – untuk membuka kunci file.

Membayar Tebusan

Sejumlah bisnis terkenal, dan bahkan kota, telah terpengaruh di seluruh dunia dalam beberapa tahun terakhir. Pada bulan Juni, Lake City di Florida membayar uang tebusan $500.000 kepada para peretas yang telah mengambil alih sistem komputer mereka.

Tetapi membayar uang tebusan tidak menjamin bahwa peretas akan membuka enkripsi data Anda. Dan bahkan jika mereka melakukannya, mereka dapat meninggalkan bagian dari perangkat lunak untuk mengenkripsi file Anda lagi di kemudian hari.

Dalam beberapa kasus, perangkat lunak membuat file .php yang berisi antarmuka yang seharusnya membuka kunci file terenkripsi. Namun, file ini tidak berfungsi, dan bahkan jika Anda mendapatkan akses, Anda akan memerlukan Pengembang WordPress yang terampil untuk memperbaiki semua kode yang rusak.

Tetap Perbarui Semuanya

Menjaga WordPress dan tema dan plugin apa pun diperbarui ke rilis terbaru adalah cara paling sederhana untuk melindungi situs web Anda dari ransomware. Pembaruan ini berisi, antara lain, patch keamanan terbaru dari pengembang.

Peretas terus mencari kerentanan untuk dieksploitasi. Setelah ini diidentifikasi, pengembang merilis tambalan untuk memperbaiki masalah. Versi WordPress yang kedaluwarsa menghadirkan kerentanan besar, karena tidak akan dikembangkan untuk melawan ancaman keamanan terbaru.

Anda juga harus memeriksa secara teratur apakah versi PHP dan MySQL host Anda mutakhir. Agensi WordPress yang baik akan menjaga agar semuanya tetap mutakhir untuk Anda, sehingga Anda tidak perlu khawatir.

Lindungi Dari Serangan Brute Force

Serangan brute force, seperti namanya, adalah serangan yang tidak canggih di mana bot mencoba untuk mendapatkan akses ke situs web Anda menggunakan ratusan kombinasi nama pengguna dan kata sandi per menit sampai mereka melakukannya dengan benar.

Sifat tumpul dari serangan ini membuatnya relatif mudah dicegah dengan melarang alamat IP yang mencoba mengakses situs Anda beberapa kali dengan detail login yang salah. Tetapi tanpa lapisan perlindungan sederhana ini, bot dapat terus mencoba mendapatkan akses hingga berhasil.

Limit Login Attempt Reloaded adalah plugin yang memungkinkan Anda membatasi jumlah upaya login, baik melalui halaman login maupun cookie.

Setel Keamanan Akses yang Kuat

Sejelas kedengarannya, menggunakan kata-kata yang pendek dan mudah ditebak – atau, lebih buruk lagi, 'kata sandi' – karena kata sandi Anda akan membuat situs WordPress Anda sangat rentan.

Tetapi bahkan kata sandi yang kuat yang telah digunakan terlalu lama, atau untuk terlalu banyak aplikasi yang berbeda, dapat menjadi rentan. Kami merekomendasikan penggunaan pembuat kata sandi seperti 1Password untuk membuat dan menyimpan kata sandi yang kuat dan unik dengan aman untuk setiap login.

Atau, Anda dapat menambahkan otentikasi 2 faktor ke login WordPress Anda menggunakan Google Authenticator. Lapisan keamanan tambahan ini dapat diaktifkan per pengguna, memungkinkan peran pengguna yang kurang memiliki hak istimewa untuk terus masuk dengan kata sandi.

Instal Sertifikat SSL

Sertifikat SSL memastikan bahwa semua data yang dikirimkan antara komputer Anda dan browser Anda dienkripsi, sehingga lebih sulit bagi peretas untuk mencegat koneksi.

Penyedia hosting WordPress terkelola seperti WP Engine menyertakan pemasangan dan pembaruan sertifikat SSL otomatis dengan semua paket hosting mereka.

Ubah Awalan Basis Data WordPress

WordPress menggunakan awalan database default, dan menggunakan awalan ini membuat situs web Anda rentan terhadap serangan injeksi SQL. Ini dapat dicegah dengan mengubah awalan wp- default ke kata lain.

Jika Anda sudah menginstal WordPress dengan awalan default, jangan khawatir. Ada sejumlah plugin yang masih memungkinkan Anda untuk mengubahnya – pastikan Anda mencadangkan semuanya terlebih dahulu, jika terjadi kesalahan.

Matikan Pengeditan File

Jika peretas berhasil mendapatkan akses ke dasbor WordPress admin Anda, mereka akan dapat mengedit file apa pun yang merupakan bagian dari instalasi WordPress Anda.

Oleh karena itu, pengaturan keamanan akses yang kuat merupakan garis pertahanan pertama. Namun, dengan menonaktifkan pengeditan file, peretas tidak akan dapat mengubah file Anda, meskipun mereka mendapatkan akses ke dasbor Anda.

Ini dilakukan dengan membatasi file theme-editor.php sepenuhnya dan menghapus opsi Theme Editing dari CMS.

Tindakan Tambahan

Langkah-langkah keamanan tambahan termasuk selalu mengikuti pedoman pengembangan praktik terbaik yang diuraikan dalam Codex WordPress. Idealnya, Anda juga harus melakukan peer review kode Anda, karena ini membantu meningkatkan kualitas secara keseluruhan dan dapat menghilangkan kesalahan atau kerentanan yang diabaikan.

Anda juga harus memeriksa bahwa semua formulir di situs web Anda dilindungi dari injeksi SQL dan skrip lintas situs, dan menonaktifkan XMLRPC.

Cara sederhana untuk meningkatkan keamanan akses adalah dengan mencegah peretas mengetahui nama pengguna Anda, karena ini berarti mereka hanya perlu menemukan kata sandi Anda untuk mendapatkan akses. Anda dapat melakukan ini dengan menghapus pengguna dengan nama 'admin' dan membatasi titik akhir default WP-JSON untuk menyembunyikan semua nama pengguna lainnya.

Anda juga dapat memberikan lapisan keamanan tambahan ke server Anda dengan menjalankan aplikasi seperti Sucuri, yang memindai kerentanan secara terus-menerus.

Cadangkan Situs Web Anda Secara Teratur

Salah satu alasan utama begitu banyak perusahaan membayar tebusan kepada peretas adalah karena mereka tidak memiliki cadangan yang baik, yang berarti bahwa biaya tebusan akan lebih murah daripada kehilangan semua data mereka.

Dan dengan cadangan, semakin banyak yang Anda miliki, semakin baik. Serangan Ransomware juga dapat mengenkripsi cadangan Anda jika disimpan di drive lokal. Anda dapat membuat cadangan data Anda di server, tetapi cadangan di luar situs yang disimpan di lokasi terpisah bahkan lebih aman.

Host WordPress yang dikelola biasanya menawarkan pencadangan sisi server sebagai bagian dari paket hosting mereka.

Kesimpulan

Meskipun Anda mungkin tidak dapat menghentikan semua serangan secara definitif – terutama jika perusahaan Anda menjadi sasaran – ada beberapa langkah yang dapat Anda ambil untuk memastikan bahwa situs web Anda tidak mudah diserang oleh peretas.

Skala dan kecanggihan ransomware berkembang sepanjang waktu, tetapi peretas – seperti kebanyakan penjahat – juga oportunis, dan memastikan bahwa situs web Anda tidak terlalu rentan daripada kebanyakan masih merupakan cara terbaik untuk menjaga keamanan data Anda.

Jika Anda ingin mendiskusikan keamanan situs WordPress Anda dan cara meningkatkannya, silakan hubungi kami.