Mengapa situs diretas ?
OperatorData – Untuk membantu Anda memahami cara menjaga keamanan situs WordPress, penting untuk memahami terlebih dahulu mengapa peretas menyerang situs web. Apalagi jika Anda hanya menjalankan blog pribadi atau toko eCommerce kecil, tidak ada yang mau main-main, bukan?
Belum tentu. Peretas mengejar situs web karena tiga alasan utama:Mereka ingin menggunakan situs Anda untuk mengirim email spam. Mereka ingin mencuri akses ke data Anda, milis, informasi kartu kredit, dll.
Mereka ingin menyebabkan situs Anda mengunduh malware ke mesin pengguna atau mesin anda sendiri. Malware, atau perangkat lunak berbahaya, dapat diinstal sedemikian rupa sehingga sangat sulit untuk mengetahui keberadaannya. Bagus untuk peretas, tidak bagus untuk situs Anda. Peretas akan sering melakukan ini untuk menggunakan mesin Anda dalam serangan skala besar, seperti serangan Denial of Service.
Mengapa peretas menargetkan WordPress secara khusus ?
Jawaban singkatnya – karena ini populer.
Tempatkan diri Anda dalam pola pikir seorang peretas sebentar saja. Jika Anda ingin mengambil alih banyak situs web untuk tujuan jahat Anda sendiri, apakah Anda akan menghabiskan seluruh waktu Anda untuk mencari kerentanan pada platform yang hanya digunakan oleh 500 situs web, atau apakah Anda akan mencoba merusak platform denganratusan juta situs? Karena WordPress sangat banyak digunakan, itu adalah target yang sangat populer bagi para peretas.
Inti WordPress sangat aman, yang membuatnya cukup sulit untuk diretas. Tetapi karena siapa pun dapat menulis alat tambahan untuk WordPress, seperti tema dan plugin, mungkin tidak semua ekstensi memenuhi standar tinjauan kode yang sama dengan inti WordPress. Ada kemungkinan plugin yang sangat populer memiliki kelemahan keamanan yang dapat memengaruhi ribuan situs WordPress sekaligus.
Baca Juga :
Jangan khawatir; sifat open-source dari kode ini juga yang membuatnya kuat. Ini adalah apamemungkinkan peretas topi putih menemukan eksploitasi dan melaporkannya dengan mudah sehingga lubang dapat ditambal. Inilah yang memungkinkan pengembang untuk membantu meningkatkan keamanan dari waktu ke waktu. Inilah yang memungkinkan pihak ketiga untuk menciptakan solusi keamanan yang lebih kuat yang dapat diinstal tepat di atas WordPress.
Intinya adalah bahwa situs WordPress Anda dapat diretas kapan saja (itu berlaku untuk situs mana pun). Tetapi ada beberapa hal yang dapat Anda lakukan untuk meningkatkan keamanan dan mempersulit peretas untuk mengacaukan segalanya.
Cara Meningkatkan Keamanan Situs WordPress
Berikut adalah daftar beberapa cara tambahan untuk meningkatkan keamanan situs Anda, mulai dari yang paling dasar (dan esensial), hingga opsi yang lebih canggih yang mungkin tidak diperlukan atau praktis untuk semua orang.
1. Gunakan nama pengguna dan kata sandi yang cerdas
Tampaknya jelas, tetapi banyak pengguna WordPress mengabaikan langkah keamanan penting ini. Nama pengguna dan kata sandi Anda adalah untuk WordPress seperti mengunci pintu depan Anda untuk keamanan rumah, dan tidak peduli seberapa bagus sistem keamanan Anda jika Anda membiarkan pintu terbuka bagi siapa saja untuk melewatinya.
Adapun nama pengguna, hindari memilih sesuatu yang khas seperti “admin” atau namasitus Anda. Itu akan menjadi hal pertama yang coba ditebak oleh peretas. Aturan praktis yang sama berlaku untuk kata sandi; jangan memilih sesuatu yang jelas. Jika kata sandi WordPress Anda benar-benar pendek, sesuatu yang dapat dibaca, digunakan di banyak situs, atau bahkan sesuatu yang bisa ditebak seseorang, kemungkinan itu harus lebih kuat. Jika Anda kesulitan mengingat kata sandi acak (atau Anda ingin lebih aman), Anda selalu dapat mencoba menggunakan alat seperti1Kata Sandi atauLastPass.
Jika Anda memiliki situs dengan beberapa pengguna WordPress atau mengizinkan pengunjung membuat akun mereka sendiri, Anda dapat menambahkanPaksa Kata Sandi yang Kuat plugin untuk membuat semua pengguna menyimpan kata sandi mereka.
2. Tetap perbarui tema, plugin, dan WordPress
Pembaruan bisa sulit untuk diikuti, terutama jika Anda memiliki banyak plugin yang diinstal di situs WordPress Anda. Tapi sangat penting bahwa Anda mencoba. Tema dan plugin terkadang memiliki kerentanan keamanan, yang ditambal oleh pengembang segera setelah ditemukan. Sangat penting untuk memperbarui secara teratur karena banyak bot jahat secara khusus mencari plugin dan tema kedaluwarsa dengan kerentanan yang diketahui. Plus, pembaruan sering kali menambal bug lain dan meningkatkan kegunaan, jadi ini adalah kemenangan!
Dan saat memasang plugin baru, pastikan untuk memeriksa apakah mereka memiliki masalah yang diketahui dan belum diperbaiki. Anda tidak harus menyerah pada plugin yang memiliki riwayat kerentanan – sebagian besar plugin terbaik akan menunjukkan beberapa – tetapi itu pasti sesuatu yang perlu diperhatikan saat membandingkan opsi.
Selain memperbarui tema dan plugin Anda secara teratur, tetap mengikuti pembaruan inti WordPress sangat penting. Bahkan, wordpress.org merekomendasikannya untuk perlindungan keamanan. Jika ada pembaruan yang siap, Anda akan melihat pemberitahuan di dasbor WordPress. Atau jika Anda menggunakan host WordPress terkelola seperti Flywheel, kami akan menangani pembaruan inti WordPress untuk Anda – Anda tidak perlu khawatir sama sekali!
3. Copot pemasangan tidak aktifplugindan tema
Bahkan plugin dan tema yang dinonaktifkan dapat memiliki kerentanan, dan dalam hal ini, masih dapat menggunakan sumber daya server Anda. Yang terbaik adalah mencopot pemasangan plugin atau tema apa pun yang tidak aktif secara konsisten.
Jika ide ini membuat Anda stres, ingatlah: Anda selalu dapat menginstal ulang tema atau plugin nanti jika perlu.
4. Iklan captcha
Ada beberapa varian Captcha di luar sana, tetapi idenya sama antara plugin dan metode: paksa setiap pengunjung situs yang mencoba mengisi formulir untuk membuktikan bahwa mereka manusia. Meskipun dulunya merupakan opsi yang merepotkan dan tidak nyaman, Captcha telah meningkat pesat belakangan ini bertahun-tahun. Selain itu, ini melindungi semua jenis formulir di situs Anda, sehingga berfungsi ganda dengan membantu menghentikan peretas dan mencegah spam.
5. Membatasijumlah upaya login
Taktik untuk beberapa peretas adalah terus mencoba menebak nama pengguna dan kata sandi Anda untuk melewati pintu depan situs Anda, yang juga dikenal sebagai serangan brute force. Ada berbagai plugin di luar sana yang akan membantu mencegah hal ini dengan memblokir alamat internet agar tidak melakukan upaya lebih lanjut setelah batas percobaan ulang yang ditentukan tercapai. Ini sangat efektif untuk membuat serangan brute force menjadi sulit atau bahkan tidak mungkin dilakukan.
Jika situs Anda menggunakan Flywheel, Anda tidak perlu khawatir tentang langkah ini – semua situs Flywheel memiliki salah satu plugin ini yang diinstal secara gratis (Batasi Upaya Login).
6. Iklan di sebuah SSL sertifikate
SSL, atau Secure Sockets Layer, adalah protokol yang digunakan untuk mengamankan dan mengenkripsi komunikasi antar komputer. Dengan kata lain, ini membantu menjaga informasi sensitif di situs Anda sangat aman. Ini termasuk hal-hal seperti kata sandi, informasi kartu kredit, kredensial perbankan… pada dasarnya semua informasi yang disimpan situs Anda yang Anda (dan pengguna Anda) ingin tetap aman. Ini secara visual ditunjukkan oleh gembok hijau kecil di bilah alamat browser Anda.
Meskipun ini secara teknis tidak diperlukan untuk semua situs, ini sangat bermanfaat (dan pada dasarnya diperlukan) untuk situs WordPress mana pun yang mengumpulkan informasi pengguna yang sensitif. Namun meskipun bukan itu masalahnya, sertifikat SSL tetap membantu mengamankan transmisi situs Anda dan membangun kepercayaan dengan pengguna Anda.
Alasan besar lainnya untuk menambahkan sertifikat SSL ke situs WordPress Anda adalah SEO. Google telah mengumumkan bahwamereka akan menandai situs yang menyimpan kata sandi atau informasi kartu kredit tanpa SSL sebagai tidak aman, sebagai bagian dari rencana jangka panjang untuk menandai semua situs, baik yang mengumpulkan informasi atau tidak, sebagai tidak aman. Dengan kata lain, jika situs Anda tidak memiliki sertifikat SSL yang terpasang, itu bisa sangat merugikan lalu lintas dan konversi Anda.
7. Tambahkan otentikasi dua faktor
Cara lain untuk mencegah upaya login brute force adalah dengan menyiapkan otentikasi dua faktor.Metode ini memerlukan dua verifikasi – kata sandi dan kode otorisasi yang dikirim ke ponsel atau email Anda – untuk masuk.
Meskipun butuh sedikit lebih banyak waktu bagi orang yang Anda percaya untuk masuk, itu juga membuat jauh lebih sulit bagi orang yang tidak Anda percayai untuk mendapatkan akses ke situs Anda. Anda dapat menambahkan otentikasi dua faktor kelogin situs WordPress Anda, dan beberapa host (seperti Flywheel!)tawarkan untuk akun hosting Anda demikian juga.
Otentikasi dua faktor membutuhkan sedikit waktu untuk membiasakannya, tetapi itu pasti sepadan dalam jangka panjang!
8. Pindahkan layar login WordPress Anda
Banyak peretasan WordPress berasal dari bot jahat yang diprogram untuk merayapi web mencari situs WordPress. Begitu mereka menemukannya, mereka akan menambahkan “/wp-admin” di akhir URL situs untuk membuka layar login dan mencoba memaksa masuk.
Di Flywheel, kami sudah menawarkan perlindungan terhadap perilaku semacam ini, tetapi Anda dapat menambahkan lapisan keamanan ekstra dengan membuat layar login Anda lebih sulit ditemukan.
Plugin Rename wp-login.php memungkinkan Anda untuk mengubah lokasi layar login Anda dari “/wp-admin” menjadi apa pun yang Anda inginkan. Anda dapat menggunakan sesuatu seperti “/ mysitelogin” atau “/ open-ses-ame” atau apa pun yang diinginkan hati Anda! Apa pun yang Anda pilih, setiap pengguna yang mencoba menggunakan tautan “/ wp-admin” lama hanya akan melihat pesan kesalahan, yang akan membantu menghentikan bot dan calon peretas di jalurnya.
Catatan: Memindahkan layar login WordPress berarti Anda harus membagikan URL login baru dengan siapa saja yang login ke WordPress di situs Anda, atau mereka tidak akan dapat mengakses area admin.
9. CloudFlare
Ini lebih merupakan opsi lanjutan, dan tentu saja bukan yang dibutuhkan semua orang, tapiCloudFlare adalah layanan eksternal yang bertindak sebagai semacam “filter” antara server Anda dan pengguna Anda.
CloudFlare menawarkan banyak opsi keamanan dan kinerja, beberapa di antaranya tersedia dalam paket gratis mereka.
Sementara sebagian besar situs tidak perlu khawatir tentang serangan DDOS, CloudFlare sangat baik dalam mencegahnya, karena alamat IP server Anda akan disembunyikan secara efektif. CloudFlare juga menawarkan berbagai opsi keamanan lainnya, termasuk memblokir alamat IP atau wilayah tertentu.
10. Cadangkan situs Anda secara teratur
Mencadangkan situs Anda, secara rutin, adalah tindakan pencegahan keamanan yang akan membuat hidup Anda lebih mudah jika peretas menemukan jalan mereka ke situs Anda. Dengan memiliki salinan terbaru dari situs Anda, Anda akan dapat dengan mudah memulihkan konten Anda sebelum disusupi dan tidak akan terjebak dalam posisi mencoba mencari tahu apa yang harus dilakukan selanjutnya.
Moral dari cerita: Meskipun WordPress sangat aman, cerdaslah dengan situs Anda dan miliki rencana permainan untuk hari itu diretas (AKA backup!) Kami berjanji semuanya akan baik-baik saja.
Jasa Pembuatan Website, Aplikasi Murah dan Berkualitas Silahkan kunjungi Buat Web Jakarta