Keamanan Situs Web: Cara Mengamankan & Melindungi Situs Anda di tahun 2024

Ketika ingin memaksimalkan WordPress, ada satu aspek yang sering diabaikan: keamanan. Anda tidak akan membiarkan toko fisik Anda tidak terkunci dalam semalam, dan Anda juga tidak boleh mengambil risiko membiarkan situs web Anda tidak terlindungi.

Ancaman dunia maya adalah masalah serius yang selalu ada — baik Anda individu, usaha kecil, atau perusahaan global.

Dari tahun ke tahun, malware, pembobolan data, dan bentuk kejahatan dunia maya lainnya terus meningkat. Sebuah studi menemukan bahwa serangan siber meningkat sebesar 38% pada tahun 2022. Dan tren tersebut tidak menunjukkan tanda-tanda akan berbalik.

Untuk melindungi diri dari ancaman siber, pertama-tama Anda harus mengetahui apa yang Anda hadapi. Dari dasar-dasar manuver pertahanan Anda hingga layanan seperti Jetpack Security yang mengotomatiskan prosesnya, postingan ini mencakup semua yang Anda perlukan untuk melindungi kerja keras Anda.

Mengapa keamanan situs web penting

Bayangkan saat terbangun dan menemukan pemandangan yang mengerikan: seseorang membobol situs Anda.

Mungkin sudah dirusak secara parah, diisi dengan spam atau malware. Mungkin sudah hilang sama sekali, dengan server kosong dan halaman kosong untuk menandai di mana dulunya.

Hasilnya tidak berubah berdasarkan apa sebenarnya situs web Anda — itu adalah mata pencaharian Anda, sumber pendapatan Anda, atau proyek yang Anda sukai yang telah Anda wujudkan dengan segenap hati dan jiwa Anda.

Jika Anda memiliki audiens yang besar, informasi pribadi mereka mungkin terancam, atau komputer mereka mungkin terinfeksi malware tanpa mengetahui alasannya.

Bagi pemilik bisnis, ini bahkan lebih buruk lagi. Pelanggaran dapat berdampak buruk pada citra merek Anda, menghentikan penjualan sepenuhnya, berpotensi merusak kepercayaan audiens terhadap Anda dan prospek masa depan yang mungkin Anda miliki bersama mereka, atau bahkan mengakibatkan tuntutan hukum dan tindakan hukum terhadap Anda.

Sayangnya, kebanyakan orang percaya hal ini tidak akan pernah terjadi pada mereka dan tidak bertindak untuk menyelamatkan situs web mereka. Namun kenyataannya sebagian besar serangan siber tidak ditargetkan. Mereka berasal dari bot yang menyapu web, mencari situs web yang memiliki kelemahan dalam keamanannya.

Sebuah penelitian menemukan bahwa 57% dari seluruh serangan siber e-niaga disebabkan oleh bot. Dan jumlah tersebut terus meningkat seiring dengan berkembangnya ancaman siber. Ketika pelanggaran data menelan biaya rata-rata $9,48 juta, jika Anda menyimpan data sensitif, Anda tidak dapat melakukan apa pun.

Dengan memahami cara kerja ancaman ini dan mengambil tindakan sendiri, Anda dapat memitigasi kemungkinan kerusakan atau mencegah terjadinya masalah.

Ancaman keamanan situs web yang umum

Mulai dari ransomware, spam, hingga serangan DDoS, ada banyak cara pelaku kejahatan memilih untuk menargetkan situs web Anda.

Motivasi mereka beragam — mereka mungkin ingin mencuri kredensial pengguna, mendapatkan tautan balik gratis ke situs spam mereka, atau sekadar menjatuhkan situs web Anda karena niat jahat. Yang penting adalah memahami metode yang mereka terapkan dan bagaimana Anda dapat menghentikannya.

1. Perangkat lunak perusak dan ransomware

Malware – istilah singkat untuk kumpulan program berbahaya – adalah ancaman yang serius. Anda mungkin sudah familiar dengan banyak di antaranya, seperti virus, worm, trojan, dan spyware. Dan sama seperti komputer pribadi Anda, server yang menghosting situs web Anda dan menyimpan data Anda juga perlu dilindungi.

Jika tidak, data Anda berisiko rusak, terhapus, atau bocor, dan situs web Anda berubah menjadi pabrik penyebar malware yang dapat berdampak pada ribuan orang.

Salah satu jenis malware yang sangat jahat disebut ransomware. Ini mengenkripsi file situs web Anda dan meminta uang sebagai imbalan atas pelepasannya. Jika Anda tidak membayar dalam beberapa hari, data biasanya akan dihapus. Dan sayangnya, banyak orang yang membayar. Ini adalah jenis serangan siber yang paling umum di seluruh dunia (68% serangan siber pada tahun 2022 saja).

Malware dan ransomware dapat memasuki situs web Anda dan menginfeksinya dengan berbagai cara, namun beberapa cara yang paling umum adalah melalui plugin, tema, dan perangkat lunak yang rentan.

2. Serangan kekerasan

Serangan brute force adalah metode yang sangat blak-blakan dan seringkali efektif untuk “menebak” kata sandi pengguna dan mendapatkan akses tidak sah ke situs web. Jenis serangan siber ini biasanya melibatkan penggunaan botnet (program otomatis) untuk memasukkan atau “menebak” kata sandi secara sistematis hingga menemukan kata sandi yang benar.

Saat seorang peretas memecahkan kata sandi unik Anda dan menyusup ke situs Anda, mereka dapat mulai membuat kekacauan. Baik mereka mencuri data, merusak situs web Anda, menghapus file, atau menggunakan hak administrator untuk mengunci Anda dan memberi mereka kendali penuh — permainan sudah berakhir.

Dan bukan hanya akun administrator yang berisiko. Bahkan peran pengguna tingkat rendah pun dapat memberikan kontrol yang cukup kepada peretas untuk melakukan apa yang mereka inginkan. Atau eksploitasi memungkinkan peretas untuk “berputar” ke akun admin.

Serangan semacam ini sering kali mengeksploitasi kata sandi yang lemah, default, atau mudah ditebak. Dengan waktu yang cukup dan metode serangan yang tepat, kata sandi — betapapun amannya — pada akhirnya dapat dibobol.

Kecuali, tentu saja, Anda menerapkan langkah-langkah keamanan yang mencegah serangan brute force. Teknik seperti autentikasi dua faktor, membatasi upaya login, dan membuat semua orang menggunakan kata sandi yang sangat kuat dapat memberikan hasil yang sangat baik dalam mencegah peretas.

3. Injeksi SQL

Injeksi SQL telah menjadi ancaman umum terhadap keamanan WordPress selama bertahun-tahun. Jenis serangan ini dapat memanipulasi kueri basis data dari situs web yang menggunakan basis data SQL, sehingga memungkinkan peretas mengakses informasi yang tidak boleh mereka lihat. Kemudian mereka dapat menyisipkan, memperbarui, atau menghapus sesuai keinginan mereka.

Pertimbangkan formulir kontak di situs web Anda. Jika halaman atau skrip tidak membersihkan masukan dengan benar dan memungkinkan siapa pun memperbarui masukan di situs Anda, peretas dapat mengirimkan kode untuk memasukkan SQL ke dalam database Anda. Hasilnya? Mulai dari kebocoran data hingga modifikasi data, atau pengambilalihan database secara lengkap.

Cara terbaik untuk mencegah injeksi SQL adalah dengan membersihkan masukan dari formulir dan unggahan file. Namun meskipun peretas dapat menyusupi akun melalui vektor ini, kontrol akses dan pertahanan manajemen pengguna membantu mengurangi dampak serangan ini.

4. Skrip lintas situs (XSS)

Skrip lintas situs (XSS) adalah masalah keamanan siber berkelanjutan yang menimbulkan risiko bagi pengunjung situs web dan pemilik situs. XSS memberi peretas kemampuan untuk menyematkan skrip berbahaya langsung ke halaman web. Skrip dapat mengakses informasi sisi klien (browser), serta melakukan sejumlah serangan lainnya.

Skrip ini dapat membajak sesi pengguna, mencuri informasi sensitif dan kredensial pengguna, atau sekadar merusak situs web Anda.

Meskipun ada kemajuan dalam keamanan web, kerentanan XSS tetap ada sebagian besar karena praktik pengkodean yang tidak aman dan kurangnya validasi input.

Perlindungan dari serangan semacam ini mengharuskan Anda menerapkan praktik pengkodean yang baik dan hanya menginstal plugin yang juga melakukan hal tersebut. Tidak ingin khawatir tentang bekerja dengan kode? Anda dapat menginstal plugin keamanan yang menangani semuanya untuk Anda.

5. Penolakan layanan terdistribusi (DDoS)

Berbeda dengan malware biasa, serangan DDoS sangat berbahaya karena tidak perlu membobol situs web Anda untuk menimbulkan kekacauan.

Siapa pun yang memiliki sumber daya dapat memutuskan untuk meluncurkan serangan DDoS di situs web Anda, membanjiri server atau jaringan Anda dengan banjir lalu lintas palsu sehingga tidak dapat diakses dalam hitungan milidetik.

Dalam serangan DDoS, jaringan perangkat yang disusupi, atau “botnet”, melancarkan serangan habis-habisan terhadap target tertentu: situs web Anda. Dengan membombardirnya dengan lebih banyak lalu lintas daripada yang dapat diproses oleh server, mereka memberikan beban yang sangat besar pada server Anda, memperlambat perayapannya, atau membuat server mogok sepenuhnya.

Motivasi mereka bermacam-macam. Mereka mungkin menginginkan uang tebusan untuk menghentikan serangan tersebut, atau mereka mungkin saja tidak menyukai Anda. Untungnya, meskipun tidak mahal dan mudah diluncurkan, serangan DDoS juga memerlukan banyak uang dan sumber daya agar dapat terus berjalan, sehingga serangan ini jarang terjadi dan biasanya berumur pendek — tidak lebih dari beberapa hari hingga seminggu.

Tapi itu masih cukup lama untuk membuat pengguna Anda kesal, mencoreng nama baik Anda, dan kehilangan banyak uang.

Untuk bertahan dari serangan DDoS, Anda harus memasang firewall aplikasi web andal yang memiliki pembatasan kecepatan dan AI untuk membedakan lalu lintas buruk dan lalu lintas baik. Anda juga harus menginstal CDN, karena ini mencakup perlindungan DDoS.

6. SEO-spam

Ketika seorang penyerang membobol situs web Anda, biasanya Anda akan mengetahuinya dengan cepat. Mereka akan mengunci Anda dari akun Anda, atau merusak setiap halaman dengan pesan tidak menyenangkan dan kode berbahaya.

Spam SEO sedikit berbeda: penyerang menggunakan situs web Anda untuk merugikan orang lain. Mereka melakukan ini melalui serangan tersembunyi yang melibatkan situs web Anda, untuk memanipulasi peringkat pencarian — dan mereka secara aktif berusaha menghindari deteksi.

Peretas mengeksploitasi kerentanan di situs web Anda untuk memasukkan tautan tersembunyi, kata kunci, dan konten lainnya. Ini digunakan untuk memanfaatkan otoritas SEO Anda yang ada untuk meningkatkan peringkat mesin pencari situs jahat. Karena serangan semacam ini sering kali tidak diketahui, diperlukan waktu berbulan-bulan sebelum Anda menyadari kerusakannya.

Namun, pada akhirnya, Google akan menghukum situs yang melakukan kecurangan dengan cara ini, dan dalam waktu dekat situs Anda juga akan terkena sanksi. Anda akan segera diarahkan ke bagian bawah hasil pencarian, dan ketika pengguna mengklik link berisi spam dan virus yang dijajakan dari situs Anda, kredibilitas dan reputasi Anda menurun.

Untungnya, kontrol akses pengguna yang kuat dan audit situs web yang teratur akan meminimalkan kerusakan yang dapat dilakukan oleh spammer SEO.

Dasar-dasar keamanan situs web

Jika Anda mengoperasikan situs web jenis apa pun, ada sejumlah landasan keamanan yang harus Anda miliki. Mari kita jelajahi pilar utama keamanan situs web — aspek inti dan penting seperti memilih host yang aman dan menginstal CDN.

1. Pilih penyedia hosting yang andal

Keamanan dimulai dengan memilih penyedia hosting yang andal dengan infrastruktur aman.

Tidak peduli berapa banyak tindakan yang Anda terapkan untuk melindungi situs web Anda — jika host Anda membiarkan pintu terbuka dengan infrastruktur yang tidak diamankan dengan baik, maka hal itu akan menjadi vektor utama infiltrasi malware, dan semua kerja keras Anda akan sia-sia.

Lihatlah langkah-langkah keamanan yang diterapkan penyedia hosting. Apakah ia memiliki firewall aplikasi web bawaan untuk melindungi dari serangan?

Selain langkah-langkah keamanan mereka sendiri, pertimbangkan rekam jejak mereka. Berapa kali mereka dilanggar? Perlindungan apa yang telah mereka terapkan untuk mencegah hal serupa terjadi lagi?

Dalam hal keamanan situs web, Anda harus mempertimbangkan bahwa Anda dan penyedia hosting Anda berkewajiban untuk menjaga keamanan situs web Anda. Jangan salah, Anda mungkin mempunyai tanggung jawab yang besar, namun penyedia hosting Anda juga harus mengambil bagian yang adil.

2. Selalu perbarui semua perangkat lunak dan plugin

Hal paling sederhana yang dapat Anda lakukan untuk situs WordPress Anda adalah selalu memperbarui semuanya.

WordPress, PHP, dan perangkat lunak lain yang diperlukan untuk menjalankan situs web terus ditingkatkan. Ketika kerentanan keamanan ditemukan, pembaruan menyediakan patch sehingga tidak dapat lagi dieksploitasi.

Sebagai pemilik situs, kesalahan terbesar yang dapat Anda lakukan adalah tidak menerapkan pembaruan. Jadikan prioritas berkelanjutan untuk memeriksa dan menerapkan pembaruan (atau mengaktifkannya agar berjalan secara otomatis) untuk semua perangkat lunak, termasuk:

• inti WordPress
• Semua plugin WordPress
• Tema WordPress
• Versi PHP dan sistem operasi server Anda

Ingat, sebagian besar serangan siber sepenuhnya dilakukan secara otomatis. Bot memindai situs tanpa pandang bulu untuk mencari kerentanan perangkat lunak yang diketahui dan mengeksploitasi kerentanan apa pun yang belum ditambal. Jangan biarkan ini menjadi dirimu!

3. Ubah pengaturan CMS default Anda

Salah satu langkah paling sederhana (namun sering diabaikan) dalam meningkatkan keamanan situs web adalah mengubah pengaturan default dalam CMS Anda. Saat ini, WordPress diamankan dengan baik secara default, namun ada beberapa hal yang mungkin ingin Anda lakukan:

• Ubah nama pengguna default. Satu hal yang diandalkan oleh serangan brute force adalah tidak perlu menebak nama pengguna administrator default — hanya “admin”. Ubahlah ke nama lain (bukan nama depan, nama pengguna, atau sesuatu yang mudah ditebak), dan Anda secara signifikan mengurangi risiko diretas melalui kekerasan.
• Ubah URL halaman login. Serangan brute force biasanya berhasil karena halaman login untuk sebagian besar instalasi WordPress sama. Jika ini merupakan upaya otomatis, bot biasanya akan menyerah setelah mencoba beberapa URL yang jelas. Anda juga dapat membatasi akses kecuali ke IP Anda atau IP kontributor tepercaya Anda.
• Aktifkan pembaruan WordPress. Pembaruan otomatis WordPress diaktifkan secara default sekarang, tetapi jika Anda memiliki instalasi yang lebih lama (yang tidak seharusnya Anda lakukan jika Anda terus memperbaruinya), pastikan plugin dan pembaruan Inti diaktifkan.
• Ubah awalan tabel default untuk WordPress. Hal ini mempersulit penyerang untuk menargetkan awalan wp_ yang terkenal.
• Nonaktifkan pengeditan file dasbor. Mengedit file dari dasbor WordPress memang sangat mudah, tetapi juga memudahkan peretas untuk merusak situs web Anda jika mereka berhasil membobolnya.
• Sembunyikan versi WordPress Anda. Sembunyikan informasi ini, sehingga peretas tidak dapat dengan mudah mengeksploitasi kerentanan yang diketahui dalam versi WordPress tertentu.
• Ubah izin file. Jika Anda familiar dengan izin file Linux, Anda mungkin ingin meninjau izin situs Anda dan memastikan tidak ada yang terlalu mudah diakses.
• Matikan eksekusi PHP di direktori yang dapat ditulis pengguna. Hal ini memungkinkan plugin Anda tetap berfungsi, sekaligus mematikan penyerang yang mengunggah file berbahaya dan mencoba mengeksekusinya.

Dengan melakukan sedikit penyesuaian pada pengaturan, Anda dapat mengurangi risiko pelanggaran keamanan secara signifikan.

4. Instal sertifikat SSL di seluruh situs

Sertifikat SSL mengenkripsi data yang dikirimkan antara browser pengguna dan server situs web Anda, mencegah akses tidak sah atau intersepsi oleh pihak ketiga yang jahat.

Mengamankan situs web Anda dengan sertifikat SSL tidak hanya merupakan langkah mendasar dalam melindungi data sensitif (dan mungkin diwajibkan secara hukum jika Anda menjalankan sesuatu yang memproses data sensitif, seperti login pengguna atau detail kartu kredit), namun HTTPS di seluruh situs memastikan bahwa semua data (dari kredensial login hingga informasi pembayaran hingga detail pribadi) dienkripsi selama transmisi.

Bahkan jika Anda tidak menangani informasi tersebut, itu adalah suatu keharusan. Seringkali orang merasa tidak nyaman tanpanya. Browser dengan lantang mengumumkan tidak adanya sertifikat SSL dengan simbol peringatan besar berwarna merah. Dan Google menghukum situs yang tidak memiliki sertifikat SSL.

Menginstalnya biasanya cukup mudah, dan penyedia hosting atau pendaftar domain Anda sering kali memberi Anda sertifikat SSL gratis. Setelah menginstal, Anda hanya perlu memastikan bahwa URL situs web Anda dikonfigurasi untuk menggunakan HTTPS, bukan HTTP, untuk menerapkan koneksi aman di seluruh situs Anda.

5. Instal CDN

Jaringan pengiriman konten, atau CDN, dapat memberikan peningkatan kinerja dan keamanan yang besar pada situs web Anda. CDN adalah jaringan server yang tersebar di seluruh dunia yang dirancang untuk mengirimkan konten ke pengguna Anda dengan lebih cepat.

Ternyata hal itu berdampak pada keamanan. Salah satu ancaman khusus yang sangat baik untuk digagalkan oleh CDN adalah serangan DDoS, yaitu ketika situs web diretas karena dibanjiri dengan terlalu banyak lalu lintas.

CDN menggagalkan serangan siber yang tiada henti ini dengan mendistribusikan beban ke banyak server berbeda, dibandingkan harus menanggung beban hanya pada satu situs web.

Untuk situs web Anda, CDN bisa sangat membantu karena banyak CDN dilengkapi dengan fitur keamanan tambahan yang hebat seperti firewall aplikasi web dan mitigasi bot.

Menginstal CDN biasanya hanya masalah mendaftar ke layanan dan mengonfigurasi pengaturan DNS Anda untuk merutekan lalu lintas Anda melalui jaringan penyedia CDN. Beberapa plugin, seperti Jetpack, bahkan memiliki CDN khusus WordPress yang bisa Anda gunakan.

Kontrol akses dan manajemen pengguna

Salah satu kerentanan umum yang coba dieksploitasi oleh peretas adalah kontrol akses pengguna yang buruk. Bahkan jika akun admin dikunci dengan ketat, membobol akun tingkat yang lebih rendah dapat memberi mereka pengaruh yang mereka perlukan untuk pengambilalihan situs.

Oleh karena itu, Anda memerlukan kebijakan kontrol akses yang kuat dan membatasi izin pengguna.

Berikut adalah lima cara untuk meningkatkan kontrol akses dan manajemen pengguna untuk keamanan yang lebih baik:

1. Menerapkan kebijakan dan praktik kata sandi yang kuat

Pengunjung adalah fondasi situs Anda dan sering kali ingin menggunakan kredensial login yang paling sederhana. Namun kegagalan dalam mengharuskan mereka menggunakan kata sandi yang kuat bahkan dapat membuat peretas pemula sekalipun dapat menghapus situs Anda untuk semua orang. Kata sandi yang lemah atau mudah ditebak merupakan risiko keamanan yang sangat besar, karena kata sandi tersebut dapat memberikan akses tidak sah ke bagian belakang situs web Anda.

Khususnya bagi pengguna dengan peran dan kemampuan tingkat tinggi, seperti mereka yang dapat langsung mengedit situs Anda, Anda tidak boleh hanya mendorong tetapi juga mewajibkan kata sandi yang kuat, rumit, dan sulit ditebak. Semakin rumit semakin baik. Hindari kata, frasa, atau pola yang umum dan mudah ditebak. Gunakan kombinasi panjang huruf kapital, huruf kecil, angka, dan simbol yang tidak didasarkan pada informasi yang tersedia bagi orang lain secara online.

Anda juga dapat menerapkan kebijakan kedaluwarsa kata sandi sehingga setelah kata sandi disusupi, kata sandi tersebut akan dirotasi dengan cepat.

2. Memerlukan otentikasi dua faktor (2FA)

Menerapkan autentikasi dua faktor pada semua akun pengguna penting dapat menghentikan pelanggaran. Bahkan jika penyerang memiliki kata sandi pengguna, mereka masih memerlukan akses ke metode otentikasi sekunder untuk mendapatkan akses.

Metode autentikasi dua faktor yang populer mencakup kode berbasis waktu yang sering dikirim ke email atau telepon sekunder, dan aplikasi autentikasi seperti Google Authenticator atau Authy. Beberapa layanan bahkan memerlukan sidik jari atau pengenal biometrik lainnya.

Fitur autentikasi aman Jetpack memungkinkan Anda mewajibkan masuk melalui akun WordPress.com, dan mewajibkan akun WordPress.com untuk menggunakan autentikasi dua faktor. Untuk situs WordPress yang tepat, ini adalah cara mudah untuk menambahkan tingkat perlindungan ini untuk banyak situs WordPress.

3. Hati-hati dengan peran dan izin pengguna

Di WordPress, peran pengguna membatasi akses ke berbagai fitur dalam situs Anda, seperti kemampuan untuk menambahkan halaman baru atau mengedit halaman yang sudah ada.

Dengan menetapkan peran tertentu kepada pengguna dan menentukan izin mereka, Anda dapat memastikan bahwa setiap orang memiliki tingkat akses yang sesuai berdasarkan tanggung jawab mereka.

WordPress menawarkan beberapa peran pengguna yang telah ditentukan sebelumnya:

• Admin Super. Memiliki akses administrator penuh ke semua situs web pada pengaturan multisitus.
• Administrator. Memiliki kendali penuh atas satu situs web.
• Editor. Dapat membuat, mengedit, dan mempublikasikan postingan.
• Pengarang. Hanya dapat membuat, mengedit, dan mempublikasikan postingannya sendiri.
• Penyumbang. Dapat membuat dan mengedit postingannya sendiri, tetapi tidak dapat mempublikasikannya.
• Pelanggan. Dapat meninggalkan komentar dan mengubah profil penggunanya.

Selain itu, Anda dapat membuat peran khusus, atau mengedit peran yang ada sehingga peran tersebut memiliki kemampuan berbeda. Beberapa plugin mungkin juga menambahkan perannya sendiri, atau fungsi baru yang dapat Anda aktifkan atau nonaktifkan untuk masing-masing plugin.

Menetapkan peran yang sesuai membantu membatasi akses ke data sensitif dan mencegah siapa pun yang memperoleh akses tidak sah ke peran tingkat rendah melakukan terlalu banyak kerusakan.

4. Batasi upaya login

Membatasi berapa kali pengguna dapat mencoba (dan gagal) untuk masuk adalah cara terbaik untuk melindungi situs Anda.

Pada akhirnya, Andalah yang menentukan berapa lama larangan akan diberlakukan, berapa banyak permintaan yang dilakukan, berapa banyak permintaan yang diperlukan untuk memblokir IP tertentu, dan apakah larangan pada akun tertentu akan dicabut hanya jika 2FA diaktifkan — fitur yang disertakan dalam beberapa plugin.

5. Gunakan koneksi transfer file yang aman (SFTP atau SSH)

Pada titik tertentu, Anda mungkin perlu mengedit file situs web Anda. Meskipun FTP (protokol transfer file) cepat dan mudah, semua data yang Anda transmisikan tidak terenkripsi dan dapat disadap oleh siapa saja.

Ini dapat mencakup kredensial login FTP, file situs web, dan pengaturan konfigurasi — akses yang akan sangat memudahkan peretas untuk menyusup ke situs web Anda.

Untuk mencegah hal ini, gunakan SFTP (protokol transfer file aman) atau SSH (shell aman; akses baris perintah) saat mengelola file di back end Anda. Protokol ini mengenkripsi data saat transit, melindunginya agar tidak dilihat atau disadap.

Untuk menggunakan SFTP atau SSH untuk transfer file, Anda perlu mengonfigurasi klien atau server FTP Anda untuk mendukung protokol ini. Kebanyakan web host juga mendukung hal ini.

Pemindaian dan pencadangan waktu nyata

Terlepas dari upaya terbaik Anda, malware masih bisa menyelinap masuk. Ketika terjadi kesalahan, pemindaian real-time dapat mendeteksi intrusi, sementara pencadangan memungkinkan penggantian jika malware berhasil merusak situs Anda.

1. Siapkan plugin keamanan atau sistem pemantauan

Anda tidak boleh menjalankan situs web Anda tanpa plugin keamanan atau platform pemantauan. Itu harus terus memantau aktivitas pengguna real-time yang mencurigakan, upaya login yang gagal, malware, dan indikator risiko lainnya.

Jetpack Scan akan memantau situs Anda 24/7 dan mengirimkan peringatan instan jika ada sesuatu yang salah. Hanya diperlukan perbaikan sekali klik untuk menghilangkan sebagian besar ancaman. Pemindaian juga dilengkapi dengan firewall aplikasi web dan tersedia sendiri atau sebagai bagian dari paket Keamanan Jetpack yang mencakup Jetpack Backup dan Akismet, serta fitur lainnya.

Sebagian besar web host juga menawarkan pemantauan keamanan bawaan yang melacak malware tingkat server dan serangan brute force yang melengkapi langkah-langkah keamanan di lapisan aplikasi.

Pastikan untuk sering meninjau log audit keamanan yang Anda peroleh dari alat dan plugin untuk mencari tanda-tanda masalah yang tidak ditandai oleh otomatisasi.

2. Instal firewall aplikasi web (WAF)

Firewall aplikasi web bertindak sebagai pelindung antara situs web Anda dan internet, serta dapat memantau dan memfilter lalu lintas berbahaya apa pun secara real-time. Ini dapat mencakup apa saja mulai dari upaya injeksi SQL dan serangan skrip lintas situs (XSS) hingga serangan DDoS.

WAF bertindak sebagai garis pertahanan yang dapat membantu melindungi dari banyak ancaman keamanan situs web paling umum yang akan Anda temui. Ini dapat diinstal sepenuhnya langsung ke server web Anda, atau melalui layanan berbasis cloud seperti firewall aplikasi web Jetpack.

Tinjau log yang dihasilkan secara berkala untuk mengetahui ancaman apa pun yang menghampiri Anda.

3. Cadangkan situs web Anda secara teratur

Pencadangan situs web reguler adalah pengaman Anda terhadap kehilangan data, gangguan, dan hal lain yang mungkin salah.

Anda harus melakukan pencadangan secara berkala. Faktanya, meskipun beberapa situs yang jarang diperbarui mungkin baik-baik saja dengan pencadangan harian, sebagian besar situs harus menggunakan pencadangan waktu nyata yang menyimpan setiap perubahan yang dilakukan.

File cadangan ini harus disimpan di luar server situs web Anda untuk memastikan data Anda tidak akan hilang jika terjadi kegagalan server atau eksploitasi keamanan. Itu sebabnya mengandalkan cadangan yang disediakan host saja bukanlah strategi yang aman.

Jetpack VaultPress Backup menawarkan solusi paling tangguh, dengan pencadangan real-time disimpan dengan aman di cloud melalui infrastruktur kelas atas yang sama dengan yang digunakan oleh WordPress VIP.

Bagian terbaiknya adalah, jika situs web Anda down, Anda dapat memulihkannya dengan satu klik. Dengan menggunakan aplikasi Jetpack atau akun WordPress.com, Anda dapat memulihkan situs hampir dari mana saja di dunia.

Sesederhana itu. Anda tidak ingin situs web Anda offline atau data Anda hilang. Anda memerlukan solusi otomatis yang akan melakukan pencadangan situs web dan basis data secara teratur sehingga Anda tidak perlu khawatir.

Anda hanya perlu mendapatkan Jetpack Backup . Anda bisa mendapatkan cadangan sendiri melalui plugin VaultPress khusus atau memanfaatkan solusi yang lebih komprehensif dengan paket Keamanan Jetpack.

Sorotan tentang Keamanan Jetpack untuk situs WordPress

Untuk pengguna WordPress yang mencari paket keamanan lengkap, Jetpack Security menawarkan rangkaian lengkap alat canggih yang dirancang untuk melindungi dari berbagai ancaman dan membantu Anda memulihkan diri dalam keadaan darurat.

Pemindaian kerentanan waktu nyata adalah salah satu fitur utama, yang menyediakan pemantauan 24/7 terhadap situs web Anda untuk setiap kerentanan atau pelanggaran yang sedang terjadi. Firewall aplikasi web yang selalu aktif disetel dengan sempurna untuk menangkap potensi ancaman sebelum menimbulkan kerusakan.

Selain itu, Jetpack Security menyediakan pencadangan otomatis dan real-time yang disimpan dengan aman di cloud. Jika terjadi sesuatu, pemulihan hanya dengan sekali klik.

Terakhir, Jetpack Security mendeteksi dan melindungi dari berbagai ancaman lainnya, mulai dari serangan brute force hingga kerentanan shell yang dapat dieksploitasi.

Melindungi situs web bukanlah tugas yang mudah, tetapi Jetpack Security mengotomatiskan bagian tersulit sehingga Anda tidak perlu lagi memikirkan beban kerja.

Kiat bonus: Hindari CAPTCHA untuk perlindungan spam

Meskipun CAPTCHA telah digunakan selama lebih dari dua dekade untuk mencegah spam, Anda pasti tahu betapa menjengkelkannya pengisian tersebut. Mengapa Anda menempatkan pengunjung Anda melalui hal itu? Lebih penting lagi, CAPTCHA dapat menghasilkan rasio pentalan yang tinggi dan konversi yang buruk.

Parahnya lagi, bot menjadi lebih baik dalam menyelesaikannya. Sebuah penelitian menunjukkan bahwa AI memecahkan CAPTCHA “anti robot” hampir 100% sepanjang waktu.

Pertimbangkan untuk menggunakan Jetpack Akismet Anti-spam, layanan pemfilteran spam canggih yang dirancang khusus untuk WordPress.

Akismet memanfaatkan kekuatan pembelajaran mesin untuk menganalisis komentar masuk dan pengiriman formulir, menyelamatkan situs Anda dari penerbitan konten berbahaya tanpa memerlukan keterlibatan apa pun dari pengguna.

Dengan mendeteksi dan memblokir spam secara otomatis, Akismet menjaga situs Anda terlihat mulus dan bebas dari spam tanpa menghalangi tujuan pemasaran Anda.

Ini tersedia sebagai plugin mandiri atau melalui paket Jetpack yang memenuhi syarat (termasuk Keamanan Jetpack!).

Bagaimana merespons pelanggaran keamanan situs web

Terlepas dari semua tindakan proaktif ini, sulit untuk menghentikan peretas yang benar-benar ingin melakukan peretasan. Mengetahui cara merespons dengan cepat dan efektif sangat penting untuk meminimalkan dampak pelanggaran.

1. Menyiapkan rencana tanggap insiden

Sebelum serangan siber terjadi, Anda harus memiliki rencana respons insiden yang terperinci. Hal ini akan menetapkan prosedur ketika Anda mengalami berbagai pelanggaran keamanan, sehingga memastikan respons yang cepat dan terorganisir.

Jika bisnis atau proyek Anda sangat kecil, atau jika Anda satu-satunya orang yang mengerjakannya, menyusun rencana tersebut dapat membantu memandu Anda melalui serangkaian langkah segera yang perlu Anda ambil untuk memperbaiki situs web Anda dan menunjukkan pintu kepada penyusup. .

Berikut beberapa pertimbangan untuk membuat dan mengelola rencana respons insiden:

• Tetapkan peran dan tanggung jawab untuk setiap orang atau sekelompok orang. Siapa yang segera dihubungi? Siapa yang memulihkan cadangan? Siapa yang menangani penghapusan malware?
• Pastikan ada jalur komunikasi yang jelas untuk menghubungi orang-orang tersebut, terlepas dari tingkat organisasi mereka.
• Kembangkan rencana respons langkah demi langkah untuk memandu tindakan Anda terhadap berbagai jenis insiden keamanan, mulai dari perusakan situs hingga serangan DDoS. Anda juga harus memiliki prosedur untuk mengatasi pelanggaran keamanan sehingga Anda tidak membiarkan lebih banyak kerusakan pada saat panik.
• Tinjau rencana respons insiden Anda secara rutin untuk memastikan rencana tersebut masih mutakhir dan dapat diterapkan jika diperlukan.
• Uji rencana respons insiden Anda, sama seperti pengkodean Anda, secara rutin untuk memastikan rencana tersebut kohesif dan mudah diikuti.

Mengambil tindakan proaktif seperti ini dapat meminimalkan waktu henti secara signifikan. Hal ini dapat menjelaskan perbedaan antara situs web yang tidak aktif selama berhari-hari dan situs web yang hanya tidak aktif selama beberapa jam.

2. Pindai situs web Anda

Setelah Anda menyadari adanya pelanggaran keamanan, pindai situs web Anda sepenuhnya dengan alat seperti Jetpack Scan untuk mengidentifikasi file berbahaya yang tersisa, pintu belakang, kode abnormal, izin file yang mencurigakan, pengguna tidak sah, atau tanda-tanda penyusupan lainnya.

3. Menahan dan memperbaiki pelanggaran tersebut

Setelah Anda mengidentifikasi sumber dan tingkat pelanggaran keamanan, segera ambil tindakan untuk menghilangkan semua jejak ancaman.

Jika Anda menginstal Jetpack Security atau yang serupa, ini biasanya merupakan cobaan sekali klik. Jika tidak ada yang lain, ini akan menghapus sebagian besar malware.

Sayangnya, malware dapat meninggalkan sisa-sisanya, membuka kerentanan, sehingga peretas dapat masuk kembali. Pemindai otomatis biasanya juga akan menangkapnya, namun tidak ada salahnya untuk memeriksa situs web Anda secara manual untuk melihat apakah ada sesuatu yang tidak biasa di sana.

Berikut beberapa tindakan potensial yang dapat diambil:

• Pertimbangkan untuk menjadikan situs web Anda offline untuk sementara jika situs tersebut dirusak atau secara aktif menyebarkan malware dan spam kepada pengunjung.
• Segera ubah kata sandi yang disusupi.
• Pulihkan cadangan.
• Jalankan kode situs web Anda untuk mencari cuplikan kode berbahaya yang sebelumnya tidak ada.
• Periksa file situs web Anda untuk mencari file baru. Periksa file yang ada untuk perubahan yang tidak sah.
• Periksa pengguna Anda apakah ada orang yang tidak berwenang, terutama mereka yang memiliki izin tingkat tinggi.
• Tambal kerentanan apa pun yang menyebabkan infeksi. Pemindai otomatis seharusnya dapat menunjukkan masalahnya.

Kemungkinan terburuknya, Anda mungkin perlu menyewa pengembang untuk memeriksa situs web Anda dan menghapus kode berbahaya yang masih ada.

Peran cadangan situs web dalam memitigasi pelanggaran

Jika ada satu langkah keamanan yang harus Anda ambil, itu adalah menginstal cadangan. Jika semuanya berjalan salah, setidaknya Anda dapat memulihkan situs web Anda ke kondisi sebelumnya tanpa kompromi.

Ini bukanlah solusi menyeluruh, karena beberapa bentuk malware dapat menyerang dan menginfeksi ulang situs web Anda. Selain itu, masalah seperti serangan DDoS atau sandi yang disusupi tidak akan terselesaikan sama sekali.

Namun jika Anda kehilangan banyak data atau situs web Anda rusak, pencadangan benar-benar dapat menyelamatkan bisnis Anda.

Itulah mengapa penting untuk melakukan pencadangan rutin di cloud.

Pertanyaan yang sering diajukan

Mari kita akhiri semuanya dengan beberapa pertanyaan yang mungkin masih ada di pikiran Anda.

Apa itu keamanan situs web?

Keamanan situs web adalah berbagai strategi dan protokol yang diterapkan untuk melindungi situs web dari ancaman dunia maya. Mulai dari memilih host yang aman hingga menyiapkan firewall aplikasi web.

Apa risiko jika situs web tidak aman?

Gagal mengamankan situs web Anda membuatnya rentan terhadap malware, pelanggaran data, serangan DDoS, dan bahkan situs web Anda dihapus seluruhnya. Selain merusak kata-kata keras Anda, hal ini juga dapat membahayakan pengunjung Anda dengan malware dan spam. Penghapusan malware juga bisa sangat sulit.

Mengapa backup penting untuk keamanan website?

Cadangan memungkinkan Anda memulihkan situs web Anda ke kondisi sebelumnya. Ini berguna jika terjadi infeksi malware, gangguan, atau kehilangan data.

Apakah ada masalah keamanan khusus yang hanya terjadi pada situs WordPress?

Plugin dan tema yang tidak aman dapat menjadi vektor serangan, meskipun perangkat lunak yang terintegrasi dengan jenis situs apa pun bisa menjadi rentan jika tidak selalu diperbarui.

Bagaimana Jetpack Security membantu melindungi situs WordPress saya?

Jetpack Security menawarkan perlindungan situs web komprehensif yang dirancang khusus untuk melindungi WordPress dari berbagai ancaman. Dari pencadangan cloud real-time hingga firewall aplikasi web yang canggih, Jetpack Security membantu Anda mengatasi masalah umum.

Bagaimana cara mengatur Keamanan Jetpack di situs WordPress saya?

Untuk mendapatkan manfaat Keamanan Jetpack, Anda perlu menginstal plugin Jetpack gratis dan membuat akun WordPress.com untuk menghubungkannya. Dari sana, Anda dapat membeli Jetpack Security atau komponen apa pun yang Anda inginkan untuk melindungi situs WordPress Anda.

Di mana saya dapat mempelajari lebih lanjut tentang Keamanan Jetpack?

Jika Anda ingin mempelajari lebih lanjut tentang mengamankan situs web Anda dengan Jetpack, plugin WordPress terbaik, Anda dapat membaca semua tentang Jetpack Security di situs web. Plugin ini dirancang sebagai solusi komprehensif untuk semua kebutuhan keamanan Anda.