December 2, 2021

Langkah Untuk Mengunci Keamanan WordPress Kalian

Langkah Untuk Mengunci Keamanan WordPress Kalian – Dalam hal keamanan WordPress, ada banyak hal yang dapat Anda lakukan untuk mengunci situs Anda guna mencegah peretas dan kerentanan memengaruhi situs e-niaga atau blog Anda.

phpbbstyles

Langkah Untuk Mengunci Keamanan WordPress Kalian

phpbbstyles – Hal terakhir yang Anda inginkan adalah bangun pada suatu pagi untuk menemukan situs Anda berantakan. Jadi hari ini kami akan membagikan banyak tip, strategi, dan teknik yang dapat Anda gunakan untuk meningkatkan keamanan WordPress Anda dan tetap terlindungi.

Coba demo gratis

Jika Anda adalah klien Kinsta, Anda tidak perlu khawatir tentang banyak hal ini, karena kami menawarkan perbaikan peretasan gratis! Tetapi bahkan dengan jaminan ini, Anda harus selalu mengikuti praktik keamanan terbaik.

Baca Juga : Strategi Mudah Untuk Membuat WordPress Enterprise-ready

Apakah WordPress Aman?

Pertanyaan pertama yang mungkin Anda tanyakan, apakah WordPress aman ? Untuk sebagian besar, ya. Namun, WordPress biasanya mendapat rap buruk karena rentan terhadap kerentanan keamanan dan secara inheren bukan platform yang aman untuk digunakan untuk bisnis. Lebih sering daripada tidak, ini disebabkan oleh fakta bahwa pengguna terus mengikuti praktik terburuk keamanan yang terbukti di industri.

Menggunakan perangkat lunak WordPress yang ketinggalan zaman, plugin nulled , administrasi sistem yang buruk, manajemen kredensial, dan kurangnya pengetahuan Web dan keamanan yang diperlukan di antara pengguna WordPress non-teknisi membuat peretas tetap di atas permainan kejahatan dunia maya mereka. Bahkan para pemimpin industri tidak selalu menggunakan praktik terbaik. Reuters diretas karena menggunakan WordPress versi lama.

Pada dasarnya, keamanan bukanlah tentang sistem yang benar-benar aman. Hal seperti itu mungkin tidak praktis, atau tidak mungkin ditemukan dan/atau dipelihara. Apa yang dimaksud dengan keamanan adalah pengurangan risiko, bukan penghapusan risiko. Ini tentang menggunakan semua kontrol yang sesuai yang tersedia untuk Anda, dengan alasan, yang memungkinkan Anda untuk meningkatkan postur keseluruhan Anda mengurangi kemungkinan menjadikan diri Anda target, kemudian diretas. – Kodeks Keamanan WordPress

Sekarang, ini bukan untuk mengatakan kerentanan tidak ada. Menurut studi Q3 2017 oleh Sucuri, sebuah perusahaan keamanan multi-platform, WordPress terus memimpin situs web terinfeksi yang mereka kerjakan (pada 83%). Ini naik dari 74% pada 2016.

WordPress menguasai lebih dari 40,0% dari semua situs web di internet, dan dengan ratusan ribu kombinasi tema dan plugin di luar sana, tidak mengherankan bahwa kerentanan ada dan terus ditemukan. Namun, ada juga komunitas hebat di sekitar platform WordPress, untuk memastikan hal-hal ini ditambal secepatnya. Pada tahun 2021, tim keamanan WordPress terdiri dari sekitar 50 (naik dari 25 pada tahun 2017) ahli termasuk pengembang utama dan peneliti keamanan — sekitar setengahnya adalah karyawan Automattic dan beberapa bekerja di bidang keamanan web.

Kerentanan WordPress

Lihat beberapa jenis kerentanan keamanan WordPress di bawah ini.

  • Peretasan Farmasi
  • Upaya Masuk Brute-force
  • Pengalihan Berbahaya
  • Pembuatan Skrip Lintas Situs (XSS)
  • Kegagalan layanan

Kerentanan backdoor yang diberi nama tepat memberi peretas bagian tersembunyi yang melewati enkripsi keamanan untuk mendapatkan akses ke situs web WordPress melalui metode abnormal wp-Admin , SFTP , FTP, dll. Setelah dieksploitasi, backdoor memungkinkan peretas untuk membuat kekacauan di server hosting dengan kontaminasi lintas situs serangan membahayakan beberapa situs yang dihosting di server yang sama.

Pada Q3 2017 Sucuri melaporkan bahwa backdoors terus menjadi salah satu dari banyak tindakan pasca-peretasan yang dilakukan penyerang, dengan 71% dari situs yang terinfeksi memiliki beberapa bentuk injeksi backdoor.

Backdoors sering dienkripsi agar tampak seperti file sistem WordPress yang sah, dan masuk ke database WordPress dengan memanfaatkan kelemahan dan bug dalam versi platform yang sudah ketinggalan zaman. The Timthumb kegagalan adalah contoh utama dari kerentanan backdoor mengeksploitasi script teduh dan software mengorbankan usang jutaan situs web.

Untungnya, pencegahan dan penyembuhan kerentanan ini cukup sederhana. Anda dapat memindai situs WordPress Anda dengan alat seperti SiteCheck yang dapat dengan mudah mendeteksi backdoor umum. Otentikasi dua faktor, memblokir IP, membatasi akses admin, dan mencegah eksekusi file PHP yang tidak sah dengan mudah menangani ancaman backdoor umum, yang akan kita bahas lebih lanjut di bawah ini. Canton Becker juga memiliki posting yang bagus tentang membersihkan kekacauan pintu belakang pada instalasi WordPress Anda.

Peretasan

Eksploitasi Pharma Hack digunakan untuk menyisipkan kode jahat di versi lama situs web dan plugin WordPress, menyebabkan mesin telusur menampilkan iklan untuk produk farmasi saat situs web yang disusupi mencari. Kerentanan lebih merupakan ancaman spam daripada malware tradisional, tetapi memberikan alasan yang cukup bagi mesin pencari untuk memblokir situs dengan tuduhan menyebarkan spam.

Bagian yang bergerak dari Pharma Hack termasuk pintu belakang di plugin dan database, yang dapat dibersihkan dengan mengikuti instruksi dari blog Sucuri ini . Namun, eksploitasi sering kali merupakan varian jahat dari injeksi berbahaya terenkripsi yang tersembunyi di basis data dan memerlukan proses pembersihan menyeluruh untuk memperbaiki kerentanan.

Namun demikian, Anda dapat dengan mudah mencegah Pharma Hacks dengan menggunakan penyedia hosting WordPress yang direkomendasikan dengan server terbaru dan secara teratur memperbarui instalasi, tema, dan plugin WordPress Anda. Host seperti Kinsta juga menawarkan perbaikan hack gratis.

Upaya Masuk Brute-force

Upaya masuk paksa menggunakan skrip otomatis untuk mengeksploitasi kata sandi yang lemah dan mendapatkan akses ke situs Anda. Otentikasi dua langkah, membatasi upaya login, memantau login yang tidak sah, memblokir IP dan menggunakan kata sandi yang kuat adalah beberapa cara termudah dan sangat efektif untuk mencegah serangan brute force. Namun sayangnya, sejumlah pemilik situs WordPress gagal melakukan praktik keamanan ini sedangkan peretas dengan mudah dapat mengkompromikan sebanyak 30.000 situs web dalam satu hari menggunakan serangan brute force.

Pengalihan Berbahaya

Pengalihan berbahaya membuat pintu belakang di instalasi WordPress menggunakan FTP, SFTP, wp-admin, dan protokol lainnya dan menyuntikkan kode pengalihan ke situs web. Pengalihan sering ditempatkan di file .htaccess Anda dan file inti WordPress lainnya dalam bentuk yang disandikan, mengarahkan lalu lintas web ke situs jahat. Kami akan membahas beberapa cara untuk mencegahnya dalam langkah keamanan WordPress kami di bawah ini.

Pembuatan Skrip Lintas Situs (XSS)

Cross-Site Scripting (XSS) adalah ketika skrip berbahaya disuntikkan ke situs web atau aplikasi tepercaya. Penyerang menggunakan ini untuk mengirim kode berbahaya, biasanya skrip sisi browser, ke pengguna akhir tanpa mereka sadari. Tujuannya biasanya untuk mengambil cookie atau data sesi atau bahkan mungkin menulis ulang HTML pada halaman.

Menurut WordFence , kerentanan Cross-Site Scripting adalah kerentanan paling umum yang ditemukan di plugin WordPress dengan margin yang signifikan.

Kegagalan layanan

Mungkin yang paling berbahaya dari semuanya, kerentanan Denial of Service (DoS) mengeksploitasi kesalahan dan bug dalam kode untuk membanjiri memori sistem operasi situs web. Peretas telah mengkompromikan jutaan situs web dan meraup jutaan dolar dengan mengeksploitasi versi lama dan buggy dari perangkat lunak WordPress dengan serangan DoS. Meskipun penjahat dunia maya yang bermotivasi finansial cenderung tidak menargetkan perusahaan kecil, mereka cenderung berkompromi dengan situs web rentan yang sudah ketinggalan zaman dalam membuat rantai botnet untuk menyerang bisnis besar.

Bahkan versi terbaru dari perangkat lunak WordPress tidak dapat secara komprehensif bertahan terhadap serangan DoS profil tinggi , tetapi setidaknya akan membantu Anda menghindari terjebak dalam baku tembak antara lembaga keuangan dan penjahat dunia maya yang canggih. Dan jangan lupa tanggal 21 Oktober 2016. Ini adalah hari dimana internet mati karena serangan DNS DDoS. Baca lebih lanjut tentang mengapa penting untuk menggunakan penyedia DNS premium untuk meningkatkan keamanan WordPress Anda.

Menurut statistik langsung internet, lebih dari 100.000 situs web diretas setiap hari. Itulah mengapa sangat penting untuk meluangkan waktu dan membaca rekomendasi berikut di bawah ini tentang cara meningkatkan keamanan WordPress Anda dengan lebih baik.

Kami akan memastikan untuk terus memperbarui posting ini dengan informasi yang relevan karena hal-hal berubah dengan platform WordPress dan kerentanan baru muncul.

Berinvestasi di Hosting WordPress yang Aman

Dalam hal keamanan WordPress, ada lebih dari sekadar mengunci situs Anda, meskipun kami akan memberi Anda rekomendasi terbaik tentang cara melakukannya di bawah ini. Ada juga keamanan tingkat server web yang menjadi tanggung jawab host WordPress Anda. Kami menangani keamanan dengan sangat serius di sini di Kinsta dan menangani banyak masalah ini untuk klien kami.

Sangat penting bagi Anda untuk memilih host yang dapat Anda percayai untuk bisnis Anda . Atau jika Anda menghosting WordPress di VPS Anda sendiri, maka Anda harus memiliki pengetahuan teknis untuk melakukan hal ini sendiri. Dan sejujurnya, mencoba menjadi sysadmin untuk menghemat $20/bulan adalah ide yang buruk.

Pengerasan server adalah kunci untuk menjaga lingkungan WordPress yang benar-benar aman. Dibutuhkan beberapa lapisan langkah-langkah keamanan tingkat perangkat keras dan perangkat lunak untuk memastikan infrastruktur TI yang menghosting situs WordPress mampu bertahan dari ancaman canggih, baik fisik maupun virtual.

Untuk alasan ini, server hosting WordPress harus diperbarui dengan sistem operasi dan perangkat lunak (keamanan) terbaru serta diuji dan dipindai secara menyeluruh untuk kerentanan dan malware. Contoh bagusnya adalah ketika Kinsta harus menambal NGINX untuk kerentanan keamanan OpenSSL yang ditemukan.

Firewall tingkat server dan sistem deteksi intrusi harus ada sebelum menginstal WordPress di server agar tetap terlindungi dengan baik bahkan selama instalasi WordPress dan fase konstruksi situs web. Namun, setiap perangkat lunak yang diinstal pada mesin yang dimaksudkan untuk melindungi konten WordPress harus kompatibel dengan sistem manajemen basis data terbaru untuk mempertahankan kinerja yang optimal. Server juga harus dikonfigurasi untuk menggunakan jaringan aman dan protokol enkripsi transfer file (seperti SFTP, bukan FTP ) untuk menyembunyikan konten sensitif dari penyusup jahat.

Di Kinsta, kami menggunakan server tercepat dan jaringan tingkat premium Google Cloud Platform untuk semua pelanggan WordPress kami untuk memastikan pengalaman hosting WordPress yang cepat dan aman . Keuntungan besar dari ini adalah bahwa itu dibangun di atas model keamanan yang telah dibangun selama 15 tahun, dan saat ini mengamankan produk dan layanan seperti Gmail, Penelusuran, dll. Google saat ini mempekerjakan lebih dari 500 profesional keamanan penuh waktu . Semua situs di Kinsta juga dilindungi oleh integrasi Cloudflare gratis kami , yang mencakup firewall tingkat perusahaan yang aman serta perlindungan DDoS gratis.

Kinsta juga menggunakan wadah Linux (LXC), dan LXD untuk mengaturnya, di atas Google Cloud Platform yang memungkinkan kami untuk sepenuhnya mengisolasi tidak hanya setiap akun, tetapi setiap situs WordPress yang terpisah . Keamanan dibangun ke dalam arsitektur kami sejak awal dan ini adalah metode yang jauh lebih aman daripada yang ditawarkan oleh pesaing lain.

Gunakan Versi PHP Terbaru

PHP adalah tulang punggung situs WordPress Anda dan menggunakan versi terbaru di server Anda sangat penting. Setiap rilis utama PHP biasanya didukung penuh selama dua tahun setelah rilis. Selama waktu itu, bug dan masalah keamanan diperbaiki dan ditambal secara teratur. Sampai sekarang, siapa pun yang menjalankan versi PHP 7.1 atau di bawahnya tidak lagi memiliki dukungan keamanan dan rentan terhadap kerentanan keamanan yang belum ditambal.

Serta coba memprediksi? Menurut halaman Statistik WordPress resmi, pada dikala pencatatan ini, lebih dari 57% konsumen WordPress sedang memakai PHP 5. 6 ataupun lebih kecil. Bila Kamu mencampurkan ini dengan PHP 7. 0, 77, 5% konsumen dikala ini memakai tipe PHP yang tidak lagi dibantu. Itu menyeramkan!

Terkadang bisnis dan pengembang membutuhkan waktu untuk menguji dan memastikan kompatibilitas dengan kode mereka, tetapi mereka tidak memiliki alasan untuk menjalankan sesuatu tanpa dukungan keamanan. Belum lagi dampak kinerja yang sangat besar yang dijalankan pada versi yang lebih lama.

Baca Juga : Foodica Theme, Tema Blogging WordPress Nuansa Makanan

Tidak tahu versi PHP yang Anda gunakan saat ini? Sebagian besar host biasanya menyertakan ini dalam permintaan header di situs Anda. Cara cepat untuk memeriksanya adalah dengan menjalankan situs Anda melalui Pingdom . Klik permintaan pertama dan cari X-Powered-Byparameter. Biasanya ini akan menunjukkan versi PHP yang sedang digunakan server web Anda. Namun, beberapa host akan menghapus header ini karena alasan keamanan. Kinsta menghapus header ini secara default untuk menjaga keamanan situs Anda.

Di sini, di Kinsta, kami hanya merekomendasikan penggunaan versi PHP yang stabil dan didukung, termasuk 7.2, 7.3, dan 7.4. PHP 5.6, 7.0, dan 7.1 telah dihapus. Anda bahkan dapat beralih di antara versi PHP dengan mengklik tombol dari dalam dasbor MyKinsta. Jika Anda menggunakan host WordPress yang menggunakan cPanel, Anda biasanya dapat beralih di antara versi PHP dengan mengklik “PHP Select” di bawah kategori perangkat lunak.