Cara Mengamankan WordPress (2020)

WordPress adalah salah satu sistem manajemen konten paling populer di luar sana dan dengan alasan yang bagus. Sangat mudah digunakan, ada ribuan tema dan plugin yang tersedia untuknya, dan Anda dapat membuat semua jenis situs web dengannya. Tidak heran kalau kekuatan WordPress itu 35,1% dari semua situs web di internet.


Tapi, popularitasnya datang dengan biaya. WordPress sering ditargetkan oleh peretas. Berdasarkan Sucuri, pada tahun 2018, 90% dari semua permintaan pembersihan situs web adalah milik WordPress, meningkat 7% dari 2017.

Laporan Tren Retas Situs Web 2018 - Sucuri

Dengan demikian, mengamankan situs web WordPress Anda harus di bagian atas daftar Anda, apakah Anda memiliki portofolio pribadi, situs web bisnis atau toko online.

Ketika datang ke keamanan WordPress, pengguna biasanya jatuh ke dalam dua kubu: mereka yang menganggap serius keamanan dan mengambil tindakan pencegahan dan mereka yang percaya atau berharap itu tidak akan pernah terjadi pada mereka karena situs mereka tidak cukup penting.

Untuk lebih memahami tingkat keparahan masalah keamanan yang terkait dengan situs web, pastikan untuk mengunjungi Halaman Internet Live Stats terkadang. Di sana, Anda dapat melihat jumlah situs web yang diretas setiap hari dan bahkan menyaksikan peningkatan jumlahnya secara real-time.

Situs web diretas secara real time

22 Langkah untuk Mengamankan Situs WordPress Anda

Untuk mencegah situs Anda berakhir sebagai salah satu situs di Internet Live Stats, ikuti tips di bawah ini dan amankan situs web WordPress Anda.

1. Pilih Perusahaan Hosting Dengan Fitur Keamanan

Langkah pertama untuk mengamankan situs web WordPress Anda adalah berinvestasi di perusahaan hosting yang menerapkan fitur keamanan yang tepat. Ini termasuk dukungan untuk versi terbaru dari PHP, MySQL, dan Apache serta firewall dan pemantauan keamanan 24/7.

Jika memungkinkan, pilih perusahaan hosting yang melakukan pencadangan harian dan pemindaian malware biasa. Anda bahkan dapat menemukan perusahaan hosting yang menggunakan berbagai langkah pencegahan DDOS.

Perusahaan hosting Anda biasanya adalah peretas dinding pertama yang harus didobrak untuk mendapatkan akses ke situs Anda sehingga berinvestasi lebih banyak di muka dan membeli paket hosting yang lebih mahal pasti akan terbayar. Kami merekomendasikan memilih penyedia hosting WordPress yang dikelola.

2. Gunakan Kata Sandi yang Kuat

Pastikan kata sandi untuk situs web WordPress Anda serta area akun hosting Anda keduanya aman. Gunakan campuran huruf besar dan kecil, angka, dan simbol untuk menghasilkan kata sandi yang kuat. Anda juga dapat menggunakan pengelola kata sandi seperti LastPass untuk menghasilkan dan menyimpan kata sandi aman untuk Anda.

3. Parit Nama Pengguna Admin

WordPress digunakan untuk menetapkan nama pengguna default sebagai admin dan sebagian besar pengguna tidak pernah repot untuk mengubahnya. Akibatnya, admin biasanya akan mencoba peretas nama pengguna saat mereka meluncurkan serangan brute force.

Karena itu, Anda tidak boleh menggunakan nama pengguna admin untuk situs web WordPress Anda. Jika Anda baru saja menginstal situs web WordPress Anda, kemungkinan Anda harus menetapkan nama pengguna Anda sendiri. Tetapi jika Anda adalah pengguna WordPress lama, Anda mungkin masih menggunakan nama pengguna admin.

Jika itu masalahnya, buat nama pengguna admin baru untuk situs Anda dengan mengunjungi Pengguna> Tambah baru dan memilih nama pengguna dan kata sandi yang kuat. Atur peran ke Administrator dan kemudian klik Tambahkan pengguna baru tombol.

Membuat akun administrator

Anda kemudian akan masuk dengan kredensial baru itu dan menghapus pengguna admin lama Anda. Ingatlah untuk menetapkan semua konten Anda kepada pengguna admin baru Anda sebelum menghapus yang lama.

4. Gunakan Akun Kontributor atau Editor untuk Posting di Situs Anda

Jika Anda ingin mengambil tip di atas selangkah lebih maju, pertimbangkan untuk membuat kontributor atau akun editor untuk menambahkan posting dan artikel baru ke situs Anda. Melakukan hal itu akan mempersulit peretas untuk melakukan kerusakan pada situs Anda karena kontributor dan editor biasanya tidak memiliki hak administrator..

Membuat akun editor

5. Gunakan Plugin Cadangan

Jika Anda belum mencadangkan situs web Anda, Anda harus segera mulai. Sistem cadangan akan membantu Anda memulihkan situs Anda jika yang terburuk terjadi dan situs Anda akhirnya diretas.

Gunakan plugin seperti UpdraftPlus untuk membuat jadwal cadangan reguler untuk situs web Anda dan jangan lupa untuk menyimpan file cadangan di luar kantor untuk memastikan file-file itu tidak berakhir juga terinfeksi..

6. Perketat Area Admin

Ketika terjadi pengerasan area admin, Anda harus mengubah URL admin default dan membatasi jumlah upaya login gagal sebelum pengguna dikunci dari situs Anda.

Secara default, URL admin untuk situs web Anda akan terlihat seperti ini: yourdomain.com/wp-admin. Peretas mengetahui hal ini dan akan mencoba mengakses URL ini secara langsung sehingga mereka dapat memperoleh akses ke situs Anda.

Anda dapat mengubah URL ini dengan plugin seperti WPS Sembunyikan Login.

WPS Sembunyikan Login

Sejauh membatasi jumlah upaya login yang gagal, Anda dapat menggunakan Plugin Login Lockdown.

Login LockDown

7. Tetap Perbarui File

Seperti yang telah kami sebutkan sebelumnya, file yang ketinggalan zaman menimbulkan risiko keamanan karena mereka membuat situs Anda rentan terhadap eksploitasi lainnya. Itu sebabnya Anda harus menginstal pembaruan segera setelah dirilis.

Saat Anda melakukannya, pastikan untuk secara teratur menelusuri plugin yang terpasang dan menonaktifkan dan menghapus plugin yang tidak Anda gunakan lagi.

8. Lindungi Komputer Anda

Anda mungkin bertanya-tanya apa hubungan komputer Anda dengan situs web Anda. Jika komputer Anda terinfeksi virus dan Anda mengakses situs Anda atau mengunggah file ke dalamnya, file-file yang terinfeksi itu juga dapat menginfeksi situs web Anda. Singkatnya, Anda ingin memastikan untuk:

  • Hindari menggunakan jaringan Wi-Fi publik untuk mengakses situs Anda
  • Instal perangkat lunak anti-virus dan pastikan itu terbaru

9. Ubah Awalan Database Anda

Fakta lain yang terkenal oleh peretas WordPress adalah awalan basis data Anda diatur ke wp. Fakta ini membuatnya mudah bagi mereka untuk menebak awalan tabel dan menggunakan injeksi SQL otomatis untuk mendapatkan akses ke situs Anda.

Mengubah awalan basis data Anda adalah proses manual yang melibatkan pengeditan wp-config.php file dan mengubah nama tabel menggunakan phpMyAdmin. Sebelum melakukan perubahan, pastikan untuk membuat cadangan situs Anda sebagai langkah pencegahan.

Mengedit wp-config

Anda harus masuk ke akun hosting Anda dan mengakses cPanel Anda atau panel kontrol mana pun yang digunakan oleh host Anda. Kemudian, akses File Manager dan cari file wp-config.php file di direktori WordPress.

Temukan baris awalan tabel yang terlihat seperti ini: $ table_prefix diikuti oleh tanda = dan awalan tabel itu sendiri. Ganti string default dengan awalan Anda sendiri menggunakan kombinasi angka, garis bawah, dan huruf-huruf seperti:

$ table_prefix = ‘hgwp_3456_’;

Setelah selesai mengedit wp-config.php file, keluar dari File Manager dan akses phpMyAdmin sehingga Anda dapat mengubah semua nama tabel. Melakukan hal ini secara manual bisa membosankan karena ada 11 tabel total yang perlu Anda edit. Sebagai gantinya, Anda dapat memasukkan kueri SQL dengan membuka tab SQL

menjalankan kueri SQL

Kemudian masukan ini:

Tabel RENAME `wp_commentmeta` TO` hgwp_3456_commentmeta`;

Tabel RENAME `wp_comments` TO` hgwp_3456_comments`;

Tabel RENAME `wp_links` TO` hgwp_3456_links`;

Tabel RENAME `wp_options` TO` hgwp_3456_options`;

Tabel RENAME `wp_postmeta` TO` hgwp_3456_postmeta`;

Tabel RENAME `wp_posts` TO` hgwp_3456_posts`;

Tabel RENAME `wp_terms` TO` hgwp_3456_terms`;

Tabel RENAME `wp_termmeta` TO` wp_a123456_termmeta`;

Tabel RENAME `wp_term_relationships` TO` hgwp_3456_term_relationships`;

Tabel RENAME `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

Tabel RENAME `wp_usermeta` TO` hgwp_3456_usermeta`;

Tabel RENAME `wp_users` TO` hgwp_3456_users`;

Meskipun kueri di atas harus mengubah awalan basis data Anda di mana-mana, itu ide yang baik untuk menjalankan kueri lain untuk memastikan file lain yang menggunakan awalan basis data lama diperbarui:

PILIH * DARI `hgwp_3456_options` WHERE` option_name` SUKA '% wp_%'

Anda juga ingin mencari theusermeta dan mengganti awalan lama yang tersisa dengan yang baru:

PILIH * DARI `hgwp_3456_usermeta` WHERE` meta_key` SUKA '% wp_%'

10. Kencangkan File .htaccess dan wp-config.php Anda

.htaccess dan wp-config.php adalah file paling penting dalam instalasi WordPress Anda. Karena itu, Anda perlu memastikan mereka aman dan terlindungi.

Cukup tambahkan kode di bawah ini ke file .htaccess Anda, di luar tag WordPress # BEGIN dan # END untuk memastikan perubahan tidak ditimpa dengan setiap pembaruan baru.



pesanan mengizinkan, menolak

tolak dari semua





pesanan mengizinkan, menolak

tolak dari semua





pesanan ditolak, izinkan

Tolak dari semuanya

# izinkan akses dari alamat IP saya

bolehkan dari 192.168.1.1

Cuplikan di atas akan melindungi wp-config dan .htaccess Anda serta membatasi akses ke wp-login.php layar.

Terakhir, tambahkan snippet di bawah ini untuk mencegah eksekusi file PHP:



tolak dari semua

11. Periksa dan Ubah Izin File

Saat Anda selesai mengamankan .htaccess dan wp-config.php file, tinggal sedikit lebih lama di cPanel Anda dan periksa izin file untuk file dan folder di situs WordPress Anda.

Izin File

Menurut Kodeks WordPress, izin harus ditetapkan sebagai berikut:

  • Semua direktori harus berukuran 755 atau 750
  • Semua file harus 644 atau 640
  • wp-config.php harus 600

Jika pengaturan Anda berbeda, peretas dapat dengan mudah membaca konten serta mengubah konten file dan folder yang kemudian dapat menyebabkan situs Anda diretas serta situs lain di server yang sama diretas.

12. Gunakan Otentikasi Dua Faktor

Pertimbangkan untuk menggunakan plugin seperti Google Authenticator untuk mengatur otentikasi dua faktor untuk situs Anda. Ini berarti bahwa selain memasukkan kata sandi Anda, Anda juga harus memasukkan kode yang dibuat oleh aplikasi seluler untuk masuk ke situs Anda. Ini dapat menghentikan serangan brute-force sehingga merupakan ide bagus untuk mengaturnya sekarang.

Google Authenticator

13. Nonaktifkan XML-RPC

XML-RPC memungkinkan situs Anda untuk membuat koneksi dengan aplikasi seluler WordPress dan plugin seperti Jetpack. Sayangnya, ini juga merupakan favorit para peretas WordPress karena mereka dapat menyalahgunakan protokol ini untuk menjalankan beberapa perintah sekaligus dan mendapatkan akses ke situs Anda. Gunakan plugin like Nonaktifkan plugin XML-RPC untuk menonaktifkan fitur ini.

Nonaktifkan XML-RPC

14. Gunakan HTTPS dan SSL

Internet telah penuh dengan posting blog dan artikel tentang pentingnya protokol HTTPS dan menambahkan sertifikat keamanan SSL ke situs Anda untuk beberapa waktu sekarang.

HTTPS adalah singkatan dari Hypertext Transfer Protocol Secure, sedangkan SSL adalah Secure Socket Layers. Singkatnya, HTTPS memungkinkan peramban pengunjung untuk membuat koneksi yang aman dengan server hosting Anda (dan karenanya, situs Anda). Protokol HTTPS diamankan melalui SSL. Bersama-sama, HTTPS dan SSL memastikan bahwa semua informasi antara browser pengunjung dan situs Anda dienkripsi.

Menggunakan keduanya di situs Anda tidak hanya akan meningkatkan keamanan situs Anda, tetapi juga akan menguntungkan peringkat mesin pencari Anda, membangun kepercayaan pada pengunjung Anda, dan tingkatkan tingkat konversi Anda.

Bicaralah dengan penyedia hosting Anda dan tanyakan tentang kemungkinan mendapatkan sertifikat SSL atau untuk mengarahkan Anda ke arah perusahaan terkemuka di mana Anda dapat membelinya.

15. Nonaktifkan Editing Tema dan Plugin Melalui Dashboard WordPress Anda

Memiliki opsi untuk mengedit file tema dan plugin Anda tepat di dasbor WordPress Anda berguna ketika Anda perlu menambahkan satu baris kode dengan cepat. Tetapi itu juga berarti bahwa siapa pun yang masuk ke situs Anda dapat mengakses file-file itu.

Nonaktifkan fitur ini dengan menambahkan kode berikut ke wp-config.php mengajukan:

// Larang mengedit file

define ('DISALLOW_FILE_EDIT', true);

16. Pindahkan File wp-config.php ke Direktori Non-WWW

Seperti disebutkan sebelumnya, the wp-config.php file adalah salah satu file paling penting dalam instalasi WordPress Anda. Buat lebih sulit untuk diakses dengan memindahkannya dari direktori root ke direktori yang dapat diakses non-www.

  1. Sebagai permulaan, salin konten Anda wp-config.php file ke file baru dan simpan sebagai wp-config.php.
  1. Kembali ke lamamu wp-config.php file dan tambahkan baris kode di bawah ini:
  1. Unggah dan simpan yang baru wp-config.php file ke folder lain.

17. Ubah Kunci Keamanan WordPress Anda

Kunci keamanan WordPress bertanggung jawab untuk mengenkripsi informasi yang disimpan dalam cookie pengguna. Mereka berada di wp-config.php file dan terlihat seperti ini:

define ('AUTH_KEY', 'letakkan frase unik Anda di sini');

define ('SECURE_AUTH_KEY', 'taruh frasa unik Anda di sini');

define ('LOGGED_IN_KEY', 'taruh frasa unik Anda di sini');

define ('NONCE_KEY', 'taruh frasa unik Anda di sini');

define ('AUTH_SALT', 'letakkan frase unik Anda di sini');

define ('SECURE_AUTH_SALT', 'letakkan frase unik Anda di sini');

define ('LOGGED_IN_SALT', 'taruh frasa unik Anda di sini');

define ('NONCE_SALT', 'taruh frasa unik Anda di sini');

Menggunakan Pembuat Kunci Garam WordPress untuk mengubahnya dan membuat situs Anda lebih aman.

18. Nonaktifkan Pelaporan Kesalahan

Pelaporan kesalahan berguna untuk pemecahan masalah dan menentukan plugin atau tema spesifik mana yang menyebabkan kesalahan pada situs web WordPress Anda. Namun, begitu sistem melaporkan kesalahan, sistem akan menampilkan jalur server Anda juga. Tidak perlu dikatakan, ini adalah kesempatan sempurna bagi peretas untuk mengetahui bagaimana dan di mana mereka dapat memanfaatkan kerentanan di situs Anda.

Anda dapat menonaktifkan ini dengan menambahkan kode di bawah ini ke wp-config.php mengajukan:

error_reporting (0);

@ini_set (‘display_errors’, 0);

19. Hapus Nomor Versi WordPress

Siapa pun yang mengintip kode sumber situs web Anda akan dapat mengetahui versi WordPress yang Anda gunakan. Karena setiap versi WordPress memiliki changelog publik yang merinci daftar bug dan tambalan keamanan, mereka dapat dengan mudah menentukan lubang keamanan mana yang dapat mereka manfaatkan..

Versi WordPress

Untungnya, ada perbaikan yang mudah. Anda dapat menghapus nomor versi WordPress dengan mengedit file functions.php tema Anda dan menambahkan yang berikut:

remove_action ('wp_head', 'wp_generator');

20. Gunakan Header Keamanan

Cara lain untuk mengamankan situs web WordPress Anda adalah dengan menerapkan tajuk keamanan. Biasanya mereka ditetapkan di tingkat server untuk mencegah serangan peretasan dan mengurangi jumlah eksploitasi kerentanan keamanan. Anda dapat menambahkannya sendiri dengan memodifikasi tema Anda functions.php mengajukan.

Header Keamanan

Serangan lintas-skrip

Tambahkan kode berikut ke daftar putih konten yang diizinkan, skrip, gaya, dan sumber konten lainnya:

header ('Konten-Keamanan-Kebijakan: default-src https:');

Ini akan mencegah browser dari memuat file berbahaya.

Iframe clickjacking

Tambahkan baris di bawah ini untuk menginstruksikan browser untuk tidak membuat halaman dalam bingkai: header (‘Pilihan Bingkai-X: SAMAORIGIN’);

X-XSS-Protection dan X-Content-Type-Options

Tambahkan baris berikut untuk mencegah serangan XSS dan beri tahu Internet Explorer untuk tidak mengendus tipe mime

header ('X-XSS-Protection: 1; mode = block');

header ('X-Content-Type-Options: nosniff');

Terapkan HTTPS

Tambahkan kode di bawah ini untuk memerintahkan browser agar hanya menggunakan HTTPS:

header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Cookie dengan bendera HTTPOnly dan Secure di WordPress 

Beri tahu browser untuk hanya mempercayai cookie yang ditetapkan oleh server dan bahwa cookie tersebut tersedia melalui saluran SSL dengan menambahkan yang berikut:

@ini_set ('session.cookie_httponly', true);

@ini_set ('session.cookie_secure', true);

@ini_set ('session.use_only_cookies', true);

Jika Anda tidak ingin menambahkan header ini secara manual, pertimbangkan untuk menggunakan plugin seperti Header Keamanan. Apa pun metode yang Anda pilih untuk menerapkan tajuk keamanan, pastikan untuk mengujinya menggunakan https://securityheaders.io situs web dan memasukkan URL situs Anda.

21. Mencegah Hotlinking

Hotlinking bukan merupakan pelanggaran keamanan, tetapi mengingat merujuk pada situs web lain yang menggunakan URL situs Anda untuk menunjuk langsung ke gambar atau file media lain, itu dianggap pencurian. Dengan demikian, hotlinking dapat menyebabkan biaya tak terduga bukan hanya karena Anda harus berurusan dengan konsekuensi hukum, tetapi juga karena tagihan hosting Anda dapat menembus atap jika situs yang mencuri gambar Anda menerima banyak lalu lintas.

Tambahkan kode di bawah ini ke file .htaccess Anda jika Anda menggunakan server Apache dan ganti domain dummy dengan nama domain Anda yang sebenarnya:

Tulis ulang pada

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Atau, jika Anda menggunakan server NGINX, Anda ingin memodifikasi file konfigurasi Anda dengan yang berikut:

lokasi ~. (gif | png | jpe? g) $ {

valid_referers tidak ada yang diblokir ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .domainanda.com;

if ($ invalid_referer) {

kembali 403;

}

}

22. Keluar Pengguna yang menganggur

Kiat terakhir dalam panduan ini untuk meningkatkan keamanan situs Anda adalah untuk keluar dari pengguna yang menganggur setelah beberapa saat tidak aktif. Anda dapat menggunakan plugin seperti Logout tidak aktif untuk secara otomatis mengakhiri sesi tidak aktif.

Logout tidak aktif

Ini diperlukan karena jika Anda masuk ke situs web Anda untuk menambahkan posting blog baru dan terganggu oleh tugas lain, sesi Anda dapat dibajak dan peretas dapat menyalahgunakan situasi untuk menginfeksi situs Anda. Yang lebih penting adalah menghentikan sesi tidak aktif jika Anda memiliki banyak pengguna di situs Anda.

Cara Memulihkan Dari Peretasan

Langkah-langkah keamanan di atas adalah cara terbaik untuk mengamankan situs Anda. Tetapi bagaimana jika situs Anda diretas pula? Berikut adalah beberapa langkah untuk diikuti jika situs web Anda diretas.

1. Konfirmasikan Peretasan dan Ubah Kata Sandi Anda

Jika situs Anda diretas, pertama-tama, jangan panik. Ini tidak akan membantu Anda dan perbuatan itu dilakukan sehingga penting untuk bertindak cepat. Mulailah dengan memeriksa situs Anda dan lihat apakah Anda dapat masuk ke dasbor Anda. Periksa apakah situs Anda dialihkan ke situs lain atau jika Anda melihat tautan atau iklan yang mencurigakan atau aneh.

Ganti kata sandi Anda segera dan kemudian lanjutkan ke langkah berikutnya.

2. Hubungi Perusahaan Hosting Anda

Hubungi host Anda dan beri tahu mereka bahwa situs Anda diretas. Mereka dapat membantu Anda mengidentifikasi sumber peretasan. Beberapa host juga akan membersihkan situs Anda dan menghapus kode dan file jahat.

Gunakan Cadangan untuk Memulihkan Situs Anda

Jika Anda rajin mencadangkan situs Anda, cari cadangan dari sebelum peretasan dan gunakan untuk memulihkan situs Anda. Meskipun Anda mungkin kehilangan beberapa konten, Anda akan dapat menjalankan dan menjalankan situs Anda seperti sebelum serangan terjadi.

3. Pindai Situs Anda Untuk Malware

Gunakan pemindai gratis Sucuri untuk memindai situs Anda dari malware dan mengidentifikasi file yang dikompromikan. Anda juga dapat memilih layanan pembersihan situs mereka jika Anda tidak tahu cara menghapus sendiri malware.

4. Periksa Pengguna Situs Anda

Login ke situs WordPress Anda dan pergi ke Pengguna> Semua Pengguna. Pastikan tidak ada pengguna yang tidak seharusnya berada di sana dan menghapusnya jika perlu.

5. Ubah Kunci Rahasia Anda

Gunakan Generator Kunci Garam WordPress yang disebutkan di atas untuk menghasilkan kunci keamanan baru dan menambahkannya ke file wp-config.php Anda. Karena kunci-kunci itu mengenkripsi kata sandi Anda, peretas akan tetap masuk sampai cookie mereka tidak valid. Kunci keamanan baru akan melakukan hal itu dan memaksa peretas keluar dari situs Anda.

6. Sewa Profesional

Terakhir, pekerjakan seorang profesional untuk membersihkan retasan dan menghapus malware dari situs Anda. Ingatlah bahwa peretas dapat menyembunyikan kode berbahaya di banyak file sehingga jika Anda tidak berpengalaman dengan penghapusan malware, mudah untuk melewatkan file yang terinfeksi. Hal ini memudahkan peretas untuk meretas kembali situs Anda sehingga merekrut seorang profesional sangat dianjurkan.

7 Jenis Kerentanan WordPress Paling Umum

Sebelum melangkah lebih jauh dengan artikel ini, mari kita bahas gajah di ruangan: apakah WordPress aman? Jawaban untuk pertanyaan itu adalah ya. Inti dari perangkat lunak WordPress adalah aman dan perusahaan di belakang WordPress memperhatikan keamanan dengan serius.

Mereka tim keamanan memiliki 50 ahli yang termasuk pengembang utama dan peneliti keamanan yang bekerja di belakang layar untuk memastikan bahwa WordPress aman.

Pada kenyataannya, sebagian besar insiden dan risiko keamanan adalah hasil dari kesalahan manusia yang dipasangkan dengan adanya kerentanan keamanan.

Ada tujuh jenis kerentanan WordPress yang perlu Anda perhatikan:

  • File WordPress yang kedaluwarsa
  • Eksploitasi Backdoor
  • Retas farmasi
  • Kata sandi lemah
  • Pengalihan berbahaya
  • Kerentanan dalam platform hosting
  • Penolakan serangan layanan

Mari kita bahas mereka dan jelaskan apa itu sebenarnya.

1. File WordPress yang ketinggalan jaman

File WordPress yang ketinggalan jaman merujuk ke versi WordPress, tema, dan file plugin. Mereka menimbulkan risiko keamanan karena mereka meninggalkan situs Anda terkena kerentanan lain seperti eksploitasi backdoor dan peretasan pharma.

Dengan demikian, Anda perlu memastikan bahwa instalasi WordPress Anda sudah mutakhir serta tema dan plugin Anda. Anda harus secara proaktif menerapkan pembaruan saat dirilis karena mereka tidak hanya datang dengan fitur-fitur baru tetapi mereka juga menyertakan berbagai perbaikan keamanan dan bug.

2. Eksploitasi Backdoor

Ketika datang ke eksploitasi backdoor, peretas akan mengambil keuntungan dari file WordPress yang sudah ketinggalan zaman untuk mendapatkan akses ke situs Anda. Selain dari file yang sudah ketinggalan zaman, mereka juga dapat memperoleh akses ke situs Anda melalui SFTP, FTP, dan yang serupa.

Setelah mereka memiliki akses ke situs Anda, mereka akan menginfeksi situs Anda dan juga dapat menginfeksi situs lain yang berada di server yang sama dengan situs Anda. Suntikan Backdoor terlihat seperti file WordPress biasa untuk pengguna yang tidak berpengalaman. Namun di balik layar, mereka memanfaatkan bug dalam file yang sudah ketinggalan zaman untuk mengakses database Anda dan mendatangkan malapetaka di situs Anda serta ribuan situs web lainnya.

3. Pharma Hacks

Pharma hacks merujuk pada eksploitasi kerentanan dalam file WordPress yang ketinggalan jaman di mana seorang hacker memasukkan kode ke dalam file-file itu. Setelah kode dimasukkan, mesin pencari menampilkan iklan untuk produk farmasi alih-alih situs web Anda. Ini dapat mengakibatkan mesin pencari menandai situs web Anda sebagai spam.

4. Kata Sandi Lemah

Kata sandi yang lemah mungkin mudah diingat tetapi juga membuatnya mudah bagi peretas untuk mendapatkan akses ke situs Anda melalui serangan brute force. Serangan brute force terjadi ketika seorang hacker menggunakan skrip otomatis yang berjalan di latar belakang untuk mencoba berbagai kombinasi nama pengguna dan kata sandi sampai mereka menemukan kombinasi yang berfungsi.

5. Pengalihan Malicious

Demikian pula untuk menggunakan file yang sudah ketinggalan zaman dan protokol FTP atau SFTP untuk menyuntikkan kode yang menghasilkan hack pharma atau exploit backdoor, peretas akan menggunakan file .htaccess di instalasi WordPress Anda untuk mengarahkan pengunjung Anda ke situs web berbahaya.

Pengunjung Anda kemudian dapat berakhir dengan virus atau menjadi mangsa phishing.

6. Kerentanan dalam Platform Hosting

Terkadang, keamanan situs web Anda mungkin terganggu karena Anda menggunakan perusahaan hosting yang tidak memiliki fitur keamanan seperti firewall atau pemantauan file. Ini biasanya terjadi pada penyedia hosting yang lebih murah yang berarti bahwa memilih host yang lebih murah, ironisnya, akan membebani Anda lebih banyak jika situs Anda diretas.

Ingatlah bahwa platform hosting yang lebih murah juga menimbulkan risiko keamanan yang lebih tinggi karena situs Anda dapat terinfeksi atau diretas sebagai akibat dari peretas yang mengeksploitasi kerentanan di situs web lain yang dihosting di server yang sama.

7. Serangan Denial of Service

Serangan Denial of Service atau serangan DDOS adalah salah satu ancaman paling berbahaya bagi pemilik situs web mana pun. Dalam serangan DDOS, seorang peretas akan mengeksploitasi bug dan kesalahan dalam kode yang menyebabkan memori sistem operasi situs Anda menjadi kewalahan. Serangan DDOS biasanya akan menjatuhkan sejumlah besar situs yang menggunakan platform tertentu, seperti WordPress.

Sekarang Anda tahu apa saja kerentanan umum yang terkait dengan WordPress, mari beralih ke tips, praktik terbaik, dan rekomendasi keamanan yang akan membantu Anda mengamankan situs WordPress Anda.

Membungkus

WordPress adalah CMS yang kuat dan populer yang memudahkan siapa pun untuk membuat situs web. Tetapi karena sangat populer, itu juga menjadi target favorit para peretas. Untungnya, ada sejumlah langkah yang dapat Anda ambil untuk melindungi situs WordPress Anda dan jika Anda mengikuti tips dalam artikel ini, Anda akan siap untuk memiliki situs web WordPress yang aman.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map