13 Mitos Keamanan WordPress | Lindungi Website Anda Dari Hacked!

Diterbitkan: 2019-03-23

Meskipun WordPress adalah rumah bagi komunitas pengguna yang luas dari seluruh dunia dan merupakan platform manajemen konten teratas, tempat nomor satu itu menempatkan target di belakangnya dan banyak mitos keamanan WordPress muncul.

Anda akan menemukan banyak saran keamanan tentang melindungi situs Anda serta cara meningkatkan keamanan WooCommerce, tetapi ini telah menyebabkan banyak mitos yang sebenarnya tidak bermanfaat untuk melindungi situs Anda. Beberapa tips ini bahkan mungkin membuatnya lebih rentan terhadap serangan.

Mitos Keamanan WordPress

Mari kita periksa 13 mitos keamanan WordPress teratas dan apa yang dapat Anda lakukan untuk melindungi situs WordPress Anda dengan benar.

1. Sembunyikan halaman wp-admin atau wp-login Anda, dan tidak ada yang dapat menemukan URL login

Logika di balik ide ini adalah mencegah peretas potensial meretas hal-hal yang tidak dapat mereka temukan. Jika URL login Anda bukan URL /wp-admin/ WordPress standar, bukankah Anda terlindungi dari serangan brute force? Meskipun menyembunyikan URL wp-admin Anda dapat membantu menghentikan beberapa serangan, itu tidak akan menghentikan semuanya.

Alasan mengapa strategi ini tidak berhasil adalah karena ada cara lain untuk masuk ke situs WordPress selain cara biasa menggunakan browser Internet, seperti REST API atau XML-RPC. Ini berarti meskipun Anda mengubah URL login WordPress , plugin atau tema yang Anda gunakan masih dapat menautkan ke URL yang diubah.

Meskipun menyembunyikan fitur backend cukup baik untuk mencegah sebagian besar upaya akses langsung, mereka yang menemukan URL wp-admin atau wp-login kustom Anda masih dapat dialihkan ke halaman login Anda.

sembunyikan url login wordpress

Alasan lain mengapa ini tidak berhasil adalah menyembunyikan backend sepenuhnya akan merusak situs Anda. Semua yang Anda instal mengasumsikan bahwa wp-admin akan ada di URL.

Menyembunyikan URL login dapat mengaburkan, tetapi tidak dapat sepenuhnya mengubah tautan sebenarnya ke login WordPress Anda, dan menyesuaikan URL login sebenarnya dapat menyebabkan banyak masalah, karena banyak tema, plugin, dan aplikasi yang membuat hard-code wp-login.php menjadi mereka kode dasar.

Jika plugin, tema, dll. ini tidak dapat menemukan tautan, mereka malah menemukan kesalahan. Solusi yang lebih andal adalah menggunakan otentikasi dua faktor dan menolak kata sandi yang disusupi.

2. Sembunyikan nomor versi dan nama tema WordPress Anda untuk perlindungan ekstra

Gagasan di balik taktik ini adalah, jika peretas memiliki informasi ini, mereka dapat menggunakannya untuk mengakses situs Anda.

Menyembunyikan informasi versi WordPress atau nama tema tidak akan membuat Anda aman dari pelanggaran keamanan karena ada banyak bot yang mencari kerentanan yang diketahui dalam kode yang berjalan di situs web Anda.

sembunyikan nomor versi plugin wordpress

Alih-alih mengaburkan informasi ini, pastikan instalasi WordPress Anda selalu terbaru untuk memastikan bahwa Anda telah menginstal patch keamanan terbaru.

3. Ganti nama direktori wp-content Anda, dan Anda aman

Plugin, tema, dan folder unggahan media Anda semuanya terdapat dalam direktori konten-wp di situs Anda. Ada banyak sekali kode dan informasi yang dapat digunakan, jadi, tentu saja, adalah bijaksana untuk melindungi informasi ini.

Namun, mengubah nama direktori konten tidak akan benar-benar menambahkan lapisan perlindungan ekstra itu ke situs Anda. Menggunakan alat pengembang browser, nama konten wp Anda dapat ditemukan bahkan jika Anda mengubahnya.

ganti nama direktori konten wordpress

Mengganti namanya bahkan dapat menyebabkan konflik dengan plugin yang memiliki jalur direktori wp-content hard-coded yang perlu mereka gunakan untuk bekerja.

Satu-satunya alasan Anda harus khawatir tentang direktori konten-wp Anda adalah jika direktori itu berisi plugin atau tema dengan kerentanan yang dapat dieksploitasi. Cara terbaik untuk mencegahnya adalah dengan selalu memperbarui tema dan plugin Anda untuk menghindari kerentanan keamanan.

4. Peretasan hanya terjadi pada situs besar

Bahkan jika situs WordPress Anda kecil dengan lalu lintas rendah, sangat penting untuk bersikap proaktif dalam mengamankan situs Anda.

Peretas tidak peduli seberapa besar atau sibuknya suatu situs. Situs apa pun yang rentan dapat menjadi pusat situs jahat, email spam, atau bahkan menambang bitcoin. Kuncinya adalah kerentanan daripada ukuran situs atau tingkat lalu lintas.

Anda dapat menguranginya dengan selalu memperbarui plugin, tema, dan WordPress itu sendiri , dan menginstal plugin keamanan tepercaya untuk WordPress. Hosting berkualitas dan autentikasi dua faktor juga merupakan bagian penting untuk mencegah penyerang.

5. WordPress bukanlah platform yang aman

Anda mungkin pernah mendengar klaim ini sebelumnya, tetapi itu tidak benar. WordPress, sebagai salah satu sistem manajemen konten online teratas saat ini, tidak mencapai posisinya sekarang tanpa langkah-langkah keamanan yang solid dan andal.

Kerentanan terbesar berasal dari pengguna dan dapat dihindari dengan tindakan pencegahan yang diambil oleh pemilik situs. Alasan nomor satu untuk peretasan adalah perangkat lunak yang sudah ketinggalan zaman, dan sebagian besar plugin akan ditambal secara teratur untuk memperbaiki potensi kerentanan dalam kode mereka.

Pastikan selalu memperbarui tema dan plugin Anda. Ketika sebuah situs diretas, itu bukan kelemahan WordPress–itu adalah kelalaian pengguna yang membuat mereka terbuka untuk diserang .

6. Pembaruan rutin selalu menjaga situs Anda tetap aman

Meskipun memperbarui plugin dan tema Anda secara teratur sangat penting untuk menjaga keamanan di situs Anda, itu bukan obat untuk semua potensi eksploitasi situs Anda. WordPress memiliki banyak plugin dan tema yang tersedia, dan sebagian besar dari mereka belum diperbarui dua tahun atau lebih.

pembaruan tema wordpress

Plugin yang belum menerima perawatan rutin yang tepat dapat berisi fitur usang yang memperlambat waktu pemuatan Anda atau, lebih buruk lagi, merusak situs Anda.

Periksa untuk memastikan plugin Anda menerima dukungan aktif agar Anda tetap aman dari potensi eksploitasi dan hapus plugin lama yang tidak lagi menerima dukungan untuk meminimalkan risiko peretasan.

7. Cadangan akan selalu memperbaiki situs web Anda

Cadangan adalah salah satu solusi paling umum untuk memperbaiki situs web yang disusupi. Sementara cadangan situs lengkap (periksa plugin cadangan WordPress gratis terbaik) memungkinkan Anda untuk memulihkan situs Anda, itu membuat Anda memiliki kerentanan keamanan yang sama yang membahayakan situs Anda di tempat pertama.

  • Nama
  • Versi gratis
  • Versi berbayar
    Dengan peningkatan dan tambahan tambahan
  • Cadangan situs lengkap
    Apakah mungkin untuk mencadangkan seluruh situs dengan semua file
  • Cadangan basis data
    Apakah mungkin untuk hanya mencadangkan basis data?
  • Cadangan ke Dropbox
    Apakah mungkin untuk menyimpan file cadangan ke Dropbox
  • Cadangan ke Amazon S3
    Apakah mungkin untuk menyimpan file cadangan ke Amazon S3
  • Cadangan ke Google Drive
    Apakah mungkin untuk menyimpan file cadangan ke Google Drive
  • Cadangan ke FTP
    Apakah mungkin untuk menyimpan file cadangan ke FTP
  • Cadangan ke Rackspace
    Apakah mungkin untuk menyimpan file cadangan ke Rackspace
  • Pemberitahuan email
    Pemberitahuan email saat cadangan dibuat
  • Hanya mengubah cadangan
    Untuk mengurangi sumber daya server dan menghemat ruang, hanya perubahan baru yang ditambahkan ke cadangan
  • Pencadangan Terjadwal
  • Pencadangan waktu nyata
    File cadangan dibuat setiap kali Anda membuat perubahan di situs Anda
  • Migrasi situs
    Salin situs atau pindahkan ke host baru
  • Pemulihan file individu
    Pulihkan file / file individual dari cadangan alih-alih semuanya
  • Pulihkan cadangan dari antarmuka
  • Pemindaian Keamanan dan Malware
    Pilihan untuk mencari virus dan infeksi lainnya
  • Perbaikan dan pengoptimalan basis data
    Opsi untuk mengoptimalkan database wordpress
  • Dukungan multisitus
  • Harga untuk versi berbayar
    Dengan semua tambahan dan fitur (paket termurah untuk 1-2 situs)
  • KembaliWPup
    Ini juga memiliki versi premium / berbayar dengan tambahan dan peningkatan tambahan
  • Hanya dalam versi berbayar
  • 75$
    Untuk paket standar
MEMERIKSA
  • BackUpWordPress
    Ini juga memiliki versi premium / berbayar dengan tambahan dan peningkatan tambahan
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $24
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $24
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $24
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $24
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $24
  • 60$
    Untuk paket pribadi
MEMERIKSA
  • UpdraftPlus
    Ini juga memiliki versi premium / berbayar dengan tambahan dan peningkatan tambahan
  • Hanya tersedia dengan addon berbayar yang harganya sekitar $15
  • addon berbayar
    Hanya tersedia dengan addon berbayar yang harganya sekitar $30
  • addon berbayar
    Hanya tersedia dengan addon berbayar yang harganya sekitar $25
  • 99$ (jumlah situs tidak terbatas)
    Untuk paket pengembang dengan semua add-on dan untuk jumlah situs yang tidak terbatas
MEMERIKSA

Jadi, bagaimana Anda memperbaikinya? Jangan mengandalkan pencadangan saja untuk memperbaiki situs Anda setelah peretasan berhasil, karena Anda akan kehilangan data dan catatan seperti transaksi yang terjadi setelah pencadangan terakhir Anda.

Untuk menyimpan informasi Anda, berhati-hatilah dalam menerapkan tambalan pada kelemahan kode yang sebenarnya sebelum Anda dapat menjadi mangsa upaya peretasan yang berhasil.

8. Mengubah awalan tabel WordPress meningkatkan keamanan Anda

Ini adalah rekomendasi umum. Mengubah awalan tabel database WordPress Anda akan mencegah serangan injeksi SQL. Namun, itu tidak sesederhana mengubah "wp_" ke nilai yang berbeda.

Belum ada bukti bahwa metode ini akan melakukan apa saja untuk meningkatkan keamanan situs Anda. Dan itu dapat membahayakan seluruh situs Anda jika tidak dijalankan dengan sempurna.

ubah awalan basis data wordpress

Langkah-langkah seperti ini dianggap sebagai "teater keamanan" karena membuat Anda merasa seperti Anda melakukan banyak upaya untuk meningkatkan keamanan Anda sementara sebenarnya mencapai sangat sedikit. Untuk melindungi situs Anda dari serangan injeksi SQL , diperlukan pendekatan keamanan bercabang tiga.

Anda memerlukan Firewall Aplikasi Web yang efektif selain terus menambal dan memperbarui plugin, tema, dan inti Anda. Dan, tentu saja, pastikan Anda memantau situs Anda dari upaya masuk yang mencurigakan atau malware.

9. Situs saya memiliki sertifikat SSL, jadi benar-benar aman

Sesuatu yang perlu diingat tentang sertifikat SSL adalah bahwa keamanan yang mereka berikan adalah murni transaksional. Ini hanya melindungi informasi yang diteruskan antara situs Anda dan pengunjung Anda — hal-hal seperti informasi kartu kredit dan data pribadi (lihat cara menambahkan sertifikat SSL gratis ke situs WordPress).

instal sertifikat ssl wordpress

Namun, sertifikat SSL tidak melindungi file dan data yang ada di situs itu sendiri . Untuk menutupi data situs Anda, sangat penting untuk memiliki Firewall Aplikasi Web dan memastikan bahwa plugin, tema, dan file inti Anda mutakhir.

10. Situs web saya aman; Saya menggunakan CDN atau firewall cloud

Jaringan pengiriman konten, atau CDN, dan layanan firewall cloud seperti Cloudflare, Incapsula, atau Sucuri mengamankan situs Anda dengan merutekan ulang lalu lintas ke server mereka dan memfilter lalu lintas menurut aturan firewall. Jika lalu lintas Anda kompatibel dengan aturan firewall, lalu lintas akan berlanjut ke situs Anda.

Meskipun Anda mungkin berpikir ini adalah cara sempurna untuk menghindari mengekspos lokasi server situs Anda yang sebenarnya, alamat IP asal situs Anda masih dapat memberikan Anda , dan mungkin sulit untuk mengaburkan, jika bukan tidak mungkin.

wordpress-cdn-penyedia-perbandingan
  • Jaringan pengiriman konten
  • Perlindungan terhadap serangan volumetrik terbesar
  • Visibilitas lapisan aplikasi penuh
  • Mitigasi serangan terhadap server DNS
  • Perlindungan layanan infrastruktur non-web
    (FTP, SMTP, VOIP, dll.)
  • Deteksi dan mitigasi serangan Lapisan Aplikasi
  • Kustomisasi instan dan penyebaran aturan keamanan
  • Visibilitas dan kontrol waktu nyata
  • Perlindungan alamat IP asal terhadap serangan DDoS
  • Pemantauan serangan DDoS eksternal untuk infrastruktur jaringan
  • Kompresi dan minifikasi
  • Pengoptimalan konten dan jaringan
  • Caching konten statis dan dinamis
  • Melayani sumber daya yang di-cache langsung dari memori fisik
  • Caching tingkat sekunder pada SSD untuk pembaruan cache waktu nyata
  • Firewall Aplikasi Web (WAF) yang sesuai dengan PCI
  • Kontrol akses
  • Sistem pemantauan berbasis reputasi IP
  • Kustomisasi Layanan Mandiri dari aturan keamanan
  • Propagasi aturan keamanan 60 detik
  • Perlindungan pintu belakang untuk menjaga dari infeksi malware
  • Integrasi API
  • Otentikasi dua faktor untuk mencegah kata sandi yang dicuri
  • Penyeimbangan beban server global
  • Lapisan aplikasi Penyeimbangan beban server lokal
  • Kegagalan situs lapisan aplikasi
  • Pemantauan kesehatan lapisan aplikasi waktu nyata
  • Aturan pengiriman aplikasi
    (misalnya pengalihan berdasarkan cookie, header, dll)
  • Sistem Tiket
  • Dukungan telepon
  • Dukungan HTTP/2
    HTTP/2 adalah evolusi terbaru dari protokol HTTP, yang menawarkan peningkatan signifikan pada kecepatan memuat situs web dan responsivitas.
  • Pusat Data
  • Asal-Tarik
  • Dorong (unggah ke server CDN)
  • Bersihkan/Bersihkan semua
  • Gzip
  • Menghormati semua header server asal
  • Dapat mengganti header server asal
  • Setel header caching untuk file yang didorong
  • CNAME khusus
  • HTTPS
  • Perlindungan Hotlink
  • Obrolan langsung
  • Pencadangan gratis
  • Integrasi dengan WordPress
  • Harga
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • tidak berkapsul
  • Selalu aktif
  • 30
  • Kirim ulang dari asal, atau kompres di tepi
  • Sertifikat bersama gratis untuk semua kecuali paket gratis.
  • Sertifikat bersama gratis untuk semua kecuali paket gratis.
  • Terintegrasi secara independen dari WordPress. Anda perlu mengubah pengaturan DNS. Anda akan mendapatkan semua instruksi di email dan di dashboard Incapsula.
  • Paket gratis dan berbayar
    Paket gratis mencakup perlindungan bot, kontrol akses, perlindungan login, CDN dan Pengoptimal, analisis situs web, dan dukungan komunitas. Paket PRO berbayar mulai dari $59 per bulan dan mencakup fitur yang sama dengan paket gratis, ditambah dukungan SSL, kinerja lanjutan, dan dukungan email.
tidak berkapsul
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • CloudFlare
  • manual
  • 86
  • Terintegrasi secara independen dari WordPress. Anda hanya perlu bernyanyi ke CloudFlare dan kemudian menetapkan server DNS baru ke nama domain Anda. CloudFlare mengambil dari sana.
  • Paket gratis dan berbayar
    Mereka menawarkan paket dasar gratis yang cocok untuk situs web dan blog kecil dan paket berbayar yang bervariasi dari $20 – $200.
CDN CloudFlare
akamai-vs-incapsula-vs-maxcdn
  • Akamai
  • Lebih dari 100.000
  • Kirim ulang dari asal, atau kompres di tepi
  • Untuk mendapatkan harga produk Akamai, Anda perlu menghubungi mereka.
Akamai
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • MaxCDN
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • MaxCDN akan segera mulai menawarkan DDOS dan WAF
  • 75
  • CDN menangani gzipping
  • Setelah mengatur zona tarik Anda, Anda dapat mengintegrasikan MaxCDN melalui plugin cache. Misalnya W3 Total Cache, Super Cache atau WP Rocket.
  • Mulai dari $9/bulan hingga $299/bulan
    Ada juga harga per gigabyte khusus
MaxCDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • KeyCDN
  • 25
  • Hanya jika server asal melakukan Gzip
  • Setelah pengaturan Anda dapat mengintegrasikan melalui plugin cache. Misalnya W3 Total Cache, Super Cache atau WP Rocket.
  • Bayar sesuai yang anda pakai
    Anda tidak perlu membeli paket apapun. Harga mulai dari $0,04 / GB
KeyCDN

Ini telah menjadi masalah umum dengan penyedia firewall cloud, dan solusi sederhananya adalah menerapkan langkah-langkah keamanan titik akhir di situs Anda. Jika Anda melindungi data Anda di titik asalnya, itu adalah pertahanan langsung terbaik terhadap peretas dan bentuk serangan lainnya.

11. Pemblokiran IP mencegah peretas

Ada layanan online yang berguna untuk merekam login yang mencurigakan dan melacak alamat IP, dan bahkan dapat memblokir IP ini sepenuhnya.

Meskipun Anda mungkin berpikir pemblokiran IP adalah metode yang efektif untuk mencegah peretas mengakses situs Anda, peretas terus-menerus mengubah IP dan sering kali beroperasi dari beberapa IP secara bersamaan untuk mencapai tujuan mereka.

Saat Anda memblokir satu alamat IP, mereka dapat dengan mudah beralih ke alamat IP berikutnya yang telah mereka antre. Lebih buruk lagi, tidak memblokir IP dengan benar dapat merusak situs Anda, yang dapat memakan waktu lama untuk diperbaiki.

12. Hanya nama pengguna dan kata sandi yang aman yang Anda butuhkan

Meskipun nama pengguna admin yang unik dan sandi yang rumit dan kuat sangat penting untuk keamanan yang tepat di situs Anda, ini bukanlah metode yang sangat mudah untuk menggagalkan calon peretas.

Salah satu taktik umum yang digunakan untuk membobol situs adalah menggunakan bot untuk menelusuri ribuan kata sandi umum dengan nama pengguna “admin” standar.

Pastikan Anda mengubah nama Anda dari admin dan memasukkan beberapa jenis karakter dalam kata sandi Anda , termasuk huruf besar dan kecil, angka, tanda baca, dan simbol unik lainnya yang akan membuatnya lebih sulit untuk dipecahkan.

Namun, perlu diingat bahwa kombo nama pengguna/kata sandi yang efektif tidak akan melindungi dari segalanya. Peretas memiliki cara lain untuk menyerang situs Anda, termasuk melalui kerentanan dalam tema atau plugin yang kedaluwarsa, pelanggaran data, dan bahkan skema phishing.

13. Nonaktifkan saja plugin/tema yang tidak Anda gunakan

Ini adalah kesalahan umum yang dilakukan banyak pemilik situs. Alih-alih menghapus plugin lama, mereka malah menonaktifkannya. Namun, bahkan plugin dan tema yang tidak aktif dapat dieksploitasi karena kurangnya pembaruan atau perbaikan keamanan.

Meskipun Anda dapat memperbarui plugin dan tema yang dinonaktifkan, opsi yang lebih baik adalah menghapus hal-hal yang tidak Anda perlukan untuk meminimalkan risiko keamanan.

Kesimpulan Mitos Keamanan WordPress

Ada banyak alasan mengapa situs WordPress diretas. Setelah membaca mitos keamanan WordPress ini, mengoptimalkan keamanan di situs Anda mungkin terasa sedikit menakutkan. Tidak selalu mudah untuk mengetahui apakah tindakan pengamanan akan efektif dan apa yang dimaksud dengan "teater keamanan".

Menjaga keamanan situs WordPress Anda sangat penting serta mencegah pencurian konten. Meskipun tidak ada cara untuk memastikan bahwa sebuah situs akan 100% kebal terhadap serangan, ada banyak praktik dan tindakan pencegahan yang dapat Anda masukkan ke dalam pengelolaan dan pemeliharaan situs yang dapat meminimalkan risiko peretasan dan memberi Anda ketenangan pikiran.

Agar aman, yang terbaik adalah menginstal plugin keamanan WordPress seperti iThemes Security, WordFence, MalCare, Swift Security atau Hide My WP yang menyediakan sejumlah besar pengaturan dan opsi yang dapat Anda aktifkan untuk melindungi situs web Anda dan menerapkan lapisan keamanan. Untuk informasi lebih lanjut, lihat ulasan Keamanan iThemes, ulasan MalCare, Wordfence vs Keamanan iThemes, Keamanan Swift vs Sembunyikan WP Saya.