Jika Anda menjalankan toko online, kemungkinan besar Anda akan melihat peningkatan lalu lintas yang tajam selama musim liburan. Dengan pelanggan baru yang memasukkan informasi pembayaran dan alamat pribadi mereka ke situs web Anda, mengamankan toko online Anda sebagai persiapan untuk liburan menjadi lebih penting dari sebelumnya.

November dan Desember adalah bulan belanja tersibuk tahun ini, yang membuat waktu henti apa pun yang terkait dengan peretasan atau pelanggaran keamanan menjadi lebih mahal daripada waktu lainnya dalam setahun. Uptime situs web Anda tidak pernah lebih berharga, dan itulah mengapa ini adalah waktu yang tepat untuk melakukan audit keamanan toko online Anda.

Pertanyaan Penting untuk Keamanan Situs Web Anda

Di akhir audit keamanan situs web Anda, Anda harus dapat menjawab 10 pertanyaan ini:

• 1. Apakah toko saya berada di platform yang tepat?
• 2. Apakah toko saya di host web yang tepat?
• 3. Apakah toko saya sesuai dengan PCI-DSS?
• 4. Apakah saya mengumpulkan terlalu banyak data tentang pelanggan saya?
• 5. Apakah saya mengenkripsi komunikasi antara pelanggan saya dan toko saya?
• 6. Apakah akun pelanggan saya aman?
• 7. Apakah perangkat lunak yang menjalankan toko online saya mutakhir?
• 8. Apakah saya secara teratur mengunjungi front-end situs saya?
• 9. Apakah saya menggunakan CDN dan WAF?
• 10. Apakah saya melindungi koneksi saya saat bekerja di ruang publik?

Audit Keamanan Situs Web 10 Poin

Jangan khawatir jika Anda tidak tahu bagaimana menjawab beberapa atau semua pertanyaan ini. Anda akan tahu bagaimana menjawab semua pertanyaan ini pada akhir posting ini.

Saat kami menelusuri sisa posting ini, Anda mungkin ingin mencatat hasil audit Anda, serta tindakan apa pun yang harus diambil. Audit ini juga merupakan layanan yang sangat baik untuk diberikan kepada klien desain web Anda (kapan saja sepanjang tahun.)

Mari kita mulai audit keamanan situs web Anda sebagai persiapan untuk musim liburan.

1. Apakah toko saya berada di platform yang tepat?

Shopify, Magento, dan WordPress adalah tiga platform paling populer yang digunakan orang untuk membuat toko mereka. Tak satu pun dari platform ini akan menjadi solusi e-niaga populer jika tidak aman. Ketiga platform tersebut memiliki kekuatan dan kelemahannya masing-masing, jadi Anda harus melakukan sedikit riset untuk mengetahui mana yang paling sesuai dengan kebutuhan Anda.

Audit cepat platform Anda saat ini mungkin mencakup pertanyaan-pertanyaan berikut:

• 1. Apakah platform sering mengeluarkan pembaruan untuk mengatasi kerentanan keamanan?
• 2. Apakah platform mempekerjakan/memanfaatkan tim yang berdedikasi untuk memastikan standar keamanan terpenuhi?
• 3. Apakah platform memiliki riwayat pelanggaran data skala besar atau kerentanan yang dibiarkan terbuka?
• 4. Apa reputasi platform sebagai aman?

Satu hal yang perlu diingat adalah betapa mudahnya memindahkan toko Anda ke platform atau host lain. Jika Anda perlu pindah dari Shopify, Anda dapat memigrasikan Shopify ke WooCommerce. Namun, itu tidak akan semudah memindahkan toko WordPress ke host web baru. WordPress juga memungkinkan lebih banyak penyesuaian dan fleksibilitas untuk alat yang dapat Anda gunakan.

2. Apakah toko saya di host web yang tepat?

Menempatkan situs web Anda di hosting bersama yang sama dengan blog teman Anda adalah ide yang buruk. Mengapa? Situs web e-niaga menambahkan banyak kerumitan yang membutuhkan keahlian lebih tinggi untuk mengamankannya dengan benar. Anda tidak membuat toko karena Anda bermimpi menjadi ahli keamanan siber, jadi Anda harus menyerahkan tanggung jawab itu kepada tuan rumah Anda.

Berinvestasi dalam solusi hosting yang berfokus pada e-niaga seperti Hosting WooCommerce Terkelola Liquid Web atau hosting WordPress Terkelola adalah cara yang tepat. Pengungkapan penuh, Liquid Web adalah perusahaan induk kami, tetapi ini adalah hosting yang sangat bagus untuk Anda. Pergi ke toko harga dan temukan perusahaan hosting lain yang bersaing dengan nilai tersebut pada harga tersebut. Memiliki host e-niaga terkelola akan menghemat banyak waktu dan kerumitan dalam mengelola situs Anda—waktu yang dapat Anda gunakan untuk mengembangkan bisnis Anda.

3. Apakah toko saya sesuai dengan PCI-DSS?

Jika Anda menerima pembayaran kartu kredit, Anda harus memenuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS). Menurut Dewan Standar Keamanan PCI resmi, “ Jika Anda menerima atau memproses kartu pembayaran, Standar Keamanan Data PCI berlaku untuk Anda.” Standar ini mencakup lebih dari 300 persyaratan keamanan yang berbeda, tetapi berikut adalah ikhtisar praktik terbaik PCI-DSS:

Standar Keamanan Data PCI

Saat Anda memilih untuk mengambil nomor kartu debit orang, memenuhi persyaratan ini akan sangat membantu mencegah penyerang jahat menguras rekening bank mereka. Saya sangat menyarankan Anda untuk mendapatkan beberapa saran ahli untuk memastikan Anda memenuhi persyaratan PCI-DSS.

4. Apakah saya mengumpulkan terlalu banyak data tentang pelanggan saya?

Semakin banyak informasi yang Anda kumpulkan tentang pelanggan Anda, semakin banyak informasi yang dapat dikompromikan selama pelanggaran. Hari-hari ini, kita hampir tidak bisa pergi seminggu tanpa mendengar bahwa beberapa perusahaan menjadi korban pelanggaran data yang mengekspos data pelanggan. Misalnya, dalam pelanggaran Doordash, nomor telepon pelanggan, alamat email, alamat rumah, dan kata sandi hash telah disusupi. Kombinasi informasi itu bisa menjadi semua yang diperlukan untuk mengambil pinjaman palsu.

Anda tidak boleh mengumpulkan lebih banyak informasi tentang pelanggan Anda daripada yang Anda butuhkan. Jika Anda menjual produk digital yang tidak diperpanjang secara otomatis, mengapa Anda mengumpulkan dan menyimpan alamat surat?

Anda juga harus mempertimbangkan untuk menggunakan gateway pembayaran seperti Stripe. Gateway pembayaran memungkinkan Anda untuk melepas pembayaran kartu kredit, sehingga toko Anda dapat menerima pembayaran online tanpa memproses atau menyimpan nomor kartu kredit. Stripe juga akan membantu Anda menjadi sesuai dengan PCI-DDS.

Sayangnya, akan selalu ada penyerang online, dan tidak akan ada kekurangan laporan tentang situs yang disusupi. Membatasi informasi yang Anda kumpulkan tentang pelanggan Anda akan membatasi jumlah informasi yang diekspos selama pelanggaran. Anda tidak dapat kehilangan data sensitif pelanggan yang tidak Anda miliki.

5. Apakah saya mengenkripsi komunikasi antara pelanggan saya dan toko saya?

SSL mengenkripsi komunikasi yang diketik pelanggan Anda di browser mereka dan dikirim ke situs Anda. Dengan SLL, ketika seseorang memasukkan nama akun dan kata sandi mereka, itu akan dilindungi ketika informasi itu dikirim ke server situs Anda untuk konfirmasi. Mengenkripsi nama pengguna dan kata sandi akan mempersulit penyerang untuk mencegat nama pengguna dan kata sandi dalam perjalanan dari browser mereka ke server Anda.

Kami tidak akan menghabiskan terlalu banyak waktu untuk ini karena kami akan menganggap bahwa setiap orang sudah menggunakan sertifikat SSL di situs mereka. Anda dapat melihat pelatihan https WordPress kami jika Anda tidak terbiasa dengan SSL. Jika Anda menggunakan host khusus e-niaga, situs Anda kemungkinan sudah menggunakan SSL dengan aman.

6. Apakah akun pelanggan saya aman?

Serangan brute force adalah jenis serangan yang paling umum pada akun pelanggan Anda. Brute force adalah jenis serangan ketika seorang peretas mencoba menebak kombinasi acak nama pengguna dan kata sandi hingga mereka menemukan yang tepat. Alasan serangan brute force begitu populer adalah karena skill barrier entry sangat rendah. Anda dapat menemukan banyak alat peretas kata sandi gratis dengan pencarian Google cepat.

Kabar baiknya adalah bahwa menggunakan plugin keamanan WordPress seperti iThemes Security Pro di situs WordPress Anda memudahkan untuk mencegah serangan pada login pelanggan Anda agar tidak berhasil.

Berdasarkan penelitian oleh blog keamanan Google, Anda harus mengikuti 5 aturan ini untuk menghentikan 100% serangan brute force:

Anda mungkin berpikir bahwa Anda tidak akan pernah mempersulit pelanggan Anda untuk login. Saya benar-benar mengerti dari mana Anda berasal, tetapi izinkan saya berbagi cerita singkat yang mungkin mengubah pikiran Anda.

Saya memiliki anggota keluarga yang salah satu akunnya diretas. Perlu diingat, peretas hanya dapat mengunduh produk yang dibeli anggota keluarga secara gratis. Tidak ada informasi pribadi mereka yang disimpan (lihat #4), jadi mereka tidak tahu apa-apa. Namun, anggota keluarga ini masih kesal. Perusahaan tempat akun dilanggar memberi mereka pengembalian dana penuh dan meyakinkan mereka bahwa akun mereka akan aman setelah mereka memperbarui kata sandi mereka.

Jadi setelah mendengar ini, saya memutuskan untuk melakukan yang terbaik kesan Sherlock Holmes dan memulai penyelidikan. Saya dapat menentukan bahwa peretas kemungkinan menemukan alamat email dan kata sandi anggota keluarga di salah satu dari beberapa tempat pembuangan pelanggaran data. Anggota keluarga saya telah menggunakan kombinasi kata sandi dan nama pengguna yang sama selama bertahun-tahun. Saya menunjukkan kepada mereka semua pelanggaran basis data di mana alamat email mereka telah menjadi bagian dari haveibeenpwned.com dan mendorong mereka untuk memperbarui kata sandi mereka di semua akun mereka sebelum akun tersebut juga diretas.

Setelah mengetahui bahwa kata sandi mereka tersedia untuk digunakan siapa saja, apakah menurut Anda mereka menyalahkan pilihan kata sandi yang lemah atau perusahaan karena akun mereka disusupi? Jika Anda mengatakan menyalahkan perusahaan, Anda benar. Ketika mereka menceritakan kisah peretasan, menurut Anda apakah mereka lebih cenderung berbicara negatif tentang perusahaan atau praktik kata sandi mereka yang buruk? Meskipun kesalahan ada pada diri mereka sendiri, mereka masih menganggap tanggung jawab ada pada perusahaan untuk melindungi akun mereka.

Jadi apa yang bisa kita pelajari dari ini? Terserah kita, sebagai pemilik toko, untuk meminta kata sandi yang kuat dan otentikasi dua faktor untuk mengamankan akun pelanggan. Karena ketika akun pelanggan diretas, pemilik toko cenderung disalahkan.

Kabar baiknya adalah plugin iThemes Security Pro memiliki fitur login WordPress tanpa kata sandi baru yang memungkinkan Anda untuk meminta pengguna menggunakan kata sandi yang kuat dan otentikasi dua faktor tanpa pernah memasukkan kata sandi atau kode otentikasi tambahan . Anda sekarang dapat menawarkan semua keamanan tanpa mengorbankan kegunaan apa pun.

7. Apakah perangkat lunak yang menjalankan toko online saya mutakhir?

Pembaruan perangkat lunak tidak hanya untuk fitur baru atau perbaikan bug. Pembaruan juga dapat menyertakan patch keamanan untuk eksploitasi keamanan yang diketahui. Menjalankan perangkat lunak usang dengan eksploitasi yang diketahui adalah salah satu alasan paling umum situs web diretas. Sangat penting untuk keamanan situs WordPress Anda bahwa Anda memiliki rutinitas pembaruan. Anda harus masuk ke situs Anda setidaknya sekali seminggu untuk melakukan pembaruan.

Menggunakan fitur Manajemen Versi plugin iThemes Security Pro, Anda dapat mengaktifkan pembaruan WordPress otomatis untuk memastikan Anda mendapatkan patch keamanan terbaru. Memperbarui perangkat lunak Anda adalah hal termudah yang dapat Anda lakukan untuk membantu melindungi toko online Anda.

8. Apakah saya secara teratur mengunjungi front-end situs saya?

Kapan terakhir kali Anda membuka front-end situs Anda atau bahkan melihat beranda Anda? Sebagai pemilik situs yang sibuk, kami biasanya masuk langsung ke backend situs kami untuk menambahkan produk baru, konten, dan melakukan pembaruan situs. Menelusuri halaman dan produk situs Anda dapat membantu Anda menemukan tanda-tanda infeksi. Anda harus mencari 3 tanda infeksi ini saat memeriksa front-end situs Anda atau saat menanyakan apakah situs WordPress saya diretas.

1. Periksa beranda Anda untuk perubahan –Tujuan utama dari beberapa peretasan adalah untuk menjebak situs web atau mendapatkan ketenaran. Jadi mereka hanya mengubah beranda Anda menjadi sesuatu yang mereka anggap lucu atau membiarkannya diretas dengan kartu panggil.
2. Cari pop-up atau spam berbahaya – Apakah ada produk yang diiklankan di situs Anda yang tidak Anda jual?
3. Temukan pengalihan tak terduga – Apakah Anda mengklik salah satu tautan produk Anda hanya untuk diarahkan ke toko jahat yang mencoba mengambil data pelanggan Anda?

Menggunakan fitur Deteksi Perubahan File iThemes Security Pro dapat membantu Anda mengetahui setiap perubahan tak terduga yang dibuat pada situs Anda. Sangat penting untuk waspada terhadap serangan yang berhasil di situs Anda, semakin cepat pelanggaran diidentifikasi, semakin Anda dapat mengurangi kerusakan yang terjadi.

9. Apakah saya menggunakan CDN dan WAF?

Menggunakan jaringan pengiriman konten (CDN) seperti Cloudflare CDN dapat membantu melindungi toko Anda dari serangan DDoS. CDN berada di server yang berbeda dari situs Anda dan dapat memeriksa permintaan ke situs Anda sebelum permintaan tersebut sampai ke situs Anda. Serangan Denial of Service (DDos) adalah saat penyerang mencoba mengganggu atau menjatuhkan situs Anda dengan banjir lalu lintas internet. Bergantung pada paket hosting Anda, mungkin tidak perlu banyak lalu lintas ekstra untuk menurunkan situs Anda.

CDN dapat membantu mengurangi serangan DDoS dalam beberapa cara berbeda. Hal pertama yang akan dilakukan CDN adalah secara aktif memantau dan mengidentifikasi bahwa situs Anda sedang diserang, yang sangat penting. Anda tidak dapat menghentikan serangan yang tidak diatur untuk dideteksi. Setelah IP berbahaya diidentifikasi, CDN akan mencegah permintaan apa pun dari IP masuk ke situs Anda.

Anda juga harus mempertimbangkan untuk menggunakan Web Application Firewall (WAF). WAF dapat mengidentifikasi dan menyaring lalu lintas berbahaya sebelum mencapai situs Anda. Tidak seperti Firewall Aplikasi Web PHP, WAF seperti yang disediakan oleh Cloudflare WAF tidak berada di server yang sama dengan situs Anda. Jadi semua penyaringan keamanan dilakukan di luar situs dan tidak menambah beban tambahan atau memperlambat situs Anda.

10. Apakah saya melindungi koneksi saya saat bekerja di ruang publik?

Salah satu hal hebat tentang menjalankan toko online adalah Anda dapat bekerja di mana saja. Sayangnya, wifi publik diketahui sangat tidak aman membuat perpustakaan umum, hotel, kedai kopi, dan bandara menjadi lokasi utama bagi peretas untuk mencegat komunikasi dan memanen kata sandi.

Saya pernah bekerja dengan pelanggan iThemes Security Pro yang tidak tahu bagaimana akun admin mereka terus diretas bahkan setelah mereka mengubah kata sandi mereka. Setelah beberapa kali bolak-balik, saya menemukan bahwa mereka suka bekerja dari perpustakaan lokal mereka, dan bahwa mereka terhubung ke wifi tanpa menggunakan jaringan pribadi virtual (VPN).

Jaringan pribadi virtual memungkinkan Anda berkomunikasi dengan aman dengan bank atau toko online Anda dengan mengenkripsi lalu lintas internet Anda. Karena pelanggan iThemes Security Pro tidak menggunakan VPN, lalu lintas mereka tidak dienkripsi dan kata sandi mereka terus dicegat oleh aktor jahat. Setelah kami menyarankan mereka mencoba menggunakan VPN di perpustakaan lokal, mereka melaporkan kembali kepada kami bahwa menggunakan VPN menghentikan peretasan.

Jika Anda memerlukan bukti lebih lanjut tentang ketidakamanan wifi publik, berikut adalah artikel USA Today yang bagus di mana seorang jurnalis menulis tentang pengalamannya diretas saat menggunakan wifi dalam penerbangan: Saya diretas di udara saat menulis cerita Apple-FBI.

Penutup: Praktik Terbaik Keamanan Online

Sebagian besar serangan di toko online Anda dapat dicegah agar tidak berhasil dengan sedikit tindakan di pihak Anda. Sekarang adalah waktu yang tepat untuk melakukan audit keamanan untuk memastikan situs Anda aman untuk musim liburan!

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs WordPress Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan otentikasi dua faktor WordPress, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.