Cara Melindungi Situs WordPress Anda dari Peretas

Bagaimana cara melindungi situs WordPress saya dari peretas? Jika ini adalah pertanyaan yang terlalu sering Anda tanyakan, Anda tidak sendirian. Berkat popularitas platform WordPress, situs web WordPress selalu memiliki risiko serangan dan peretasan yang lebih tinggi. Untungnya, ada cara yang dicoba dan dipercaya untuk melindungi situs WordPress dari peretas . Dan tidak, Anda tidak perlu menjadi ahli WordPress untuk menerapkannya di situs Anda.

Pada artikel ini, kami membagikan kepada Anda 14 langkah yang dapat Anda ambil untuk mengamankan situs WordPress Anda dari peretas. Mari kita mulai.

Bagaimana Melindungi Situs WordPress Dari Peretas?

Tidak peduli ukuran atau domain situs web Anda, tidak ada situs web yang aman dari peretas yang selalu mencari cara untuk menyebarkan jaringan jahat mereka lebih luas di Internet. Apakah itu menyebarkan skrip otomatis untuk 'merangkak' situs WordPress Anda dan mendeteksi kerentanan apa pun, atau menggunakannya untuk mendapatkan akses ke akun WordPress Anda, tidak ada bagian dari situs web Anda yang aman dari peretas.

Perlindungan WordPress dari peretas pada dasarnya berarti melindungi setiap bagian situs web Anda dari malware, serangan brute force, dan ancaman lainnya. 14 langkah keamanan yang akan kami bagikan menawarkan fondasi yang kuat sehingga Anda dapat melakukan hal itu:

1. Gunakan Host Web yang Aman

Server dan lingkungan hosting yang aman adalah elemen penting untuk melindungi situs WordPress Anda. Pastikan perusahaan hosting Anda memprioritaskan menjaga situs yang dihosting aman dari peretasan melalui layanan seperti pencadangan reguler, perlindungan firewall, dan pemindaian malware.

Jika saat ini Anda dihosting di host bersama, pertimbangkan untuk bermigrasi ke host cloud atau host terkelola yang memberikan jaminan lebih kuat tentang lingkungan yang aman.

2. Gunakan Kata Sandi yang Kuat

Kata sandi yang kuat mungkin merupakan ukuran termudah untuk melindungi WordPress dari peretas dan dalam menghentikan serangan brute force. Hindari penggunaan password seperti “123456” atau “password” yang mudah ditebak. Sebagai gantinya, pastikan setiap kata sandi setidaknya terdiri dari 10-12 karakter dan berisi campuran huruf, angka, dan karakter khusus.

Jika Anda memiliki banyak pengguna, Anda dapat menggunakan alat manajemen kata sandi seperti 1Password atau LastPass untuk secara otomatis membuat dan menyimpan kata sandi yang lebih kuat untuk setiap pengguna.

3. Aktifkan Otentikasi Dua Faktor (2FA)

Meskipun kredensial login yang kuat selalu efektif untuk menghentikan serangan brute force, lapisan tambahan perlindungan halaman login tersedia menggunakan otentikasi dua faktor (atau 2FA). Tindakan ini memastikan bahwa meskipun pengguna 'jahat' dapat menebak kredensial login yang benar, mereka juga perlu memasukkan kode verifikasi yang benar yang dikirim hanya ke perangkat pengguna 'asli'.

Untuk mengimplementasikan 2FA, yang perlu Anda lakukan hanyalah menginstal dan mengaktifkan plugin 2FA seperti Google Authenticator.

4. Batasi Upaya Masuk

Agar berhasil mendapatkan entri akun, serangan brute force melakukan upaya berulang kali untuk menebak kredensial pengguna yang benar. Secara default, situs WordPress mengizinkan jumlah upaya login yang tidak terbatas. Namun, itu seharusnya tidak menghentikan Anda untuk membatasi jumlah upaya login menjadi 3 atau 4.

Yang Anda butuhkan hanyalah menginstal alat CAPTCHA yang menampilkan layar CAPTCHA setelah beberapa kali upaya login gagal. Alat ini juga efektif untuk menentukan apakah pengguna 'manusia' atau 'bot' mencoba mengakses akun login.

5. Ubah Nama Pengguna Default Anda “admin ”

Untuk kegunaan yang mudah, WordPress menetapkan administrator default pada awalnya untuk setiap akun WordPress baru. Administrator ini berguna pada fase awal untuk menyiapkan situs WordPress Anda dan membuat pengguna tambahan. Namun, menggunakan nama pengguna "admin" memiliki masalah keamanan.

Untuk mempersulit serangan brute force, ubah nama pengguna ini menjadi nama pengguna yang lebih unik yang sulit ditebak. Cara terbaik adalah membuat administrator baru (dengan nama pengguna yang lebih kuat) dan kemudian menghapus pengguna "admin" default.

6. Perbarui Inti, Plugin, Tema Anda

Sebagian besar kerentanan WordPress adalah hasil dari versi Core WordPress yang sudah ketinggalan zaman, atau plugin dan tema yang diinstal. Peretas terus-menerus mencari versi perangkat lunak yang lebih lama, yang dapat mereka manfaatkan untuk keuntungan mereka. Perlindungan terbaik terhadap peretas adalah selalu memperbarui situs WordPress Anda ke versi terbaru.

Anda dapat menerapkan pembaruan rutin dari akun hosting WordPress – atau mengaktifkan pembaruan otomatis. Ada manfaat tambahan untuk menjaga situs Anda diperbarui. Sebagian besar pembaruan tema dan plugin WordPress berisi peningkatan kecepatan dan kinerja yang dapat membuat situs web WordPress Anda lebih cepat dan lancar.

7. Cadangkan Situs Web Anda Secara Teratur

Meskipun benar-benar bukan ukuran keamanan yang dapat melindungi WordPress dari peretasan , strategi pencadangan dan pemulihan yang baik memungkinkan Anda meminimalkan waktu henti dan hilangnya pendapatan. Jika Anda menjalankan situs eCommerce, cadangan memastikan bahwa Anda tidak menjalankan risiko downtime atau kehilangan catatan atau transaksi pelanggan.

Meskipun Anda dapat mengambil cadangan situs web manual dari file situs web inti dan database, menggunakan plugin cadangan WordPress seperti BlogVault atau BackupBuddy dapat membebaskan waktu Anda karena mereka mengotomatiskan dan menjadwalkan seluruh proses pencadangan. Jika kamu

8. Tambahkan Sertifikat SSL

Saat Anda menambahkan sertifikat SSL ke situs Anda, pada dasarnya Anda memigrasikan situs web Anda ke protokol HTTP Aman (atau HTTPS) dari protokol HTTP yang kurang disukai. HTTPS mengenkripsi semua data yang dikirimkan antara situs web Anda dan pengguna Anda untuk keamanan mereka dan Anda.

Bagaimana Anda bisa pindah ke HTTPS? Tambahkan sertifikat SSL, yang dapat diperoleh dari perusahaan hosting web Anda atau dengan menggunakan plugin SSL seperti Let's Encrypt.

9. Nonaktifkan Pengeditan File

Dengan editor file WordPress, peretas dapat memperoleh kontrol situs web dan mengeksekusi kode PHP 'berbahaya' di situs tersebut. Ini bisa menjadi ancaman keamanan ketika akun administrator disusupi. Solusi terbaik adalah menonaktifkan pengeditan file dengan menambahkan kode berikut ke file wp-config.php dari sistem WordPress Anda:

 define( 'DISALLOW_FILE_EDIT', true );

10. Batasi Akses Situs dan Peran Pengguna

Akses situs web yang tidak dibatasi untuk semua pengguna dapat menjadi risiko utama WordPress – terutama untuk dasbor administrator. Bagian baiknya adalah Anda sekarang dapat membatasi akses ke halaman web yang dipilih berdasarkan peran pengguna. Untuk melakukan ini, Anda perlu menginstal plugin "Batasi Konten Pro" dan mengkonfigurasi halaman di mana Anda ingin akses pengguna terbatas.

11. Nonaktifkan Penjelajahan Direktori

Peretas menggunakan fitur penjelajahan direktori WordPress untuk menemukan file yang mungkin memiliki kerentanan. Selain itu, fitur ini dapat digunakan untuk menyalin file WordPress Anda atau mengetahui lebih lanjut tentang struktur folder. Solusi terbaik adalah dengan menonaktifkan directory browsing agar tidak disalahgunakan oleh hacker. Ini dapat dilakukan dengan menambahkan baris kode berikut di akhir file .htaccess Anda di folder instalasi Anda:

Opsi -Indeks

12. Nonaktifkan Eksekusi PHP.

Di pihak mereka, peretas dapat memasukkan kode malware dan mengeksekusinya menggunakan file PHP. Anda dapat meningkatkan keamanan situs WordPress Anda dengan menonaktifkan eksekusi file PHP-nya. Untuk menonaktifkan eksekusi PHP, buka file .htaccess di folder “uploads” instalasi WordPress Anda dan tambahkan kode berikut:

 <Files *.php> deny from all </Files>

13. Gunakan Plugin Keamanan WordPress

Meskipun langkah-langkah yang diuraikan sejauh ini berhasil melindungi Anda dari ancaman yang diketahui, mungkin sulit untuk mengikuti peretas dan cara inovatif mereka. Salah satu cara paling efektif untuk melindungi situs web Anda dari serangan yang belum diketahui atau jarang terjadi, atau bahkan berbagai jenis malware, adalah dengan berinvestasi dalam plugin WordPress khusus untuk keamanan.

Plugin keamanan WordPress seperti MalCare dan Wordfence dapat mendeteksi malware yang bahkan kurang dikenal dan Anda dapat menjadwalkan dan mengotomatiskan seluruh proses pemindaian malware. MalCare bahkan memiliki proses penghapusan malware sekali klik sehingga Anda tidak perlu bergantung pada dukungan teknis eksternal untuk membersihkan situs Anda.

14. Aktifkan Firewall WordPress

Jika ada cara sederhana lain untuk melindungi situs WordPress dari peretas, itu adalah dengan mempersulit mereka menjangkau situs Anda. Firewall bertindak sebagai garis pertahanan terakhir terhadap permintaan IP 'mencurigakan' yang dibuat oleh peretas. Ini bertindak lebih seperti penjaga keamanan yang mengizinkan atau menghalangi orang memasuki rumah atau kantor Anda.

Firewall melacak alamat IP 'baik' dan 'buruk' dan secara otomatis mengizinkan atau memblokir permintaan yang dibuat dari mereka.

Sebagian besar plugin keamanan seperti MalCare dan Sucuri memiliki firewall bawaan untuk memblokir semua lalu lintas berbahaya.

Mengapa Anda Harus Melindungi Situs WordPress Anda dari Peretas?

Mengetahui cara melindungi situs WordPress dari peretas bukan lagi sesuatu yang bisa Anda tunda nanti. Hanya karena peretasan berdampak lebih dari sekadar keberadaan web Anda atau peringkat SEO Anda. Serangan malware atau brute force yang berhasil, bahkan selama beberapa jam, dapat sangat merusak pendapatan Anda dan melemahkan otoritas merek Anda.

Bergantung pada jenis serangannya, peretasan WordPress dapat menyebabkan beberapa atau semua hal di bawah ini:

• Penghancuran total halaman beranda situs web Anda dengan iklan “pop-up” yang berbahaya
• Penyalahgunaan upaya SEO Anda yang dapat membuat situs web Anda mendapatkan peringkat untuk kata kunci yang berisi spam
• Pengunjung dialihkan ke situs web lain yang tidak diminta yang menjual produk palsu atau produk farmasi terlarang
• Email spam atau "phishing" yang dikirim ke pelanggan Anda menggunakan alamat email bisnis asli
• Pelanggaran data yang mengakibatkan hilangnya catatan pelanggan yang berharga, detail transaksi keuangan, dan data sensitif lainnya

Kami harap artikel ini membantu Anda dengan tips dan strategi sehingga Anda tahu persis bagaimana melindungi situs WordPress dari malware dan peretasan.

Apa pendapat Anda tentang 14 langkah keamanan yang telah kita bahas? Apakah ada yang akan Anda tambahkan ke daftar ini? Beri tahu kami di komentar.