5 Langkah yang Saya Ambil untuk Memulihkan Blog WordPress Saya dari Peretasan

Blog saya, Leaving Work Behind, diretas pada bulan April. Ini adalah sesuatu yang Anda baca cukup sering tetapi tidak pernah benar-benar berharap terjadi kamu sampai terlambat. Sejujurnya saya tidak melihat diri saya sebagai kandidat utama – saya sudah cukup sering menulis tentang keamanan WordPress untuk memiliki banyak langkah pencegahan. Namun, langkah-langkah itu jelas tidak cukup komprehensif.


Peretasan adalah sesuatu yang tidak ingin saya alami lagi. Ada begitu banyak alasan mengapa downtime situs web buruk untuk blog / bisnis Anda: sementara kehilangan lalu lintas dan pendapatan potensial adalah dua yang paling jelas, saya tidak dapat mengecilkan jumlah waktu yang saya hilangkan dalam memulihkan situs dan jumlah tekanannya menyebabkanku.

Dalam posting ini saya ingin mengungkapkan apa yang terjadi pada situs saya dan memberi tahu Anda apa yang telah saya lakukan untuk meningkatkan keamanan situs saya sejak itu.

Mendapatkan Diretas: Kisah Saya

Saya bangun pada hari Kamis 18 April untuk menemukan bahwa situs saya sedang down dan telah selama beberapa jam. Saya segera menghubungi penyedia hosting saya, Westhost, yang memberi tahu saya bahwa firewall ModSecurity mereka telah mendeteksi aktivitas yang tidak biasa di situs saya dan segera mematikannya sebagai tindakan pencegahan. Setelah menjalankan pengembalian awal di situs saya langsung bisa melihat bahwa itu telah diretas. Meskipun perubahannya relatif halus, cukup jelas bahwa beberapa jenis yang tidak bermoral telah muncul.

Ternyata sejumlah besar situs WordPress telah diretas juga, dan Westhost telah menghentikan pekerjaan mereka. Untungnya mereka mengambil cadangan harian situs dan pada sore berikutnya saya kembali online dengan versi situs saya yang sedekat mungkin dengan saat ini.

Inilah efek peretasan pada traffic saya:

Statistik Clicky

Untuk menempatkan grafik di atas ke dalam perspektif, lalu lintas minggu itu turun ~ 30% jika dibandingkan dengan minggu sebelumnya. Secara teoritis berarti penurunan 30% dalam pendapatan.

Adalah adil untuk mengatakan bahwa saya ingin memastikan (dengan kemampuan terbaik saya) bahwa peretasan seperti itu tidak dapat diulang. Saya segera mengambil tindakan.

Langkah Langsung Saya

Hal pertama yang saya lakukan adalah memverifikasi bahwa saya telah mengikuti langkah-langkah yang diuraikan dalam posting terakhir saya tentang pengamanan situs WordPress Anda.

Ini adalah dasar mutlak: memperbarui tema dan plugin saya, memastikan bahwa saya memiliki cadangan baru-baru ini, memastikan bahwa profil default saya tidak bernama “admin,” mengubah kata sandi saya, dan memeriksa plugin keamanan di situs saya. Dengan barang-barang itu di tempatnya sudah saatnya untuk pindah.

Saya tidak berangan-angan bahwa situs saya sekarang 100% aman – lagipula, tidak ada yang namanya situs 100% aman. Karena itu, saya tahu itu jauh lebih aman daripada sebelumnya dan saya akan terus meneliti langkah-langkah keamanan situs sekarang dan di masa depan. Sejauh ini, inilah yang telah saya lakukan.

1. Saya Menginstal VaultPress

Bagi Anda yang tidak tahu, VaultPress adalah solusi pencadangan dan keamanan yang sepenuhnya otomatis untuk WordPress. Itu dimiliki oleh Otomatis, “pemilik” de facto WordPress.

Setelah menggunakan VaultPress selama beberapa hari sekarang, saya tidak percaya saya sangat murah untuk tidak bingung dengan layanan sebelumnya. Paket dasar mereka mulai dari $ 15 per bulan – saya akan membayarnya untuk ketenangan pikiran setiap hari dalam seminggu.

Bahkan, saya memilih untuk pergi dengan paket Premium mereka ($ 40 per bulan) yang meliputi:

  • Backup Realtime
  • Pemulihan Situs Sekali Klik Otomatis
  • Arsip, Statistik, dan Log Aktivitas
  • Pemulihan Bencana Prioritas
  • Dukungan Prioritas “Pramutamu”
  • Pemindaian Keamanan Harian
  • Pemberitahuan Keamanan
  • Pemecah Masalah Sekali Klik untuk Ancaman Keamanan
  • Bantuan Migrasi Situs

Pada dasarnya, mereka membuat Anda terlindungi.

Meskipun VaultPress tidak dapat menjamin keamanan situs Anda terhadap peretas, ini cukup banyak bisa menjamin bahwa situs Anda dapat dipulihkan dengan relatif mudah. Ada sesuatu yang sangat menenangkan tentang melihat snapshot setiap jam dari situs Anda yang disimpan di server VaultPress:

Cadangan VaultPress

Meskipun ada banyak solusi cadangan gratis di luar sana, saya tidak berpikir ada yang mengalahkan ketenangan pikiran yang saya dapatkan dari VaultPress. Mereka punya 90 snapshot dari situs saya yang tersedia untuk dipulihkan sekarang, yang mana yang terbaru baru berumur dua puluh menit. Saya tahu situs saya aman di tangan mereka.

2. Saya Mengelola Profil Saya

Seorang peretas berpotensi mengakses situs Anda dari profil administrator mana pun di dalam backend WordPress Anda – bukan hanya satu kamu menggunakan. Ketika saya memuat profil saya, saya dapat melihat bahwa saya memiliki tiga profil lain – profil poster tamu, dan dua profil lain untuk orang-orang (yang dapat dipercaya) yang telah saya akses ke situs saya.

Saya mulai dengan mematikan dua profil itu dan mengubah peran profil poster tamu menjadi Penulis. Ini adalah sesuatu yang saya sarankan Anda lakukan – hanya membuat profil Administrator sebanyak yang diperlukan. Selain itu, tentunya Anda harus memastikan bahwa setiap akun sebagai kata sandi acak dan unik yang sesuai dan kata sandi tersebut diubah secara berkala.

Ada saatnya Anda perlu mengizinkan orang (seperti perancang web Anda) mengakses situs Anda. Dalam situasi seperti itu saya menyarankan Anda membuat profil untuk mereka dengan kata sandi baru, lalu hapus profil itu segera setelah kebutuhannya berakhir..

Selalu berpikir tentang titik masuk situs Anda dan apakah mereka benar-benar diperlukan.

3. Saya Mengubah Kata Sandi Saya

Anda mungkin berpikir ini adalah langkah yang jelas, tetapi saya tidak benar-benar berbicara tentang kata sandi WordPress saya. Meskipun saya melakukan ubah, saya juga yakin akan mengubah semua kata sandi menjadi akun yang sangat sensitif, yaitu:

  • Gmail
  • Facebook
  • Indonesia
  • Akun Hosting Saya
  • Mitra Amazon
  • Dll

Jika Anda bertanya-tanya mengapa saya mengambil langkah ini, pertimbangkan saja kisah Mat Honan, yang seluruh kehidupan digitalnya dihancurkan oleh peretas yang awalnya meretas ke dalam akun Amazon-nya. Jika Anda merasa dengan cara apa pun blasé tentang keamanan online maka artikel di atas adalah yang harus dibaca.

Pertimbangkan rantai sederhana ini: seorang peretas mendapatkan akses ke akun email Anda dari mana Anda baru-baru ini mengirim email ke perancang web Anda dengan detail login untuk situs WordPress Anda. Hanya itu yang mereka butuhkan untuk mendapatkan akses ke situs Anda dan lakukan sesuka mereka. Peretasan bisa menjadi hal yang mendasar.

4. Saya Meng-upgrade ke SFTP

Ini adalah sesuatu yang Anda mungkin tidak tahu: data apa pun yang Anda transfer melalui FTP (termasuk nama pengguna dan kata sandi Anda) sepenuhnya tidak terenkripsi. Karena itu, siapa pun yang berhasil mencegat transfer FTP akan dapat mengambil detail login Anda dan mendapatkan akses ke akun Anda.

Ini tidak hanya memungkinkan mereka untuk menambah dan menghapus file sesuai keinginan mereka, tetapi mereka juga dapat memperoleh akses ke database WordPress Anda melalui phpMyAdmin dan pada akhirnya login ke situs Anda.

Sederhananya, tidak masalah seberapa aman akses langsung ke situs WordPress Anda jika peretas dapat masuk melalui FTP. Karena itu, saya sangat menyarankan Anda menonaktifkan akses FTP ke situs Anda dan mentransfer file menggunakan protokol SFTP alternatif, yang tidak mengenkripsi data. Penyedia hosting yang baik harus dapat membantu Anda dengan ini.

Berbicara tentang penyedia hosting …

5. Pertimbangkan Kesesuaian Solusi Hosting Anda

Saya senang saya dengan Westhost. Itu ModSecurity firewall mereka yang melihat retas di tempat pertama dan mematikan situs saya sebelum kerusakan serius dapat dilakukan. Mereka juga melakukan backup harian otomatis (yang digunakan untuk memulihkan situs) dan meminta dukungan pelanggan untuk melakukan booting.

Bisakah Anda mengatakan hal yang sama untuk penyedia hosting Anda? Ada begitu banyak pilihan hebat di luar sana yang membuat Anda gila untuk tinggal dengan penyedia yang tidak Anda sukai. Anda mungkin mempertimbangkan untuk beralih ke salah satu solusi hosting yang dikelola (seperti WPEngine) seperti yang dilakukan WPExplorer baru-baru ini.

Apa pun pilihan Anda, pastikan untuk menanyakan langkah-langkah keamanan yang mereka ambil. Pertimbangkan langkah-langkah yang telah saya ambil di atas dan memastikan bahwa mereka kompatibel dengan solusi hosting Anda.


Moral dari kisah ini adalah ini: jangan berkompromi dengan keamanan. Pada akhirnya, menjaga keamanan situs Anda lebih penting daripada apa pun lain. Tidak ada gunanya memiliki konten hebat atau desain baru yang mencolok jika tidak ada yang bisa melihatnya karena situs Anda telah dicabik-cabik oleh peretas yang kejam.

Tipe jahat yang tidak ada hubungannya dengan kehidupan mereka selain meretas situs orang tidak akan pergi dalam waktu dekat. Semakin cepat Anda menerimanya dan mengambil langkah-langkah yang wajar untuk melindungi situs Anda dari serangan, semakin baik untuk keamanan jangka panjang dari aset online Anda.

Saya ingin tahu pendapat Anda tentang tindakan yang telah saya ambil. Apakah ada rekomendasi tambahan yang akan Anda buat? Beri tahu kami di bagian komentar!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map