Panduan Pemula untuk Melindungi Situs WordPress Anda

WordPress adalah salah satu sistem manajemen konten yang paling populer.

Faktanya, platform penerbitan ini sekarang digunakan oleh lebih dari 27,5% dari 10 juta situs teratas. Platform lain seperti Joomla dan Drupal tidak ada apa-apanya jika dibandingkan. Apa yang membuat WordPress didukung secara luas adalah kemudahan penggunaannya, sehingga memungkinkan untuk membangun situs yang berfungsi penuh dalam waktu singkat.

Namun fakta bahwa WordPress begitu tersebar luas juga membuatnya menjadi sasaran para peretas.

Setiap kerentanan keamanan dapat membuat situs Anda rentan terhadap serangan berbahaya dan bahkan membahayakan data pengguna dalam prosesnya. Serangan semacam ini dapat benar-benar menghancurkan bisnis apa pun.

Situs yang disusupi tidak hanya mengurangi kepercayaan pengunjung Anda, tetapi juga dapat membuat halaman Anda masuk daftar hitam di Google. Faktanya, satu langkah yang telah diambil Google menuju web yang lebih aman adalah menampilkan peringatan bagi pengguna Chrome jika mereka mencoba mengunjungi situs yang berpotensi tidak aman atau menipu (misalnya phishing atau malware).

Siapa pun yang mengunjungi situs Anda (jika telah diserang) dapat mengalami hal berikut:

Pentingnya keamanan situs web tidak dapat cukup ditekankan.

Yang diperlukan hanyalah satu serangan untuk menghentikan penjualan sepenuhnya dan berpotensi membuat situs Anda masuk daftar hitam di Google. Menghapus situs Anda tentu saja mungkin, tetapi Anda perlu meminta peninjauan manual yang dapat memakan waktu beberapa hari atau bahkan berminggu-minggu untuk diselesaikan tergantung pada masalahnya. Solusi yang jauh lebih baik adalah mengambil langkah-langkah untuk melindungi situs Anda.

Di sini kita melihat secara mendalam bagaimana Anda dapat melindungi dan menjaga keamanan situs WordPress Anda.

Tetap Perbarui WordPress

Pembaruan untuk WordPress sangat penting.

Penilaian terhadap lebih dari 11.000 situs yang terinfeksi menemukan bahwa 75% berada di WordPress. Yang lebih mengejutkan adalah fakta bahwa lebih dari 50% situs web tersebut sudah ketinggalan zaman. Memperbarui ke versi terbaru tidak hanya memberi Anda akses ke fitur yang lebih baru, tetapi juga menambal kelemahan keamanan yang diketahui yang dapat dieksploitasi oleh penyerang.

Faktanya, kerentanan keamanan ini diketahui saat pembaruan baru tersedia. Berikut adalah contoh log keamanan untuk versi WordPress yang diperbarui:

Informasi ini tersedia secara terbuka saat pembaruan baru dirilis. Tetapi jika Anda tidak segera memperbarui, Anda membiarkan situs Anda terbuka terhadap serangan. Selalu perbarui ke versi terbaru untuk menjaga keamanan situs Anda dari kerentanan yang baru ditemukan. Jika ada pembaruan yang tersedia, Anda akan melihat pemberitahuan di bagian atas dasbor Anda:

Versi WordPress yang lebih baru memungkinkan Anda memperbarui dengan mudah hanya dengan mengklik tombol. Ingatlah bahwa situs Anda akan berada dalam mode pemeliharaan untuk waktu yang singkat hingga pembaruan selesai. Memperbarui hanya membutuhkan beberapa menit tetapi setelah selesai Anda tidak perlu melakukan hal lain.

Tidak ingin memperbarui situs Anda secara manual setiap saat?

Pemberitahuan bisa agak mengganggu. Tetapi memperbarui WordPress Anda adalah salah satu cara termudah untuk menjaga keamanan situs Anda. Jika Anda tidak ingin khawatir tentang apakah situs Anda memiliki versi terbaru, Anda dapat mengonfigurasi pembaruan otomatis dengan beberapa penyesuaian sederhana.

Buka file wp-config.php dan tambahkan baris berikut ke dalamnya:

[kode]
define('WP_AUTO_UPDATE_CORE', benar);
[/kode]

Anda juga dapat mengaktifkan pembaruan plugin otomatis dengan menambahkan baris berikut ke file yang sama:

[kode]
add_filter( 'auto_update_plugin', '__return_true' );
[/kode]

Dan tambahkan baris ini untuk mengaktifkan pembaruan untuk tema:

[kode]
add_filter( 'auto_update_theme', '__return_true' );
[/kode]

Menambahkan baris ini akan memastikan bahwa situs Anda selalu diperbarui tanpa memerlukan tindakan lain. Jika Anda adalah seseorang yang tidak dapat diganggu dengan pembaruan atau pemberitahuan, Anda pasti ingin mengonfigurasi pembaruan otomatis untuk memastikan situs Anda selalu terbarui.

Lindungi Area Admin

Tidak peduli seberapa aman sesuatu itu, siapa pun dapat dengan mudah mendapatkan akses jika mereka memiliki alat yang tepat atau pemiliknya lalai. Dengan WordPress, area admin adalah target utama para peretas.

Ikuti langkah-langkah ini untuk menjaga halaman ini tetap aman:

Gunakan Kata Sandi yang Kuat

Jika Anda menggunakan kata sandi yang lemah (misalnya "12345", "kata sandi", dll.), Anda menempatkan situs Anda pada risiko yang lebih besar karena penyerang dapat menggunakan skrip otomatis untuk memaksa masuk secara paksa. Ini berarti berulang kali mencoba kata sandi sampai akhirnya berhasil. . Tetapi menggunakan kata sandi yang kuat yang berisi kombinasi angka dan simbol membuat hampir tidak mungkin bahkan program yang paling canggih sekalipun untuk dibobol.

Gunakan alat seperti Strong Password Generator untuk membuat kata sandi yang kuat dan aman untuk situs WordPress Anda:

Pemaksaan kata sandi yang kasar seperti ini akan membutuhkan program komputer bertahun-tahun atau bahkan puluhan tahun untuk dipecahkan. Kelemahannya adalah bahwa kata sandi yang kuat sulit diingat. Tetapi pengorbanannya pasti sepadan jika itu berarti mencegah penyerang mendapatkan akses ke situs Anda. Untungnya, ada sejumlah pengelola kata sandi yang tersedia yang dapat Anda gunakan untuk menyimpan kata sandi Anda.

Ubah Nama Pengguna Anda

Saat pertama kali menginstal WordPress, Anda akan diminta untuk memasukkan nama pengguna.

Penyerang tidak akan dapat mengakses dasbor Anda kecuali mereka memiliki nama pengguna dan kata sandi Anda. Anda dapat dengan mudah memblokir upaya brute force hanya dengan menggunakan nama pengguna yang lebih unik. Jadi jangan gunakan "admin" saat memilih nama pengguna.

Batasi Upaya Masuk

Seperti yang disebutkan sebelumnya, penyerang dapat menggunakan program untuk memaksa masuk ke situs Anda. Namun, ada plugin yang tersedia seperti Login LockDown yang memungkinkan Anda membatasi upaya login dari alamat IP tertentu. Jika lebih dari beberapa upaya tidak berhasil, pengguna tersebut terkunci.

Ganti Nama Halaman Login Anda

Terakhir, cara lain untuk melindungi area admin adalah dengan memindahkan halaman login sama sekali. Dasbor biasanya diakses dari www.yoursite.com/wp-admin . Satu masalah mencolok adalah bahwa peretas tahu bahwa hanya dengan menambahkan " /wp-admin " ke situs WordPress akan memberi mereka akses ke halaman admin.

Protect WP-Admin memecahkan masalah ini dengan mengizinkan webmaster untuk menyesuaikan URL panel admin:

Melindungi area admin dengan mengikuti langkah-langkah ini dapat sangat mengurangi dan memblokir serangan otomatis ke situs Anda.

Aktifkan otentikasi dua faktor

Otentikasi dua faktor menambahkan lapisan keamanan tambahan dengan mempersulit penyerang untuk mendapatkan akses ke akun Anda. Masuk tidak hanya memerlukan nama pengguna dan kata sandi, tetapi juga kode otorisasi tambahan yang biasanya dikirim melalui SMS ke perangkat seluler.

Bahkan jika penyerang entah bagaimana menebak nama pengguna dan kata sandi Anda, mereka tidak akan dapat masuk ke akun Anda tanpa kode otorisasi. Unduh dan pasang plugin Google Authenticator untuk menyiapkan otentikasi dua faktor dengan mudah di situs Anda:

Selain dapat menggunakan Aplikasi Google Authenticator untuk verifikasi, plugin ini juga menawarkan opsi tambahan untuk otentikasi dua faktor seperti verifikasi email dan panggilan telepon. Otentikasi dua faktor juga dapat digunakan jika situs Anda memiliki banyak pengguna.

Gunakan .htaccess untuk Membatasi Akses ke File Penting

Anda dapat lebih meningkatkan keamanan di situs WordPress Anda dengan file .htaccess. File ini banyak digunakan di WordPress untuk pengoptimalan situs web seperti menulis ulang URL agar lebih ramah pengguna dan mesin pencari. Tetapi juga dapat digunakan untuk meningkatkan keamanan situs Anda.

File .htaccess biasanya ditemukan di folder root dan dapat diakses baik melalui klien FTP atau cPanel. Ada juga beberapa plugin yang tersedia termasuk SEO by Yoast yang memungkinkan akses langsung dari dashboard.

Berikut adalah beberapa cara untuk melindungi situs Anda menggunakan file .htaccess:

Sembunyikan wp-config.php

File wp-config.php adalah standar dengan setiap instalasi tetapi juga berisi informasi sensitif seperti kunci keamanan dan detail koneksi database ke situs Anda. Ini adalah detail yang pasti tidak Anda inginkan di tangan yang salah. Solusi terbaik adalah menyembunyikan file ini sepenuhnya dan membuatnya tidak dapat diakses.

Sembunyikan file wp-config.php dengan menambahkan kode berikut ke file .htaccess:

[kode]
<file wp-config.php>
pesanan izinkan, tolak
tolak dari semua
</file>
[/kode]

Cegah penjelajahan direktori

Karena cara WordPress mengimplementasikan struktur filenya, sangat mungkin bagi pengunjung untuk mengakses folder dan file situs Anda hanya dengan menavigasi ke yoursite.com/wp-content/uploads. Jadi, Anda ingin mencegah penjelajahan direktori karena penyerang dapat menggunakan informasi ini untuk tujuan jahat.

Tambahkan baris berikut ke file .htaccess Anda:

[kode]
Opsi Semua -Indeks
[/kode]

File PHP sangat penting untuk dilindungi karena peretas dapat menggunakan file ini untuk menyuntikkan kode berbahaya untuk menginfeksi situs. Tambahkan kode berikut ke file .htaccess Anda untuk mencegah akses ke plugin dan file PHP tema Anda:

[kode]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/kode]

Hanya menambahkan perubahan ini ke file .htaccess Anda akan meningkatkan keamanan situs WordPress Anda dan mempersulit penyerang untuk mendapatkan akses ke situs Anda. Terlepas dari itu, tidak ada situs yang benar-benar aman karena kerentanan baru terus-menerus ditemukan dan dieksploitasi.

Itulah mengapa Anda perlu memiliki rencana cadangan jika keadaan menjadi lebih buruk.

Cadangkan Secara Teratur Situs Anda Pertahankan Cadangan Secara Reguler

Tidak peduli berapa banyak tindakan keamanan yang Anda ambil, situs Anda masih bisa rentan.

Meskipun WordPress telah ada selama lebih dari satu dekade, tim pengembangan terus mengidentifikasi dan memperbaiki masalah keamanan. Belum lagi tema atau plugin baru yang Anda instal juga dapat memiliki eksploit yang belum diperbaiki.

Itulah mengapa merupakan ide bagus untuk membuat cadangan situs Anda secara teratur. Dengan begitu Anda dapat dengan cepat memulihkan situs Anda dan meminimalkan kerugian jika situs Anda diturunkan dari serangan.

Anda pasti ingin memastikan bahwa situs Anda dicadangkan secara teratur dan juga disimpan ke cloud. Jika komputer Anda disusupi, Anda akan dapat mengakses pencadangan dan pemulihan tersebut dari perangkat lain. Sebaiknya gunakan solusi otomatis seperti BackupBuddy.

Sebagian besar solusi pencadangan memerlukan langganan berbayar. Tetapi jika Anda mengandalkan situs web Anda untuk bisnis Anda, membayar sangat berharga untuk ketenangan pikiran saja. Jika situs Anda dinonaktifkan karena serangan, Anda dapat bekerja sama dengan penyedia hosting dan dengan mudah mengembalikan situs Anda ke versi sebelumnya dengan cadangan.

Kesimpulan

Meskipun WordPress sendiri relatif aman, menambahkan tema, plugin, dan kode khusus meningkatkan kemungkinan kerentanan keamanan yang dapat (dan dilakukan) dieksploitasi oleh peretas. Kecuali Anda mengambil langkah-langkah keamanan tertentu sekarang, situs Anda bisa menjadi target potensial.

Penting untuk dicatat bahwa tidak ada sistem yang benar-benar aman. Tetapi ada tindakan pencegahan yang dapat Anda ambil yang akan sangat mengurangi kemungkinan terkena serangan jahat.

Ikuti langkah-langkah yang diuraikan di sini untuk memperkuat keamanan situs WordPress Anda.