Panduan Keamanan WordPress: Membuat WordPress Aman 2022

Diterbitkan: 2022-02-17

Gambar ini:

Anda membuka situs WordPress Anda, semuanya cerah, berekor lebat, dan siap untuk mengunggah posting blog terbaru Anda ... hanya untuk bertemu dengan sekelompok konten aneh yang mengarahkan orang untuk membeli pil farmasi dari situs web yang tidak jelas.

Ini adalah mimpi terburuk bagi sebagian besar webmaster, tetapi ini adalah sesuatu yang dapat terjadi pada situs WordPress Anda…jika Anda tidak menerapkan praktik terbaik keamanan yang tepat.

Kami tidak mencoba menakut-nakuti Anda – WordPress aman. Ini memiliki tim keamanan khusus dan pasukan kontributor dan pengembang yang berpengetahuan luas untuk membantu menjaganya tetap seperti itu.

Tetapi jika Anda tidak membangun fondasi yang aman itu dengan mengikuti praktik terbaik keamanan WordPress, Anda bisa membuka pintu bagi aktor jahat untuk memasukkan taring mereka ke situs web Anda.

Dalam posting ini, kami di sini untuk membantu Anda mempelajari apa praktik terbaik itu sehingga Anda dapat menghentikan skenario mimpi buruk itu menjadi kenyataan.

Untuk itu, kita akan membahas bagian berikut:

  • Apakah WordPress aman?
  • Mengapa Anda tidak perlu menunggu untuk mendapatkan keamanan Anda?
  • 21 hal yang dapat Anda lakukan tentang keamanan sekarang
  • Risiko pelanggaran keamanan
  • Bagaimana cara mengetahui apakah situs Anda telah diretas
  • Tiga plugin keamanan WordPress terbaik
  • Tiga taktik keamanan paling penting untuk diterapkan
  • Memantau dan memperbaiki pelanggaran keamanan WordPress

Meskipun Anda mungkin perlu beberapa jam untuk mengerjakan praktik terbaik dalam posting ini, investasi kecil itu sekarang akan membayar dividen di masa depan dalam bentuk situs WordPress yang aman dan antipeluru.

Apakah WordPress Aman?

WordPress menguasai lebih dari 43% dari semua situs web di internet, yang berarti itu adalah target yang menarik bagi aktor jahat.

Fakta bahwa WordPress sangat populer juga berarti digunakan oleh berbagai macam orang, termasuk orang-orang dengan tingkat pengetahuan yang sangat berbeda. Pikirkan pengembang berpengalaman vs seseorang yang baru saja meluncurkan blog pertama mereka…dan semua orang di antaranya.

Ada kabar baik dan kabar buruk di sini…

Kabar baik:

WordPress aman . Itulah mengapa digunakan oleh begitu banyak orang biasa, serta organisasi besar seperti Gedung Putih AS dan Facebook.

WordPress digunakan oleh merek besar yang menghargai keamanan

Facebook dan Gedung Putih tidak akan mempercayai situs web mereka ke platform yang tidak aman. Terlebih lagi, 43% situs web di Internet tidak akan berjalan di WordPress jika tidak aman.

Berita buruk :

Banyak situs WordPress yang diretas. Dalam laporan situs web Sucuri yang diretas, WordPress secara rutin merupakan platform yang paling sering diretas ( ingat – ini sangat populer ).

Jadi – bagaimana WordPress bisa aman dan juga situs diretas? Bukankah itu hal-hal yang saling eksklusif?

Jawabannya sepenuhnya ada pada cara orang menggunakan WordPress.

Jika Anda proaktif dalam mengikuti praktik terbaik keamanan, seperti yang akan kami bahas dalam posting ini, Anda dapat menjaga situs WordPress Anda tetap aman dan menghindari masalah.

WordPress memiliki aparat keamanan yang besar, termasuk 50+ anggota tim keamanan resmi dan serangkaian pengembang berpengalaman yang membuat ekstensi aman dan menandai potensi masalah.

Orang-orang itu melakukan pekerjaan yang hebat untuk membuat WordPress aman – tetapi Anda masih perlu melakukan bagian Anda jika Anda ingin tetap seperti itu.

Jika Anda tidak membangun kerja keras dari kontributor WordPress tersebut dan mengikuti praktik terbaik, Anda dapat membuat kesalahan yang membuka lubang di perangkat lunak WordPress, apakah itu menggunakan kata sandi yang lemah, memasang plugin yang rentan, atau yang lainnya.

Mengapa Anda Tidak Perlu Menunggu untuk Serius Tentang Keamanan WordPress

Keamanan WordPress adalah salah satu hal yang terasa seperti bukan masalah besar…sampai benar-benar masalah besar .

Anda memiliki banyak hal dalam hal pemasaran dan mengembangkan situs Anda, jadi mudah untuk mendorong keamanan ke belakang karena sulit untuk mengikat membuat peningkatan keamanan dengan metrik pertumbuhan seperti lalu lintas atau pendapatan.

Kami sedikit blak-blakan di sini, tetapi pemikiran itu sangat picik. Menerapkan daftar periksa keamanan WordPress di bawah ini membutuhkan waktu dan kemungkinan sedikit uang, tetapi biaya tersebut tidak seberapa dibandingkan dengan apa yang akan Anda "bayar" jika situs Anda dilanggar.

Satu pelanggaran keamanan akan dengan mudah “membebani” Anda lebih banyak dalam hal waktu yang hilang, pendapatan, lalu lintas SEO, dan kepercayaan dengan pengunjung Anda.

Pada dasarnya, Anda tidak ingin bertaruh dengan keamanan situs Anda. Luangkan waktu sekarang untuk melindungi diri Anda dari biaya besar di kemudian hari.

20 Hal yang Dapat Anda Lakukan Saat Ini Tentang Keamanan WordPress

Sejauh ini, kita telah berbicara tentang teori. Sekarang, mari mulai beralih ke beberapa taktik yang dapat ditindaklanjuti untuk mengunci situs Anda, dimulai dengan daftar periksa keamanan WordPress yang dapat Anda terapkan untuk melindungi situs Anda hari ini.

1. Pahami Tema Keamanan WordPress Dasar

Sebelum mengubah apa pun di situs Anda, Anda harus memahami tema dasar keamanan WordPress:

  • Batasi akses – batasi akses ke situs Anda, baik melalui metode yang dimaksudkan (akun pengguna) dan metode yang tidak diinginkan (kerentanan).
  • Berisi masalah – jika aktor jahat mendapatkan akses, Anda ingin membatasi kerusakan yang dapat mereka lakukan.
  • Hanya gunakan pihak ketiga yang tepercaya – sementara inti WordPress aman, setiap ekstensi yang Anda tambahkan ke situs Anda berpotensi rentan.

2. Segera Terapkan Pembaruan WordPress

Untuk melindungi situs Anda dari kerentanan keamanan yang muncul, penting untuk segera menerapkan pembaruan inti WordPress, pembaruan plugin, dan pembaruan tema. Ini terutama berlaku untuk pembaruan keamanan, yang harus segera Anda terapkan*.

*Pembaruan keamanan memiliki dua titik di nomor versi – misalnya 5.9.1. Anda dapat menunggu untuk menerapkan pembaruan fitur utama, yang hanya memiliki satu titik – misalnya 5.9.

3. Gunakan Kata Sandi yang Kuat untuk Semuanya

Menggunakan kata sandi yang kuat dan unik untuk akun Admin WordPress, akun hosting, dan alat lainnya (misalnya kredensial SFTP) dapat membantu mencegah serangan brute force dan jenis serangan berbasis login lainnya.

Untuk menyimpan kata sandi dengan aman, Anda dapat menggunakan pengelola kata sandi seperti Bitwarden atau LastPass. Pengelola kata sandi ini juga dapat membantu Anda membuat kata sandi unik.

4. Gunakan Plugin Tepercaya

Hanya instal plugin dari pengembang tepercaya yang masih aktif memelihara plugin untuk memperhitungkan rilis WordPress baru dan kerentanan yang baru ditemukan.

5. Amankan Komputer Anda

Pastikan komputer yang Anda gunakan untuk mengakses situs WordPress Anda dalam keadaan bersih. Gunakan perangkat lunak anti-virus berkualitas dan lakukan pemindaian malware biasa.

6. Kunci Halaman Login Anda

Selain menggunakan kata sandi yang kuat, Anda dapat melindungi halaman login Anda menggunakan taktik seperti membatasi upaya login dan otentikasi dua faktor. Anda dapat melakukannya dengan plugin khusus fitur gratis seperti Limit Login Attempts Reloaded dan Two Factor Authentication. Atau, Anda dapat menggunakan beberapa plugin keamanan WordPress yang luas yang akan kita bahas nanti di posting ini.

Anda juga dapat mengubah URL login WordPress. Meskipun ini tidak menambahkan banyak keamanan login ekstra jika Anda menerapkan tip di atas, ini dapat mengurangi lalu lintas bot.

7. Ambil Cadangan Reguler

Mengambil cadangan reguler dan menyimpannya di tempat yang lama adalah elemen besar dari keamanan WordPress. Jika Anda memiliki cadangan baru-baru ini, pelanggaran keamanan kasus terburuk adalah ketidaknyamanan alih-alih bencana ketika datang ke data situs Anda.

Sebagian besar host WordPress yang dikelola menawarkan pencadangan otomatis di luar situs saat ini. Jika tidak, Anda dapat menggunakan plugin seperti UpdraftPlus.

8. Gunakan Hosting yang Aman

Gunakan host WordPress berkualitas tinggi yang menerapkan protokol keamanan yang solid seperti firewall dan pemindaian malware. Meskipun Anda tidak harus bergantung pada host Anda sendiri, host WordPress yang berkualitas dapat membantu mengamankan situs WordPress Anda.

9. Instal Sertifikat SSL dan Gunakan HTTPS

Pastikan Anda telah memasang sertifikat SSL dan menyiapkan situs Anda untuk memaksa semua lalu lintas ke versi HTTPS yang aman. Ini memastikan bahwa setiap data yang lewat antara browser web pengunjung dan server situs Anda dienkripsi.

Anda dapat berkonsultasi dengan tim dukungan atau dokumentasi host Anda untuk mempelajari cara memasang sertifikat SSL dan plugin seperti SSL Sangat Sederhana dapat membantu Anda memaksa lalu lintas HTTPS di situs Anda.

10. Gunakan SFTP dan Jangan Simpan Kata Sandi

Pastikan Anda menggunakan SFTP saat terhubung ke server situs Anda, bukan FTP biasa (yang tidak terenkripsi). Selain itu, cobalah untuk menghindari menyimpan kata sandi SFTP Anda di klien FTP Anda kecuali jika dienkripsi dan dilindungi kata sandi.

11. Nonaktifkan XML-RPC

XML-RPC membantu beberapa aplikasi, seperti aplikasi iPhone, terhubung ke situs WordPress Anda. Kebanyakan orang tidak akan pernah menggunakan aplikasi ini untuk terhubung, yang berarti bahwa XML-RPC hanyalah vektor kerentanan yang tidak perlu untuk serangan brute force atau DDoS.

Karena alasan itu, kebanyakan orang menonaktifkan XML-RPC, yang dapat Anda selesaikan dengan plugin seperti Disable XML-RPC atau salah satu plugin keamanan umum yang akan kita bahas nanti.

12. Nonaktifkan Pengeditan File

Secara default, WordPress memungkinkan pengguna Admin secara langsung mengedit file tema dan plugin dari dasbor WordPress, yang merupakan kerentanan besar jika aktor jahat pernah mendapatkan akses ke dasbor Anda.

Anda dapat menonaktifkannya dengan menambahkan baris ke file wp-config.php Anda.

13. Pantau Masalah Keamanan

Menerapkan kebijakan pemantauan keamanan reguler dapat membantu Anda menangkap masalah sebelum menjadi masalah yang lebih besar. Kami akan berbicara tentang praktik pemantauan yang tepat nanti di posting ini.

14. Mengamankan File dan Folder WordPress Kunci

Beberapa file dan folder WordPress sangat rentan, jadi Anda perlu memberikan perhatian khusus untuk mengamankan file wp-config.php dan folder wp-admin dan wp-includes .

15. Menerapkan Izin File yang Tepat

Izin file mengontrol akses yang dimiliki pengguna dan program ke file dan folder di server hosting Anda. Jika tidak dikonfigurasi dengan benar, mereka dapat memberikan akses kepada aktor jahat ke file penting seperti file wp-config.php atau file .htaccess Anda.

Untuk mempelajari izin yang tepat untuk WordPress, Anda dapat membaca halaman WordPress.org ini.

16. Pertimbangkan Pencatatan Aktivitas

Pencatatan aktivitas memungkinkan Anda melacak apa yang terjadi di situs Anda, yang dapat membantu Anda menangkap perilaku mencurigakan sebelum menjadi masalah besar.

Untuk mengatur pencatatan aktivitas, Anda dapat menggunakan plugin khusus seperti WP Activity Log. Atau, beberapa plugin keamanan WordPress serbaguna juga menyertakan fungsionalitas logging.

17. Tambahkan Header Keamanan Terbaru

Header keamanan HTTP dapat membantu mengamankan situs Anda dengan mengontrol bagaimana browser web terlibat dengan konten situs Anda. Anda biasanya akan mengonfigurasi ini di tingkat server – KeyCDN memiliki posting bagus yang menjelaskan header keamanan paling penting.

18. Amankan Basis Data Anda

Menggunakan awalan tabel database yang unik dan nama database yang unik dapat mempersulit pelaku jahat untuk menyuntikkan konten berbahaya ke dalam database Anda, meskipun beberapa ahli memperdebatkan kegunaannya. Mengingat bahwa perubahan ini mudah diterapkan, itu masih layak dilakukan meskipun sedikit "keamanan dengan ketidakjelasan".

19. Nonaktifkan Hotlinking

Memiliki hotlink situs lain pada gambar Anda mungkin bukan merupakan risiko keamanan langsung, tetapi dapat memiliki efek negatif pada server Anda dalam hal sumber daya yang terbuang, jadi ini adalah praktik keamanan yang baik untuk menonaktifkan hotlinking.

20. Siapkan Perlindungan DDoS Terlebih Dahulu

Miliki rencana untuk menangani serangan penolakan layanan terdistribusi. Anda dapat bertanya kepada host Anda tentang perlindungan apa yang mereka miliki atau menambahkan situs Anda ke Cloudflare sehingga Anda dapat dengan cepat mengaktifkan mode "Saya Sedang Diserang" Cloudflare jika diperlukan.

Apa Risikonya Saat Situs Dilanggar?

Ada tiga jenis risiko utama jika situs Anda dilanggar…

Risiko bagi Pengunjung Web Anda

Jika Anda menyimpan data tentang pengunjung Anda, pelaku kejahatan bisa mendapatkan akses ke semua informasi itu, yang dapat menyebabkan masalah dengan pencurian identitas atau pencurian keuangan tergantung pada data yang Anda simpan.

Pelaku jahat juga dapat mencoba mengelabui pengguna agar mengunduh file berbahaya dan menginfeksi komputer mereka.

Risiko bagi Pemilik Situs

Pelanggaran keamanan dapat menyebabkan masalah langsung dalam bentuk data yang hilang, waktu yang terbuang, dan ketidaktersediaan situs. Jika Anda tidak memelihara pencadangan reguler ( yang mudah-mudahan tidak terjadi setelah Anda membaca panduan ini ), Anda bahkan mungkin kehilangan seluruh situs dan perlu membangun kembali dari awal.

Pelanggaran juga dapat menyebabkan masalah yang kurang nyata, seperti hilangnya kepercayaan dengan pengunjung Anda atau kerusakan reputasi secara umum.

Risiko ke Situs Lain

Jika Anda menggunakan hosting bersama dan/atau menghosting beberapa situs Anda yang lain pada akun hosting yang sama, satu situs yang dilanggar dapat dengan cepat menyebar ke situs lain jika situs tersebut tidak terisolasi satu sama lain. Dengan cara ini, memiliki satu situs yang terinfeksi dapat bertindak seperti domino untuk mengambil situs lain, bahkan jika situs tersebut akan aman.

Bagaimana Mengenalinya Jika Situs WordPress Anda Telah Diretas

Ada dua cara untuk mengetahui situs Anda telah diretas:

  • Tanda reaktif – Anda menemukan masalah karena Anda melihat masalah di situs Anda.
  • Tanda proaktif – protokol pemantauan keamanan Anda memperingatkan Anda tentang masalah tersebut sebelum muncul di situs Anda.

Idealnya, Anda ingin menggunakan alat yang memungkinkan Anda memperbaiki masalah secara proaktif, daripada menunggunya menjadi masalah. Dengan begitu, Anda dapat meminimalkan kerusakan pada situs Anda.

Tanda-tanda Reaktif Peretasan

  • Peringatan browser – sebagian besar browser akan menampilkan peringatan jika Anda mengunjungi halaman yang terinfeksi. Jika itu terjadi ketika Anda mengunjungi situs Anda sendiri, Anda tahu bahwa Anda memiliki masalah.
  • Peringatan mesin pencari – Google juga akan memperingatkan pengunjung jika mereka mengklik tautan yang mengarah ke situs yang terinfeksi. Dikatakan sesuatu seperti "Situs ini mungkin diretas".
  • Layanan webmaster – jika Anda menggunakan Google Search Console, Google akan memperingatkan Anda tentang masalah keamanan jika Anda membuka Tindakan Keamanan & Manual → Masalah keamanan .
  • Pengunjung web – jika pengunjung web menemukan konten berbahaya, mereka mungkin memberi tahu Anda secara langsung.
Google Chrome menampilkan peringatan jika situs terinfeksi malware

Tanda Proaktif Peretasan

  • Pemindai malware – pemindai malware dapat mendeteksi kode berbahaya di server Anda meskipun kode tersebut belum mulai memengaruhi frontend situs Anda.
  • Pemeriksaan integritas file – jika file inti WordPress tidak cocok dengan versi resmi, itu pertanda bahwa ada sesuatu yang salah di situs Anda. Sebagian besar plugin keamanan akan secara otomatis mengingatkan Anda jika file inti telah dimodifikasi.
  • Monitor lalu lintas – memantau lalu lintas situs WordPress Anda akan membantu Anda mendeteksi ketidakberesan yang terjadi.
Plugin Wordfence menawarkan pemindaian keamanan WordPress

Tiga Plugin dan Alat Keamanan WordPress Terbaik

Jika Anda menginginkan ketenangan pikiran ekstra dalam hal keamanan WordPress, Anda dapat mempertimbangkan untuk menggunakan plugin atau layanan keamanan WordPress khusus.

Meskipun alat ini tidak sepenuhnya menghilangkan kebutuhan untuk waspada, alat ini dapat menangani sebagian besar praktik terbaik keamanan WordPress untuk Anda.

Berikut adalah tiga yang terbaik:

1. Wordfence

Wordfence adalah salah satu plugin keamanan WordPress terbaik

Wordfence adalah plugin keamanan WordPress paling populer di WordPress.org. Ini memiliki serangkaian fitur komprehensif yang dapat melindungi dan memantau semua area keamanan situs Anda:

  • Firewall aplikasi web (WAF) untuk secara proaktif memblokir ancaman sebelum mereka dapat membahayakan situs Anda. Termasuk serangkaian definisi yang terus diperbarui untuk memblokir ancaman yang muncul.
  • Pemindaian malware dan keamanan untuk mendeteksi infeksi atau kerentanan keamanan.
  • Fitur keamanan login termasuk membatasi upaya login, otentikasi dua faktor, perlindungan kata sandi yang bocor, penonaktifan/pengerasan XML-RPC, dan banyak lagi.
  • Logging real-time untuk mendeteksi aktor jahat.
  • Pemberitahuan untuk segera mengingatkan Anda tentang potensi masalah di situs Anda.
  • Banyak taktik pengerasan kecil lainnya termasuk deteksi perubahan file.
  • Dasbor keamanan pusat yang memungkinkan Anda mengelola keamanan beberapa situs dari satu tempat.

Ada versi gratis di WordPress.org dan Wordfence Premium mulai dari $99.

2. Sucuri

Sucuri adalah plugin dan firewall

Sucuri adalah dua hal:

  1. Plugin gratis di WordPress.org yang menerapkan praktik pengerasan keamanan dasar.
  2. Layanan firewall berbayar yang berada di depan server Anda dan memblokir lalu lintas berbahaya sebelum dapat masuk ke situs Anda.

Untuk perlindungan terbaik, Anda sebaiknya menggunakan kedua alat tersebut.

Plugin Sucuri gratis mengimplementasikan fitur pengerasan keamanan berikut:

  • Pemantauan integritas file
  • Log audit
  • Pemantauan daftar hitam otomatis
  • Opsi pengerasan dasar seperti menonaktifkan pengeditan file dan memblokir file PHP tertentu
  • Pemantauan login gagal untuk mendeteksi serangan brute force
  • Peringatan keamanan otomatis melalui email

Untuk menggunakan layanan firewall, Anda akan mengubah server nama domain Anda menjadi Sucuri dan firewall Sucuri akan melindungi situs Anda di tingkat jaringan.

Plugin Sucuri gratis tetapi firewall mulai dari $10 per bulan. Anda juga dapat membayar paket keamanan situs web lengkap yang mencakup pembersihan dan penghapusan malware. Paket tersebut mulai dari $200 per tahun.

3. Keamanan iThemes

iThemes Security Pro untuk WordPress

iThemes Security adalah alat populer lainnya yang dapat membantu Anda memperkuat situs Anda dan memantaunya untuk masalah keamanan.

Inilah yang dapat membantu:

  • Pemindai situs akan secara otomatis mendeteksi kerentanan yang diketahui di situs Anda.
  • Perlindungan login termasuk otentikasi dua faktor, membatasi upaya login, perangkat tepercaya, persyaratan kata sandi yang kuat, dan banyak lagi.
  • Log keamanan termasuk pencatatan aktivitas keamanan dan pencatatan aktivitas pengguna.
  • Deteksi perubahan file untuk melihat apakah file inti telah dimodifikasi.
  • Pemberitahuan email untuk segera mengingatkan Anda tentang potensi masalah keamanan.
  • Pengerasan WordPress umum termasuk menonaktifkan XML-RPC, menonaktifkan pengeditan file, pemeriksaan izin file, dan banyak lagi.

Salah satu fitur yang tidak ditawarkan iThemes Security adalah firewall – pengembang merekomendasikan untuk memasangkannya dengan layanan firewall Sucuri jika Anda menginginkan firewall.

Meskipun ada iThemes Security versi gratis terbatas di WordPress.org, Anda pasti menginginkan iThemes Security Pro untuk perlindungan terbaik. Mulai dari $80.

Fokus Pada Tiga Hal Ini untuk ROI Keamanan WordPress Terbesar

Seperti banyak hal dalam hidup, keamanan WordPress mengikuti prinsip 80/20 Pareto. Artinya, berfokus pada menerapkan beberapa taktik keamanan WordPress mendasar akan membuat Anda mendapatkan sebagian besar cara untuk memiliki situs yang aman.

Jadi, meskipun menurut kami penting untuk mengikuti daftar periksa keamanan WordPress yang kami bagikan di atas, fokus hanya pada tiga area yang akan melindungi Anda dari sebagian besar masalah dengan keamanan WordPress.

Mari kita pergi melalui mereka…

1. Plugin

Meskipun perangkat lunak inti WordPress aman ( selama Anda terus memperbaruinya ), plugin memperkenalkan variabel yang tidak dapat dikontrol oleh tim inti, yang menjadikannya salah satu vektor serangan terbesar bagi pelaku kejahatan.

Namun, plugin juga merupakan bagian penting dari WordPress, jadi tidak menggunakannya bukanlah pilihan yang realistis.

Berikut adalah tiga cara untuk terus memanfaatkan plugin sambil meminimalkan risiko Anda:

  • Hindari plugin yang ditinggalkan – jika sebuah plugin tidak lagi dipertahankan, itu berarti tidak ada seorang pun di sana untuk memperbaiki masalah yang baru ditemukan dan membuatnya tetap kompatibel dengan versi WordPress yang lebih baru.
  • Beli hanya dari pengembang terkemuka – gunakan pengembang tepercaya seperti HeroThemes yang mengikuti praktik terbaik keamanan WordPress dan tetap waspada terhadap ancaman yang muncul.
  • Perbarui secara teratur – bahkan plugin terbaik dari pengembang terbaik terkadang memiliki kerentanan yang baru ditemukan. Pengembang berkualitas akan menambal kerentanan ini sebelum menjadi masalah – selama Anda segera memperbarui.

2. Serangan Brute Force

Serangan brute force adalah vektor serangan umum yang mengandalkan masuk ke situs Anda melalui halaman login. Tidak peduli seberapa aman sisa situs Anda – jika aktor jahat dapat menebak nama pengguna dan kata sandi Anda, mereka memiliki kunci ke pintu depan.

Berikut cara melindungi diri sendiri:

  • Gunakan kata sandi yang kuat dan unik – pilih kata sandi yang kuat untuk semua akun Anda dan jangan gunakan kembali kata sandi yang sama di banyak tempat.
  • Batasi upaya login – hentikan orang dari memaksa halaman login Anda dengan membatasi upaya login yang gagal dan/atau menambahkan CAPTCHA.
  • Pertimbangkan autentikasi dua faktor – untuk keamanan lebih, Anda dapat mempertimbangkan untuk menggunakan autentikasi dua faktor melalui SMS atau idealnya aplikasi ponsel cerdas atau kunci perangkat keras.
  • Nama pengguna yang unik – jangan gunakan “admin” sebagai nama pengguna Anda dan usahakan agar nama pengguna Anda sulit ditebak.
Contoh membatasi upaya login di WordPress

3. Akun Hosting

Situs WordPress Anda dapat dikunci dengan sempurna; tetapi jika aktor jahat mendapatkan akses ke akun hosting Anda, mereka dapat melakukan apa saja yang mereka inginkan ke situs Anda.

Untuk menghentikan ini, penting juga untuk mengunci akun hosting dan server Anda:

  • Gunakan kata sandi yang kuat – seperti halnya akun WordPress Anda, gunakan kata sandi yang kuat dan unik untuk akun hosting dan SFTP Anda.
  • Aktifkan autentikasi dua faktor – sebagian besar penyedia hosting mendukung autentikasi dua faktor – manfaatkan itu.
  • Gunakan SFTP – selalu sambungkan melalui SFTP dan bukan FTP yang tidak terenkripsi.
  • Jangan simpan kata sandi SFTP – jangan simpan kata sandi SFTP yang tidak terenkripsi di klien FTP Anda.

Memantau, Mengidentifikasi, dan Memperbaiki Pelanggaran Keamanan WordPress

Jika Anda menerapkan semua taktik keamanan WordPress di atas, semoga Anda tidak perlu berurusan dengan pelanggaran keamanan.

Namun, selalu ada kemungkinan untuk lolos dari celah, itulah sebabnya penting untuk memiliki rencana untuk mendeteksi dan memperbaiki masalah keamanan.

Pemantauan untuk Kerentanan

  • Pindai situs Anda – gunakan alat seperti Sucuri SiteCheck untuk mengetahui masalah daftar hitam dan memindai server Anda dengan plugin keamanan.
  • Google Search Console – perhatikan peringatan di bagian masalah keamanan.
  • Gunakan perintah situs Google dalam pencarian – cari situs:situsanda.com untuk melihat apakah Google telah mengindeks konten yang terlihat berbahaya. Ini bisa berupa konten yang tidak Anda buat atau konten dengan judul/deskripsi meta yang aneh.
  • Log aktivitas – jelajahi log aktivitas situs Anda untuk menangkap aktivitas yang mencurigakan.
  • Periksa analitik – cari penurunan atau puncak yang tidak dapat dijelaskan dalam analitik lalu lintas Anda.
  • File .htaccess – perhatikan perubahan pada file .htaccess Anda, karena di sinilah banyak aktor akan menempatkan pengalihan berbahaya atau menyiapkan aturan agen pengguna untuk menyembunyikan spam SEO mereka dari pengunjung manusia.
Contoh cek daftar hitam di Sucuri SiteCheck

Identifikasi Masalah

Setelah upaya pemantauan Anda mendeteksi ada yang tidak beres, inilah saatnya untuk mengidentifikasi masalah spesifik di situs Anda sehingga Anda dapat memperbaikinya dan membuat situs Anda berfungsi. Untuk melakukan ini, Anda dapat menggunakan plugin keamanan untuk memindai situs Anda dan mengidentifikasi file berbahaya dan pintu belakang.

Memperbaiki Situs Anda

Setelah Anda mengidentifikasi masalah spesifik, saatnya untuk memperbaiki situs Anda.

Ada beberapa rute berbeda yang dapat Anda ambil di sini tergantung pada tingkat keparahan infeksi dan tingkat pengetahuan Anda:

  • Gunakan plugin keamanan – banyak plugin keamanan menawarkan perbaikan sekali klik, baik dengan membersihkan file atau mengembalikan situs Anda ke versi bersih.
  • Sewa seorang ahli – jika Anda merasa kewalahan, Anda dapat membayar untuk layanan ahli seperti Keamanan Situs Web Sucuri atau Layanan Pembersihan Situs Wordfence.
  • Lakukan pembersihan manual – jika Anda memiliki pengetahuan teknis, Anda dapat membersihkan situs secara manual – MalCare memiliki panduan mendetail tentang cara melakukan pembersihan manual.

Jika situs Anda telah masuk daftar hitam oleh Google, Anda juga ingin meminta peninjauan setelah membersihkan situs Anda. Anda dapat melakukannya dari bagian Masalah Keamanan di Google Search Console.

Jaga Situs WordPress Anda Aman

WordPress aman, tetapi cara orang menggunakan WordPress tidak selalu aman.

Mengambil sedikit waktu sekarang untuk membuat rencana proaktif untuk keamanan WordPress akan membayar dividen dalam bentuk situs yang aman dan menghindari kebutuhan untuk menangani pelanggaran di masa depan.

Anda dapat menerapkan tip dari posting ini dan mengikuti daftar periksa keamanan WordPress seperti daftar periksa Wordfence. Jika Anda membutuhkan bantuan, Anda juga bisa mendapatkan bantuan dari pengembang atau menyewa layanan pemeliharaan WordPress.

Keamanan WordPress juga bukan sesuatu yang Anda sendirian. Anda memiliki seluruh komunitas WordPress di situs Anda yang membantu Anda membuat situs yang lebih aman.

Di sini, di HeroThemes, kami fokus pada pembuatan plugin dan tema yang aman dan andal yang memungkinkan Anda memperluas situs WordPress sambil menjaganya tetap aman. Ada banyak pengembang lain yang melakukan hal yang sama.

Jika Anda tetap menggunakan ekstensi seperti ini dan mengikuti praktik terbaik keamanan lainnya, Anda dapat menikmati manfaat dari situs WordPress yang aman.