6 Tips Mengatasi Masalah Keamanan WordPress

Selamat datang di CMS Terpopuler di Dunia

WordPress adalah salah satu target terbesar serangan siber. Itu karena WordPress adalah sistem manajemen konten (CMS) paling populer di dunia sejauh ini: ini mendukung 43,1% dari semua situs web dan menawarkan pangsa pasar CMS sebesar 63,6% menurut W3Techs. Sebagai perbandingan, tempat kedua adalah Shopify, yang memberdayakan 3,8% situs web dan memiliki pangsa pasar CMS sebesar 5,6%.

Platform e-niaga gratisnya, WooCommerce, juga merupakan pemain besar dalam dirinya sendiri—menjadi solusi e-niaga sumber terbuka paling populer di dunia.

Itu menimbulkan pertanyaan yang jelas: Apa yang harus Anda lakukan untuk mengamankan WordPress di situs Anda dan mencegah atau memperbaiki kerentanan WordPress? Dari praktik terbaik keamanan siber kami di Coalition Technologies, berikut adalah 6 tip teratas kami untuk menyelesaikan masalah keamanan WordPress.

Mengapa Memilih WordPress?

WordPress sangat fleksibel dan kuat, dan karena bersifat open source, WordPress juga sangat hemat biaya dan populer. Dengan WordPress sebagai platform terbesar di web, ada banyak pakar keamanan siber yang tersedia untuk membantu keamanan situs web WordPress dengan biaya yang lebih murah daripada biaya untuk platform khusus.

1. Lindungi Kredensial Login Anda

Langkah paling ampuh yang dapat Anda ambil dalam menyelesaikan masalah keamanan WordPress adalah tidak memiliki masalah tersebut sejak awal—dan melindungi kredensial login Anda dapat mengurangi pelanggaran data hingga lebih dari setengahnya.

Menurut Verizon dalam Laporan Investigasi Pelanggaran Data 2021, 61% pelanggaran data melibatkan penggunaan kredensial masuk dalam beberapa cara. Ini paling sering terjadi karena:

• Pencurian kata sandi
• Serangan kekerasan
• Penyalahgunaan kredensial internal

Lindungi Pencurian Kata Sandi

Peretas suka mencari buah yang menggantung rendah, dan memperbaiki kerentanan WordPress dimulai dengan memangkas semua buah yang menggantung rendah sebelum peretas dapat mencapainya.

• Perbarui semua kata sandi secara teratur. 90 hari (sekali per kuartal) adalah standar yang baik.

• Gunakan kata sandi yang unik, dan jangan pernah menggunakannya kembali. PurpleSec mengatakan 25% karyawan menggunakan kata sandi yang sama untuk semua hal, yang seharusnya menyusahkan siapa pun.

• Simpan kata sandi dengan benar. WordPress menangani semuanya dengan aman pada akhirnya, tetapi jika karyawan Anda menuliskan kata sandi mereka di catatan tempel atau Google Docs, mereka bisa bocor.

• Pertimbangkan untuk membuat kata sandi kedaluwarsa. Ini memaksa orang untuk memperbarui kata sandi mereka, tetapi juga dapat menyebabkan beberapa karyawan ceroboh dalam menyimpan kata sandi mereka. Memecahkan masalah keamanan WordPress dalam jangka panjang berarti mengurangi kerentanan ini dengan kebijakan kata sandi Anda.

Perkuat Terhadap Serangan Brute Force

Peretas juga dapat menggunakan serangan brute force untuk mencuri kredensial. Ini berarti menebak kata sandi secara acak, jutaan kali, hingga menemukan permutasi yang berfungsi.

• Batasi jumlah upaya masuk yang diizinkan. Plugin keamanan WordPress yang baik akan mengelola ini untuk Anda sambil juga memperbaiki kerentanan WordPress saat ditemukan.

• Gunakan kata sandi yang unik. Seperti sebelumnya, menyelesaikan masalah keamanan WordPress berarti menggunakan kata sandi unik, dan hanya menggunakannya sekali.

• Gunakan kata sandi yang kuat. Panjang kata sandi minimal harus 8 karakter, dan idealnya melibatkan angka, huruf, dan karakter khusus. Berikut adalah beberapa tips. Anda juga dapat menggunakan kata sandi yang mudah diingat, yang membantu mengurangi masalah memori. Pusat Keamanan Siber Nasional pemerintah Inggris mendukung gagasan tiga kata acak—walaupun empat atau lima kata bahkan lebih baik.

• Blokir negara atau IP tertentu yang menghasilkan banyak upaya login yang gagal. Secara khusus, blokir sumber ini agar tidak mengakses akun sensitif dengan akses ke panel admin menggunakan firewall.

Manfaatkan Kebijakan Perlindungan Kata Sandi Praktik Terbaik

Di Coalition Technologies, kami bekerja tanpa lelah untuk menjaga keamanan kredensial klien kami. Selama bertahun-tahun kami telah membangun rekam jejak yang membanggakan tentang kebijakan perlindungan kata sandi praktik terbaik. Demikian pula, menyelesaikan masalah keamanan WordPress memerlukan kebijakan perlindungan kata sandi Anda sendiri yang baik. Berikut beberapa panduan untuk memperbaiki kerentanan WordPress di tingkat sumber daya manusia:

• Batasi akses login sesuai kebutuhan. Hanya beri karyawan tingkat izin minimum yang mereka perlukan, dan hanya beri mereka akses ke tab dan sistem yang mereka perlukan. Batasi akun "admin" dengan akses universal ke jumlah orang seminimal mungkin.

• Sebarkan pelatihan karyawan yang efektif. Kadang-kadang penyalahgunaan kata sandi oleh karyawan yang tidak puas berbahaya (dalam hal ini Anda dapat membatasi kerusakan dengan membatasi akses seperti yang disebutkan di atas). Tetapi lebih sering penyalahgunaan ini tidak disengaja, dan memecahkan masalah keamanan WordPress dengan kebocoran kata sandi dapat dicegah dengan pelatihan yang baik. Pastikan proses orientasi Anda menyertakan modul tentang keamanan kata sandi, dan pertimbangkan untuk menerapkan modul penyegaran berkala setiap 12 – 24 bulan.

2. Instal Plugin Keamanan WordPress yang Baik dan Ikuti Praktik Terbaik

Inti dari WordPress sangat aman, dengan talenta keamanan dunia maya kelas dunia yang bekerja untuk menjaga keamanan jutaan situs web. Tetapi WordPress juga memungkinkan penggunaan plugin. Plugin ini memperluas fungsionalitas WordPress secara besar-besaran, tetapi juga memperkenalkan potensi kerentanan keamanan baru.

Namun, ada seluruh industri yang dibangun untuk mengamankan plugin WordPress, dan produk ini sendiri adalah plugin WordPress. Dikenal sebagai “plugin keamanan”, ini adalah utilitas yang harus dimiliki untuk mengatasi masalah keamanan WordPress dan memperbaiki kerentanan WordPress secara real time. Perhentian pertama Anda setelah menginstal atau memperbarui perangkat lunak inti WordPress adalah memilih plugin keamanan WordPress yang bagus dan mengonfigurasinya dengan benar.

Rekomendasi Plugin Keamanan Kami

Ada banyak plugin keamanan WordPress yang bagus di luar sana. Klien kami mengandalkan arsitektur WordPress untuk pendapatan jutaan dolar. Keamanan situs web sangat penting.

Saat kami bermitra dengan klien kami untuk menawarkan layanan desain web WordPress kami yang ekstensif, kami secara khusus merekomendasikan dua plugin ini untuk menyelesaikan masalah keamanan WordPress:

• Keamanan Wordfence – Firewall, Pemindaian Malware, dan Keamanan Login
• Keamanan Pembela – Pemindai Malware, Keamanan Login & Firewall

Kami secara rutin menggunakan plugin keamanan ini untuk klien kami saat mengelola situs WordPress mereka.

Pastikan Penyiapan Plugin Keamanan yang Tepat

Pakar penelitian kata kunci di Semrush merekomendasikan langkah-langkah penting ini untuk memecahkan masalah keamanan WordPress secara preemptif:

• Batasi jumlah upaya masuk yang diizinkan. Kami sudah membahas yang ini, tetapi perlu diulangi sebagai cara terbaik untuk memperbaiki kerentanan WordPress terlebih dahulu.

• Sembunyikan halaman login Anda dari tampilan publik. Pengunjung situs Anda seharusnya tidak dapat menjangkau halaman login Anda melalui navigasi situs atau dengan menebak URL. URL halaman login harus tidak jelas dan tidak ditautkan oleh halaman lain.

• Hapus halaman backend, admin, dan keranjang belanja dari pengindeksan mesin pencari. Halaman-halaman ini jelas jauh lebih rentan terhadap peretasan, jadi dalam hal ini menyelesaikan masalah keamanan WordPress berarti menjauhkan halaman-halaman ini dari hasil pencarian.

• Cadangkan situs web Anda secara teratur. Anda dapat melakukannya secara manual atau otomatis, tetapi lakukan secara teratur. Apa pun yang tidak dicadangkan harus dianggap hilang—karena itulah yang akan terjadi dalam sesuatu seperti serangan ransomware. Cadangan harus ditempatkan di server yang berbeda, dan menggunakan kredensial akses yang berbeda. Jika memungkinkan, juga pintar untuk menyimpan cadangan "dingin" lokal. Ini sangat penting untuk bisnis kecil.

3. Audit Tema & Plugin Dengan Hati-hati Sebelum Menginstal

Ketika berbicara tentang Plugin WordPress lainnya (selain plugin keamanan) dan Tema WordPress, penting untuk dipahami bahwa Anda berurusan dengan berbagai macam produk dan kualitas. Strategi bagus apa pun untuk memperbaiki kerentanan WordPress berarti melakukan banyak uji tuntas dalam mengaudit aplikasi ini.

Banyak plugin dan tema yang kokoh dan menawarkan fungsionalitas penting dan opsi tata letak yang dibutuhkan situs web Anda untuk berkembang. Plugin dan tema lain dirancang dengan buruk dan rentan terhadap eksploitasi keamanan oleh peretas. Dan beberapa adalah malware langsung.

WordPress waspada dalam memecahkan masalah keamanan WordPress dengan plugin dan tema dengan memblokir malware dan spam, tetapi terkadang beberapa telur buruk ini lolos. Berikut beberapa praktik terbaik untuk mengaudit plugin dan tema yang Anda minati:

• Jumlah unduhan yang tinggi biasanya lebih aman. Malware terdeteksi sejak awal, dan tema serta plugin yang buruk tidak pernah menjadi populer, jadi hanya hal-hal yang berfungsi yang kemungkinan akan menghasilkan jumlah unduhan yang tinggi.

• Sejumlah besar ulasan pengguna yang positif adalah ukuran yang andal. Jika banyak orang telah memberi plugin atau tema peringkat bintang yang sempurna atau hampir sempurna, itu pertanda baik. Tetapi pastikan Anda juga membaca beberapa ulasan menengah dan negatif, untuk melihat keluhan seperti apa yang dimiliki orang.

• Telusuri web untuk bisnis dan organisasi berita yang membicarakan pengalaman mereka menggunakan plugin ini. Dalam hal memecahkan masalah keamanan WordPress dan memperbaiki kerentanan WordPress untuk bisnis Anda, ulasan pengguna mungkin tidak memiliki kedalaman atau kredibilitas yang Anda cari. Jadi online dan cari nama yang Anda percayai. Lihat apa yang mereka katakan tentang aplikasi ini.

Di Mana Anda Harus Mendapatkan Plugin?

Jika ragu, pilih plugin WordPress dari sumber terpercaya:

• Repositori plugin WordPress resmi adalah taruhan terbaik Anda, dan jika Anda hanya mendapatkan plugin dari satu sumber, dapatkan di sini.

• Pasar pihak ketiga terkemuka untuk plugin, misalnya, CodeCanyon, adalah sumber plugin yang bagus. Pasar terkemuka sangat menekankan penyelesaian masalah keamanan WordPress karena reputasi mereka bergantung padanya.

• Situs pengembang plugin WP seperti WPMU DEV adalah sumber plugin berkualitas tinggi lainnya. Komunitas pengembang plugin WordPress karir ini berkumpul untuk meningkatkan visibilitas dan kepercayaan produk mereka.

Plugin yang bagus memiliki tim pengembangan yang baik, dan kerentanan pada plugin ini biasanya dengan cepat ditambal oleh pengembang atau agensi independen yang membuatnya. Dan jika tidak, biasanya ada banyak plugin alternatif berbeda yang menawarkan fungsionalitas yang sama dengan aman.

4. Perbarui Semuanya & Audit Ulang

Membiarkan perangkat lunak Anda ketinggalan itu mudah karena waktu yang diperlukan untuk memperbarui (dan waktu yang diperlukan untuk memperbaiki hal-hal yang rusak oleh pembaruan), tetapi ini mengerikan karena banyak dari pembaruan tersebut berisi tambalan untuk memperbaiki kerentanan WordPress atau kerentanan di plugin WordPress atau tema. Itu sebabnya organisasi seperti Search Engine Journal merekomendasikan Anda untuk selalu memperbarui plugin dan tema Anda.

Tidak ada lapisan gula: Ini adalah salah satu tip kami yang paling memakan waktu untuk menyelesaikan masalah keamanan WordPress. Tetapi Anda harus meluangkan waktu, karena jika tidak, Anda membuka pintu bagi penyerang dunia maya.

Ini termasuk perangkat lunak inti WordPress, versi PHP yang dijalankannya, dan semua tema dan plugin. Itu SEMUA perlu diperbarui ketika pembaruan baru tersedia — dan, ketika Anda memperbaruinya, semua plugin dan fungsi yang terpengaruh perlu diaudit lagi untuk memastikan semuanya berfungsi dengan baik.

Alokasikan Tenaga Kerja yang Sedang Berlangsung

Mengikuti pembaruan inti WordPress dan pembaruan plugin Anda harus menjadi bagian dari deskripsi pekerjaan seseorang. Jika menyelesaikan masalah keamanan WordPress melalui pembaruan preventif tidak ada dalam radar seseorang, ini adalah hal yang cenderung dilupakan.

Memperbarui perangkat lunak dan memperbaiki kerentanan WordPress tidak menghasilkan penjualan secara langsung tetapi bertindak untuk mencegah biaya bencana yang berpotensi, dan harus dianggarkan sesuai dengan itu. Pastikan untuk menyiapkan perusahaan Anda agar sukses dengan memastikan bahwa sysadmin atau tim TI Anda memiliki bandwidth untuk tetap mengikuti pembaruan.

Di Coalition Technologies, kami tetap mengikuti pembaruan sebagai bagian dari strategi kesuksesan kami untuk menyiapkan klien untuk pertumbuhan jangka panjang yang berkelanjutan.

Hati-hati Tentang Pembaruan

Satu hal yang perlu diketahui tentang menyelesaikan masalah keamanan WordPress dengan rajin menginstal pembaruan saat dirilis: WordPress meninjau semua plugin yang dikirimkan ke repositori resminya, untuk menyaring spam, mendeteksi bug serius yang umum, dan memastikan bahwa plugin mematuhi WordPress pedoman.

Namun, setelah plugin disetujui dan terdaftar, WordPress tidak memiliki kemampuan untuk mengaudit semua plugin pihak ketiga ini lagi setiap kali plugin diperbarui. Basis kode plugin dapat dan sering berubah secara signifikan setelah tinjauan awal itu, dan WordPress tidak akan mengetahuinya.

Hal ini biasanya terjadi karena alasan yang sah—misalnya, pemutakhiran UX, memperbaiki kerentanan dan bug WordPress, dan menambahkan fitur baru. Tetapi peretas dapat mempermainkan sistem dengan memasang versi awal plugin mereka yang lolos, dan kemudian menambahkan malware dengan pembaruan berikutnya. Itu juga bisa terjadi ketika plugin yang ada ditinggalkan atau dijual, dan pihak ketiga yang jahat mengambil alih dan menambahkan malware. Artinya, sebagian pekerjaan untuk memecahkan masalah keamanan WordPress menjadi tanggung jawab Anda.

Selalu tinjau catatan pembaruan saat plugin diperbarui, dan jangan terburu-buru menjadi pengadopsi awal tanpa verifikasi dari luar: Lihat apa yang dikatakan orang lain terlebih dahulu.

Manfaatkan Layanan Pencarian Kerentanan

Anda juga dapat menggunakan layanan seperti Database Kerentanan WPScan, yang dapat membantu Anda memecahkan masalah keamanan WordPress dengan memberi Anda pemberitahuan awal tentang risiko keamanan yang baru ditemukan.

Jika Anda bermitra dengan Coalition Technologies untuk mengelola situs WordPress Anda, kami melakukan semua pemeriksaan tema dan plugin WordPress kami sendiri, dan bertanggung jawab untuk memperbaiki kerentanan WordPress yang membuat situs Anda terekspos—memberi Anda ketenangan pikiran dan membongkar tugas yang memakan waktu .

5. Identifikasi Serangan Phishing

Sumber utama kerentanan keamanan dunia maya adalah phishing, dan meskipun ini merupakan fenomena di seluruh Internet, hal ini masih harus didiskusikan dalam konteks kasus penggunaan WP dan penyelesaian masalah keamanan WordPress. Phisher sering memalsukan WordPress itu sendiri atau memalsukan email pelanggan. Perusahaan cybersecurity Varonis memiliki primer yang baik tentang cara kerja phishing.

Apa pun dengan hyperlink yang tidak Anda kendalikan dapat menjadi serangan phishing—situs web, dokumen digital, dll.—tetapi terutama email.

Waspadai Email Masuk

Hampir semua serangan phishing dimulai dari email. (Ini kira-kira 90% menurut CyberTalk.org.) Itu berarti bisnis perlu mengajarkan praktik terbaik pertahanan diri melalui email kepada karyawan. Ini bukan tentang memperbaiki kerentanan WordPress karena ini mencegah perilaku tim Anda menjadi vektor serangan keamanan siber.

Pastikan bahwa Anda telah menyiapkan data DMARC dan SPF yang tepat untuk DNS Anda, yang akan mencegah orang menggunakan domain Anda dalam email karena email tersebut akan berakhir di sampah atau tidak akan pernah dikirim, bergantung pada kebijakan DMARC yang ditetapkan .

Waspadai Tautan Palsu

Phisher menggunakan tautan palsu, yang terkadang disamarkan agar terlihat seperti situs umum seperti Google. Salah satu metode untuk mengatasi masalah keamanan WordPress dengan mengamankan dari phishing adalah dengan mengubah header keamanan X-Frame-Options situs Anda yang tidak akan mengizinkan situs web Anda digunakan dalam iframe oleh situs web eksternal.

Gunakan URL Asli

Terakhir, jangan gunakan pemendek tautan, yang tidak mengungkapkan situs web tujuan akhir kepada pengguna.

6. Amankan Jaringan Anda

Tip penting lainnya untuk menyelesaikan masalah keamanan WordPress adalah mengamankan jaringan Anda. Di era pandemi peningkatan telecommuting dan tempat kerja global ini, perusahaan secara rutin mengirimkan informasi penting melalui Internet, menciptakan banyak peluang kerentanan keamanan.

WordPress adalah platform yang sangat fleksibel, artinya Anda dapat menambal metode yang biasanya dapat dieksploitasi dengan cuplikan kode sederhana yang ditemukan online, seperti menonaktifkan XMLRPC dan memerlukan autentikasi untuk mengakses WP-JSON. Memperbaiki kerentanan WordPress seringkali sesederhana menginstal dan menggunakan plugin yang tepat.

Selain itu, opsi autentikasi multifaktor tersedia dengan penggunaan plugin WordPress.

Latih Kesiapsiagaan & Pencegahan yang Solid

Firewall Aplikasi Web seperti Cloudflare dan banyak lainnya telah secara khusus merancang WAF mereka untuk melindungi aplikasi WordPress dari berbagai jenis dan pola serangan umum. Banyak penyedia hosting menawarkan layanan pencadangan harian gratis, seperti WP Engine.

Bermitra dengan Teknologi Koalisi untuk Desain & Pengembangan WordPress

Di Coalition kami menawarkan layanan desain dan pengembangan WordPress lengkap, baik mandiri atau bersama dengan layanan SEO dan pemasaran digital pemenang penghargaan kami. Semua yang telah kami diskusikan hari ini tentang menyelesaikan masalah keamanan WordPress dan memperbaiki kerentanan WordPress disertakan dalam layanan kami saat Anda bermitra dengan kami.

Lihat FAQ Layanan WordPress kami. Kami ingin bekerja sama dengan Anda! Hubungi kami untuk mendiskusikan kebutuhan website Anda.