Sucuri: Plugin keamanan yang harus segera Anda instal?
Diterbitkan: 2022-12-07Mulut terbuka lebar. Taring tajam siap mematahkan hewan kecil yang malang. Tubuh tanpa akhir yang harus mendekati 30 kaki panjangnya.
Ketik "sucuri" di Google, dan Anda akan berhadapan langsung dengan gambar beberapa ular yang cukup menakutkan . Tapi mengapa sebenarnya? Yah, hanya karena kata yang Anda ketikkan di mesin pencari adalah terjemahan bahasa Portugis dari anaconda.
Anda harus menyadari bahwa pada awalnya, saya hanya mencari informasi lebih lanjut tentang Sucuri, sebuah plugin keamanan untuk WordPress .
Untungnya, tidak ada yang buruk tentang itu. Dan itu tidak akan memakan Anda setelah Anda mengaktifkannya. Fiuh, kamu bisa menarik napas dalam-dalam!
Sebaliknya, plugin ini dirancang untuk membantu Anda membasmi predator lain: peretas jahat dan file lain serta malware yang dapat menginfeksi situs Anda.
Di akhir artikel ini, Anda akan mengetahui cara kerja Sucuri (plugin, bukan ular), dan yang lebih penting cara menyiapkannya langkah demi langkah. Siap untuk jalan yang aman? Sssss, ikuti panduannya.
Ringkasan
- Apa itu Sucuri?
- Mengapa mengamankan situs WordPress Anda penting?
- Cara menginstal Sucuri
- Cara mengatur dan menggunakan Keamanan Sucuri
- Berapa biaya Keamanan Sucuri?
- Pendapat terakhir kami tentang plugin keamanan Sucuri
Apa itu Sucuri?
Sucuri Security adalah plugin keamanan WordPress yang menawarkan seperangkat alat untuk membantu Anda melindungi situs web Anda: mengaudit file inti WordPress (PHP, CSS, JavaScript), analisis malware dan program, penegakan keamanan, peringatan email, tindakan keamanan pasca-peretasan, dll.
Didirikan pada tahun 2012 oleh Daniel Cid, Sucuri diakuisisi pada tahun 2017 oleh raksasa hosting Amerika GoDaddy , yang telah memelihara dan mengembangkannya sejak saat itu.
Setelah menawarkan plugin premium hingga 2014, plugin tersebut sekarang sepenuhnya gratis.
Dengan 800K+ penginstalan aktif, Sucuri adalah salah satu plugin keamanan WordPress paling populer di direktori resmi, di samping pesaing seperti Wordfence ( 4M+ penginstalan aktif), iThemes Security ( 1M+ penginstalan aktif), dan All-in-One Security ( 1M+ penginstalan aktif) .
Sucuri, plugin gratis yang didukung oleh layanan premium
Meskipun memiliki plugin keamanan yang didedikasikan untuk CMS WordPress, perusahaan Sucuri menawarkan beberapa layanan premium berbasis cloud untuk melindungi situs web Anda, terlepas dari CMS ( Sistem Manajemen Konten ) yang dijalankannya: WordPress, Joomla, Magento, Drupal, Shopify, dll.
Di antara layanan tersebut, ada:
- Firewall aplikasi web (WAF) yang melindungi server web Anda dari berbagai serangan: serangan DDOS (denial of service), serangan brute force, malware, phishing, ransomware, dll. Firewall ini dilengkapi dengan CDN (Content Delivery Network), untuk meningkatkan kecepatan memuat halaman Anda.
WAF dapat digunakan sendiri atau sebagai tambahan dari plugin Sucuri. - Platform keamanan Sucuri (Keamanan Situs Web Sucuri). Selain firewall dan CDN, Sucuri menawarkan beberapa layanan untuk memantau keamanan situs Anda dan dapat memberi Anda tim khusus untuk membersihkan WordPress jika terjadi peretasan.
Meskipun layanan ini terpisah dan dapat digunakan secara independen satu sama lain, Sucuri menyatakan di direktori resmi bahwa pluginnya “melengkapi alat keamanan Anda yang ada . Ini tidak dirancang untuk menggantikan produk Keamanan Situs Web Sucuri atau Firewall.”
Dengan kata lain, jika Anda ingin melindungi situs WordPress Anda sebaik mungkin, menggunakan plugin saja tidak cukup.
Mengapa mengamankan situs WordPress Anda penting?
Sebelum menelaah fitur dan pengaturan lain yang ditawarkan oleh Sucuri, mari kita berhenti sejenak untuk mempertimbangkan pentingnya keamanan pada instalasi WordPress.
Minimal menggunakan plugin khusus untuk melindungi diri sendiri, mengetahui bahwa tidak ada situs WordPress yang sempurna. Sebagai CMS (Sistem Manajemen Konten) yang paling banyak digunakan di planet ini, WordPress secara alami menjadi sasaran berbagai serangan setiap hari.
2.800 serangan per detik dikatakan menargetkan instalasi WordPress di seluruh dunia!
Namun, jangan panik. WordPress adalah CMS yang aman. Dalam laporan keamanan ekosistem WordPress, pakar keamanan Patchstack menjelaskan bahwa 96% kerentanan keamanan berasal dari kode pihak ketiga (plugin dan tema pihak ketiga), dibandingkan dengan 4% di dalam WordPress Core.
Inilah sebabnya mengapa sangat penting untuk melindungi situs Anda. Konsekuensi dari peretasan dapat menjadi bencana dan mengakibatkan:
- Kehilangan dan pencurian banyak data , kurang lebih sensitif, terutama milik pelanggan Anda.
- Kehilangan waktu , karena Anda harus membersihkan situs yang diretas dan memperbarui semuanya.
- Pengeluaran keuangan yang tidak direncanakan , terutama jika Anda memanggil pakar keamanan.
- Degradasi citra merek Anda dan kemungkinan hilangnya kepercayaan dari pengguna Anda saat ini dan/atau pelanggan di masa mendatang.
Anda mengerti maksudnya: jangan abaikan aspek keamanan situs Anda. Mari beralih ke presentasi mendetail tentang Sucuri.
Cara menginstal Sucuri
Langkah 1: Aktifkan plugin Sucuri di WordPress
Untuk memulai, instal plugin dari antarmuka administrasi Anda melalui menu Plugins > Add New . Klik "Instal Sekarang":
Ingatlah untuk mengaktifkan plugin. Anda kemudian akan menemukan menu baru bernama "Sucuri Security", di sidebar kiri back-office WordPress Anda:
Langkah 2: Buat kunci API
Untuk mengaktifkan beberapa alat tambahan yang ditawarkan oleh plugin, Sucuri merekomendasikan agar Anda membuat kunci API.
API adalah singkatan dari Antarmuka Pemrograman Aplikasi. Seperti yang dijelaskan dengan sangat jelas dalam artikel ini, “API adalah mekanisme yang memungkinkan dua komponen perangkat lunak untuk berkomunikasi satu sama lain menggunakan sekumpulan definisi dan protokol.”
Untuk melakukannya, klik tombol “Generate API Key” di bagian atas Dashboard Anda:
Di jendela yang muncul dengan terang di layar Anda, pilih alamat email yang terkait dengan akun Anda, lalu terima persyaratan layanan (jika Anda setuju). Klik "Kirim" saat Anda siap.
Dan begitulah! Sucuri siap bekerja. Seperti yang diberitahukan kepada Anda setelah membuat kunci API, " ini bukan perbaikan cepat untuk kebutuhan keamanan Anda ; ini bukan pengganti Keamanan Situs Web atau Firewall Sucuri, tetapi ini akan memungkinkan Anda untuk lebih sadar akan keamanan dan mengambil sikap yang lebih baik, dengan tujuan mengurangi risiko.”
Sekarang mari kita cari tahu cara menyiapkan plugin, dengan menyelami menu demi menu.
Cara mengatur dan menggunakan Keamanan Sucuri
Ikhtisar dasbor Sucuri
Menu utama pertama yang ditawarkan Sucuri Security adalah Dashboard. Di sinilah Anda akan menemukan hasil audit yang dilakukan oleh plugin di situs Anda.
Secara konkret, Sucuri memeriksa instalasi WordPress Anda untuk setiap perubahan pada file WordPress dasar (yang Anda temukan setiap kali Anda mengunduh CMS).
Sucuri secara otomatis memindai file di direktori root, wp-admin dan wp-include, lalu membandingkannya dengan file yang didistribusikan dengan versi utama WordPress yang terinstal di situs Anda (6.1.1, dalam kasus saya).
Segera setelah Sucuri mendeteksi file yang tidak konsisten, file tersebut akan ditampilkan di dasbor Anda.
Jika ada masalah, tanda “X” merah muncul, disertai dengan pesan yang tidak meyakinkan dengan warna yang sama: “ File WordPress Inti Telah Dimodifikasi .”
File mungkin telah diretas. Dalam kasus saya, Sucuri melaporkan dua anomali dalam file .txt dan file error.log.
Yang terakhir mencantumkan log kesalahan yang terjadi di situs Anda (kesalahan PHP, khususnya). Saya kemudian memiliki beberapa opsi untuk mengatasi masalah:
- Tandai file sebagai false positive , jika itu adalah file yang saya tambahkan sendiri, misalnya. Sucuri akan mengabaikannya selama pemindaian berikutnya.
- Hapus file , jika menurut Anda berbahaya.
- Mengembalikan versi asli file .
Pemindaian ini nyaman tetapi ada satu masalah utama: untuk pemula, masih cukup sulit untuk mengetahui apakah file yang dianggap anomali menyebabkan masalah keamanan nyata di situs Anda atau tidak.
Akibatnya, kami benar-benar tidak tahu harus berbuat apa . Biarkan file apa adanya? Pulihkan versi aslinya? Hapus bahkan jika itu berarti mengambil risiko menghapus data penting? Tidak mudah untuk mencari tahu.
Di bawah sisipan yang didedikasikan untuk analisis inti WordPress, selain log audit, Anda akan menemukan beberapa tab yang menunjukkan perubahan yang telah terjadi pada:
- Iframe (tag HTML)
- Tautan
- Skrip
Terakhir, Sucuri juga membuat beberapa rekomendasi untuk memperkuat keamanan instalasi saya dengan menyarankan, misalnya, agar saya menghapus plugin yang tidak terpakai atau menonaktifkan editor file di bagian administrasi:
Firewall aplikasi: Firewall (WAF)
Sub-menu Sucuri yang kedua adalah untuk firewall Sucuri. Untuk memanfaatkan ini, Anda harus memilih salah satu paket premium yang ditawarkan oleh Sucuri .
Jika Anda ingin mengambil langkah ini, Anda hanya perlu menambahkan kunci API Anda di kotak yang tersedia.
Dengan aktifnya firewall ini, Sucuri memastikan bahwa situs Anda akan terlindungi dari serangan dan akan mencegah infeksi dan infeksi ulang malware.
Selain itu, firewall “ akan memblokir upaya injeksi SQL, serangan brute force, XSS (skrip situs-ke-situs), RFI (menyematkan file jarak jauh di server Anda), pintu belakang (akses jarak jauh ke situs Anda), dan banyak ancaman lainnya ke situs Anda.”
Melalui tab pengaturan, Anda juga dapat:
- Blokir alamat IP tertentu dengan memasukkannya secara manual, sehingga mereka tidak dapat mengakses situs Anda.
- Aktifkan caching , yang akan meningkatkan kinerja situs WordPress Anda.
Menu yang terkait dengan login : Login terakhir
Mari beralih ke menu ketiga dari plugin Sucuri: "Login Terakhir". Empat tab tersedia:
- “ Semua Pengguna” menunjukkan semua pengguna yang berhasil masuk ke admin WordPress Anda
- “ Admin” menampilkan semua orang yang memiliki akun “admin” di situs Anda
- “ Pengguna yang Masuk” memerinci semua pengguna yang saat ini masuk
- " Login gagal" menunjukkan upaya login Anda yang gagal ke halaman login Anda. Ini akan membantu Anda melihat dengan sangat cepat jika Anda adalah korban serangan brute force, misalnya.
Menu Pengaturan Sucuri
Dan terakhir, menu terakhir dan paling banyak. Di sini Anda akan menemukan beberapa fitur utama Sucuri, yang akan kami uraikan secara mendetail, tab demi tab.
tab Pengaturan Umum
Tab Pengaturan Umum memiliki beberapa sisipan. Mereka menyertakan beberapa elemen berikut, yang dapat Anda modifikasi:
- Direktori dengan semua log keamanan Anda ("Penyimpanan data")
- Pengekspor kayu
- Proxy terbalik, yang dapat Anda aktifkan
- Modul untuk mengimpor dan mengekspor pengaturan Sucuri Anda ke situs WordPress lain
Tab pemindai
Tab "Scanner" menyertakan alat gratis yang ditawarkan oleh Sucuri yang disebut SiteCheck. Alat ini akan memindai situs Anda untuk hal-hal berikut:
- Malware
- Kesalahan di situs web WordPress Anda
- Perangkat lunak usang
- Anomali keamanan
Secara khusus, Sucuri menunjukkan kepada Anda:
- Tugas dijadwalkan selama pemindaian ("tugas terjadwal"). Secara default, pemindaian dilakukan sekali sehari.
- Utilitas “WordPress Integrity Diff” yang membandingkan file di server Anda dengan file asli situs Anda (direktori root, tema, plugin, dan file inti WP).
- Terdeteksi positif palsu .
- Opsi untuk mengecualikan file dan folder tertentu selama pemindaian , terutama jika ukurannya terlalu besar.
Tab pengerasan
Tab "Pengerasan" mencantumkan sepuluh tindakan keamanan yang dapat Anda terapkan untuk mencegah kemungkinan serangan. Mereka akan memperkuat keamanan instalasi WordPress Anda.
Misalnya, dengan satu klik Anda dapat:
- Blokir eksekusi file PHP tertentu di direktori wp-content dan wp-include
- Nonaktifkan editor file di antarmuka administrasi Anda, untuk mencegah peretas memodifikasi file Anda
- Hapus tampilan versi WordPress Anda
- Periksa apakah versi WordPress Anda mutakhir
Di bagian bawah halaman, juga dimungkinkan untuk secara manual mengecualikan file PHP tertentu yang telah diblokir agar tidak dapat dijalankan.
Sebagai tindakan pencegahan, buat cadangan situs Anda (file + basis data) untuk menerapkan salah satu dari tindakan ini. Anda dapat menggunakan plugin cadangan seperti UpdraftPlus. Dan jika memungkinkan, lanjutkan di lingkungan pengujian, bukan di produksi .
tab Pasca-Peretasan
Seperti namanya, tab "Post-Hack" menawarkan beberapa tindakan untuk diterapkan segera setelah situs Anda diretas. Jadi saya harap Anda tidak perlu menggunakannya! ^^
Inilah yang dapat Anda lakukan:
- Hasilkan kunci keamanan baru . Mereka ada di file wp-config.php, dan memungkinkan enkripsi yang lebih baik untuk beberapa informasi, terutama cookie pengguna yang terhubung ke administrasi situs Anda. Jika seorang peretas memiliki cookie ini, dia akan dapat terhubung ke situs Anda bahkan jika Anda mengatur ulang kata sandi Anda — kecuali jika Anda mengubah kunci keamanan Anda!
- Perbarui kata sandi pengguna
- Instal ulang plugin situs Anda
- Perbarui tema dan plugin Anda
Tab Peringatan Sucuri
Di tab Peringatan, Anda dapat mengonfigurasi pengaturan yang terkait dengan peringatan keamanan yang akan dikirimkan Sucuri kepada Anda melalui email.
Secara default, plugin mengirimkan pemberitahuan keamanan ke administrator utama situs (yang dibuat selama instalasi). Namun, Anda dapat menentukan alamat email lain untuk menerima pemberitahuan ini.
Anda juga dapat mengelola jenis lansiran yang akan Anda terima, dan mengotorisasi alamat IP tepercaya agar tidak menghasilkan lansiran.
Misalnya, Anda dapat menentukan:
- Jumlah peringatan maksimum yang akan diterima per jam (dari lima jam hingga tidak terbatas)
- Jumlah upaya koneksi yang gagal per jam (serangan brute force) sebelum peringatan email dikirim
- Peristiwa yang akan memicu peringatan keamanan (mis. perubahan dalam pengaturan plugin, pembuatan login baru, penonaktifan tema atau plugin, dll.)
Agar benar-benar komprehensif, Sucuri menawarkan dua tab pengaturan lainnya: "Komunikasi Layanan API" dan "Info Situs Web". Kedua tab ini tidak mengatur pengaturan khusus: mereka memberikan informasi tentang API Anda dan situs WordPress Anda.
Setelah ikhtisar luas ini, saya mengusulkan agar kita beralih ke bagian akhir artikel ini. Pertama, kita akan berbicara tentang harga Sucuri, dan kemudian saya akan memberikan pendapat saya tentang plugin keamanan ini.
Berapa biaya Keamanan Sucuri?
Sucuri disajikan sebagai plugin gratis, yang memang benar… tetapi dengan batasan.
Memang, Anda harus membayar jika ingin menggunakan aplikasi firewall yang ditawarkan oleh Sucuri. Dan dalam hal keamanan, penggunaan firewall sangat dianjurkan.
Opsi ini, yang juga mencakup akses ke CDN, ditawarkan mulai $9,99/bulan untuk penggunaan di satu situs.
Di sisi lain, Sucuri menawarkan paket keamanan yang jauh lebih komprehensif yang disebut Website Security Platform. Harga mulai dari $199,99/tahun untuk penggunaan satu situs.
Paket harga ini tentu saja mencakup firewall Sucuri, CDN, dan juga pembersihan malware dan file bajakan oleh pakar internal :
Pelajari cara menginstal dan mengonfigurasi plugin keamanan #WordPress #Sucuri, serta fitur yang harus dimiliki.
Pendapat terakhir kami tentang plugin keamanan Sucuri
Sebagai kesimpulan, apa yang harus Anda pikirkan tentang Sucuri? Untuk menjawab pertanyaan ini, saya akan membahas dua aspek penting saat memilih sebuah plugin: kemudahan penggunaan dan efisiensinya.
Pertama-tama, tentang penanganannya. Itu belum tentu rumit, karena Sucuri telah memilih untuk menawarkan opsi yang jelas, didistribusikan dengan baik di berbagai tab.
Menu tidak terlalu kelebihan beban dan sangat mudah untuk melakukan suatu tindakan (sebagian besar waktu cukup satu klik).
Di sisi lain, bidang keamanan penuh dengan istilah teknis — Sucuri tidak ada hubungannya dengan itu — dan pengguna pemula tidak akan selalu dapat memahami apa yang disarankan atau apa yang harus dia lakukan. Ini adalah batasan pertama yang harus ditunjukkan.
Mari beralih ke efisiensi plugin. Sucuri adalah alat pemantauan pertama dan terpenting yang dirancang untuk memperingatkan Anda tentang masalah keamanan di WordPress Anda . Itu memindai halaman Anda untuk mencari anomali, mengirimi Anda peringatan jika ada masalah, dll.
Tetapi plugin tidak benar-benar memungkinkan Anda untuk menyelesaikan masalah keamanan (dengan pengecualian beberapa aspek kecil), kecuali setelah peretasan (tetapi saat itu sudah terlambat).
Salah satu perisai keamanan utama adalah penggunaan firewall. Sucuri memang menawarkan satu, tetapi hanya dalam penawaran berbayarnya.
Unduh plugin Sucuri:
Kesimpulannya, saya tidak akan merekomendasikan plugin gratis jika Anda ingin melindungi situs WordPress Anda secara efisien .
Apakah Anda membagikan pendapat saya dan apakah Anda menggunakan Sucuri? Beri saya pendapat Anda dengan memposting komentar.