Keamanan WordPress: Cara mengidentifikasi dan menghilangkan ancaman

Diterbitkan: 2018-05-11

Alasan seperti “Kami terlalu kecil untuk diserang” atau “Kami tidak memproses data sensitif, seperti laporan keuangan” tidak lagi relevan. Telah berulang kali terbukti bahwa semua situs web, terlepas dari ukurannya, rentan dan dapat jatuh ke dalam perangkap peretas.

Jika Anda mendekati situs web Anda secara profesional, Anda harus memperhatikan praktik keamanan terbaik untuk WordPress. Kami akan membagikan daftar tip lengkap untuk melindungi situs WordPress Anda dari peretas dan malware.

Sebagai pemilik situs web, Anda memiliki kemampuan untuk meningkatkan keamanan WordPress, bahkan jika Anda tidak tahu cara membuat kode dan tidak ingin masuk ke labirin komplikasinya.

Kami telah menyiapkan instruksi langkah demi langkah dan membuat navigasi sehingga Anda tidak mengalami kesulitan saat berjalan melalui materi. Anda dapat dengan cepat mendapatkan fragmen teks yang tepat, dan pada akhir membaca situs web Anda akan jauh lebih aman daripada sebagian besar sumber daya di web.

Mengapa keamanan itu penting?

Situs WordPress yang diretas dapat sangat merusak bisnis dan reputasi Anda. Peretas dapat mencuri informasi pengguna, kata sandi, menginstal malware, dan mendistribusikan Trojan di antara pengguna Anda.

Pada tahun 2017, Google melaporkan bahwa lebih dari 55 juta pengguna diperingatkan tentang mengunjungi situs web dengan malware. Setiap minggu, Google membuat daftar lebih dari 20.000 program jahat.

Jika situs Anda adalah bisnis Anda, Anda harus lebih memperhatikan keamanannya. Hanya Anda yang bertanggung jawab untuk melindungi sumber daya Anda dari penyusup. Seperti yang dinyatakan dalam Codex Keamanan WordPress: “ Pada dasarnya, keamanan bukanlah tentang sistem yang benar-benar aman. Hal seperti itu mungkin tidak praktis, atau tidak mungkin ditemukan dan/atau dipelihara. Apa yang dimaksud dengan keamanan adalah pengurangan risiko, bukan penghapusan risiko. Ini tentang menggunakan semua kontrol yang sesuai yang tersedia untuk Anda, dengan alasan, yang memungkinkan Anda memperbaiki postur tubuh Anda secara keseluruhan dengan mengurangi kemungkinan menjadikan diri Anda target, kemudian diretas.”

Luangkan waktu Anda dan lakukan praktik terbaik berikut, serta periksa beberapa strategi keamanan WordPress yang telah terbukti di industri seperti menggunakan perangkat lunak WordPress terbaru, kebijakan kredensial yang kuat, dan administrasi sistem yang berfokus pada keamanan.

Jenis kerentanan

Kerentanan umum di WordPress adalah keamanan tema yang rendah, kerentanan server, database, izin file, FTP, dan komponen file tertentu seperti wp-admin, wp-config, dan wp-includes. Mereka adalah yang paling rentan terhadap serangan.

Banyak insiden peretasan telah menunjukkan betapa mudahnya bagi penyusup untuk menggunakan tautan yang tidak dilindungi di layanan keamanan WordPress untuk keuntungan mereka. Satu kerentanan dapat mengekspos situs web Anda ke ribuan serangan. Misalnya, pada awal Februari, penjahat dunia maya meluncurkan kampanye skala besar di mana situs WordPress yang disusupi mengarahkan pengunjung ke domain dengan serangkaian eksploitasi .

Exploit adalah bagian dari kode yang dapat menggunakan celah di situs WordPress Anda dan memungkinkan peretas untuk meretas sistem. Dengan kata lain, ini adalah perangkat lunak yang mencari elemen yang tidak terlindungi di situs web Anda dan menyerangnya.

Eksploitasi terbentuk sebagai akibat dari kesalahan programmer yang tidak memperhatikan keamanan sumber daya. Ketika eksploitasi ditemukan, Anda perlu membuat tambalan yang menghilangkan kerentanan ini.

Dalam rangkaian serangan lainnya, peretas mengeksploitasi kerentanan dalam file XML-RPC.

XML-RPC adalah protokol panggilan prosedur jarak jauh (RPC) yang menggunakan XML untuk mengkodekan panggilannya dan HTTP untuk mengirim permintaan atau pesanan ke situs web dari jarak jauh. Jika Anda tidak ingin memberi peretas kesempatan ekstra untuk meretas sumber daya Anda, Anda cukup menghapusnya. Ketika ada kebutuhan, Anda dapat mengembalikannya.

Injeksi SQL adalah cara paling umum untuk menyerang database yang melewati firewall ketika peretas mengirim permintaan SQL khusus ke situs web. Suntikan kode ini dapat membuat akun administrator baru yang dapat menautkan ke situs jahat atau scam dari sumber daya Anda.

Bagaimana cara mencegah injeksi SQL?

Pesan kesalahan terutama digunakan untuk mengambil informasi sensitif tentang situs web. Jadi mereka harus dinonaktifkan, atau pesan kesalahan khusus harus dibuat. Pakar keamanan siber dari layanan pengembangan WordPress mengatakan bahwa enkripsi SHA1 atau SHA harus digunakan untuk semua informasi rahasia dan kata sandi. Membatasi jumlah izin yang diberikan akan mengurangi kemungkinan serangan berbahaya tersebut.

Serangan Brute Force

Serangan brute force terdiri dari upaya untuk mendapatkan kombinasi yang benar dari login dan kata sandi dengan metode coba-coba. Ini adalah cara termudah yang coba dilakukan peretas untuk mengakses login. Serangan semacam ini dapat dilakukan dengan berbagai cara, setiap metode berulang kali mencoba menebak kombinasi login dan kata sandi. Ini adalah taktik umum yang digunakan oleh bot karena tidak ada batasan jumlah upaya untuk masuk ke WordPress. Jika serangan berhasil, informasi sensitif situs web dan bisnis Anda dapat berada dalam bahaya. Bahkan jika gagal, tetap saja sistem Anda dapat kelebihan beban.

Bagaimana cara mengatasi serangan brute force?

Cara terbaik adalah dengan mengaktifkan kebijakan kunci yang menghilangkan upaya login tak terbatas. Penundaan progresif juga dapat digunakan ketika akun dikunci untuk jangka waktu tertentu. Alat seperti Captcha akan membantu, meskipun ini akan mempengaruhi kegunaan situs web. Membuat kata sandi yang rumit untuk memerangi jenis serangan ini juga dapat membantu.

Skrip lintas situs

Hampir 84% dari semua pelanggaran keamanan di WordPress adalah Cross-Site Script atau serangan XSS. Jenis kerentanan ini paling sering ditemukan di plugin WordPress. Di sini, penyusup menggunakan aplikasi web untuk mengirim skrip dan kode berbahaya ke situs yang aman dan andal, di antaranya mungkin milik Anda. Akibatnya, file JavaScript berbahaya diunduh ke halaman web dan digunakan untuk mencuri informasi rahasia.

Bagaimana cara mencegah skrip lintas situs?

Ada beberapa metode untuk mencegah serangan XSS:

  1. Jangan izinkan data yang tidak dapat diandalkan mengakses dokumen HTML Anda.
  2. Gunakan Sanitization API WordPress dan Escaping API WordPress (pembersihan kode berfungsi untuk melindungi informasi rahasia dan tidak menampilkannya secara publik-misalnya, di baris alamat tautan browser).
  3. Sebelum memasukkan data yang tidak dapat diandalkan ke dalam string permintaan URL, pastikan data tersebut dikodekan dalam URL.
  4. Sebelum Anda menempatkan data yang tidak dapat diandalkan di halaman HTML, pastikan bahwa itu dikodekan dalam HTML, dengan mengganti sintaks kode.

Server web dan serangan OS

Ada juga kerentanan keamanan tertentu pada server web dan sistem operasi. Ancaman keamanan tersebut dibuat ketika kesalahan dicatat dalam OpenSSL, yang membuatnya tersedia bagi peretas untuk mendapatkan akses ke basis data dan informasi rahasia. Kerentanan parah ini memengaruhi hampir dua pertiga dari semua situs web.

Bagaimana cara mencegah serangan pada server web?

  1. Lakukan pemeriksaan keamanan rutin pada perangkat lunak OpenSSL.
  2. Lakukan validasi sisi server.
  3. Jangan percaya masukan dari luar.
  4. Perbarui tanda tangan IPS dan firewall dan aktifkan tanda tangan Heartbleed.
  5. Batalkan sertifikat SSL yang ada dan buat yang baru.
  6. Jangan membuat sertifikat baru dengan kunci lama.

Program jahat dirancang untuk menghancurkan dan merusak sistem atau mendapatkan akses ke database. Perangkat lunak tersebut adalah bentuk kode dan skrip yang dapat dieksekusi yang menembus sistem tanpa persetujuan pengguna.

Setiap kali situs WordPress Anda diretas, lihat file yang baru saja dimodifikasi. Infeksi malware yang paling umum termasuk pintu belakang, disk yang dapat diunduh, dan pengalihan berbahaya.

Bagaimana cara mengatasi serangan berbahaya?

  1. Hapus file berbahaya secara manual.
  2. Pulihkan situs WordPress dari cadangan.
  3. Selalu perbarui WordPress dan plugin.
  4. Hapus akun "admin" dan gunakan nama pengguna unik yang berbeda.

Deteksi peretasan

Ada persentase rendah dari upaya peretasan yang sangat sulit dideteksi, tetapi secara umum, Anda dapat mengidentifikasi upaya apa pun yang berhasil atau tidak.

Indikator untuk mendeteksi kerentanan:

  • Lonjakan lalu lintas yang tiba-tiba dan tidak terduga, terutama dari luar negeri (seringkali bukan dari wilayah Anda, di mana kemungkinan menemukan audiens target Anda sangat rendah);
  • Domain Anda secara otomatis dialihkan ke situs pihak ketiga (seringkali spam);
  • Beranda dan halaman internal Anda tiba-tiba berubah atau kontennya hilang;
  • Ledakan bandwidth keluar dapat menunjukkan bahwa server Anda ditangkap dan digunakan untuk serangan DDoS;
  • Penurunan lalu lintas langsung dan organik karena mesin pencari seperti Google, Yandex, Bing, dan browser (Firefox dan Chrome) memperingatkan tentang bahaya mengunjungi situs Anda oleh pengguna.

Jika Anda melihat salah satu aktivitas yang terdaftar di situs web Anda, segera lakukan diagnosa keamanan situs WordPress Anda di sini . Cukup ganti www.example.com dengan domain situs web Anda di bilah alamat. Alternatif untuk layanan ini adalah memeriksa reputasi situs dengan bantuan alat URLVoid gratis .

Hilangkan pelanggaran keamanan

Pantau sumber daya Anda dengan cermat dan objektif untuk upaya peretasan. Jika ada masalah keamanan, Anda harus mulai menghilangkan pelanggaran.

Jika Anda yakin bahwa situs Anda telah menjadi target penjahat dunia maya, maka sudah tepat untuk memberi tahu pengunjung Anda tentang hal itu. Atur distribusi email secara otomatis ke pengguna Anda, karena mereka rentan terhadap peretas. Beri tahu mereka bahwa situs Anda mungkin menjadi korban pelanggaran keamanan dan lebih baik menangguhkan kunjungan ke situs Anda untuk sementara waktu. Tentukan tanggal di mana masalah akan diperbaiki.

Jika serangan telah menyebar, masuk akal untuk mematikan situs dan bekerja dalam mode offline sampai Anda menemukan dan menyelesaikan masalah. Untuk masa kerja, disarankan untuk meletakkan halaman "Situs di Rekonstruksi". Ini akan menjelaskan kepada pengguna bahwa masalahnya bersifat sementara dan tidak akan membuat mereka takut selamanya.

Hubungi hosting web Anda

Perusahaan web hosting bekerja setiap hari dengan ribuan situs web dan menghadapi semua jenis masalah keamanan di Internet. Setelah Anda mengetahui bahwa keamanan situs Anda berisiko, hubungi perusahaan hosting, dan jelaskan masalah Anda.

Sebagian besar perusahaan web hosting memiliki spesialis keamanan TI. Mereka dapat membantu mengidentifikasi dan memperbaiki serangan berbahaya. Bahkan jika perusahaan hosting Anda tidak menawarkan bantuannya, para ahlinya dapat menghubungi pemilik situs web lain yang menghadapi masalah serupa. Ini akan membantu Anda untuk memahami apa yang harus Anda lakukan untuk memecahkan masalah.

Penyedia hosting yang baik mengambil tindakan ekstra untuk melindungi server mereka dari ancaman umum. Tetapi pada shared hosting, Anda berbagi sumber daya dengan pemilik situs web lain. Ini meningkatkan risiko serangan skrip lintas situs ketika peretas dapat menggunakan situs web tetangga untuk menyerang situs Anda.

Menggunakan hosting terkelola WordPress menyediakan pengoperasian situs web Anda yang lebih aman karena fungsionalitas tambahannya seperti pencadangan otomatis, pembaruan, dan konfigurasi keamanan yang lebih kompleks untuk melindungi sumber daya Anda.

Dapatkan bantuan dari pakar keamanan web

Biasanya, file situs web yang paling rentan adalah file media, file .php, dan file yang disimpan di tempat yang tidak aman. Peretas menyuntikkan kode berbahaya ke dalam file ini dan merusak situs web Anda menggunakan serangan pintu belakang. Karena ini adalah zona risiko umum, Anda harus memeriksanya terlebih dahulu dan, setelah itu, pergi ke area lain di situs untuk memulai proses pembersihan.

Menghapus kode berbahaya dari file yang terinfeksi mengharuskan Anda mengunduhnya dari server, menghapus kode yang terpengaruh, dan mengunggah ulang file bersih ke server.

Terkadang tidak cukup hanya membersihkan file yang terinfeksi. Mungkin peretas memiliki akses ke file Anda, dan mereka akan terus membuat perubahan dan menghapus cuplikan kode. Praktik yang benar adalah membandingkan versi bersih dari file terinfeksi Anda dengan file sumber pengembang web Anda untuk melihat apakah Anda telah kehilangan bagian penting dari kode.

Ingatlah bahwa biasanya, peretas memasang cangkang backend yang memungkinkan mereka meretas situs Anda bahkan setelah menghapus semua file yang terinfeksi. Cangkang ini sering disamarkan sebagai file biasa. Jika situs Anda telah disusupi, saat Anda kembali ke cadangan, alihkan pekerjaan tersebut ke layanan keamanan untuk memastikan bahwa situs web Anda benar-benar aman dan dapat berfungsi lebih lanjut.

Ubah kata sandi

Membersihkan file yang terinfeksi hanyalah bagian dari tugas menghapus kerentanan. Anda perlu memastikan bahwa peretas tidak mendapatkan akses ke data Anda lagi. Cara termudah, tetapi efektif untuk melakukannya adalah dengan mengubah kata sandi. SEMUA kata sandi Anda dari:

  • Surel;
  • akun FTP;
  • Akun hosting;
  • Panel admin WordPress.

Anda harus yakin bahwa kata sandi baru Anda dapat diandalkan dan tidak dapat diretas menggunakan metode brute force. Ingat, mencuri kata sandi adalah jenis peretasan situs WordPress yang paling umum. Oleh karena itu, kami menyarankan Anda untuk membuat kata sandi yang lebih kompleks yang belum pernah digunakan sebelumnya.

Alasan utama mengapa pemula tidak suka menggunakan kata sandi yang kuat adalah karena kata sandi itu sulit diingat. Sekarang ada solusi untuk masalah ini – cukup gunakan pengelola kata sandi.

Cara efektif untuk mengurangi risiko adalah dengan memiliki banyak peran untuk mengakses akun WordPress Anda. Jika Anda memiliki penulis tamu, pastikan Anda memahami peran dan kemampuan setiap orang sebelum menambahkan pengguna baru ke situs web Anda.

Cara Mengamankan situs WordPress Anda

Biasanya, menjaga keamanan situs web dipandang sebagai pekerjaan yang rumit, dan membutuhkan staf profesional dengan bayaran tinggi. Dalam kasus WordPress, hal-hal tidak begitu menakutkan. Kami akan menunjukkan cara melindungi situs WordPress Anda tanpa pengetahuan teknis yang mendalam. Anda tidak perlu tahu cara membuat kode, melakukan tindakan kompleks, berdiri di atas kepala Anda, atau melakukan ritual voodoo rahasia.

Mari kita mulai!

Langkah 1. Atur opsi pencadangan

Cadangan adalah perisai Anda dari serangan WordPress apa pun. Ingat, tidak ada situs web yang 100% aman. Bahkan situs web pemerintah diretas dari waktu ke waktu. Jadi sumber daya Anda juga bisa menjadi target.

Cadangan dirancang untuk memulihkan situs web yang rentan dengan cepat. Oleh karena itu, kami menyarankan untuk menggunakan plugin WordPress yang sudah jadi untuk tujuan ini. Ada banyak dari mereka: ada opsi berbayar dan gratis.

Yang paling penting di sini adalah bahwa backup perlu dilakukan secara teratur. Ada satu aturan penting – mereka harus dibuat di layanan penyimpanan pihak ketiga (misalnya, di cloud Dropbox, Amazon), dan bukan di akun hosting Anda.

Semakin sering Anda memperbarui situs web, semakin sering Anda perlu membuat salinan cadangannya. Jika Anda membuat pembaruan blog setiap hari, kami sarankan Anda membuat cadangan setidaknya sekali sehari.

Bagaimana cara melakukannya?

Unduh plugin seperti VaultPress atau BackupBuddy . Mereka dapat diandalkan dan, yang paling penting, mudah digunakan, mudah diatur dan dengan sempurna mengatasi fungsi cadangan utama mereka.

Gunakan plugin dan layanan keamanan WordPress

Memiliki infrastruktur keamanan dasar adalah suatu keharusan untuk situs web apa pun terlepas dari skalanya. Misalnya, alat sederhana, Login Lockdown , untuk pengguna WordPress berguna untuk mencegah serangan primitif dari upaya masuk menggunakan brute force.

Oleh karena itu, jika Anda belum memiliki firewall atau sistem keamanan yang melindungi situs Anda, aktifkan tanpa penundaan. Karena tujuan kami adalah untuk mencegah serangan dan tidak memulihkan setelah kerusakan terjadi, kami sarankan menggunakan firewall aplikasi web (WAF) sebagai solusi.

Firewall adalah solusi perangkat lunak siap pakai yang menambahkan tingkat perlindungan ekstra dan mengontrol semua lalu lintas yang masuk ke situs web Anda, memblokir berbagai ancaman berbahaya.

Ini melawan ancaman paling umum dan agresif, termasuk Proyek Keamanan Aplikasi Web Terbuka, SQL Injection, Cross-Site Scripting, dan Invalidated Redirects. Firewall atau firewall sering dibangun ke dalam sistem operasi modern atau disertakan dalam sistem antivirus berbayar.

Firewall aplikasi web (WAF) adalah cara termudah untuk melindungi situs dan memastikan keamanannya. Ini memblokir semua lalu lintas berbahaya sebelum mengambil alih sumber daya Anda.

Penyedia hosting yang baik menawarkan perlindungan WAF bawaan menggunakan modul server mod_security Apache dengan sumber terbuka, tetapi kami memahami bahwa itu tidak cukup untuk memblokir ancaman terbaru yang terdeteksi. Modul ini jarang diperbarui oleh web hosting yang tidak memiliki sumber daya yang cukup untuk melacak lanskap ancaman yang berkembang pesat.

Oleh karena itu, pengguna harus melakukan tugas mereka sendiri, menggunakan firewall yang disediakan oleh penyedia keamanan cloud. WAF berbasis cloud tersebut adalah solusi plug-and-play yang mengontrol semua lalu lintas masuk dan secara mandiri memproses seluruh proses deteksi dan penghapusan ancaman untuk merespons ancaman baru dan yang sudah ada dengan cepat.

Selain itu, layanan cloud semacam itu biasanya hadir dengan jaringan pengiriman konten CDN, layanan failover DDoS, dan bahkan solusi load balancing untuk meningkatkan kinerja, keamanan, dan ketersediaan.

Sebagai firewall terbaik untuk aplikasi web untuk WordPress, kami merekomendasikan Sucuri . Keuntungan dari firewall Sucuri adalah ia hadir dengan jaminan penghapusan malware. Pengembang menjamin bahwa mereka akan memperbaiki situs web Anda (tidak peduli berapa banyak halaman yang Anda miliki). Spesialis keamanan, biasanya, memperkirakan pekerjaan mereka pada $250 per jam sementara Anda bisa mendapatkan keamanan lengkap dengan Sucuri seharga $199 per tahun.

Sucuri bukan satu-satunya vendor firewall. Pesaing terkenalnya yang sudah menginjak tumitnya adalah Cloudflare .

Apa perbedaan antara Sucuri dan Cloudflare?

Kedua layanan menawarkan paket berbeda, yang hadir dengan serangkaian fitur berbeda.

Fitur Cloudflare

Cloudflare mendapatkan ketenaran untuk layanan CDN gratis. Ini mengkhususkan diri dalam mencegah serangan DDoS. Cloudflare membuat situs Anda dapat diakses oleh pengguna selama serangan atau dengan lalu lintas padat saat server Anda berhenti merespons.

Firewall juga mencakup formulir dan melindungi situs web Anda dari komentar spam dan pendaftaran spam. Cloudflare juga menawarkan sertifikat SSL gratis di semua paket berbayarnya. Paket gratis memungkinkan Anda untuk hanya menggunakan sertifikat Cloudflare. Untuk mendapatkan sertifikat khusus, Anda harus meningkatkan ke paket bisnis atau perusahaan.

Meskipun Cloudflare memiliki versi gratis yang menyediakan CDN gratis, sebagian besar fungsi lainnya, termasuk firewall aplikasi web memerlukan transisi ke paket berbayar.

Cloudflare tidak menawarkan layanan untuk memindai server untuk mendeteksi malware. Itu juga tidak memberikan jaminan untuk menghapus malware.

Fitur Sucuri

Sucuri adalah salah satu layanan keamanan paling andal untuk memantau situs web. Ini menawarkan pemantauan dan pemindaian komprehensif untuk malware, perlindungan dari DDoS, dan penghapusan perangkat lunak berbahaya.

Sucuri menawarkan CloudProxy, firewall situs web, dan layanan penyeimbangan beban. Ini memblokir lalu lintas yang mencurigakan, kode yang terinfeksi, bot, dan ancaman lainnya. Sucuri secara teratur memindai situs web Anda.

Apa yang harus dipilih?

Sucuri jelas memiliki lebih banyak keuntungan karena menawarkan kombinasi alat dan layanan terbaik (situs firewall + penyeimbangan beban + pembersihan malware/restorasi peretasan).

harga

Cloudflare menawarkan layanan CDN gratis untuk semua orang. Mereka tidak mengenakan biaya untuk bandwidth, yaitu, Anda dapat menggunakan CDN gratis mereka terlepas dari jumlah lalu lintasnya.

Namun, paket gratis tidak dilengkapi dengan firewall untuk aplikasi web. Situs web Anda dapat menggunakan CDN, tetapi tidak akan terlindungi dengan baik dari serangan DDoS, spam, dll.

Untuk menggunakan firewall, Anda memerlukan paket Pro dengan biaya $20 per bulan, tetapi paket ini tidak termasuk pengurangan lanjutan serangan DDoS dan SSL khusus. Untuk mendapatkan fitur-fitur ini, Anda perlu membeli paket bisnis dengan biaya $200 per bulan.

Sucuri tidak menawarkan paket gratis. Paket keamanan mereka mulai dari $ 199 per tahun, yang ternyata lebih terjangkau daripada paket Pro CloudFlare. Paket dasar ini mencakup pemantauan situs lengkap, firewall aplikasi web, perlindungan DDoS, penghapusan malware, dan sertifikat SSL gratis.

Daripada mengecualikan fitur signifikan dari paket tingkat rendah, Sucuri menggunakan prioritas waktu sebagai insentif untuk paket yang lebih mahal. Misalnya, waktu untuk menghapus malware dalam paket harga dasar adalah 12 jam, 6 jam untuk paket profesional, dan 4 jam untuk paket bisnis. Pada saat yang sama, waktu pembersihan yang sebenarnya lebih cepat dari yang ditunjukkan dalam rencana.

Sucuri menawarkan dukungan 24 jam untuk semua paket. Pelanggan rencana bisnis mereka juga dapat menggunakan dukungan obrolan.

Apa yang harus dipilih?

Sucuri adalah pilihan yang jelas untuk usaha kecil dalam hal harga. Cloudflare Pro berharga $240 per tahun dibandingkan Sucuri yang mengenakan biaya $199 per tahun dengan berbagai fitur. Untuk mendapatkan fungsi yang sama, Anda harus menggunakan paket Cloudflare seharga $2.400 per tahun. Paket Sucuri paling mahal adalah $ 499 per tahun.

Menghapus perangkat lunak perusak

Malware dan kode yang terinfeksi adalah ancaman paling umum yang dihadapi oleh pemilik situs web.

Bagaimana Sucuri dan Cloudflare melindungi situs dari ancaman umum ini?

Cloudflare versi gratis biasanya bagus sebagai jaringan pengiriman konten yang akan membuat situs Anda lebih cepat diunduh.

Keamanan firewall untuk situs web (tersedia dalam versi berbayar) mencakup perlindungan situs dari kode berbahaya, eksploitasi dalam JavaScript XSS, dan formulir. Itu tidak menawarkan deteksi perubahan file, pemindaian malware, pemantauan daftar hitam, dan fitur keamanan lainnya. Anda dapat menambahkan aplikasi pihak ketiga untuk memindai malware, tetapi layanan ini akan dikenakan biaya tambahan.

Sucuri mengkhususkan diri dalam memantau situs dan melindunginya dari perangkat lunak berbahaya dan serangan lainnya. Firewall Sucuri melindungi Anda dari DDoS, injeksi SQL, injeksi JavaScript XSS, komentar, dan formulir kontak spam.

Namun, jika penyerang juga memecahkan penghalang ini, Sucuri akan menawarkan untuk membersihkan situs Anda (gratis). Jika Anda sekarang memiliki situs web yang terpengaruh oleh perangkat lunak berbahaya, Sucuri juga dapat membersihkannya.

Apa yang harus dipilih?

Untuk memanfaatkan firewall aplikasi web dengan pemantauan, perlindungan anti-malware, dan layanan pembersihan, Sucuri paling cocok. Namun, di bidang pengiriman konten, lebih baik menggunakan Cloudflare.

Langkah 2. Transfer ke HTTPS jika Anda belum melakukannya

Salah satu faktor peringkat terbaru yang diumumkan secara resmi oleh Google adalah persyaratan untuk beralih ke HTTPS. Penekanan pada keamanan situs web ini menunjukkan bahwa Google serius dengan fakta bahwa situs web yang tidak dapat diandalkan atau diretas diturunkan peringkatnya dalam peringkat mesin pencari. Menurut Google sendiri, ini adalah upaya untuk membuat Internet lebih aman.

HTTPS adalah protokol untuk mengamankan kerahasiaan pertukaran data antara pengguna dan situs web. Ini memastikan keamanan mentransfer informasi penting antara situs dan server, berbeda dengan protokol HTTP lama.

HTTPS sebelumnya banyak digunakan untuk transaksi keuangan di situs e-commerce, untuk melindungi kotak surat. Dengan kata lain, itu diterapkan pada setiap transaksi yang membutuhkan keamanan dan keandalan.

Dengan mentransfer situs Anda ke protokol HTTPS, Anda tidak hanya akan membuatnya lebih aman; Anda juga akan meningkatkan peluang Anda untuk mendapatkan posisi tinggi dalam hasil pencarian di Google dan kueri tematik Bing.

Langkah 3: Instal plugin keamanan WordPress

Penting untuk menyiapkan sistem audit dan pemantauan yang melacak setiap aktivitas yang terjadi di situs Anda.

Anda memerlukan plugin keamanan untuk:

  • memantau integritas file;
  • melacak upaya login yang gagal;
  • memindai situs untuk malware;
  • menghilangkan segala ancaman;
  • melindungi situs Anda dari ancaman;
  • memiliki asisten universal dalam memerangi semua jenis kerentanan;

Plugin gratis, Sucuri Scanner, dapat menangani tugas-tugas ini.

Bagaimana cara mengkonfigurasi Sucuri Scanner?

  1. Buat kunci API gratis. Ini akan membantu untuk menyimpan catatan jejak, memeriksa integritas situs web, memberi tahu melalui email ketika ancaman terjadi.
  2. Buka tab Pengerasan di menu Sucuri di dasbor WordPress. Tandai setiap opsi dan klik tombol "Perkuat".

Pengaturan ini membantu memblokir zona risiko yang sering digunakan peretas untuk serangan mereka.

  1. Konfigurasikan peringatan ancaman melalui email. Untuk memastikan email Anda tidak mengacaukan email Anda, kami menyarankan Anda mengatur penerimaan email hanya tentang tindakan penting seperti mendaftarkan pengguna baru, perubahan plugin.

Wordfence Security adalah salah satu plugin keamanan paling terkenal dengan lebih dari 2 juta instalasi aktif dan firewall bawaan. Ini memberikan perlindungan komprehensif situs web di semua lini:

  • Perlindungan situs universal;
  • Perlindungan terhadap ancaman baru;
  • Perlindungan dari serangan brute force;
  • Deteksi lalu lintas berbahaya;
  • Memblokir penyusup sebelum mereka mencapai situs;
  • Perlindungan dari bot;
  • Memblokir jaringan berbahaya;
  • Perlindungan input dari kata sandi brute-force, serangan DDoS;
  • Memindai situs untuk mendeteksi ancaman;
  • Pemindaian pintu belakang;
  • Memindai Trojan, kode yang mencurigakan;
  • Memindai pesan dan komentar.

Untuk mendapatkan firewall yang lebih andal, Anda perlu membeli versi Premium (mulai $99 untuk tahun ini). Fitur plugin dasar tersedia dalam versi gratis.

Kirim permintaan ke Google, Bing, dll.

Hasil negatif dari diretas adalah banyak mesin telusur, peramban, dan perangkat lunak keamanan mengidentifikasi sumber daya Anda sebagai sumber daya yang bermasalah dan mengeluarkan peringatan kepada pengguna yang ingin mengunjungi situs tersebut. Dengan demikian, mereka berusaha memastikan keamanan penggunanya, mencegah mereka dari bahaya.

Agar situs Anda dapat berdiri secepat mungkin, hubungi Google, Bing, Yahoo, Mozilla, dan layanan lainnya untuk menghapus situs Anda dari daftar hitam mereka.

Untuk menyimpulkan

Seperti kebanyakan hal lain yang tiba-tiba salah, berhati-hatilah dan pastikan Anda mengambil setiap tindakan pencegahan yang mungkin untuk melindungi situs WordPress Anda dari serangan apa pun. Jika itu tak terhindarkan dan Anda telah diretas, jangan berkecil hati.

Gunakan saja pengalaman negatif (yang biasanya dapat dihindari) sebagai bel alarm, ikuti langkah-langkah yang dijelaskan di atas, dan gunakan tindakan keamanan apa pun untuk menghindari kejadian serupa di masa mendatang.