Cara Melindungi Situs WooCommerce Anda (Langkah + Alat Keamanan)

Diterbitkan: 2021-09-30
how to protect your woocommerce site

Apakah Anda ingin mengamankan toko WooCommerce Anda di atas dan di luar langkah-langkah keamanan WordPress biasa?

Anda benar untuk melakukannya. Keamanan WooCommerce adalah permainan bola yang berbeda karena Anda akan menangani data sensitif seperti pembayaran dan informasi pengguna pribadi.

Toko online adalah target yang menguntungkan bagi peretas, dan karena sebagian besar pemilik bisnis tidak menganggap serius keamanan, mereka juga menjadi sasaran empuk. Yang lebih meresahkan adalah 60% bisnis online yang menghadapi pelanggaran data gulung tikar dalam waktu 6 bulan.

Setelah diretas, ini adalah jalan pemulihan yang sulit dan mahal. Jadi cara terbaik ke depan adalah bersiap dengan tindakan preventif dan proaktif.

Dalam panduan ini, kami akan menunjukkan cara melindungi situs web WooCommerce Anda dari segala sisi sehingga peretas tidak memiliki peluang untuk menerobos masuk.

Apakah WooCommerce Aman?

Ya, WooCommerce adalah platform aman untuk toko eCommerce. Ini memiliki banyak langkah keamanan bawaan untuk menjaga situs web Anda dan datanya tetap aman. Plugin ini juga didukung oleh tim ahli dan dipelihara secara teratur untuk memastikannya memenuhi standar keamanan yang terus berkembang.

Namun, itu tidak dapat melindungi Anda dari ancaman keamanan eksternal seperti kerentanan dalam tema dan plugin pihak ketiga, serangan brute force, dan serangan DDoS. Anda harus mengambil tindakan sendiri untuk mengamankan situs Anda dari risiko ini.

Mengapa Keamanan WooCommerce Sangat Penting

Setiap situs web menghadapi ancaman dunia maya dan risiko diretas. Dan semua situs web perlu mengambil langkah-langkah keamanan yang memadai untuk melindungi situs web mereka.

Yang mengatakan, ada daftar alasan mengapa toko WooCommerce berada pada risiko yang lebih besar.

  • Menangani data pengguna yang sensitif: Pelanggan membagikan info pembayaran, detail kartu kredit, alamat pengiriman, dan detail pribadi yang perlu Anda jaga kerahasiaannya. Jika informasi ini dicuri, dapat dijual di pasar gelap dan pelanggan Anda dapat menjadi korban spam pemasaran dan penipuan.
  • Data bisnis penting: Saat Anda mengumpulkan pembayaran untuk produk, Anda tidak dapat menghapus atau kehilangan informasi pesanan apa pun seperti item, pengiriman, dan detail kontak. Pelanggan dapat menandai Anda sebagai penipu jika Anda menerima pembayaran dan tidak mengirimkannya.
  • Risiko penipuan dan penipuan: Peretas dapat membajak situs Anda dan menjual barang palsu, mengalihkan lalu lintas Anda, dan menipu pelanggan.

Pelanggan mengharapkan Anda menerapkan langkah-langkah keamanan yang tepat. Ketika bisnis menghadapi pelanggaran data, mereka kehilangan semua kepercayaan dan keyakinan yang mereka bangun dengan pelanggan mereka.

Pada akhirnya, Anda akan kehilangan pelanggan, reputasi, dan bisnis Anda. Dengan begitu banyak yang dipertaruhkan, keamanan idealnya harus menjadi prioritas utama.

Sekarang setelah Anda mengetahui betapa pentingnya keamanan WooCommerce, mari selami langkah-langkah yang perlu Anda ambil untuk memastikan situs eCommerce Anda aman.

Bagaimana Saya Membuat Situs WooCommerce Saya Aman?

Ancaman dunia maya terus berkembang dan peretas menemukan cara baru untuk membobol situs web dengan cepat. Jadi langkah-langkah keamanan tradisional tidak memotongnya lagi.

Berikut adalah 7 tips keamanan WooCommerce untuk mengamankan toko online Anda segera.

  1. Gunakan host yang bereputasi baik
  2. Aktifkan alat keamanan penting
  3. Lindungi login WooCommerce
  4. Dasbor WooCommerce yang aman
  5. Gunakan formulir checkout yang aman
  6. Kelola tema dan plugin WooCommerce
  7. Simpan cadangan WooCommerce waktu nyata

Di bawah ini, kami telah merinci cara menerapkan langkah-langkah ini. Kami juga memberi tahu Anda apa yang perlu Anda perhatikan secara khusus untuk keamanan WooCommerce.

1. Gunakan Tuan Rumah yang Terkemuka

Penyedia hosting web Anda adalah tempat pertama untuk memulai karena di situlah file dan database situs web Anda disimpan.

Tanpa keamanan hosting yang tepat, seluruh situs web Anda dapat terkena peretas dan mata publik.

Meskipun paket hosting murah memungkinkan Anda menghemat beberapa sen, itu tidak sepadan. Idealnya, Anda menginginkan web host yang menangani keamanan, fungsionalitas, dan kebutuhan hosting yang khusus untuk WooCommerce.

Bluehost adalah perusahaan web hosting terbaik dan juga secara resmi direkomendasikan oleh WordPress.org.

bluehost woocommerce plans

Bluehost menawarkan paket hosting yang dirancang untuk toko WooCommerce. Paket WooCommerce mereka mulai dari hanya $12,95 per bulan. Anda juga akan mendapatkan nama domain dan sertifikat SSL gratis. Selain itu, dengan paket ini, Anda mendapatkan:

  • WordPress dan WooCommerce sudah diinstal
  • Tema Storefont sudah terpasang
  • Toko online yang sepenuhnya dapat disesuaikan
  • Gerbang pembayaran yang aman
  • CDN penambah kecepatan gratis
  • Pemindaian malware harian otomatis
  • Pencadangan situs web harian gratis
  • Pemantauan waktu henti
  • Analisis lalu lintas situs web

Dengan paket Bluehost WooCommerce, sebagian besar detail keamanan Anda telah ditangani.

Plus, Anda akan mendapatkan bandwidth dan ruang penyimpanan yang cukup untuk menjalankan toko WooCommerce Anda tanpa hambatan.

Untuk lebih lanjut tentang hosting WooCommerce, lihat kumpulan paket hosting WooCommerce terbaik kami untuk membandingkan apa yang tersedia di pasar.

2. Aktifkan Alat Keamanan Esensial

Peretas terus-menerus berkeliaran mencoba meretas situs web. Mereka melakukan ini dengan memprogram pemindai dan bot berbahaya untuk menemukan situs yang rentan.

Cara terbaik untuk mengatasi ini adalah dengan menggunakan alat keamanan dengan pemindaian malware, firewall, dan enkripsi data.

1. Gunakan plugin keamanan WordPress

Untuk memulainya, Anda harus mengaktifkan plugin keamanan di situs Anda. Plugin ini biasanya menggabungkan firewall, pemindai malware, dan pembersih malware.

Ada banyak plugin keamanan tetapi tidak semuanya memberi Anda perlindungan yang Anda butuhkan. Anda memerlukan plugin yang secara otomatis memindai, memantau, dan memblokir potensi ancaman sebelum mereka dapat mengakses situs Anda.

Plugin keamanan WooCommerce teratas di pasar adalah Sucuri.

sucuri dashboard

Setelah Anda menambahkan plugin keamanan lengkap ini ke situs Anda, Sucuri akan:

  • Tambahkan firewall yang kuat untuk menyaring lalu lintas yang buruk
  • Pindai dan pantau spam dan kode berbahaya secara teratur
  • Periksa daftar hitam dengan mesin pencari dan otoritas lainnya
  • Pantau waktu aktif situs web
  • Deteksi perubahan yang dibuat pada DNS (sistem nama domain) dan SSL
  • Mengirimi Anda peringatan keamanan instan melalui email, SMS, Slack, dan RSS

Dengan Sucuri, Anda juga dapat menambahkan rekomendasi tindakan keamanan dari dasbor Anda.

apply and revert hardening

Anda dapat menerapkan tindakan pengerasan ini dengan satu klik. Ini termasuk langkah-langkah teknis seperti memblokir file PHP di direktori yang tidak perlu.

Sucuri memberi Anda pengaturan keamanan yang kuat tetapi harganya mahal $ 199,99 per tahun. Jika itu di luar anggaran Anda, Anda dapat mencoba plugin keamanan lain seperti:

  1. Keamanan iThemes
  2. Keamanan Anti Peluru
  3. Kunci Situs
  4. MalCare

Saat memilih plugin keamanan, pastikan itu memberi Anda semua fitur yang Anda butuhkan untuk melindungi toko WooCommerce Anda. Investasi ini sepadan karena pembersihan dan pemulihan malware akan jauh lebih mahal.

2. Instal Sertifikat SSL

Situs web WordPress Anda mentransfer data antara browser dan server setiap kali pengunjung datang ke situs Anda. Sertifikat SSL akan mengenkripsi data ini sehingga jika peretas berhasil mencuri data saat sedang transit, mereka tidak dapat melakukan apa pun dengannya karena akan terlihat seperti omong kosong.

Saat Anda mengaktifkan SSL, Anda akan melihat gembok di sebelah URL Anda di bilah alamat browser. Website Anda juga akan menggunakan HTTPS yang merupakan protokol aman untuk mentransfer data.

https-padlock-with-ssl

Beberapa penyedia hosting web akan menangani SSL untuk Anda atau mengizinkan Anda membelinya dengan biaya yang wajar.

Anda juga bisa mendapatkan sertifikat SSL dari penyedia seperti:

  • Lets Encrypt – Sertifikat gratis dan hemat anggaran
  • SSL.com – Perlindungan yang memadai mulai dari $36,75 per tahun
  • DigiCert – Sertifikat keamanan tinggi dengan berbagai harga

Pilihan bagus lainnya adalah menggunakan plugin SSL Benar-Benar Sederhana. Itu membuatnya sangat mudah untuk menginstal sertifikat SSL Anda sendiri.

3. Lindungi Login WooCommerce

Salah satu area yang paling ditargetkan dari situs WooCommerce Anda adalah halaman login Anda. Peretas menggunakan metode yang disebut serangan brute force untuk menebak kredensial Anda dan cukup masuk.

Jadi ini adalah salah satu area yang paling penting untuk diamankan dan ada banyak cara untuk melakukannya.

1. Terapkan Kredensial Aman Setiap Saat: Peretas sangat mengetahui nama pengguna umum seperti 'admin' atau nama Anda sendiri sehingga memudahkan mereka untuk menebaknya. Pastikan Anda menggunakan nama admin yang unik dan kata sandi yang kuat dengan huruf, angka, dan simbol sehingga sulit untuk dibobol.

strong password

Saat Anda membuat kata sandi, WordPress akan menampilkan peringatan untuk kata sandi yang lemah. Anda dapat mengikuti tingkat kekuatan untuk memastikan Anda membuat kata sandi yang kuat.

2. Kedaluwarsa Kata Sandi Secara Teratur: Dengan akun online apa pun, Anda harus mengubah kata sandi Anda secara teratur. Anda dapat menggunakan plugin seperti Expire User Passwords.


contoh kata sandi kedaluwarsa

Ini akan secara otomatis memaksa setiap pengguna di situs Anda untuk mengubah kata sandi secara berkala sebelum mereka dapat masuk kembali.

Batasi Upaya Masuk: Anda dapat membatasi jumlah upaya yang harus dilakukan pengguna untuk memasukkan kredensial dan login yang benar. Ini berarti peretas hanya akan mendapatkan 3 kali percobaan sebelum mereka harus melanjutkan.

Lost password in WordPress

3. Gunakan Otentikasi 2-Faktor: Ini menambahkan proses verifikasi 2 langkah ke login Anda di mana Anda perlu memberikan kode sandi satu kali yang dikirimkan kepada Anda secara real-time melalui SMS, email, atau aplikasi autentikator.

2fa-code-sucuri

Hal ini membuat sangat sulit bagi peretas untuk mendapatkan akses karena mereka tidak akan dapat memverifikasi diri mereka sendiri.

4. Batasi Akses ke Halaman Login: Anda dapat menyembunyikan halaman login Anda dan hanya mengizinkan pengguna tepercaya mengaksesnya. Semua pengguna lain akan secara otomatis diblokir untuk melihat halaman ini.

Jika Anda menggunakan Sucuri, di bawah tab Access Control di dasbor Anda, Anda dapat menambahkan alamat IP yang masuk daftar putih.

daftar putih di sucuri

Dengan mencentang kotak ini, Sucuri akan secara otomatis mengizinkan hanya pengguna tepercaya Anda untuk mengakses halaman login.

5. Tambahkan Otentikasi HTTP: Otentikasi HTTP menyembunyikan halaman login Anda dan menampilkan halaman kosong dengan kotak login di atasnya. Seorang pengguna harus memasukkan kredensial HTTP terlebih dahulu untuk mengakses halaman login.


otentikasi http

Untuk menambahkan ini ke situs Anda, login ke akun hosting web Anda, akses cPanel dan temukan 'Privasi Direktori' .

Privasi direktori

Di dalam, dari daftar folder, cari folder wp-admin dan edit.

edit privasi wpadmin

Pada halaman berikutnya, pertama, aktifkan opsi 'Password protect this directory' . Sekarang cPanel akan meminta Anda untuk menambahkan nama pengguna dan kata sandi.

tambahkan kata sandi ke direktori

Pastikan Anda menyimpan pengaturan Anda sebelum keluar dari halaman ini. Sekarang direktori admin WordPress Anda dilindungi kata sandi.

Saat Anda membuka halaman wp-admin, Anda akan melihat permintaan login untuk memasukkan nama pengguna dan kata sandi yang baru saja Anda buat.

4. Dasbor WooCommerce Aman

Sekarang jika peretas yang gigih masih dapat masuk ke panel admin WordPress Anda, Anda dapat mempersulit mereka untuk melakukan apa pun dengannya.

Jika mereka melakukan aktivitas yang mencurigakan, plugin keamanan Anda akan mencatatnya dan memperingatkan Anda. Selain itu, Anda dapat menambahkan langkah-langkah ini:

1. Terapkan Izin Peran Pengguna

Jika Anda memiliki banyak pengguna yang bekerja di situs WordPress Anda, Anda dapat membatasi izin yang mereka miliki sesuai dengan perannya.

Jika seorang peretas berhasil membajak akun anggota tim Anda, apa yang dapat mereka lakukan akan dibatasi.

WordPress memungkinkan Anda membuat peran untuk:

  • Admin super
  • Administrator
  • Editor
  • Pengarang
  • Penyumbang
  • pelanggan

Peran paling kuat dengan kartu akses semua adalah admin super dan admin. Kami merekomendasikan untuk memiliki admin sesedikit mungkin.

2. Auto-logout Pengguna Tidak Aktif

Trik lain yang digunakan peretas adalah membajak sesi penelusuran dan mencuri cookie. Ini memungkinkan mereka mengakses situs Anda melalui akun pengguna aktif tanpa Anda sadari.

Cara terbaik untuk mengatasinya adalah dengan logout pengguna yang tidak aktif secara berkala.

Banyak plugin keamanan memiliki fitur keluar sesi idle atau Anda dapat menggunakan plugin Logout Tidak Aktif.

3. Nonaktifkan Plugin dan Editor Tema

Jika peretas telah membobol situs Anda, mereka menggunakan plugin dan editor tema untuk langsung mengakses kode situs web Anda.

nonaktifkan editor plugin

Dalam kebanyakan kasus, Anda tidak memerlukan editor ini sehingga Anda cukup menonaktifkannya. Jika Anda menggunakan Sucuri, Anda dapat menambahkan ukuran ini hanya dengan satu klik di bawah tindakan Pengerasan WordPress.

Untuk menonaktifkannya sendiri, kami sarankan mengikuti panduan ini dari WPBeginner: Cara Menonaktifkan Editor Tema dan Plugin dari Panel Admin WordPress.

5. Gunakan Formulir Checkout Aman

Saat formulir dikirimkan di situs Anda, data pelanggan dikirim ke database MySQL Anda untuk diproses. Jika formulir Anda tidak aman, peretas dapat memasukkan kode berbahaya ke bidang formulir Anda. Ini kemudian akan menyusup ke database Anda dan situs Anda akan terinfeksi malware.

Anda dapat memastikan ini tidak terjadi dengan menggunakan formulir web yang aman. WPForms adalah pembuat formulir WordPress #1 yang memiliki keamanan bawaan untuk setiap formulir yang Anda buat.

anti spam protection in WPForms

Baik itu formulir kontak atau checkout, perlindungan anti-spam sudah diaktifkan.

Dan jika Anda ingin menambahkan lapisan perlindungan ekstra, WPForms memungkinkan Anda mengaktifkan CAPTCHA di formulir Anda.

Advanced noCaptcha and Invisible Captcha

Seorang pengguna harus memecahkan teka-teki kecil atau mencentang kotak untuk membuktikan bahwa mereka manusia. Ini dapat memblokir bot dari mengirimkan formulir Anda.

6. Kelola Tema dan Plugin WooCommerce

Plugin dan tema dibuat oleh pengembang pihak ketiga, jadi penting bagi Anda untuk hanya menggunakan perangkat lunak tepercaya. Sebagai pemilik toko online, Anda tidak boleh memilih plugin dan tema nulled. Mereka hampir selalu datang dengan malware pra-instal yang akan menginfeksi situs Anda begitu Anda menginstalnya

Selain itu, plugin, tema, dan bahkan instalasi inti WordPress Anda mendapatkan pembaruan secara teratur. Anda akan melihatnya di dalam dasbor WordPress Anda saat tersedia:

updates in wordpress

Pembaruan biasanya membawa perbaikan bug, fitur baru, dan peningkatan perangkat lunak. Namun ada kalanya pengembang menemukan kerentanan dan masalah keamanan. Mereka memperbaikinya dan merilis versi perangkat lunak baru yang diperbarui. Ini dikenal sebagai patch keamanan.

Anda dapat melihat apakah pembaruan membawa patch keamanan dengan melihat detail pembaruan.

view version details of update

Jika Anda melihatnya sebagai pembaruan keamanan, jalankan segera untuk memperbarui ke versi terbaru. Dengan melakukan itu, Anda akan menghindari risiko apa pun dari kerentanan.

security update

Jika Anda khawatir bahwa pembaruan dapat merusak situs Anda, Anda dapat menguji pembaruan di situs pementasan dan kemudian menjalankannya di situs langsung Anda.

7. Simpan cadangan WooCommerce waktu nyata

Cadangan adalah jaring pengaman Anda dan mutlak penting. Ketika terjadi kesalahan, Anda dapat menggunakan salinan cadangan WordPress untuk memulihkan situs Anda.   Untuk toko WooCommerce, kami tidak menyarankan menggunakan cadangan gratis atau cadangan host web. Fitur yang mereka tawarkan tidak cukup.

Pertama, solusi pencadangan Anda perlu mendukung WooCommerce. Ada beberapa alat yang tidak mencadangkan tabel database WooCommerce.

Selanjutnya, Anda memerlukan pencadangan waktu nyata otomatis. Ini akan memastikan bahwa setiap pesanan baru yang dilakukan akan segera disimpan sehingga Anda tidak akan kehilangan informasi transaksi apa pun.

Dan hal lain yang harus dicari adalah teknologi tambahan. Ini berarti hanya akan mencadangkan perubahan dan menambahkannya ke salinan cadangan alih-alih menjalankan seluruh cadangan setiap kali.

Dengan itu, kinerja dan kecepatan situs web Anda tidak akan pernah terpengaruh oleh proses pencadangan berat yang berjalan di latar belakang.

Selain itu, berikut adalah beberapa fitur yang akan Anda manfaatkan:

  • Penyimpanan di luar lokasi
  • Penyimpanan beberapa lokasi
  • Cadangan terenkripsi
  • 1-klik pulihkan
  • Dasbor independen

UpdraftPlus adalah plugin cadangan terbaik untuk situs WordPress. Tetapi kami menyarankan untuk menggunakan plugin cadangan yang menawarkan pencadangan inkremental waktu nyata bersama dengan arsip 365 hari. Anda bisa mendapatkannya dengan Jetpack Backups atau BlogVault.

Mereka memiliki paket yang didedikasikan untuk situs WooCommerce dan memastikan file dan database WooCommerce Anda selalu dicadangkan.

Untuk opsi lainnya, lihat perbandingan plugin cadangan WordPress terbaik kami.

Itu saja yang kami miliki untuk Anda hari ini. Kami harap posting ini telah memberi Anda semua yang Anda butuhkan untuk mengamankan situs WooCommerce Anda.

Untuk informasi lebih lanjut tentang keamanan WooCommerce, lihat sumber daya kami di:

  • Panduan Keamanan WordPress Lengkap (Ramah untuk Pemula)
  • 5 Pemindai Kerentanan WordPress Terbaik Untuk Menemukan Ancaman
  • 9 Plugin Log Aktivitas Terbaik untuk Melacak dan Mengaudit Situs WordPress Anda

Posting ini akan memberi Anda lebih banyak peluang untuk menutup kerentanan dan melindungi situs web Anda sehingga Anda dapat menjalankan toko Anda dengan tenang.