10 Kesalahan Keamanan WordPress Teratas dan Cara Menghindarinya

Kesalahan keamanan WordPress mudah dilakukan. Kesalahan paling umum dalam keamanan WordPress Anda dapat didasarkan pada informasi yang sudah ketinggalan zaman, mitos keamanan WordPress yang umum, atau tidak mengetahui praktik terbaik keamanan WordPress.

Meskipun WordPress sendiri aman, menghindari kesalahan keamanan WordPress memerlukan sedikit usaha dari pemilik situs. Dalam posting ini, kami akan membahas 10 kesalahan keamanan WordPress teratas dengan tips tentang cara menghindarinya.

Mari selami. Kami akan membahas semuanya mulai dari kualitas host WordPress Anda hingga login admin WordPress hingga tema dan plugin yang Anda gunakan.

1. Memilih Hosting yang Buruk

Tidak semua host web dibuat sama, dan memilih satu hanya berdasarkan harga dapat membuat Anda jauh lebih mahal dalam jangka panjang dengan kesalahan keamanan WordPress.

Sebagian besar lingkungan hosting bersama aman, tetapi beberapa tidak memisahkan akun pengguna dengan benar. Jika akun pengguna tidak dipisahkan dengan benar, satu akun yang disusupi dapat menghapus setiap situs web di server bersama itu.

Host Anda harus waspada dalam menerapkan patch keamanan terbaru dan mengikuti praktik terbaik keamanan hosting penting lainnya yang terkait dengan keamanan server dan file.

Cara Menghindari Memilih Hosting yang Buruk

Pilih host yang memiliki reputasi baik untuk situs web Anda dengan catatan keamanan yang solid.

Lihat iThemes Hosting untuk penyedia hosting yang dapat Anda percaya.

2. Tidak Memiliki Paket Cadangan WordPress

Pencadangan dan keamanan sepertinya tidak terkait. Tapi percayalah pada kami, memiliki cadangan situs WordPress Anda setelah serangan ransomware benar-benar dapat menghemat daging Anda.

Serangan ransomware adalah ketika seorang peretas mengenkripsi file situs web Anda, membuatnya dan situs web Anda tidak dapat diakses. Untuk mendapatkan kembali akses ke situs web Anda, Anda memerlukan kunci untuk mendekripsi file. Dengan biaya yang lumayan, peretas akan dengan senang hati memberikan kuncinya kepada Anda.

Memiliki cadangan situs web WordPress Anda memungkinkan Anda untuk mengembalikan situs web Anda ke keadaan sebelum situs web Anda ditahan untuk tebusan. Anda mendapatkan kembali akses ke situs web Anda tanpa harus membayar uang tebusan yang diminta. #baconsaved

Cara Menghindari Tidak Memiliki Cadangan Situs Web

Buat jadwal untuk secara teratur membuat cadangan situs web Anda.

BackupBuddy, plugin cadangan WordPress kami, adalah alat yang kami rekomendasikan untuk cadangan WordPress. Dengan BackupBuddy, Anda dapat mengatur jadwal pencadangan untuk 5 jenis pencadangan WordPress sehingga pencadangan Anda berjalan secara otomatis. Itu ketenangan pikiran.

3. Login Tidak Aman

Login WordPress adalah bagian yang paling diserang dan berpotensi paling rentan dari situs WordPress mana pun. Secara default, tidak ada sesuatu yang dibangun ke dalam WordPress untuk membatasi jumlah upaya login yang gagal yang dapat dilakukan seseorang. Tanpa batasan jumlah upaya login yang gagal yang dapat dilakukan penyerang, mereka dapat terus mencoba nama pengguna dan kata sandi dalam jumlah tak terbatas sampai berhasil.

Login WordPress Anda sangat mirip dengan pintu depan rumah Anda. Tanpa kunci di pintu depan Anda, akan mudah bagi siapa saja untuk masuk ke rumah Anda, mulai memindahkan perabotan Anda, menghancurkan barang-barang Anda, dan mencuri TV Anda. Masuk akal untuk menambahkan kunci ke pintu depan Anda untuk mempersulit calon pencuri masuk ke rumah Anda.

Cara Menghindari Login yang Tidak Aman

Gunakan plugin keamanan WordPress untuk membatasi upaya login yang tidak valid.

Fitur iThemes Security Pro Local Brute Force Protection melacak upaya login yang tidak valid yang dilakukan oleh host atau alamat IP dan nama pengguna. Setelah IP atau nama pengguna melakukan terlalu banyak upaya login tidak valid berturut-turut, mereka akan dikunci dan dicegah untuk mencoba lagi.

4. Tidak Ada Perlindungan Terhadap Serangan Bot Otomatis

Bot adalah perangkat lunak yang diprogram untuk melakukan daftar tugas tertentu. Pengembang membuat serangkaian instruksi yang akan diikuti bot secara otomatis tanpa perlu memberi tahu pengembang untuk memulai. Bot akan melakukan tugas yang berulang dan biasa lebih cepat dari yang kita bisa.

Beberapa bot ini diprogram dengan motif jahat seperti:

Brute Force Bots menjelajahi internet mencari login WordPress untuk diserang.

Bot Pengikis Konten diprogram untuk mengunduh konten situs web Anda tanpa izin Anda. Bot dapat menduplikasi konten untuk digunakan di situs web penyerang guna meningkatkan SEO mereka dan mencuri lalu lintas situs Anda.

Spambot mengotori komentar Anda dengan janji menjadi jutawan saat bekerja dari rumah dengan harapan mengirim pengunjung Anda ke situs web jahat.

Cara Menghindari Serangan Bot Otomatis

Hindari kesalahan keamanan WordPress ini dengan menggunakan perlindungan bot otomatis seperti Google reCAPTCHA di situs web Anda.

Fitur Google reCAPTCHA di iThemes Security Pro melindungi situs Anda dari bot jahat. reCAPTCHA menggunakan teknik analisis risiko tingkat lanjut untuk membedakan manusia dan bot. Setelah bot yang buruk diidentifikasi, itu akan di-boot dari situs web Anda.

5. Menggunakan Versi Rentan dari Plugin, Tema, atau Inti WordPress

Plugin atau tema WordPress yang rentan adalah kesalahan keamanan WordPress terbesar yang dapat Anda lakukan. Menjaga perangkat lunak diperbarui adalah bagian penting dari strategi keamanan apa pun, dan ini termasuk inti WordPress serta tema dan plugin Anda. Pembaruan versi tidak hanya untuk perbaikan bug dan fitur baru. Pembaruan juga dapat mencakup tambalan keamanan penting. Anda membiarkan ponsel, komputer, server, router, atau situs web Anda rentan terhadap serangan tanpa patch itu.

Peretas menargetkan kerentanan yang ditambal karena mereka tahu orang tidak memperbarui (termasuk plugin dan tema di situs web Anda). Merupakan standar industri untuk mengungkapkan kerentanan secara publik pada hari kerentanan tersebut ditambal. Setelah kerentanan diungkapkan kepada publik, kerentanan menjadi "kerentanan yang diketahui" untuk versi perangkat lunak yang sudah ketinggalan zaman dan belum ditambal. Perangkat lunak dengan kerentanan yang diketahui adalah sasaran empuk bagi peretas.

Peretas menyukai sasaran empuk. Memiliki perangkat lunak usang dengan kerentanan yang diketahui seperti memberikan petunjuk langkah demi langkah kepada peretas untuk masuk ke situs web WordPress Anda.

Memiliki plugin atau tema rentan yang tambalannya tersedia tetapi tidak diterapkan adalah penyebab nomor satu situs web WordPress yang diretas.

Cara Menghindari Menggunakan Plugin & Tema Rentan

Perbarui semua plugin dan tema Anda untuk menghindari kesalahan keamanan WordPress dari perangkat lunak yang rentan.

Gunakan Pemindaian Situs Pro Keamanan iThemes. Pemindaian Situs melakukan pemeriksaan otomatis untuk kerentanan yang diketahui yang diinstal di situs Anda. Dan jika tambalan tersedia, iThemes Security Pro akan secara otomatis menerapkan perbaikan untuk Anda.

6. Keamanan Pengguna yang Lemah

Keamanan pengguna yang lemah adalah kesalahan keamanan WordPress utama. Sederhananya: satu pengguna admin WordPress dengan kata sandi yang lemah dapat merusak semua tindakan keamanan situs web lain yang telah Anda lakukan. Itulah sebabnya keamanan pengguna adalah bagian penting dari strategi keamanan WordPress apa pun.

Menurut Laporan Investigasi Pelanggaran Data Verizon, lebih dari 70% karyawan menggunakan kembali kata sandi di tempat kerja. Tetapi statistik terpenting dari laporan tersebut adalah bahwa “81% pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri atau lemah.”

Dalam daftar yang disusun oleh Splash Data, kata sandi paling umum yang disertakan dalam semua dump data adalah 123456. Dump data adalah database yang diretas yang diisi dengan kata sandi pengguna yang dibuang di suatu tempat di internet. Bisakah Anda bayangkan berapa banyak orang di situs web Anda yang menggunakan kata sandi yang lemah jika 123456 adalah kata sandi yang paling umum di dump data?

Alat peretas menjadi lebih baik, dan mereka dapat melewati kata sandi lebih cepat dari sebelumnya. Misalnya, mari kita lihat bagan yang dibuat oleh Terahash, perusahaan pembobol kata sandi berkinerja tinggi. Bagan mereka menunjukkan waktu yang diperlukan untuk memecahkan kata sandi menggunakan cluster hashstack 448x RTX 2080-an.

Secara default, WordPress menggunakan MD5 untuk meng-hash kata sandi pengguna yang disimpan di database WP. Jadi, menurut bagan ini, Terahash dapat memecahkan kata sandi 8 karakter … hampir seketika. Itu tidak hanya sangat mengesankan tetapi juga sangat menakutkan.

Lebih buruk lagi, meskipun 91% orang tahu bahwa menggunakan kembali kata sandi adalah praktik yang buruk, 59% orang masih menggunakan kembali kata sandi mereka di mana saja! Banyak dari orang-orang ini masih menggunakan kata sandi yang mereka tahu telah muncul di database dump.

Hacker menggunakan bentuk serangan brute force yang disebut serangan kamus. Serangan kamus adalah metode membobol situs web WordPress dengan kata sandi yang umum digunakan yang muncul di dump basis data. "Koleksi #1? Pelanggaran Data yang dihosting di MEGA yang dihosting mencakup 1.160.253.228 kombinasi unik alamat email dan kata sandi. Itu adalah miliar dengan b. Skor semacam itu akan sangat membantu serangan kamus mempersempit kata sandi WordPress yang paling umum digunakan.

Cara Menghindari Keamanan Pengguna yang Lemah

Cara terbaik untuk menghindari kesalahan keamanan WordPress dari keamanan pengguna yang lemah adalah dengan membuat kebijakan kata sandi yang kuat dan menggunakan otentikasi dua faktor.

Fitur Persyaratan Kata Sandi Pro Keamanan iThemes memungkinkan anggota grup pengguna untuk menggunakan kata sandi yang kuat , memilih waktu kedaluwarsa kata sandi , menolak kata sandi yang disusupi , dan memaksa perubahan kata sandi di seluruh situs untuk membuat semua orang mematuhi kebijakan kata sandi baru Anda yang kuat.

Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis.

Fitur iThemes Security Pro Two-Factor Authentication memberikan banyak fleksibilitas saat menerapkan 2fa di situs web Anda. Anda dapat mengaktifkan dua faktor untuk semua atau beberapa pengguna Anda, dan Anda dapat memaksa pengguna tingkat tinggi Anda untuk menggunakan 2fa pada setiap login.

7. Komunikasi Tidak Terenkripsi (Tanpa SSL)

Tidak mengenkripsi komunikasi di situs web Anda adalah kesalahan keamanan WordPress yang serius. Setiap kali kami melakukan pembelian online, komunikasi terjadi antara browser Anda dan toko online. Misalnya, ketika kita memasukkan nomor kartu kredit kita ke browser kita, browser kita akan membagikan nomor tersebut dengan toko online. Setelah toko menerima pembayaran, kemudian memberitahu browser Anda untuk memberi tahu Anda bahwa pembelian Anda berhasil.

Satu hal yang perlu diingat tentang informasi yang dibagikan antara browser kami dan server toko adalah bahwa informasi tersebut membuat beberapa pemberhentian dalam perjalanan. Jika komunikasi tidak terenkripsi, peretas dapat mencuri kartu kredit kita sebelum mencapai tujuan akhir server toko.

Untuk lebih memahami cara kerja enkripsi, pikirkan tentang bagaimana pembelian kami dikirimkan. Jika Anda pernah melacak status pengiriman pembelian online, Anda akan melihat bahwa pesanan Anda berhenti beberapa kali sebelum tiba di rumah Anda. Jika penjual tidak mengemas pembelian Anda dengan benar, orang akan mudah melihat apa yang Anda beli.

Cara Menghindari Komunikasi Tidak Terenkripsi

Anda akan memerlukan sertifikat SSL untuk mengenkripsi komunikasi di situs web Anda. Jika situs WordPress Anda kekurangan SSL, hal pertama yang harus Anda lakukan adalah meminta penyedia hosting Anda untuk melihat apakah mereka menyediakan sertifikat dan konfigurasi SSL gratis.

Cloudflare menawarkan sertifikat SSL bersama gratis untuk situs web WordPress. Jika Anda memilih untuk tidak memiliki sertifikat SSL bersama dan Anda merasa nyaman dengan baris perintah, CertBot adalah pilihan yang sangat baik. Certbot tidak hanya membuat sertifikat SSL gratis menggunakan Let's Encrypt untuk Anda, tetapi juga secara otomatis mengelola pembaruan sertifikat untuk Anda.

8. Pencatatan & Pemantauan Keamanan Tidak Memadai

Pencatatan yang tidak memadai di situs web Anda adalah kesalahan keamanan WordPress yang cukup besar sehingga masuk dalam 10 besar risiko keamanan aplikasi web OWASP. Logging adalah bagian penting dari strategi keamanan WordPress Anda. Memantau perilaku yang tepat akan membantu Anda mengidentifikasi dan menghentikan serangan, mendeteksi pelanggaran, serta mengakses dan memperbaiki kerusakan yang terjadi pada situs web Anda setelah serangan berhasil.

Pencatatan dan pemantauan yang tidak memadai dapat menyebabkan keterlambatan dalam mendeteksi pelanggaran keamanan. Sebagian besar studi pelanggaran menunjukkan bahwa waktu untuk mendeteksi pelanggaran adalah lebih dari 200 hari! Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data.

Cara Menghindari Pencatatan yang Tidak Memadai

Tambahkan pencatatan keamanan ke situs web Anda untuk menghindari kesalahan keamanan WordPress ini. Anda dapat menggunakan beberapa fungsi dan filter pengembang yang disediakan WordPress untuk membuat sistem pencatatan, tetapi cara termudah untuk memulai log keamanan adalah dengan menginstal plugin keamanan WordPress

iThemes Security Pro WordPress Security Logs secara otomatis memantau dan mencatat peristiwa keamanan penting yang terjadi di situs web Anda.

9. Plugin dan Tema yang Tidak Digunakan

Memiliki plugin dan tema yang tidak digunakan atau tidak aktif di situs web Anda adalah kesalahan keamanan WordPress utama. Setiap potongan kode di situs web Anda adalah titik masuk potensial bagi peretas.

Ini adalah praktik umum bagi pengembang untuk menggunakan kode pihak ketiga seperti perpustakaan JS-dalam plugin dan tema mereka. Sayangnya, jika perpustakaan tidak dirawat dengan baik, mereka dapat menciptakan kerentanan yang dapat dimanfaatkan penyerang untuk meretas situs web Anda.

Cara Menghindari Plugin dan Tema

Copot pemasangan dan hapus sepenuhnya semua plugin dan tema yang tidak perlu di situs WordPress Anda untuk membatasi jumlah titik akses dan kode yang dapat dieksekusi di situs web Anda.

Selain itu, hindari menggunakan plugin WordPress yang ditinggalkan. Jika ada plugin yang diinstal di situs WordPress Anda belum menerima pembaruan dalam enam bulan atau lebih.

10. Menginstal Perangkat Lunak Dari Sumber Tidak Tepercaya

Menginstal perangkat lunak dari sumber yang tidak tepercaya adalah salah satu cara cepat untuk membuat kesalahan keamanan WordPress. Anda harus waspada terhadap versi "nulled" dari plugin komersial. Seringkali versi gratis atau diskon besar dari plugin pro ini mengandung kode berbahaya.

Tidak masalah bagaimana Anda mengunci situs WordPress Anda jika Anda yang menginstal malware.

Cara Menghindari Perangkat Lunak dari Sumber Tidak Tepercaya

Anda hanya boleh menginstal perangkat lunak yang Anda dapatkan dari WordPress.org, repositori komersial terkenal, atau langsung dari pengembang terkemuka.

Jika plugin atau tema WordPress tidak didistribusikan di situs web pengembang, Anda harus melakukan uji tuntas sebelum mengunduh plugin. Jangkau pengembang untuk melihat apakah mereka berafiliasi dengan situs web yang menawarkan produk mereka dengan harga gratis atau diskon.

Penutup: 10 Kesalahan Keamanan WordPress Teratas Dijelaskan

Seperti yang bisa kita lihat, ada banyak potensi kesalahan keamanan WordPress. Untungnya semua kesalahan keamanan dengan mudah dihindari hanya dengan sedikit usaha dari kami.

Daftar Periksa Keamanan WordPress Sederhana

Sebagian besar kerentanan keamanan WordPress dapat dikurangi dengan mengambil pendekatan proaktif terhadap keamanan WordPress. Untuk rekap, berikut adalah daftar periksa keamanan WordPress sederhana untuk diikuti:

• 1. Pilih hosting yang berkualitas.
• 2. Buat jadwal cadangan.
• 3. Batasi upaya login yang tidak valid
• 4. Tambahkan perlindungan bot otomatis.
• 5. Hindari menggunakan perangkat lunak yang rentan.
• 6. Gunakan password yang kuat dan 2fa.
• 7. Enkripsi komunikasi dengan SSL.
• 8. Tambahkan pencatatan keamanan WordPress.
• 9. Hapus plugin & tema yang tidak digunakan.
• 10. Hanya instal perangkat lunak dari sumber tepercaya.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.