Daftar Periksa Keamanan Sederhana untuk Situs WordPress

Daftar Periksa Keamanan Sederhana untuk Situs WordPress

Tahukah Anda lebih dari 100.000 situs web diretas setiap hari? Itu benar, kejahatan dunia maya adalah ancaman serius bagi perusahaan mana pun, dan siapa pun yang memiliki situs WordPress juga tidak aman. Saya memiliki peretas dengan peretas (dan harus memulihkan situs WordPress saya), dan Anda mungkin tahu itu jelek.


Peretas secara aktif mencari situs web yang rentan untuk memecah dan mencuri data yang dapat mereka rilis untuk keuntungan moneter atau niat jahat murni. Untuk melindungi diri Anda dan situs berharga Anda, Anda harus serius mempertimbangkan pengerasan keamanan WordPress Anda.

Mengingat Anda akan kehilangan pendapatan, waktu, dan upaya ketika peretas membobol situs web Anda, kami telah membuat daftar periksa keamanan berikut yang dapat Anda gunakan untuk mengamankan situs web WordPress Anda. Semua item keamanan di pos relatif mudah diterapkan, bahkan untuk pemula sekalipun:

Seperti yang Anda lihat, kami akan memecah posting menjadi beberapa bagian yang mencakup semuanya, mulai dari memilih host yang aman hingga memperkeras area admin Anda dan lainnya. Anda perlu mengulangi beberapa tugas keamanan, seperti memperbarui tema Anda secara teratur. Tugas lain adalah hal yang hanya dilakukan sekali saja, tetapi masih memiliki dampak signifikan untuk menjaga keamanan situs Anda. Periksa apa yang perlu Anda perbaiki, dan lakukan segera karena peretas juga tidak membuang waktu.

Daftar Periksa Keamanan WordPress Sederhana

1. Perbarui WordPress

Inti WordPress secara teratur diaudit dan diperiksa untuk kerentanan keamanan. Jika cacat keamanan dan bug terdeteksi, pengembang inti biasanya merilis pembaruan pemeliharaan. Pembaruan kecil diinstal pada situs web WordPress Anda secara otomatis.

Namun, Anda harus memperbarui WordPress secara manual untuk semua rilis utama. Ini adalah proses yang relatif lurus ke depan karena Anda mendapatkan pesan yang mengganggu di admin WordPress Anda. Hanya 22% situs web yang menggunakan WordPress versi terbaru, yang menyedihkan mengingat betapa mudahnya memperbarui.

Jangan berada di 78% sisanya karena pada dasarnya Anda mengekspos situs Anda untuk segala macam serangan dengan tidak memperbarui situs web Anda. Biasanya, peretas adalah kelompok orang pertama yang belajar tentang kerentanan apa pun di versi lama, karena mereka mengandalkan kelemahan untuk meluncurkan serangan yang berhasil.

Sebelum Anda memperbarui WordPress, kami sarankan membaca catatan rilis untuk melihat apa yang berubah dan mengambil cadangan situs web Anda (hanya agar aman). Dengan cara ini, sekarang apa yang Anda harapkan ketika Anda mengklik tombol pembaruan itu, dan Anda memiliki failafe jika terjadi kesalahan.

2. Perbarui Tema & Plugin

Saat memperbarui inti WordPress, jangan lupa untuk memperbarui tema dan plugin Anda juga. Peretas terutama menyukai tema dan plugin lama dengan lubang keamanan yang diketahui.

Mereka mengeksploitasi kerentanan keamanan ini dan bahkan mungkin menyembunyikan backdoor dalam tema atau plugin lama. Jika Anda tidak memperbarui, mereka dapat meretas situs web Anda kapan pun mereka mau.

Untuk menghindari kehilangan gaya khusus Anda, kami sarankan menggunakan tema anak WordPress sebagai lawan dari tema induk. Dengan begitu, Anda tidak akan kehilangan kustomisasi saat memperbarui tema.

Anda juga harus menghilangkan tema, plugin, dan instalasi WordPress yang tidak digunakan. Anda tidak hanya akan menghemat bandwidth dan membuat situs web Anda lebih cepat, tetapi Anda juga akan mencegah peretas.

Catatan cepat lainnya, tidak pernah mengunduh tema dan plugin premium “nulled”. Hanya gunakan sumber tepercaya seperti WordPress.org, Envato, atau toko tema ternama lainnya.

3. Gunakan Kata Sandi Unik & Kuat

Anda akan terkejut mengetahui bahwa sebagian besar situs web diretas ketika orang jahat mencuri informasi masuk Anda. Selain itu, serangan brute force cukup umum dan melibatkan membombardir halaman login Anda dengan ribuan kombinasi nama pengguna-kata sandi sampai sesuatu memberikan.

Jika Anda menggunakan nama pengguna dan kata sandi yang lemah (seperti “admin” atau “12345” yang terkenal), Anda membuatnya sangat mudah bagi peretas untuk masuk ke situs web Anda. Biasakan membuat kata sandi unik dan kuat yang Anda ubah secara teratur. Anda bahkan dapat menggunakan generator daring gratis, seperti ini dari LastPass.

Mengelola banyak kata sandi yang kuat bisa menjadi masalah. Untuk membantu, saya sering mengandalkan manajer kata sandi seperti 1Password atau LastPass, antara lain. Jangan menggunakan kembali kata sandi yang sama di beberapa situs web, dan selalu jaga informasi login Anda tetap aman. Pastikan pengguna WordPress Anda juga menggunakan kata sandi yang kuat.

Saat Anda melakukannya – ingatlah untuk menggunakan kata sandi yang kuat untuk email, cPanel, database MySQL, dan akun FTP Anda juga.

4. Pasang Plugin Keamanan WordPress

Setiap kali saya membuat situs web WordPress baru, saya biasanya memiliki beberapa plugin defacto yang saya instal hampir secara otomatis. Saya mendapatkan plugin anti-spam, Form Kontak 7, Symple Shortcode, dan Keamanan iThemes, plugin keamanan WordPress saya yang masuk.

Plugin ini memungkinkan saya untuk memperkuat pertahanan WordPress saya tanpa berkeringat. Itu datang dengan begitu banyak fitur yang membuat orang jahat keluar dari situs web saya mudah. Mengkonfigurasi plugin itu super duper mudah; Anda harus bangun dan berlari dalam waktu singkat.

Plugin keamanan WordPress terbaik menawarkan Anda fitur yang berbeda, jadi pastikan untuk memeriksa sebelum menginstal untuk memastikan Anda mendapatkan semua fitur yang Anda butuhkan untuk mengamankan seluruh situs web Anda, tidak peduli seberapa unik. Fitur standar termasuk pemindaian malware, pemblokiran IP, pencegahan kekerasan, otentikasi dua faktor, dan banyak lagi – memeriksa banyak kotak untuk daftar periksa keamanan ini yang sedang Anda baca saat ini!

5. Pilih Hosting WordPress Hebat

Biasanya, pemula datang untuk paket hosting murah pertama yang mereka temui. Saya tidak akan menentang Anda karena Anda tidak tahu yang lebih baik, tetapi hosting bersama yang murah (atau bahkan gratis) dapat membuat Anda berisiko terhadap keamanan. Saya mengetahui hal ini karena saya telah diretas di dua perusahaan hosting berbeda yang menawarkan hosting bersama.

Hosting bersama melibatkan berbagi server dengan ribuan situs web lainnya. Ini meningkatkan risiko kontaminasi lintas situs. Artinya, seorang peretas dapat memperoleh akses ke situs Anda, bahkan jika situs web orang lain adalah titik awal serangan.

Hosting WordPress yang dikelola, di sisi lain, hanya berfokus pada situs web WordPress. Anda tidak berbagi server dengan orang lain, dan Anda mendapatkan lebih banyak opsi keamanan agar tetap aman. Mereka menawarkan dukungan khusus juga, dan lebih banyak opsi pemulihan jika yang terburuk terjadi.

Jika Anda harus menggunakan hosting bersama, katakan Anda mulai dengan blog yang belum menghasilkan uang, pastikan situsnya terisolasi, atau “dipenjara.” Jika Anda menjalankan bisnis atau situs web eCommerce, membayar untuk menggunakan hosting WordPress terbaik yang sesuai dengan anggaran Anda dari kata go – seperti VPS, dedicated, atau hosting WordPress yang dikelola.

6. Gunakan SSL (HTTPS)

Saat ini, banyak perusahaan hosting WordPress menawarkan sertifikat SSL gratis dari kata go dan untuk alasan yang baik. Sertifikat SSL membuat situs web Anda lebih aman daripada situs tanpa SSL. Google juga merekomendasikan penggunaan sertifikat SSL untuk melindungi data di situs web Anda (dan memastikan pengguna tahu apakah Anda menggunakan SSL atau tidak).

HTTPS lebih aman daripada HTTP pendahulunya. Situs web yang menggunakan HTTPS mengenkripsi semua data yang bergerak antara browser pengguna dan server Anda. Jika seorang hacker mencegat komunikasi, mereka hanya akan menemukan data terenkripsi yang sama bermanfaatnya dengan pria berkaki satu dalam kompetisi menendang ass

Memasang sertifikat SSL pada sebagian besar host web semudah A, B, C. Sebagian besar menawarkan pemasang sekali klik yang membuat keseluruhan prosesnya mudah. Cukup masuk ke cPanel Anda dan klik satu tombol untuk menginstal dan mengelola sertifikat SSL Anda. Jika Anda menginginkan pendekatan yang lebih langsung, pertimbangkan untuk memeriksa Mari Mengenkripsi.

7. Buat Cadangan Situs Lengkap

Ketika para peretas mencopot saya, saya harus membangun kembali situs web saya dari awal, sakit kepala yang akan saya hindari jika saya ingat untuk mem-backup WordPress..

Tapi tidak, cadangan yang ada bersama host web saya rusak selama serangan, dan tidak, saya tidak punya solusi cadangan sekunder. Kasus klasik menempatkan semua telur Anda dalam satu keranjang yang mengajarkan saya pelajaran yang sulit.

Saat ini, saya membuat backup situs web lengkap yang mencakup file dan database situs web saya. Saya terutama menggunakan ManageWP, tapi saya juga menggunakan Plugin duplikator untuk menyimpan cadangan di komputer saya dan di Google Drive.

Saya mendorong Anda untuk membuat cadangan lengkap secara teratur. Banyak solusi cadangan WordPress memungkinkan Anda untuk mengotomatisasi seluruh proses, menghemat waktu Anda dan memberi Anda ketenangan pikiran.

8. Gunakan Firewall Aplikasi Web (WAF)

Untuk menambahkan lapisan keamanan tambahan ke situs WordPress Anda, dan tidur lebih nyenyak di malam hari, aktifkan firewall aplikasi web (WAF). WAF melindungi situs web Anda dengan memblokir lalu lintas berbahaya jauh sebelum sampai ke situs Anda. Ini adalah tindakan proaktif untuk menghentikan orang jahat mati di jalur mereka sebelum mereka menyebabkan kerusakan.

Firewall menyaring lalu lintas masuk Anda, menghilangkan peretas sambil membiarkan pengguna yang sah masuk. Banyak perusahaan keamanan WordPress menawarkan firewall aplikasi web bersama dengan fitur lainnya. Pilihan populer di industri ini termasuk Sucuri dan Cloudflare.

9. Nonaktifkan Pengeditan File di Admin WordPress

CMS WordPress hadir dengan editor kode fantastis yang memungkinkan Anda mengedit file plugin dan tema di dalam dasbor admin WordPress Anda. Editor kode adalah alat yang hebat untuk Anda miliki, tetapi di tangan yang salah, peretas dapat menggunakannya untuk merusak atau menambahkan malware di situs web Anda.

Anda selalu dapat mengedit tema dan file plugin Anda (jika perlu) melalui FTP atau manajer file di cPanel, yang berarti Anda dapat menonaktifkan editor kode di WordPress. Anda tidak ingin peretas yang mendapatkan akses ke area admin WordPress Anda memiliki akses ke editor kode, karena mereka dapat menyebabkan banyak kerusakan dengan beberapa baris kode.

Apa yang harus dilakukan? Anda dapat menonaktifkan editor kode bawaan menggunakan yang gratis Keamanan Sucuri plugin. Atau, Anda dapat menambahkan kode berikut ke wp-config.php mengajukan:

// Larang mengedit file
define ('DISALLOW_FILE_EDIT', true);

Kami pindah.

10. Amankan Halaman Login Anda

Biasanya, formulir login di WordPress Anda memiliki dua bidang; nama pengguna dan kata sandi. Dengan penyerang kasar dan bot semakin pintar dari hari ke hari, bagaimana Anda menghentikan peretas untuk mendapatkan akses ke area admin WordPress Anda? Itu mudah; Anda menambahkan CAPTCHA atau pertanyaan keamanan yang menyulitkan siapa pun untuk mendapatkan akses tidak sah.

Dan Anda tidak perlu mengedit kode tambahkan CAPTCHA atau pertanyaan keamanan ke halaman login Anda. Ada plugin WordPress populer yang dikenal sebagai Pertanyaan Keamanan WP itu mudah dikonfigurasi dan digunakan. Jika Anda ingin menggunakan CAPTCHA, Anda dapat menggunakan Captcha Login Sederhana, WordFence, atau salah satu dari banyak opsi lain yang tersedia secara gratis di WordPress.org.

Pada saat bersamaan, Anda bisa ubah URL wp-login Anda untuk sesuatu yang unik. Dengan begitu, bot, dan peretas akan kesulitan untuk menebak URL ke halaman login Anda. wp-login sudah populer di kalangan peretas, jadi masuk akal untuk mengubah URL ke yang lain. Anda dapat menggunakan plugin seperti WPS Sembunyikan Login.

11. Tambahkan Otentikasi

Selain itu, pertimbangkan untuk menerapkan otentikasi dua faktor dan multi-faktor. Seandainya seorang peretas mendapat akses ke detail login Anda, mereka tidak akan bisa masuk ke situs WordPress Anda. Ada banyak opsi yang tersedia, tetapi Google Authenticator adalah pilihan yang populer.

Selain itu, batasi login di halaman login Anda. Jika pengunjung mencoba masuk dengan akun yang tidak ada atau mencoba berulang kali untuk login, mereka kemungkinan besar adalah seorang hacker atau bot yang mencoba memaksa masuk. Anda dapat menggunakan plugin seperti Batasi Upaya Masuk atau Penguncian Login untuk menjauhkan elemen-elemen yang mengganggu ini.

12. Keluar Pengguna Tidak Aktif

Ketika Anda memiliki situs web WordPress multi-pengguna, Anda tidak dapat sepenuhnya mengontrol bagaimana atau di mana pengguna mengakses situs web Anda. Seorang penulis mungkin memutuskan untuk menggunakan Wi-Fi publik gratis untuk membuat sentuhan akhir pada sebuah artikel. Seorang perancang web mungkin meninggalkan meja mereka dan kembali dari istirahat makan siang satu jam.

Dalam skenario seperti itu, pengguna Anda dapat mengekspos situs web Anda terhadap risiko keamanan tanpa disadari. Orang jahat mungkin mengambil alih sesi mereka, mengedit detail mereka, dan hanya mendatangkan malapetaka. Jika pihak yang tidak berwenang mengetahui apa yang mereka lakukan, mereka dapat dengan mudah mengambil alih akun pengguna dan melakukan kerusakan.

Apa yang harus dilakukan? Anda dapat mengeluarkan pengguna yang tidak aktif secara otomatis setelah periode yang ditentukan sebelumnya. Dan bagian yang terbaik? Ada plugin untuk tujuan yang tepat ini. Salah satu opsi yang populer adalah Logout tidak aktif plugin yang mencakup opsi untuk menyesuaikan waktu idle sebelum logout, pesan popup khusus atau redirect setelah logout, dan batas waktu sesuai dengan peran pengguna.

13. Pindai Malware & Masalah (Secara Teratur)

Sering dilupakan, memindai situs WordPress Anda secara teratur dapat membantu Anda mengidentifikasi masalah keamanan sejak dini. Hanya perlu satu detik bagi peretas untuk masuk ke situs web Anda dan melakukan segala macam hal buruk. Inilah sebabnya mengapa Anda harus tetap di atas segalanya setiap saat.

Banyak plugin keamanan WordPress untuk memindai infeksi malware, kerentanan keamanan yang diketahui, skrip yang ketinggalan zaman, serangan brute force, cadangan yang tidak ada, dan sebagainya. Plugin mengirimi Anda laporan terperinci tentang masalah yang diketahui, sehingga Anda dapat memperbaikinya atau menyewa seorang profesional.

Ada banyak pemindai situs web, seperti Periksa Situs Sucuri, yang dapat Anda gunakan untuk memeriksa situs Anda dalam sekejap. Yang harus Anda lakukan adalah memasukkan URL Anda, dan alat akan memeriksa situs web Anda secara otomatis. Setelah itu, mereka menawarkan Anda laporan tentang apa yang perlu Anda perbaiki. Setelah Anda memiliki laporan, segera perbaiki semua kerentanan keamanan.

14. Gunakan VPN

Jika Anda menjalankan situs web yang membawa informasi sensitif yang tidak boleh ada di tangan peretas, pertimbangkan untuk menggunakan jaringan pribadi virtual (VPN), terlebih lagi ketika menggunakan Wi-Fi publik gratis. VPN melindungi Anda dari serangan man-in-middle yang umum di jaringan publik, termasuk di rumah dan di kantor.

Jaringan pribadi virtual memastikan bahwa meskipun penyerang mendapatkan akses ke sistem dan mencuri detail Anda, mereka tidak dapat melakukan apa pun dengan data yang mereka ambil dari Anda. Jika Anda memiliki jaringan internet yang Anda bagikan dengan banyak orang, selalu gunakan VPN sebelum mengakses area admin WordPress Anda.

Opsi Keamanan WordPress lainnya

Perlu lebih banyak untuk dilakukan? Kami ingin menjaga keamanan situs web Anda setiap saat, jadi berikut ini adalah item keamanan bonus untuk ditambahkan ke daftar periksa Anda:

  • Nonaktifkan eksekusi file PHP di / wp-content / wp-uploads /
  • Ubah awalan basis data WordPress Anda
  • Kata sandi melindungi admin dan halaman login Anda di sisi server
  • Nonaktifkan pengindeksan direktori
  • Nonaktifkan WP REST API dan XML-RPC jika tidak diperlukan
  • Jangan mengedit / mengubah inti WordPress – tulis atau gunakan plugin yang menawarkan fungsionalitas yang Anda butuhkan
  • Pastikan situs web Anda menjalankan versi PHP terbaru
  • Gunakan program antivirus di komputer Anda
  • Aktifkan Google Search Console
  • Mengurangi kerentanan XSS dan SQL Injection (Anda mungkin perlu orang yang lebih mengerti teknologi untuk membantu keduanya)

Sungguh, jumlah langkah yang dapat Anda ambil untuk melindungi situs Anda tidak terbatas. Tetapi jika Anda dapat memeriksa 14 item yang kami daftarkan itu merupakan langkah besar untuk mengamankan situs Anda.


Mengamankan situs web WordPress Anda itu sulit tetapi bukan tidak mungkin. Dengan alat dan keterampilan yang tepat, Anda dapat dengan cepat memperkeras keamanan WordPress Anda dan menjauhkan aktor-aktor jahat.

Sebagai rekap, selalu perbarui situs web Anda. Selain itu, jangan pernah mengunduh tema atau plugin dari situs yang tidak dapat dipercaya. Dan untuk berada di sisi aman jika hal terburuk terjadi, selalu miliki solusi cadangan yang andal.

Kami harap Anda menemukan semua tips yang Anda butuhkan untuk mengamankan situs WordPress Anda, maka dari itu bisnis online. Jika Anda memiliki pertanyaan atau butuh bantuan untuk mengetahui cara mengamankan situs WordPress Anda, beri tahu kami di komentar. Tetap aman!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map