WordPress Diretas: 7 Tanda Peringatan Yang Harus Diperhatikan

Diterbitkan: 2021-09-29

Salah satu situasi paling membuat frustrasi dan stres yang pernah Anda alami sebagai pemilik situs WordPress adalah mengetahui bahwa situs Anda telah diretas. Satu menit situs Anda bersenandung, mendatangkan lalu lintas dan, semoga, pendapatan. Dan kemudian, hal berikutnya yang Anda tahu, Anda menemukan ada sesuatu yang sangat salah dengan situs WordPress Anda.

Sayangnya, kenyataan bahwa situs WordPress Anda dapat diretas perlu ditangani seefisien dan seefektif mungkin untuk memastikan hal itu tidak pernah terjadi. Karena jika Anda menghadapi situs web yang diretas, Anda mungkin akan bertanya pada diri sendiri mengapa situs Anda, khususnya, menjadi target serangan berbahaya dan bagaimana cara mendapatkannya kembali secepat mungkin.

Peretasan WordPress datang dalam berbagai bentuk, bentuk, dan ukuran. Ini berarti, sebagai pemilik situs WordPress, penting untuk mengetahui semua alasan umum mengapa situs WordPress dapat berhasil diretas. Dalam panduan ini, kami akan membahas alasan umum situs WordPress diretas bersama dengan langkah-langkah sederhana yang dapat Anda ambil untuk mengamankan situs Anda.

Dalam panduan ini

    Menemukan diri Anda bertanya “ Apakah situs WordPress saya diretas? ” berarti Anda menginginkan jawaban cepat. Dalam posting ini, kami membahas tujuh tanda infeksi dan apa yang harus dilakukan jika Anda mengetahui bahwa Anda telah diretas.

    Semakin cepat Anda melihat tanda-tanda pelanggaran situs web, semakin cepat Anda bisa membersihkan situs Anda. Semakin cepat Anda dapat membersihkan situs web Anda, semakin sedikit kerusakan yang dapat dilakukan peretasan pada situs web Anda. Catatan: Dua hal yang kami sebutkan sedikit dalam posting ini adalah pentingnya cadangan WordPress yang solid dan solusi keamanan WordPress. Kami sangat menyarankan untuk menginstal dan mengaktifkan plugin keamanan WordPress dan plugin cadangan WordPress sesegera mungkin.

    7 Tanda Situs WordPress Anda Diretas Infografis

    Tidak semua peretasan memiliki tujuan yang sama, jadi tanda-tanda peretasan situs web akan bergantung pada motif penyerang. Berikut adalah 7 gejala berbeda yang perlu Anda waspadai saat memantau kesehatan situs Anda.

    Apakah Situs WordPress Saya Diretas?

    1. Beranda Anda Berbeda

    Perubahan pada beranda Anda tampak seperti tanda yang jelas. Tetapi berapa kali Anda benar-benar menjalankan pemeriksaan menyeluruh atau beranda Anda? Saya tahu saya biasanya langsung menuju URL login saya dan bukan URL rumah saya. Dari sana, saya masuk, memperbarui situs saya atau mengedit posting. Setelah saya menyelesaikan apa yang harus saya lakukan, saya sering pergi tanpa melihat halaman beranda situs web saya.

    Tujuan utama dari beberapa peretasan adalah untuk menjebak situs web atau mendapatkan ketenaran. Jadi mereka hanya mengubah beranda Anda menjadi sesuatu yang mereka anggap lucu atau membiarkannya diretas dengan kartu panggil.

    Jika Anda melihat perubahan pada beranda Anda, Anda dapat memulihkan situs web Anda dengan cepat dan mudah menggunakan file cadangan yang dibuat dengan plugin cadangan WordPress tepercaya seperti BackupBuddy.

    2. Performa Situs Web Anda Turun

    Situs Anda mungkin terasa lamban saat terinfeksi. Anda dapat mengalami pelambatan di situs web Anda jika Anda mengalami serangan brute force atau jika ada skrip berbahaya yang menggunakan sumber daya server Anda untuk penambangan cryptocurrency. Demikian pula, DDoS (atau serangan penolakan layanan ) terjadi ketika jaringan IP secara bersamaan mengirimkan permintaan ke situs web Anda dalam upaya untuk menyebabkannya mogok.

    Jika situs Anda berjalan lambat, periksa log akses server untuk jumlah permintaan yang tidak terduga. Anda juga dapat menggunakan firewall aplikasi web seperti yang disediakan oleh Sucuri untuk membantu melindungi situs web Anda dari serangan DDoS.

    Perhatikan bahwa penurunan kinerja tidak berarti seseorang meretas situs Anda. Anda mungkin hanya memerlukan beberapa tip tentang cara mempercepat situs WordPress. Fitur Pemindaian Malware WordPress plugin iThemes Security akan membantu mengidentifikasi skrip yang mencurigakan.

    3. Situs Web Anda Berisi Iklan Popup Berbahaya atau Spam

    Ada kemungkinan besar peretas telah menyusup ke situs web Anda jika pengunjung Anda melihat munculan yang mengarahkan mereka ke situs web jahat. Tujuan dari jenis serangan ini adalah untuk mengarahkan lalu lintas dari situs Anda ke situs penyerang sehingga mereka dapat menargetkan pengguna dengan penipuan klik untuk iklan Pay Per Click.

    Hal yang paling membuat frustrasi tentang jenis peretasan ini adalah Anda mungkin tidak dapat melihat munculan. Peretasan popup dapat dirancang untuk tidak ditampilkan kepada pengguna yang masuk, yang mengurangi kemungkinan pemilik situs web melihatnya. Jadi meskipun pemilik situs logout, popup tidak akan pernah ditampilkan.

    Tampilan popup Anda juga dapat dibatasi jika Anda menggunakan ekstensi pemblokir iklan di browser Anda. Misalnya, pelanggan melaporkan peretasan sembulan dan membagikan tangkapan layar serta video sembulan. Setelah saya menghabiskan berjam-jam menelusuri situs web mereka, saya tidak dapat membuat ulang apa pun yang mereka laporkan. Saya yakin bahwa komputer pribadi mereka telah diretas dan bukan situs webnya. Akhirnya, saya sadar mengapa saya tidak dapat melihat popup. Saya telah memasang ekstensi pemblokir iklan di browser saya. Segera setelah saya menonaktifkan ekstensi pemblokir iklan, saya dapat melihat munculan di mana-mana. Saya membagikan kisah memalukan ini untuk semoga menyelamatkan Anda dari kesalahan yang sama. Plugin keamanan WordPress seperti plugin iThemes Security memungkinkan Anda untuk mengawasi log keamanan situs web Anda untuk perubahan file, login, dan perubahan yang dibuat oleh pengguna.

    4. Anda Melihat Penurunan Lalu Lintas Situs Web

    Jika Anda masuk ke akun Google Analytics dan Anda melihat penurunan tajam dalam lalu lintas situs web, situs WordPress Anda dapat diretas. Penurunan lalu lintas situs layak untuk diselidiki. Mungkin ada skrip berbahaya di situs Anda yang mengalihkan pengunjung dari situs Anda atau Google mungkin sudah memasukkan situs web Anda ke daftar hitam sebagai situs jahat.

    Hal pertama yang ingin Anda cari adalah lalu lintas keluar situs web Anda. Dengan melacak situs web Anda dengan Google Analytics, , Anda perlu mengonfigurasi situs Anda untuk melacak lalu lintas yang meninggalkan situs Anda. Cara termudah untuk memantau lalu lintas keluar di situs WordPress Anda adalah dengan menggunakan plugin WordPress Google Analytics. Plugin Google Analytics yang baik akan memungkinkan Anda untuk melacak aktivitas tertentu dengan mengklik tombol. Jika Anda menemukan situs web Anda telah masuk daftar hitam oleh Google, ikuti langkah-langkah ini untuk cara menghapus peringatan daftar hitam Google.

    5. Perubahan File Tak Terduga

    Jika file di situs web Anda telah diubah, ditambahkan, atau dihapus, itu bisa menjadi tanda bahwa situs Anda telah disusupi. Itulah mengapa penting untuk memiliki sistem notifikasi untuk mengingatkan Anda tentang perubahan file situs web. Anda dapat menyelidiki setiap perubahan yang tidak terduga dengan membandingkan file yang diubah dengan versi di cadangan terbaru.Fitur Pemindaian Perubahan File Pro Keamanan iThemes akan memberi tahu Anda tentang setiap perubahan yang dibuat pada situs Anda.

    Menggunakan plugin keamanan WordPress seperti iThemes Security dapat membantu Anda melacak perubahan file. Karena jumlah notifikasi yang dapat dihasilkan pengaturan ini, Anda dapat mengecualikan file dan direktori dalam pengaturan Deteksi Perubahan File. Tidak apa-apa untuk mengecualikan direktori yang Anda tahu akan diperbarui secara berkala. File cadangan dan cache adalah contoh sempurna dari ini dan mengecualikannya akan mengurangi jumlah notifikasi yang akan Anda terima.

    6. Pengguna Baru Tak Terduga

    Jika situs web Anda memiliki pendaftaran pengguna admin baru yang tidak terduga, itu pertanda lain bahwa situs WordPress Anda telah diretas. Melalui eksploitasi pengguna yang disusupi, penyerang dapat membuat pengguna admin baru. Dengan hak istimewa admin baru mereka, peretas siap menyebabkan kerusakan besar pada situs Anda.

    Pada bulan November 2018, kami memiliki beberapa laporan tentang pengguna admin baru yang dibuat di situs web pelanggan. Peretas menggunakan kerentanan di plugin Kepatuhan WP GDPR (kerentanan ditambal di versi 1.4.3) untuk membuat pengguna admin baru di situs WordPress yang menjalankan plugin. Eksploitasi plugin memungkinkan pengguna yang tidak sah untuk mengubah pendaftaran pengguna untuk mengubah peran pengguna baru default dari pelanggan menjadi admin. Sayangnya, ini bukan satu-satunya kerentanan dan Anda tidak bisa begitu saja menghapus pengguna baru yang dibuat penyerang dan menambal plugin.

    Jika Anda telah menginstal Kepatuhan WP GDPR dan WooCommerce, situs Anda mungkin telah disuntik dengan kode berbahaya. Penyerang dapat menggunakan penginstal latar belakang plugin WooCommerce untuk memasukkan penginstal pintu belakang ke dalam database. Jika situs Anda memiliki pintu belakang yang terpasang, Anda harus menghubungi spesialis perbaikan peretasan. Pilihan lain adalah menggunakan file cadangan untuk memutar kembali salinan situs web Anda sebelum pelanggaran menggunakan cadangan sebelumnya.

    7. Pengguna Admin Dihapus

    Jika Anda tidak dapat masuk ke situs WordPress Anda, bahkan setelah pengaturan ulang kata sandi, itu mungkin merupakan tanda infeksi yang serius.

    Ketika repo Gentoo Github diretas, hal pertama yang dilakukan penyerang adalah menghapus semua pengguna admin. Jadi bagaimana peretas ini bisa masuk ke akun Github mereka? Kata sandi pengguna admin Gentoo ditemukan di situs lain. Saya menduga bahwa nama pengguna dan kata sandi ditemukan baik melalui pengikisan atau dump basis data. Meskipun kata sandi admin untuk akun Github Gentoo mereka berbeda dari yang digunakan pada akun yang disusupi, itu sangat mirip. Jadi ini seperti saya menggunakan iAmAwesome2017 sebagai kata sandi di satu akun dan iAmAwesome2019 di situs lain. Jadi para peretas dapat mengetahui kata sandi dengan sedikit usaha. Seperti yang bisa kita lihat, Anda harus menggunakan kata sandi yang unik untuk setiap akun. Variasi sederhana dalam kata sandi Anda tidak cukup. Dengan menggunakan LastPass, Anda dapat membuat dan menyimpan kata sandi yang kuat dan unik dengan aman untuk setiap situs.

    Anda juga dapat mengaktifkan fitur Perangkat Tepercaya di iThemes Security Pro untuk membatasi kemampuan admin untuk masuk dari perangkat yang tidak tepercaya. Jika penyerang berhasil masuk ke situs Anda sebagai pengguna admin yang ada–baik dengan serangan brute force atau jika kredensial pengguna adalah bagian dari dump database–mereka tidak akan memiliki kemampuan admin penuh.

    Bahkan dengan kata sandi yang disusupi, pelanggaran ini dapat dicegah jika admin menggunakan otentikasi dua faktor. Otentikasi Dua Faktor memerlukan kode tambahan bersama dengan nama pengguna dan kredensial kata sandi Anda untuk masuk. iThemes Security Pro memungkinkan Anda mengaktifkan WordPress dua faktor menggunakan aplikasi seluler atau email untuk menerima kode tambahan akses Anda.

    Dapatkan infografisnya

    Mengapa Peretas Menargetkan Situs WordPress?

    Pertama, penting untuk dipahami bahwa peretas tidak hanya mengincar situs yang dibangun di platform CMS (sistem manajemen konten) WordPress. Faktanya, aman untuk mengatakan bahwa setiap situs di Internet, baik yang dibangun dengan WordPress atau tidak, memiliki kerentanannya sendiri dan terbuka terhadap potensi peretasan dan serangan berbahaya lainnya.

    Namun, situs web WordPress adalah target peretasan paling umum karena satu alasan sederhana: WordPress adalah alat pembuatan situs web yang paling banyak digunakan di dunia. Faktanya, WordPress saat ini mendukung 40% dari semua situs web yang dikenal.

    Ini berarti ada ratusan juta situs web yang diberdayakan WordPress saat ini membanjiri Internet. Popularitas luar biasa dari platform WordPress memberi peretas dengan niat jahat cara sederhana untuk menemukan situs web yang tidak memiliki protokol keamanan yang tepat, kemudian mengeksploitasinya untuk keuntungan mereka sendiri.

    Peretas cenderung memiliki berbagai motif berbeda ketika mereka memutuskan untuk meretas situs web. Beberapa peretas baru mempelajari “perdagangan” dan menargetkan situs web yang paling tidak aman dan paling rentan. Peretas lain mendekati upaya mereka dengan niat yang sangat jahat, seperti menyebarkan malware WordPress di situs Anda atau menggunakan situs Anda untuk menyerang situs web lain yang tidak curiga.

    Peretas lain masih menggunakan upaya mereka untuk mengirim spam informasi yang tidak diinginkan ke seluruh Internet. Sebagian besar dari kita telah melihat pesan spam semacam ini di bagian komentar blog, atau di kotak email kita setelah peretasan berhasil mengeksploitasi daftar email pengguna situs.

    Dengan dapat memperoleh informasi sensitif dan pribadi, peretas kemudian dapat menjualnya untuk mendapatkan penghasilan atau bahkan menahan tebusan data, yang pada dasarnya membuat orang membayar untuk mendapatkan kembali informasi mereka di tangan yang aman.

    Jadi, apa motivasi utama para hacker? Untuk menciptakan arus kas untuk diri mereka sendiri. Internet adalah tempat yang menguntungkan yang menawarkan semua lapisan masyarakat kesempatan untuk menghasilkan upah yang layak. Namun, itu tidak berarti semua orang melakukan ini dengan cara yang legal dan moralistik. Banyak peretas menghasilkan keuntungan tinggi bahkan dari situs web terkecil sekalipun.

    Uang adalah semua motivasi yang mereka butuhkan, tetapi beberapa menikmati perasaan kekuatan yang mereka dapatkan ketika mereka berhasil menembus situs web, tetapi sebagian besar berada dalam bisnis semata-mata untuk uang tunai.

    Apa itu Kerentanan WordPress?

    Kerentanan WordPress adalah kelemahan atau cacat pada tema, plugin, atau inti WordPress yang dapat dimanfaatkan oleh peretas. Dengan kata lain, kerentanan WordPress membuat titik masuk yang dapat digunakan peretas untuk melakukan aktivitas jahat.

    Perlu diingat bahwa peretasan situs web hampir semuanya otomatis. Karena itu, peretas dapat dengan mudah membobol sejumlah besar situs web dalam waktu singkat. Peretas menggunakan alat khusus yang memindai internet, mencari kerentanan yang diketahui.

    Peretas menyukai sasaran empuk, dan memiliki situs web yang menjalankan perangkat lunak dengan kerentanan yang diketahui seperti memberikan petunjuk langkah demi langkah kepada peretas untuk membobol situs web WordPress, server, komputer, atau perangkat lain yang terhubung ke internet.

    Laporan Kerentanan WordPress mingguan kami mencakup semua inti WordPress, plugin WordPress, dan kerentanan tema WordPress yang diungkapkan secara publik. Dalam ringkasan ini, kami membagikan nama plugin atau tema yang rentan, versi yang terpengaruh, dan jenis kerentanannya.

    Metode Umum yang Digunakan untuk Meretas Situs Web WordPress

    Peretas menggunakan titik masuk yang rentan untuk mendapatkan akses ke situs web. Titik masuk ini termasuk server hosting yang lemah, pintu belakang, dan bahkan halaman login WordPress melalui serangan brute force.

    • Backdoors – Peretas juga dapat membuat entri pintu belakang ke situs WordPress Anda. Ini berarti mereka membuat titik masuk tanpa harus melalui halaman login WordPress standar. Ada berbagai cara untuk membuat entri pintu belakang untuk mendapatkan akses tidak sah ke situs WordPress.
    • Serangan brute force – Bentuk serangan ini memanfaatkan metode paling sederhana untuk mendapatkan akses ke sebuah situs: dengan mencoba menebak nama pengguna dan kata sandi, berulang kali, hingga berhasil. Situs WordPress sangat rentan terhadap serangan brute force secara default karena sistem memungkinkan upaya login tanpa batas.
    • Cross-site scripting – Cross-site scripting (XSS) adalah jenis serangan malware yang dijalankan dengan mengeksploitasi kerentanan lintas situs di situs WordPress mana pun. Faktanya, ini adalah cara paling umum untuk meretas situs WordPress karena ada begitu banyak plugin WordPress yang memiliki kerentanan XSS.
    • Eksekusi kode jarak jauh – Istilah eksekusi kode jarak jauh (RCE) mengacu pada beberapa teknik peretasan dan serangan siber yang berbeda, tetapi semuanya memiliki satu kesamaan utama. RCE, kadang-kadang disebut sebagai injeksi kode, adalah cara yang semakin umum bagi peretas untuk menyusupi semua jenis situs web, termasuk situs yang menjalankan WordPress sebagai sistem manajemen konten mereka.
    • Injeksi SQLInjeksi SQL (SQLi) adalah serangan yang memungkinkan peretas memanfaatkan kueri SQL yang rentan untuk menjalankan kueri mereka sendiri. Injeksi SQL terjadi ketika penyerang dapat menjalankan SQL mereka sendiri di server.

    Mengapa Situs WordPress Diretas?

    Ada beberapa alasan umum mengapa situs web WordPress diretas. Mari kita upack masing-masing.

    Hosting Berkualitas Buruk

    Tidak semua host web dibuat sama dan memilih satu hanya berdasarkan harga dapat membuat Anda jauh lebih mahal dalam jangka panjang dengan masalah keamanan. Sebagian besar lingkungan hosting bersama aman, tetapi beberapa tidak memisahkan akun pengguna dengan benar.

    Host Anda harus waspada dalam menerapkan patch keamanan terbaru dan mengikuti praktik terbaik keamanan hosting penting lainnya yang terkait dengan keamanan server dan file.

    Sama seperti setiap situs web lain di dunia, situs yang berjalan di platform WordPress semuanya dihosting di server web. Ada beberapa perusahaan hosting yang mungkin Anda temui tidak dengan benar, atau sepenuhnya, mengamankan platform mereka dari serangan berbahaya.

    Jika situs Anda dihosting dengan perusahaan hosting yang tidak aman, situs Anda tidak hanya terbuka terhadap potensi peretasan, tetapi juga setiap situs lain yang dihosting di server mereka.

    Memilih penyedia hosting WordPress yang berkualitas akan membantu memastikan bahwa situs web Anda aman dan tidak terbuka untuk upaya peretasan yang di luar kendali Anda. Faktanya, server yang telah diamankan dengan benar akan dapat memblokir banyak upaya peretasan WordPress yang paling umum sebelum terlihat oleh Anda.

    Untuk mendapatkan perlindungan sebanyak mungkin dari peretasan dari penyedia hosting Anda, Anda mungkin ingin mempertimbangkan untuk menggunakan penyedia yang menawarkan paket hosting WordPress Terkelola yang andal.

    Pilih host yang memiliki reputasi baik untuk situs web Anda dengan catatan keamanan yang solid. Menemukan hosting WordPress yang dapat Anda percayai adalah kerentanan keamanan WordPress pertama yang harus Anda coba kurangi.

    Kata Sandi Lemah

    Kata sandi yang lemah adalah impian peretas yang menjadi kenyataan. Itu sebabnya kata sandi yang aman adalah salah satu kunci terbesar untuk menjaga situs WordPress Anda bebas dari peretasan.

    Sangat penting bagi Anda untuk menggunakan kata sandi yang sangat unik dan kuat untuk setiap akun di bawah ini. Salah satu dari mereka dapat mengizinkan peretas dengan niat buruk untuk mendapatkan akses ke situs Anda dan merusak reputasi dan merek Anda:

    • Setiap dan semua akun administrator WordPress
    • Panel kontrol hosting situs web Anda, atau cPanel, akun
    • Semua akun FTP
    • Basis data WordPress yang digunakan untuk memberi daya pada situs web Anda
    • Semua akun email yang digunakan untuk akun hosting atau admin WordPress Anda

    Setiap akun kunci ini dilindungi kata sandi dan perlu menerapkan kata sandi yang unik dan tidak dapat dipecahkan.

    Ketika Anda menggunakan kata sandi yang lemah yang dapat dengan mudah ditebak, itu membuatnya cukup mudah bagi peretas jahat untuk membuka lebar kata sandi Anda menggunakan alat peretasan yang sangat mendasar yang tersedia untuk hampir semua orang yang memiliki koneksi Internet.

    Masalah utama ini dapat dengan mudah dihindari hanya dengan menggunakan kata sandi yang kuat yang benar-benar unik untuk setiap login akun ini.

    Jika Anda belum memilikinya, pertimbangkan untuk menginstal pengelola kata sandi yang andal yang dapat membantu Anda menjaga semua kata sandi Anda tetap mutakhir tanpa perlu menuliskan semuanya di buku catatan. Tentu saja, jika Anda kesulitan menemukan kata sandi yang kuat dan unik, Anda juga dapat menggunakan pembuat kata sandi yang kuat atau Google dengan istilah “pembuat kata sandi yang tidak dapat dipecahkan” untuk menemukan berbagai alat online gratis yang dapat membantu Anda.

    Perlu diingat bahwa login WordPress Anda adalah kerentanan keamanan WordPress yang paling sering diserang karena memberikan akses termudah ke halaman admin situs Anda. Serangan brute force adalah metode paling umum untuk mengeksploitasi login WordPress Anda.

    Serangan brute force adalah upaya untuk menebak kombinasi nama pengguna dan kata sandi dengan benar untuk mendapatkan akses ke backend situs WordPress Anda. Serangan brute force bisa efektif karena WordPress tidak membatasi jumlah upaya login yang dapat dilakukan seseorang.

    Anda dapat memperkuat keamanan login WordPress Anda dengan menggunakan plugin keamanan WordPress seperti iThemes Security Pro untuk membatasi jumlah upaya login. Membatasi upaya login hanyalah langkah pertama dalam perlindungan brute force WordPress.

    Memperhatikan keamanan kata sandi WordPress Anda juga penting dalam mengamankan login WordPress Anda, dan inilah mengapa Anda harus menggunakan pengelola kata sandi untuk menghasilkan kata sandi acak yang kuat dan menyimpannya dengan aman. Memaksa setiap pengguna WordPress di situs Anda untuk menggunakan kata sandi yang kuat akan sangat mengurangi efektivitas serangan brute force.

    Tidak Memperbarui Inti, Tema & Plugin WordPress

    Saat situs WordPress Anda menjalankan versi plugin, tema, atau WordPress yang sudah ketinggalan zaman, Anda berisiko mengalami eksploitasi yang diketahui di situs Anda. Cara tercepat untuk meretas WordPress adalah melalui plugin, tema, atau inti yang sudah ketinggalan zaman. Pembaruan tidak hanya untuk fitur baru atau perbaikan bug; mereka juga dapat menyertakan patch keamanan untuk eksploitasi yang diketahui. Meskipun ini adalah kerentanan keamanan WordPress yang paling mudah untuk dicegah, sebagian besar peretasan yang berhasil menggunakan eksploitasi yang ditemukan dalam perangkat lunak yang sudah ketinggalan zaman.

    Ada ketakutan aneh dalam dunia pengembangan WordPress di antara banyak pemilik situs. Untuk beberapa alasan, banyak pengguna WordPress takut untuk memperbarui situs mereka ke versi WordPress terbaru. Ketakutannya, tampaknya, adalah bahwa dalam menjalankan pembaruan ke inti WordPress, mereka berisiko merusak situs mereka dan kehilangan semua pekerjaan mereka. Jalankan cadangan sebelum memperbarui jika ada masalah, tetapi perlu diingat bahwa cara tercepat untuk meretas WordPress adalah melalui plugin, tema, atau inti WordPress yang sudah ketinggalan zaman.

    Kenyataannya adalah bahwa setiap versi WordPress baru dirancang untuk memperbaiki bug dan semakin mengamankan Anda dari kerentanan dan potensi peretasan. Faktanya, jika Anda belum memperbarui perangkat lunak WordPress Anda sepenuhnya, Anda sebenarnya meninggalkan situs Anda jauh lebih rentan terhadap masalah daripada Anda dengan menghindari pembaruan.

    Jika Anda takut menjalankan pembaruan akan membahayakan situs Anda atau merusaknya sepenuhnya, penting untuk menjalankan plugin cadangan WordPress yang dapat langsung memulihkan situs Anda jika situasi terburuk terjadi.

    BackupBuddy adalah salah satu yang terbaik, dan termudah, solusi untuk menjaga situs WordPress Anda sepenuhnya didukung setiap saat. Jika ada yang tidak beres atau situs Anda rusak karena alasan apa pun, Anda dapat dengan cepat mengembalikan versi sebelumnya dan memulai dari awal.

    Anda dapat mengotomatiskan pembaruan di situs Anda Menggunakan fitur manajemen versi iThemes Security Pro WordPress. Mengotomatiskan pembaruan Anda memastikan Anda mendapatkan patch keamanan penting yang melindungi situs Anda dari kerentanan keamanan WordPress dan sebagai bonus, ini mengurangi jumlah waktu yang Anda habiskan untuk memelihara situs WordPress Anda.

    Dengan cara yang sama seperti yang baru saja kita bahas dengan menjaga perangkat lunak inti WordPress Anda terus diperbarui ke versi saat ini, hal yang sama berlaku untuk tema dan plugin yang Anda jalankan di situs Anda.

    Faktanya, menjaga agar tema dan plugin tetap diperbarui sama pentingnya dengan memperbarui WordPress. Jika Anda menggunakan tema atau plugin yang kedaluwarsa dari perbaikan keamanan WordPress saat ini, seluruh situs Anda lebih rentan terhadap upaya peretasan berbahaya.

    Bug dan kelemahan keamanan ditemukan dalam tema dan plugin setiap hari. Biasanya, pembuat tema dan plugin yang Anda gunakan dengan cepat merilis perbaikan ini dan menyediakannya untuk Anda. Namun, jika Anda memilih untuk tidak memperbarui perangkat lunak saat Anda diberitahu bahwa perubahan telah tersedia, tidak banyak yang dapat dilakukan pengembang untuk Anda.

    Sangat penting untuk selalu memperbarui semua plugin dan tema WordPress Anda. Dan lagi, jika Anda khawatir bahwa pembaruan dapat menyebabkan konflik internal dan merusak situs Anda, BackupBuddy telah membantu Anda sepenuhnya.

    Tidak Menggunakan Otentikasi Dua Faktor

    Selain menggunakan kata sandi yang kuat, menambahkan otentikasi dua faktor WordPress adalah salah satu metode terbaik untuk mengamankan login situs Anda. Otentikasi dua faktor mengharuskan pengguna untuk menggunakan token otentikasi selain nama pengguna dan kata sandi mereka untuk masuk ke WordPress.

    Bahkan jika nama pengguna dan sandi yang benar di-phishing langsung dari email pengguna, upaya login berbahaya masih dapat dicegah jika pengguna menggunakan aplikasi seluler untuk menerima token autentikasi mereka. Otentikasi dua faktor menambahkan lapisan keamanan yang sangat kuat ke situs WordPress Anda, dan dapat dengan mudah ditambahkan menggunakan plugin seperti iThemes Security.

    Faktanya, penelitian terbaru dari Google mengkonfirmasi menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis. Saya suka peluang itu. iThemes Security Pro memudahkan untuk menambahkan otentikasi dua faktor ke situs web WordPress.

    Menginstal Perangkat Lunak Dari Sumber Tidak Tepercaya

    Pencarian Google cepat akan menemukan lusinan situs web di seluruh web yang mencoba mendistribusikan tema dan plugin WordPress premium atau berbayar sepenuhnya gratis. Tentu saja, mudah tergoda untuk mengunduh dan memasang tema dan plugin “nulled” gratis di situs Anda untuk menghemat uang.

    Tetapi mengunduh plugin dan tema dari sumber yang sangat tidak dapat diandalkan ini sangat berbahaya bagi kesehatan situs Anda. Mereka tidak hanya akan membahayakan keamanan situs Anda, tetapi juga dapat dengan mudah digunakan oleh peretas untuk mencuri informasi yang sangat sensitif.

    Ingatlah untuk hanya mengunduh tema dan plugin dari sumber yang paling dapat diandalkan, seperti langsung dari pengembang yang membuatnya atau dari repositori resmi WordPress.

    Jika Anda tidak mampu membayar biaya produk premium atau tidak ingin membelinya, ada ribuan tema dan plugin gratis dan andal yang dapat Anda pilih. Meskipun versi gratisnya mungkin tidak terlalu menarik seperti versi berbayar, mereka tetap dapat membantu Anda mencapai apa yang ingin Anda lakukan dan menjaga situs Anda aman dari serangan.

    Anda bahkan mungkin dapat menemukan kode diskon pada beberapa tema dan plugin berbayar yang populer (dan aman) jika Anda meluangkan sedikit waktu untuk melihatnya.

    Hanya instal plugin dan tema WordPress dari sumber tepercaya. Anda hanya boleh menginstal perangkat lunak yang Anda dapatkan dari WordPress.org, repositori komersial terkenal atau langsung dari pengembang terkemuka. Anda akan ingin menghindari versi "nulled" dari plugin komersial karena mereka dapat berisi kode berbahaya. Tidak masalah bagaimana Anda mengunci situs WordPress Anda jika Anda yang menginstal malware.

    Jika plugin atau tema WordPress tidak didistribusikan di situs web pengembang, Anda harus melakukan uji tuntas sebelum mengunduh plugin. Jangkau pengembang untuk melihat apakah mereka berafiliasi dengan situs web yang menawarkan produk mereka dengan harga gratis atau diskon.

    Selain itu, hindari menggunakan plugin WordPress yang ditinggalkan. Jika ada plugin yang diinstal di situs WordPress Anda belum menerima pembaruan dalam enam bulan atau lebih, Anda mungkin ingin memastikannya tidak ditinggalkan. Plugin yang tidak memiliki pembaruan terkini tidak berarti telah ditinggalkan, itu bisa saja berarti fiturnya lengkap dan hanya akan menerima pembaruan untuk memastikan kompatibilitas dengan versi terbaru WordPress dan PHP.

    Bonus: Menjalankan Situs Web Non-SSL

    Saat seseorang mengunjungi situs WordPress Anda, jalur komunikasi antara perangkat mereka dan server Anda dimulai. Komunikasi bukan jalur langsung, dan informasi yang dikirimkan antara pengunjung dan server Anda berhenti beberapa kali sebelum dikirim ke tujuan akhirnya.

    Untuk lebih memahami cara kerja enkripsi, pertimbangkan cara pengiriman pembelian online Anda. Jika Anda pernah melacak status pengiriman, Anda telah melihat bahwa pesanan Anda berhenti beberapa kali sebelum tiba di rumah Anda. Jika penjual tidak mengemas pembelian Anda dengan benar, orang akan mudah melihat apa yang Anda beli.

    Saat pengunjung masuk ke situs WordPress Anda dan memasukkan informasi pembayaran, informasi ini tidak dienkripsi secara default. Jadi sama seperti pembelian Anda yang belum dikemas, ada kemungkinan kredensial login dan detail kartu kredit ditemukan di setiap pemberhentian antara komputer pengunjung dan server Anda.

    Untungnya, komunikasi yang tidak terenkripsi adalah salah satu kerentanan keamanan WordPress yang paling mudah untuk dimitigasi. Menambahkan sertifikat SSL ke Anda adalah cara yang bagus untuk mengenkripsi dan mengemas komunikasi di situs Anda untuk memastikan bahwa hanya penerima yang dituju yang dapat melihat informasi sensitif yang dibagikan. Host Anda mungkin menyediakan layanan untuk menambahkan sertifikat SSL ke situs WordPress Anda atau Anda dapat menambahkan sertifikat SSL sendiri.

    Jika Anda memutuskan untuk menggunakan rute do-it-yourself, saya akan merekomendasikan menggunakan certbot. Certbot membuatnya sangat mudah untuk menambahkan sertifikat Let's Encrypt ke situs Anda serta mengaturnya untuk memperbarui sertifikat SSL Anda secara otomatis. Anda juga dapat melihat pelatihan HTTPS WordPress kami untuk mempelajari cara menambahkan sertifikat SSL ke situs web Anda.

    Saya Telah Diretas – Sekarang Apa?

    Skenario yang kami lihat adalah ketika satu (atau lebih) file template tema telah disuntik dengan kode berbahaya. Kode tersebut kemudian dapat mempengaruhi (dan menginfeksi) file tema lain, atau bahkan file lain di server. Pada akun hosting bersama, ini dapat berarti bahwa situs Anda dapat terinfeksi melalui situs lain yang dihosting di server yang sama. Sekarang itu pikiran yang menakutkan.

    • Periksa semua file di instalasi WordPress Anda untuk memastikan bahwa tidak ada skrip yang tersisa di situs yang terus menyuntikkan kode berbahaya pada interval yang berbeda.
    • Ubah semua FTP, cPanel, semua kata sandi WordPress, dan garam dan kunci WordPress Anda. Jika serangan terjadi karena penyerang mendapatkan salah satu kredensial login admin Anda dan Anda tidak mengubahnya, tidak ada yang dapat mencegah mereka mengubah file secara otomatis lagi di kemudian hari.
    • Lakukan pemindaian menyeluruh terhadap semua sistem yang terhubung ke server Anda (melalui FTP atau metode lain). Ada virus yang beredar yang dapat mengendus detail login. Jadi, bahkan jika Anda mengubah semua kata sandi Anda, jika hanya satu sistem yang disusupi oleh virus seperti itu, semua server/situs yang terhubung ke sistem itu akan terus diserang.
    • Jika Anda memiliki cadangan WordPress yang Anda buat sebelum peretasan, Anda dapat mencoba memulihkan dari cadangan itu, memeriksa file untuk melihat apakah peretasan sudah ada, dan pergi dari sana.
    • Bersihkan secara menyeluruh setiap situs Anda. Jangan hanya menghapus satu modifikasi file yang terinfeksi atau menjalankan plugin pemindai. Telusuri setiap direktori di situs Anda dan cari file yang mencurigakan. Anda mungkin ingin berbicara dengan perusahaan hosting Anda dan/atau menyewa konsultan seperti Sucuri untuk membantu proses ini. Jika bahkan satu file yang disusupi atau skrip yang ditempatkan secara diam-diam tetap ada di situs, ini dapat digunakan oleh penyerang untuk secara otomatis menyusupi situs Anda lagi.
    TIPS: Jangan pergi sendirian. Hubungi dukungan cadangan Anda, dukungan hosting Anda, dan opsi dukungan lainnya. Komunitas WordPress mungkin juga dapat membantu. Tetapi ketika semuanya gagal, temukan perusahaan pendukung situs web WordPress terkemuka untuk membantu Anda memerangi peretasan.

    Cara terbaik untuk menghindari blues yang diretas WordPress adalah dengan menyanyikan lagu yang berbeda.

    Lindungi dan Amankan Situs Web Anda dari Peretasan WordPress

    Mengetahui betapa berbahayanya jika situs web Anda disusupi dapat menjadi katalis yang Anda butuhkan untuk mulai menerapkan strategi keamanan WordPress Anda.

    1. Perbarui Semuanya – Pembaruan tidak hanya untuk fitur baru yang keren dan perbaikan bug. Plugin dan pembaruannya dapat menyertakan patch keamanan penting untuk kerentanan yang diketahui. Jaga agar situs Anda tetap aman dan diperbarui.
    2. Gunakan Otentikasi Dua Faktor – Dalam posting blog ini, Penelitian baru: Seberapa efektif kebersihan akun dasar dalam mencegah pembajakan, Google menyatakan bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis. Saya suka peluang itu. iThemes Security Pro memudahkan untuk menambahkan otentikasi dua faktor ke situs web WordPress.
    3. Tolak Kata Sandi yang Disusupi – Pelanggaran data biasanya berupa daftar nama pengguna, kata sandi, dan seringkali data pribadi lainnya yang diekspos setelah sebuah situs disusupi. Menolak untuk membiarkan pengguna situs web Anda menggunakan kata sandi yang diketahui telah disusupi dapat meningkatkan keamanan situs Anda secara drastis. Anda dapat dengan mudah menolak kata sandi yang disusupi menggunakan iThemes Security Pro.
    4. Instal Perangkat Lunak Dari Sumber Tepercaya – Anda hanya boleh menginstal perangkat lunak yang Anda dapatkan dari WordPress.org, repositori komersial terkenal, atau langsung dari pengembang terkemuka. Anda akan ingin menghindari versi "nulled" dari plugin komersial karena mereka dapat berisi kode berbahaya. Tidak masalah bagaimana Anda mengunci situs WordPress Anda jika Anda yang menginstal malware.
    5. Tambahkan Logging Keamanan WordPressLog keamanan WordPress memberikan data dan wawasan terperinci tentang aktivitas di situs web WordPress Anda. Jika Anda tahu apa yang harus dicari di log, Anda dapat dengan cepat mengidentifikasi dan menghentikan perilaku jahat di situs Anda. Pelajari cara menambahkan log keamanan WordPress ke situs web Anda.
    6. Berhati-hatilah di mana Anda mengunduh plugin dan tema – Plugin dan tema dari situs yang tidak dikenal dapat dikompromikan dengan kode yang membuat para peretas berhasil. Beberapa virus plugin/tema dirancang untuk secara otomatis menginfeksi setiap plugin dan tema lain di situs. Ini berarti bahwa meskipun Anda membersihkan salah satu yang menyebabkan masalah, yang lain masih terinfeksi.
    7. Miliki rencana pencadangan (dan buat itu andal) – Cadangkan situs WordPress Anda lebih awal, dan sering-seringlah mencadangkan. Memiliki cadangan lengkap yang sehat dari situs Anda adalah kuncinya. Simpan arsip beberapa file cadangan. Jika terjadi bencana, Anda akan memerlukan cadangan untuk memulihkan situs Anda (setelah server dibersihkan). Kiat cepat tentang file cadangan: jalankan beberapa pemulihan uji file cadangan Anda sesekali. Memiliki cadangan yang tidak dapat Anda pulihkan mungkin adalah hal terburuk yang dapat terjadi (setelah diretas). BackupBuddy adalah plugin cadangan WordPress yang memungkinkan Anda mengatur pencadangan terjadwal yang akan berjalan tanpa pengawasan, dan tempat file cadangan dapat disimpan ke lokasi yang jauh. Ini akan memberi Anda ketenangan pikiran bahwa Anda akan selalu memiliki file cadangan yang sehat.

    Alasan Utama Dibalik Peretasan WordPress

    Meskipun kerentanan WordPress menakutkan, kabar baiknya adalah sebagian besar kerentanan WordPress ditemukan dan ditambal sebelum orang jahat memiliki kesempatan untuk mengeksploitasinya. Anda dapat membantu melindungi situs web Anda dari kerentanan dengan menjaga inti WordPress dan plugin serta tema Anda diperbarui adalah cara terbaik untuk memastikan Anda menerima patch keamanan terbaru.

    Untuk keamanan situs paling kokoh yang akan Anda temukan di plugin WordPress, coba gunakan plugin keamanan WordPress yang kuat seperti iThemes Security Pro.

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan lebih dari 30 cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan otentikasi dua faktor WordPress, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro sekarang