Cara Melakukan Audit Keamanan WordPress

Mengamankan situs WordPress Anda bukanlah kesepakatan satu-dan-selesai. Tidak peduli seberapa besar Anda mempercayai plugin keamanan Anda atau seberapa teliti Anda dengan pengerasan situs web, situs web yang aman hari ini tidak membuat situs web yang aman di masa depan. Untuk mencegah peretas, Anda harus secara teratur melakukan audit keamanan WordPress dan mengisi lubang keamanan yang Anda temukan.

Taktik peretasan situs web selalu mengalami kemajuan, begitu pula dengan langkah-langkah pencegahan untuk menjaga keamanan situs Anda. Anggap saja sebagai sebuah siklus. Semakin aman sebuah situs web, semakin kreatif peretas yang harus masuk ke dalamnya, yang berarti situs web Anda harus semakin aman, dan seterusnya.

Bertujuan untuk melakukan audit keamanan WordPress setidaknya setiap tiga bulan. Setiap bulan lebih baik, dan setiap minggu (atau bahkan setiap hari, tergantung seberapa sensitif situs Anda) adalah yang terbaik. Dan tentu saja, jika Anda merasa ada yang salah dengan situs Anda, segera lakukan audit keamanan. Salah satu dari berikut ini harus menaikkan bendera merah:

• Situs web Anda tiba-tiba lambat dan lamban.
• Ada penurunan besar dalam lalu lintas situs web tanpa alasan yang jelas.
• Ada akun baru, upaya login, atau permintaan "lupa kata sandi".
• Tautan baru yang tidak Anda tambahkan ada di situs Anda.

Langkah-langkah berikut harus dilakukan untuk menjaga situs Anda dalam kondisi prima, dari segi keamanan. Dengan daftar periksa di tangan, Anda akan membuat audit Anda disederhanakan, bukan berlebihan.

Ikhtisar Audit Keamanan WordPress

Pada satu titik atau lainnya, hampir setiap situs WordPress akan menghadapi beberapa jenis masalah keamanan. Yang umum adalah plugin atau tema yang menjadi rentan dengan kerentanan, memungkinkan peretas langsung masuk ke situs Anda. Setelah situs Anda diretas, beberapa hal dapat terjadi:

• Data pribadi pelanggan dicuri
• Iklan dan konten ilegal ditampilkan
• Lalu lintas dialihkan ke tempat lain
• Data WordPress dienkripsi, dihapus, atau dijual

Ini lebih dari sekadar sakit kepala atau situs yang down selama beberapa jam. Peretas dapat menyimpan data Anda untuk tebusan. Informasi dari situs Anda dapat dijual di Dark Web. Google dapat memasukkan situs Anda ke daftar hitam karena menampilkan spam di halaman web. Pelanggan dapat menuntut Anda jika informasi kartu kredit mereka dicuri. Situs web lain dapat terinfeksi setelah peretas mendapatkan akses ke situs Anda.

Audit keamanan WordPress mengidentifikasi kerentanan ini sehingga Anda dapat segera menambalnya – sebelum peretas menemukan jalan masuknya. Anda akan memastikan bahwa langkah-langkah keamanan yang Anda lakukan saat ini masih berfungsi, dan Anda juga akan mengetahui di mana Anda membutuhkan perlindungan lebih.

Evaluasi Plugin Keamanan yang Anda Gunakan

Plugin keamanan WordPress Anda adalah salah satu alat terpenting untuk melindungi situs Anda. Pastikan plugin keamanan Anda masih berfungsi dengan cara berikut:

• Log Aktivitas: Ini melacak pengguna situs Anda, termasuk siapa yang masuk dan kapan, upaya masuk yang gagal, dan perubahan situs.
• Firewall: Ini akan memblokir bot, peretas, dan alamat IP yang mencoba masuk ke situs Anda.
• Upaya Masuk: Plugin keamanan berkualitas akan menerapkan kata sandi yang kuat, memerlukan otentikasi dua faktor dan membatasi upaya masuk.
• Perlindungan Masuk: Ini memblokir serangan brute-force, yaitu ketika peretas mencoba kombinasi nama pengguna dan kata sandi yang berbeda untuk masuk.
• Pemindaian dan Pembersihan Malware: Ini harus dijalankan setiap hari, memindai database, file, dan folder situs Anda untuk mencari malware dan membersihkan apa pun yang ditemukannya.
• Peringatan Real-Time: Plugin akan segera memberi tahu Anda jika ada sesuatu yang mencurigakan terjadi dengan situs web Anda.

Belum memiliki plugin keamanan? Pertimbangkan untuk menjadikannya sebagai langkah awal Anda dalam audit keamanan WordPress Anda. Kami telah mengumpulkan 6 plugin keamanan WordPress terbaik untuk dipilih.

Uji Solusi Pencadangan Situs Web Anda

Jika ada yang salah di situs Anda yang tidak mungkin atau terlalu rumit untuk diperbaiki, memiliki cadangan WordPress berarti Anda dapat memulihkan situs Anda ke keadaan sebelumnya sebelum masalah terjadi. Namun, jika pencadangan Anda gagal, maka Anda tidak memiliki apa pun untuk dipulihkan, yang berarti Anda mungkin terjebak dengan situs yang terinfeksi atau tidak berfungsi. Idealnya, Anda akan menggunakan solusi pencadangan (baik yang disediakan oleh host atau plugin yang Anda gunakan) yang memungkinkan Anda menguji cadangan, seperti BlogVault. Anda juga mungkin ingin membaca artikel kami dengan 6 plugin cadangan WordPress terbaik.

Periksa Admin WordPress dan Pengaturan FTP Anda

Dengan WordPress, Anda dapat meminta banyak orang masuk untuk mengerjakan berbagai proyek, tetapi itu tidak berarti bahwa setiap orang dengan login harus memiliki akses penuh ke situs web Anda. Dan ketika datang ke klien FTP Anda, memungkinkan akses banyak orang berarti mereka dapat membuat perubahan pada situs Anda ... yah, semuanya.

Saat Anda menambahkan pengguna baru di WordPress, Anda memberi mereka peran (dan Anda juga dapat mengedit profil mereka untuk mengubah peran mereka):

Peran yang berbeda memiliki kemampuan yang berbeda. Misalnya, Administrator dapat mengakses semua alat admin situs (seperti mengubah tema atau memasang plugin), tetapi kontributor hanya dapat menulis dan mengelola posting mereka sendiri. Berikut adalah rincian komprehensif dari peran yang berbeda dan kemampuan mereka.

Untuk audit keamanan WordPress Anda, lakukan hal berikut:

• Lihat pengguna WordPress mana yang memiliki akses tingkat admin.
• Putuskan apakah semua pengguna tersebut memerlukan tingkat akses tersebut (dan jika orang lain yang memiliki akses terbatas harus menjadi admin).
• Turunkan izin dan batasi akses dengan memperbarui peran pengguna untuk individu tersebut.
• Jika Anda tidak mengenali pengguna di dasbor, hapus mereka – mereka bisa jadi adalah akun yang dibuat oleh peretas.
• Apakah ada nama pengguna yang hanya "admin"? Ini adalah nama pengguna yang terlalu umum dan sering digunakan oleh peretas untuk mengakses situs Anda. Buat akun pengguna baru untuk orang tersebut dan hapus akun lama.
• Hapus akun FTP untuk pengguna yang tidak membutuhkan tingkat akses setinggi itu.

Terakhir, jika situs Anda mengizinkan anggota, Anda ingin memastikan bahwa mereka harus benar-benar membuat akun saat mendaftar dan peran default mereka tidak mengizinkan akses admin. Buka Pengaturan > Umum . Hapus centang pada kotak di sebelah Siapapun Dapat Mendaftar . Kemudian, pilih opsi yang sesuai di bawah Peran Default Pengguna Baru .

Pastikan WordPress Terkini

Anda mungkin menjalankan ini secara otomatis, tetapi tetap perlu untuk memeriksa ulang apakah WordPress diperbarui ke versi terbarunya. Pembaruan tidak hanya menambal lubang keamanan – mereka juga meningkatkan kinerja dan menambahkan fitur. Buka Dasbor > Pembaruan untuk melihat apakah ada yang sudah siap.

Bersihkan Plugin dan Tema Anda

Plugin dapat memperluas kemampuan situs web Anda, tetapi juga rentan terhadap serangan, terutama jika tidak diperbarui terlalu lama. Pengembang yang andal akan tetap mengetahui kerentanan plugin mereka dan merilis pembaruan dengan tambalan. Selama pembaruan keamanan WordPress Anda, buka daftar plugin Anda dan lakukan hal berikut:

• Nonaktifkan dan copot pemasangan plugin yang tidak lagi Anda gunakan atau yang tidak Anda kenali.
• Perbarui plugin yang tersisa yang memiliki pembaruan siap.
• Jika Anda menggunakan plugin yang belum menerima pembaruan dari pengembang, pertimbangkan untuk menggunakan plugin lain yang memiliki fungsi yang sama – plugin yang sudah usang terlalu rentan terhadap masalah keamanan.

Bahkan jika Anda melakukan audit keamanan WordPress sebulan sekali atau lebih, ada baiknya untuk memeriksa plugin Anda lebih teratur untuk memperbaruinya sesuai kebutuhan. Selain itu, hapus tema apa pun yang saat ini tidak Anda gunakan atau tidak perlu. Sama seperti plugin, tema menimbulkan risiko kerentanan keamanan, jadi yang terbaik adalah menjaga situs web Anda sebersih mungkin.

Tetap Aman Di Luar Sana!

Anda tidak berhenti mengerjakan bagian lain dari bisnis Anda – menghasilkan produk atau layanan baru, memasarkannya, menjualnya, dll. Keamanan situs web Anda seharusnya tidak berbeda. Masalah kecil dapat dengan cepat mengarah ke peretasan yang mengancam bisnis jika Anda tidak menangkapnya tepat waktu, tetapi tanpa mengetahui di mana area masalahnya, Anda tidak akan tahu perbaikan mana yang harus diterapkan.

Menjaga keamanan situs web Anda adalah proses yang berkelanjutan, dan memiliki daftar periksa audit keamanan WordPress yang masuk akan menyelamatkan Anda dari kesulitan mengingat apa yang harus dilakukan setiap bulan. Plus, semakin Anda dapat mengotomatisasi dengan plugin keamanan, semakin baik. Daftar periksa audit keamanan WordPress Anda bisa jauh lebih kecil jika sebagian besar yang harus Anda lakukan adalah memeriksa ulang apakah plugin masih berfungsi dengan benar. Kami memiliki tinjauan mendalam tentang ulasan dari dua plugin keamanan terkemuka, Sucuri dan Wordfence.