Keamanan WordPress: 16 Langkah untuk Mengamankan & Melindungi Situs Anda

Dalam hal keamanan, tidak ada jenis keamanan khusus WordPress yang ada. Semua masalah dengan keamanan umum terjadi pada semua situs web atau aplikasi.

Masalah keamanan WordPress sangat menarik, karena mendukung sekitar 40% web dan bersifat open source. Ketika seseorang menemukan kerentanan baik di inti WordPress atau plugin, situs web lain yang menggunakannya menjadi rentan karena semuanya menggunakan kode yang sama.

Di sisi lain, ada sejumlah plugin yang layak yang dapat Anda gunakan untuk memperkuat keamanan situs web Anda.

Di kolom ini, Anda akan mempelajari cara memperkuat situs WordPress Anda dari berbagai jenis kerentanan, meskipun cakupan artikel ini lebih luas dan berlaku untuk semua jenis aplikasi web.

Mengamankan Terhadap Kerentanan WordPress

Jenis kerentanan yang paling umum adalah:

1. Pintu belakang.
2. Hack Farmasi.
3. Upaya Masuk Brute-force.
4. Pengalihan Berbahaya.
5. Pembuatan Skrip Lintas Situs (XSS).
6. Denial of Service (DDoS).

Ini adalah jenis kerentanan yang umum, tetapi itu tidak berarti mereka terbatas hanya pada ini. Ketika Anda berpikir tentang keamanan, secara umum, Anda harus berpikir 360°.

Tidak ada batasan cara untuk meretas situs web. Penyerang dapat menggunakan banyak teknik untuk mengakses situs Anda.

Misalnya, mereka dapat mencuri PC Anda dan memiliki akses fisik ke komputer Anda. Mereka juga dapat menggunakan teknik pengawasan untuk melihat kata sandi Anda saat masuk dari jaringan publik ke situs web Anda.

Mari selami cara mengeraskan instalasi WordPress kita untuk membuat hidup sedikit lebih sulit bagi penyerang.

Teruslah membaca untuk mempelajari lebih lanjut tentang masing-masing dari 16 cara ini untuk memperkuat keamanan situs web WordPress Anda:

1. Gunakan HTTPS.
2. Selalu gunakan kata sandi yang kuat.
3. Gunakan pengelola kata sandi untuk menyimpan kata sandi Anda.
4. Aktifkan Captcha pada formulir Login.
5. Cegah upaya login paksa.
6. Gunakan otentikasi dua faktor.
7. Tetap perbarui plugin.
8. Setel Header HTTP Keamanan.
9. Tetapkan izin file yang benar untuk file WordPress.
10. Nonaktifkan pengeditan file dari WordPress.
11. Nonaktifkan semua fitur yang tidak perlu.
12. Sembunyikan versi WordPress.
13. Instal firewall WordPress.
14. Simpan cadangan.
15. Gunakan SFTP.
16. Memantau aktivitas pengguna.

1. Amankan Situs Anda Dengan HTTPS

Bukan kebetulan bahwa kami akan memulai dengan mengamankan situs web dengan HTTPS.

Semua yang Anda lakukan mengalir melalui jaringan dan kabel kabel. HTTP bertukar data sebagai teks biasa antara browser dan server. Oleh karena itu, siapa pun yang memiliki akses ke jaringan antara server dan browser dapat melihat data Anda yang tidak terenkripsi.

Jika Anda tidak melindungi koneksi Anda, Anda berisiko memaparkan data sensitif kepada penyerang. Dengan HTTPS, data Anda akan dienkripsi dan penyerang tidak akan dapat membaca data yang dikirimkan meskipun mereka memiliki akses ke jaringan Anda.

Jadi langkah nomor satu untuk mengamankan situs web Anda adalah mengaktifkan HTTPS. Jika Anda belum pindah ke HTTPS, Anda dapat menggunakan panduan ini untuk memindahkan WordPress Anda ke HTTPS.

Alat & Plugin WordPress yang Dapat Anda Gunakan untuk Memigrasi HTTP ke HTTPS

1. Cari Ganti Lebih Baik.
2. Cari Basis Data dan Ganti Skrip.

2. Selalu Gunakan Kata Sandi yang Kuat

Cara paling umum peretas mengakses situs web adalah melalui kata sandi yang lemah atau dibuat-buat. Ini membuat Anda rentan terhadap serangan brute force.

Tingkatkan keamanan Anda dengan menggunakan kata sandi yang kuat lebih dari cara lain yang tercantum di bawah ini.

Selalu gunakan kata sandi yang kuat dan periksa secara teratur apakah kata sandi itu telah dipalsukan.

Plugin WordPress untuk Meningkatkan Keamanan Kata Sandi:

1. Larang Sandi Pwned.
2. Unduh Pengelola Kebijakan Kata Sandi.
3. Kata sandi bcrypt.

3. Gunakan Pengelola Kata Sandi untuk Menyimpan Kata Sandi Anda

Saat Anda masuk saat bekerja dari jaringan publik, Anda tidak dapat memastikan siapa yang menonton apa yang Anda ketik di laptop atau merekam kata sandi Anda.

Untuk mengatasi masalah ini, gunakan pengelola kata sandi untuk mengakses kata sandi Anda dengan mudah dan menyimpannya di tempat yang aman.

Bahkan jika PC Anda diakses, mereka tidak akan bisa mendapatkan kata sandi Anda. Pengelola kata sandi berbasis browser dan bukan plugin WordPress.

Pengaya Browser Pengelola Kata Sandi:

1. Pas Terakhir.
2. 1 Kata Sandi.
3. NordPass.

4. Tambahkan CAPTCHA pada Form Login & Registrasi

Saat Anda mengamankan situs web Anda dengan HTTPS dan menggunakan kata sandi yang kuat, Anda telah membuat peretas cukup sulit.

Tetapi Anda dapat membuatnya lebih sulit dengan menambahkan CAPTCHA ke formulir login.

Captcha adalah cara yang bagus untuk melindungi formulir login Anda dari serangan brute force.

Plugin untuk Menambahkan Captcha di Login WordPress:

1. Masuk Tanpa Captcha reCAPTCHA.
2. Keamanan Masuk reCAPTCHA.

5. Lindungi Dari Upaya Masuk Brute Force

Masuk CAPTCHA akan memberi Anda perlindungan terhadap upaya paksa hingga titik tertentu, tetapi tidak sepenuhnya. Seringkali, setelah token captcha dipecahkan, mereka berlaku selama beberapa menit.

Google reCaptcha, misalnya, berlaku selama 2 menit. Penyerang dapat menggunakan dua menit itu untuk mencoba upaya login paksa ke formulir login Anda selama waktu itu.

Untuk mengatasi masalah ini, Anda harus memblokir upaya login yang gagal berdasarkan alamat IP.

Plugin WordPress untuk Mencegah Serangan Brute-Force:

1. Upaya Masuk Batas WP.
2. Batasi Upaya Masuk Dimuat Ulang.

6. Atur Otentikasi Dua Faktor (2FA)

Dengan password dan captcha yang aman pada form login, Anda lebih terlindungi, ya.

Tetapi bagaimana jika peretas menggunakan metode pengawasan dan merekam kata sandi yang Anda ketikkan di video untuk mengakses situs web Anda?

Jika mereka memiliki kata sandi Anda, hanya autentikasi dua faktor yang dapat melindungi situs web Anda dari penyerang.

Plugin WordPress untuk Mengatur Otentikasi 2FA:

1. Dua-Faktor.
2. Google Authenticator.
3. Otentikasi Dua Faktor WordPress (2FA , MFA).

7. Tetap perbarui Inti dan Plugin WordPress

Kerentanan sering terjadi untuk inti dan plugin WordPress, dan ketika kerentanan ditemukan dan dilaporkan. Pastikan untuk memperbarui plugin Anda dengan versi terbaru untuk mencegah situs web diretas dari lubang yang diketahui dan dilaporkan dalam file.

Saya tidak akan merekomendasikan beralih ke pembaruan otomatis karena dapat mengakibatkan rusaknya situs web Anda tanpa sepengetahuan Anda.

Tetapi saya sangat menyarankan Anda untuk mengaktifkan pembaruan minor inti WordPress dengan menambahkan baris kode ini di wp-config.php karena pembaruan ini menyertakan patch keamanan untuk inti.

 define( 'WP_AUTO_UPDATE_CORE', 'kecil' );

8. Atur Header HTTP Keamanan

Header keamanan memberikan lapisan perlindungan ekstra dengan membatasi tindakan yang dapat dilakukan antara browser dan server saat menelusuri situs web.

Header keamanan bertujuan untuk melindungi dari serangan Clickjacking dan Cross-site Scripting (XSS).

Header keamanan adalah:

• Ketat-Transportasi-Keamanan (HSTS).
• Konten-Keamanan-Kebijakan.
• X-Frame-Options.
• X-Content-Type-Options.
• Ambil Header Metadata.
• Perujuk-Kebijakan.
• Kontrol-Tembolok.
• Hapus-Situs-Data.
• Fitur-Kebijakan.

Kami tidak akan membahas lebih dalam setiap penjelasan header keamanan, tetapi berikut adalah beberapa plugin untuk memperbaikinya.

Plugin WordPress untuk Mengaktifkan Header Keamanan:

1. Header HTTP untuk meningkatkan keamanan situs web.
2. Kepala Keamanan GD.

9. Tetapkan Izin File yang Benar untuk File WordPress

Izin file adalah aturan pada OS yang menghosting file WordPress Anda; aturan ini mengatur bagaimana file dapat dibaca, diedit, dan dieksekusi. Ukuran keamanan ini sangat penting, terutama ketika Anda meng-host situs web di hosting bersama.

Jika diatur secara tidak benar, ketika satu situs web di shared hosting diretas, penyerang dapat mengakses file di situs web Anda dan membaca konten apa pun di sana – khususnya wp-config.php – dan mendapatkan akses penuh ke situs web Anda.

• Semua file harus 644.
• Semua folder harus 775.
• wp-config.php harus 600.

Aturan di atas berarti akun pengguna hosting Anda dapat membaca dan memodifikasi file dan server web (WordPress) dapat memodifikasi, menghapus, dan membaca file dan folder.

Pengguna lain tidak dapat membaca konten wp-config.php. Jika pengaturan 600 untuk wp-config.php membuat situs Anda down, ubah menjadi 640 atau 644.

10. Nonaktifkan Pengeditan File Dari WordPress

Ini adalah fitur yang dikenal di WordPress bahwa Anda dapat mengedit file dari backend admin.

Sebenarnya tidak perlu karena developer menggunakan SFTP dan jarang menggunakan ini.

11. Nonaktifkan Semua Fitur yang Tidak Perlu

WordPress hadir dengan banyak fitur yang mungkin tidak Anda perlukan sama sekali. Misalnya, titik akhir XML-RPC di WordPress dibuat untuk berkomunikasi dengan aplikasi eksternal. Penyerang dapat menggunakan titik akhir ini untuk login paksa.

Nonaktifkan XML-RPC menggunakan plugin Nonaktifkan XML-RPC-API.

Masalah lain yang memiliki bawaan WordPress adalah menyediakan titik akhir REST-API untuk mencantumkan semua pengguna di situs web.

Jika Anda menambahkan “/wp-json/wp/v2/users” ke instalasi WordPress, Anda akan melihat daftar nama pengguna dan ID pengguna sebagai data JSON.

Nonaktifkan pengguna REST-API dengan menambahkan baris kode ini ke functions.php

 function disable_users_rest_json( $response, $user, $request ){

 kembali '';

}add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Sembunyikan Versi WordPress

WordPress secara otomatis menyuntikkan komentar dengan versi WordPress di HTML halaman. Ini memberi penyerang versi WordPress yang Anda instal sebagai informasi tambahan.

Misalnya, jika Anda menggunakan versi WordPress yang intinya dilaporkan memiliki kerentanan, penyerang tahu bahwa dia dapat menggunakan teknik yang dilaporkan untuk meretas situs web Anda.

Sembunyikan Meta Tag Versi WordPress Menggunakan Plugin Ini:

1. Meta Generator dan Penghapus Info Versi.
2. Penghapus Generator WP oleh Dawsun.

13. Instal firewall WordPress

Firewall adalah aplikasi web yang berjalan di situs web dan menganalisis setiap permintaan HTTP yang masuk. Ini menerapkan logika canggih untuk menyaring permintaan yang berpotensi menjadi ancaman.

Seseorang dapat mengatur aturannya di atas aturan bawaan firewall untuk memblokir permintaan. Salah satu jenis serangan yang umum adalah injeksi SQL.

Katakanlah Anda menjalankan plugin WordPress yang rentan terhadap injeksi SQL dan Anda tidak mengetahuinya. Jika Anda menjalankan firewall, bahkan jika penyerang mengetahui kelemahan keamanan di plugin, dia tidak akan dapat meretas situs web.

Ini karena firewall akan memblokir permintaan yang berisi injeksi SQL.

Firewall akan memblokir permintaan tersebut dari IP dan mencegah permintaan berbahaya yang berurutan datang. Firewall juga dapat mencegah serangan DDoS dengan mendeteksi terlalu banyak permintaan dari satu IP dan memblokirnya.

Anda juga dapat menjalankan firewall tingkat DNS yang berjalan sebelum permintaan dibuat ke server web. Contohnya adalah firewall DNS Cloudflare.

Keuntungan dari metode ini adalah lebih kuat terhadap serangan DDoS.

Firewall tingkat aplikasi yang berjalan di server membiarkan permintaan HTTP mengenai server web dan kemudian memblokirnya. Itu berarti server menghabiskan beberapa sumber daya CPU/RAM untuk memblokirnya.

Dengan firewall tingkat DNS, ia tidak menghabiskan sumber daya server, sehingga lebih tahan terhadap serangan.

Plugin Firewall WordPress yang Dapat Anda Gunakan:

1. Keamanan Wordfence.
2. Sucuri.
3. Semua Dalam Satu Keamanan & Firewall WP.
4. Keamanan Anti Peluru.
5. Keamanan Perisai.

Catatan: Jika Anda memutuskan untuk menginstal firewall, mereka mungkin memiliki fitur seperti perlindungan brute-force login atau otentikasi 2F dan Anda dapat menggunakan fitur mereka daripada menginstal plugin yang disebutkan di atas.

14. Simpan Cadangan

Jika Anda diretas, cara terbaik untuk memulihkannya adalah dengan memulihkan situs web dari versi terbaru yang tidak terinfeksi.

Jika Anda tidak menyimpan cadangan situs web, membersihkan situs web mungkin merupakan operasi yang memakan waktu. Dan dalam beberapa kasus, tidak mungkin memulihkan semua informasi karena malware menghapus semua data.

Untuk menghindari skenario seperti itu, lakukan pencadangan rutin database dan file situs web Anda.

Periksa dengan dukungan hosting Anda apakah mereka menyediakan fungsionalitas cadangan harian dan mengaktifkannya. Jika tidak, Anda dapat menggunakan plugin ini untuk menjalankan pencadangan:

1. KembaliWPup.
2. UpdraftPlus.
3. BackupBuddy.
4. BlogVault.

15. Gunakan SFTP

Banyak pengembang sudah menggunakan SFTP untuk terhubung ke server web, tetapi penting untuk mengingatkan hal ini, kalau-kalau Anda masih belum melakukannya.

Seperti HTTPS, SFTP menggunakan enkripsi untuk mentransfer file melalui jaringan sehingga tidak mungkin dibaca sebagai teks biasa meskipun seseorang memiliki akses ke jaringan.

16. Pantau Aktivitas Pengguna

Kami telah membahas banyak cara untuk mengamankan situs web Anda dari peretas yang tidak dikenal. Namun bagaimana jika salah satu karyawan Anda yang memiliki akses ke admin website melakukan hal-hal yang mencurigakan seperti menambahkan link di konten?

Tidak satu pun dari metode di atas yang dapat mendeteksi karyawan yang curang.

Itu bisa dilakukan dengan melihat log aktivitas. Dengan melihat aktivitas setiap pengguna, Anda mungkin menemukan bahwa salah satu karyawan mengedit artikel yang seharusnya tidak mereka lakukan.

Anda juga dapat melihat aktivitas yang terlihat mencurigakan dan melihat perubahan apa yang dibuat.

Plugin WordPress untuk Memantau Aktivitas Pengguna:

1. Log aktivitas.
2. Log Aktivitas Pengguna.
3. Log Aktivitas WP.

Perhatikan bahwa Anda mungkin ingin membatasi periode (atau jumlah catatan) yang disimpan oleh plugin ini. Jika terlalu banyak, itu akan membebani database Anda dan dapat memengaruhi kinerja dan kecepatan situs web.

Apa yang Harus Dilakukan Jika Anda Diretas?

Bahkan dengan semua saran dari pakar keamanan dan mengetahui cara untuk memperkuat situs web Anda dari peretasan, itu masih terjadi.

Jika situs web Anda diretas, Anda perlu melakukan langkah-langkah berikut untuk memulihkannya:

1. Ubah semua email Anda dan kata sandi pribadi lainnya terlebih dahulu karena peretas mungkin telah mendapatkan akses ke email Anda terlebih dahulu dan dengan demikian dapat mengakses situs web Anda.
2. Pulihkan situs web Anda ke cadangan terbaru yang tidak diretas.
3. Setel ulang kata sandi semua pengguna situs web.
4. Perbarui semua plugin jika ada pembaruan yang tersedia.

Kesimpulan

Pikirkan 360° dalam hal keamanan. Tekankan pentingnya keamanan bagi semua karyawan Anda sehingga mereka memahami konsekuensi yang mungkin diderita perusahaan jika mereka tidak mengikuti aturan keamanan.

Jika Anda diretas, ]pulihkan situs web Anda dari cadangan dan ubah semua kata sandi ke situs web dan email Anda secepatnya.