Menjaga Situs WordPress Anda Aman Dari Peretas Pada Tahun 2021

Lebih dari 100.000 situs web ditargetkan oleh peretas setiap hari! Karena itu, sangat penting untuk menjaga keamanan situs WordPress Anda. Situs web Anda bisa menjadi salah satu situs web tersebut pada waktu tertentu. WordPress cukup aman. Namun, banyak situs WordPress yang menjadi korban peretasan. Ini kurang berkaitan dengan WordPress itu sendiri dan lebih berkaitan dengan bagaimana Anda, sebagai webmaster, menjaga situs Anda dan mengatur keamanan Anda.

Bahkan jika Anda memastikan situs Anda aman saat diluncurkan, mengikuti pemeliharaan keamanan akan memastikan bahwa situs Anda dilindungi dengan tepat setiap saat.

Sebelum kita mulai, ada baiknya untuk memahami beberapa masalah keamanan umum yang dimiliki situs WordPress:

• Serangan Brute Force – Serangan Brute Force adalah alasan pentingnya memiliki kata sandi yang kuat. Penyerang akan memasukkan informasi login berulang kali hingga mereka mendapatkan kombinasi login yang tepat untuk mengakses situs WordPress Anda.
• Malware – Kependekan dari perangkat lunak berbahaya, malware adalah kode yang digunakan untuk mendapatkan akses tidak sah ke situs web untuk mengumpulkan data sensitif milik pemilik bisnis dan pelanggan atau kontak mereka.
• Eksploitasi Penyertaan File – Eksploitasi Penyertaan File terjadi ketika kode tidak aman digunakan untuk memuat file jarak jauh, yang akan memberi peretas akses ke situs web Anda. Ini juga akan memberi mereka akses ke file wp-config.php Anda, yang pada dasarnya adalah tulang punggung instalasi WordPress Anda. Jika file ini disusupi, peretas dapat mengakses informasi login database dan keamanan enkripsi.
• Injeksi SQL – Injeksi SQL adalah serangan terhadap database WordPress Anda, di mana penyerang mendapatkan akses ke database Anda dan, oleh karena itu, data Anda. Ketika ini terjadi, penyerang akan dapat menambah dan mengubah data, yang mungkin termasuk tautan berbahaya dan spam.
• Cross Site Scripting – Cross Site Scripting adalah masalah paling umum dengan plugin dan bekerja oleh penyerang yang menemukan cara untuk membuat korban tanpa sadar memuat halaman web dengan skrip javascript yang tidak aman.

Apa Yang Terjadi Ketika Keamanan Anda Dikompromikan?

Peretas dapat mencuri data Anda dan data apa pun milik pelanggan Anda, membiarkan data ini terbuka. Malware dapat didistribusikan dari situs Anda ke pengunjung Anda yang dapat merusak peringkat SEO Anda serta reputasi merek Anda. Dan akhirnya, seluruh situs Anda dapat dihapus, yang jika tidak dicadangkan dapat menyebabkan beberapa masalah serius bagi Anda.

Sekarang, pertanyaan besarnya adalah, bagaimana Anda bisa membuat situs Anda aman dari peretas? Untuk situs WordPress, ada beberapa cara untuk membuat situs web Anda lebih aman. Dalam panduan ini saya akan menunjukkan kepada Anda beberapa perubahan keamanan dasar yang dapat Anda buat, hingga fitur keamanan WordPress yang lebih mendalam. Mari selami.

Apa itu Pengaturan Keamanan Dasar?

Sebagian besar situs bahkan tidak memiliki dasar-dasar yang tercakup, dan itu membuat perlindungan yang cukup ceroboh. Di sini kami akan membahas hal-hal dasar yang dapat Anda lakukan untuk memperketat keamanan WordPress Anda.

1. Kredensial Kuat

Ini mungkin terdengar konyol, tetapi memastikan Anda memiliki kata sandi yang kuat adalah garis pertahanan pertama Anda. Saat ini orang masih menggunakan kata sandi seperti Password123 yang menawarkan sedikit perlindungan. Anda mungkin tergoda untuk menggunakan nama pengguna atau bahkan alamat email sebagai kata sandi Anda, tetapi jangan!

Kata sandi yang kuat akan berbeda dengan nama pengguna dan/atau email Anda dan menyertakan huruf kapital serta huruf kecil, angka, dan karakter khusus (misalnya !,*,%).

Demikian pula, Anda mungkin terkejut mengetahui bahwa banyak orang menggunakan admin sebagai nama pengguna. Jika ya, inilah saatnya untuk mengubahnya.

2. Hosting aman yang menggunakan koneksi aman

Host web bertanggung jawab atas keamanan situs web Anda sama seperti Anda. Saat ini hosting disediakan melalui cloud hosting atau shared hosting (periksa opsi hosting WordPress murah terbaik). Cloud hosting meng-host beberapa situs web di beberapa server sedangkan shared hosting akan meng-host beberapa situs web melalui satu server.

Cloud hosting dihargai karena tingkat keandalan dan keamanannya yang lebih tinggi karena tidak memerlukan berbagi sumber daya terbatas di beberapa situs. Itulah masalah dengan hosting bersama dimulai dan ketika host menumpuk lebih banyak situs web daripada yang dapat ditangani server, ini membuat situs rentan.

Itu tidak berarti bahwa shared hosting itu buruk. Host yang bertanggung jawab akan selalu menggunakan koneksi yang aman dan tidak pernah memberikan server lebih dari yang dapat ditanganinya. Sekarang mungkin saat yang tepat untuk memeriksa host Anda dan mencari tahu apakah Anda perlu beralih.

3. Otentikasi Dua Faktor

Perbaikan keamanan sederhana adalah mengaktifkan otentikasi dua faktor saat masuk ke dasbor Anda. Ini akan menambahkan lapisan keamanan ekstra ke situs web Anda dan sangat mudah untuk diaktifkan di pengaturan Anda.

Otentikasi biasanya berupa kode melalui SMS atau email. Beberapa merasa menjengkelkan karena harus melalui langkah ekstra untuk masuk tetapi itu sepadan dengan perlindungan ekstra.

3. Sertifikat SSL

Tidak yakin apakah situs Anda memiliki sertifikat SSL? Sebuah situs yang memiliki SSL akan menampilkan https:/ di awal alamat web mereka dan seringkali browser Anda akan mengatakan bahwa situs tersebut tidak aman. Sertifikat SSL memberi tahu pengunjung web bahwa situs Anda aman sehingga data mereka terlindungi saat menggunakan situs Anda.

Sebagian besar penyedia hosting sekarang menyertakan sertifikat SSL dalam biaya berlangganan mereka, tetapi jika Anda belum mendapatkannya, Anda dapat membayarnya melalui host Anda atau Anda dapat menggunakan sertifikat Let's Encrypt gratis (lihat cara menambahkan SSL gratis secara manual ke situs WordPress).

Sebagai pemilik situs web, Anda harus memeriksa jenis SSL yang berbeda saat memilih sertifikat SSL untuk situs web Anda. Misalnya, jika situs web e-niaga memiliki beberapa subdomain, Anda harus mempertimbangkan untuk mendapatkan sertifikat SSL wildcard.

Ada banyak merek sertifikat terkenal yang tersedia yang dapat membantu Anda membangun kepercayaan di situs seperti AlphaSSL, Comodo, GlobalSign, DigiCert. Anda dapat memilih siapa saja karena semua merek terkenal melayani sertifikat SSL yang diautentikasi.

4. Cadangkan Situs Anda

Tidak peduli seberapa kuat keamanan situs Anda, itu tidak akan pernah 100% anti peluru. Karena alasan inilah mencadangkan situs Anda (lihat perbandingan plugin cadangan WordPress) adalah salah satu keharusan mutlak dalam keamanan situs web. Jika hal yang tak terhindarkan muncul, Anda dapat yakin bahwa Anda tidak perlu memulai situs web Anda dari awal.

Anda dapat menggunakan plugin cadangan seperti Duplicator (lihat cara memigrasikan situs WordPress menggunakan Duplicator), BackupBuddy (periksa ulasan BackupBuddy), WPvivid (lihat ulasan WPvivid), pencadangan 10Web (periksa ulasan 10Web), dll.

Cara lain Anda dapat mencadangkan data Anda adalah dengan menyinkronkan aplikasi atau perangkat lunak apa pun yang Anda gunakan untuk data yang sama. Misalnya, Anda dapat mencadangkan kontak Anda dengan menyinkronkan Mailchimp dan Office 365, ini akan memungkinkan Anda untuk menjaga data kontak tetap aman dan terlindungi.

5. Plugin dan Tema

Situs WordPress berfungsi pada tema dan banyak plugin yang juga memerlukan pembaruan. Pembaruan ini sangat penting untuk menjaga situs Anda bekerja dengan lancar tetapi juga untuk memperbaiki bug atau masalah apa pun dalam perangkat lunak mereka. Begitu banyak bisnis memiliki situs web yang menjalankan perangkat lunak versi lama, dan mereka bahkan tidak mengetahuinya.

Masalah lain adalah menggunakan tema dan plugin nulled, ini berisi kode yang dimodifikasi dan tidak dipercaya. Menggunakan plugin nulled dapat membahayakan situs Anda.

6. Perbarui Versi PHP Anda

Setiap situs yang menjalankan versi PHP yang sangat lama akan menghadapi risiko keamanan. PHP yang kedaluwarsa dapat membuat situs WordPress Anda rentan. Sebaiknya periksa apakah milik Anda berjalan pada versi PHP terbaru. Anda dapat menemukan versi Anda dengan memeriksa permintaan header di situs Anda, menggunakan berbagai plugin, atau melalui cPanel Anda jika hosting Anda menggunakannya.

7. Memperketat area admin Anda

Area admin WordPress pada dasarnya memberi pengguna kemampuan untuk mengakses dan melakukan tugas tertentu di situs Anda dan sering kali tidak terlindungi. Untuk alasan ini, ini adalah area yang paling sering ditargetkan dari situs WordPress.

Anda dapat memperketat keamanan ini dengan menambahkan langkah-langkah otentikasi ekstra ke direktori admin Anda. Anda dapat menambahkan otentikasi dua faktor dan membatasi upaya login untuk menambahkan lapisan keamanan lain dan mencegah peretas.

Anda dapat melangkah lebih jauh dan mengubah URL login WordPress. URL default untuk situs WordPress adalah domain.com/wp-admin atau /login.php yang memudahkan peretas untuk mencoba serangan brute force pada login admin Anda.

Meskipun ini bukan perbaikan keamanan yang besar, mengubah URL memang mempersulit penyerang untuk mengakses situs. Anda dapat mengubah URL login Anda menggunakan plugin seperti iThemes Security (lihat perbandingan iThemes Security vs WordFence), Sembunyikan WP Saya (periksa Swift Performance vs Sembunyikan perbandingan WP Saya), dll.

Bagaimana Menerapkan Keamanan yang Lebih Kuat?

Berikut adalah beberapa rekomendasi untuk tingkat keamanan yang lebih tinggi untuk situs WordPress.

1. Instal Plugin Keamanan WordPress

Anda mungkin bertanya-tanya apakah ada plugin bagus yang dapat Anda instal untuk membantu membuat keamanan menjadi beban di pundak Anda dan kabar baiknya adalah ada banyak. Manfaat menggunakan plugin ini adalah berbagai fitur mereka semua serta opsi untuk memindai instalasi WordPress Anda untuk file yang dimodifikasi yang mungkin mengindikasikan upaya peretasan. Plugin ini juga memiliki fitur:

• Informasi WHOIS tentang pengunjung situs
• Otentikasi Dua Faktor
• reCAPTCHA
• Pemindaian Malware
• Kata sandi kedaluwarsa – memaksa Anda untuk mengatur ulang kata sandi Anda setelah jangka waktu tertentu.
• Firewall Keamanan WordPress

Meskipun mungkin tidak menyelesaikan semua masalah keamanan Anda, sebuah plugin dapat membantu menambahkan lapisan pertahanan lain dan mencegah upaya peretasan. Saya sarankan mempertimbangkan plugin berikut: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (lihat ulasan MalCare), dll.

2. Sembunyikan Versi WordPress Anda

Semakin sedikit informasi yang tersedia tentang Anda dan konfigurasi situs web Anda, semakin sulit bagi peretas untuk menargetkan Anda. Menyembunyikan versi situs Anda akan mencegah peretas mengidentifikasi situs Anda berjalan di versi yang lebih lama.

Solusi yang lebih sederhana adalah memastikan bahwa situs web Anda selalu terbarui, tetapi jika Anda ingin mengambil tindakan pencegahan, Anda dapat menyembunyikan versi WordPress Anda dengan menambahkan kode ke file functions.php tema Anda.

3. Izin Berkas

Izin file adalah seperangkat aturan yang digunakan oleh server web Anda untuk mengontrol akses ke file di situs Anda. Memiliki izin yang salah dapat menghentikan fungsi situs Anda, tetapi juga memungkinkan peretas mengakses dan menulis ulang serta mengubah file-file ini.

Nilai yang direkomendasikan untuk izin file adalah sebagai berikut: Semua file harus disetel pada 644 dan semua direktori harus disetel pada 755 atau 750. Direktori tidak boleh disetel pada 777.

4. Keamanan Basis Data

Basis data Anda akan diberi nama apa pun nama situs web Anda. Jadi jika situs Anda disebut richie rich, database Anda akan diberi nama wp_richierich. Dengan mengubah ini menjadi sesuatu yang tidak terkait, ini menghentikan peretas untuk dapat menebak nama basis data Anda.

Cara lain Anda dapat memperketat keamanan adalah dengan mengubah awalan tabel WordPress default. Secara default, WordPress menggunakan wp_ sebagai awalan yang digunakan untuk membuat database Anda. Selama instalasi, Anda dapat mengubah awalan ini dan disarankan agar Anda melakukannya untuk mempersulit peretas untuk menebak nama database Anda.

5. Pencegahan DDoS

DDoS adalah jenis serangan penolakan layanan yang tidak membahayakan situs web Anda tetapi membuat situs Anda down selama berjam-jam atau bahkan berhari-hari. Meskipun ini mungkin tidak membahayakan situs web Anda, ini dapat merusak bisnis Anda jika Anda mengandalkan situs web Anda untuk beroperasi penuh setiap saat. Anda dapat mencegah serangan DDoS dengan menggunakan keamanan pihak ketiga seperti Securi atau Cloudflare.

6. Lindungi file wp-config.php Anda

Seperti yang saya sebutkan sebelumnya, file wp-config.php adalah file terpenting dalam instalasi WordPress Anda. Jika dikompromikan, peretas dapat memperoleh login basis data Anda yang akan memberi mereka akses lengkap ke situs web Anda.

Ini mungkin terdengar menakutkan tetapi jangan khawatir, Anda dapat memperketat keamanan pada file wp-config.php Anda dengan mengubah izin file. File di direktori root biasanya diatur ke 644 yang memungkinkan pemilik untuk membaca dan menulis file dan dapat dibaca oleh pengguna di pemilik grup dan orang lain.

Jika Anda ingin menolak akses ke penggunaan lain, file harus disetel ke 440 atau 400. Perlu diingat bahwa platform hosting tertentu akan memiliki izin yang berbeda. Ini karena pengguna tidak memiliki izin untuk menulis file. Dalam hal ini, sebaiknya hubungi penyedia hosting Anda untuk memastikan izinnya.

Menjaga Situs WordPress Anda Tetap Aman

Ada banyak alasan mengapa situs WordPress diretas. Membersihkan situs WordPress yang diretas bukanlah hal yang tidak mungkin, tetapi dengan mengambil tindakan pencegahan, Anda dapat mengurangi kemungkinan memiliki situs yang diretas sehingga Anda tidak perlu khawatir tentang membersihkan situs Anda atau, skenario terburuk, membangun situs yang benar-benar baru situs web.