10 Masalah Keamanan WordPress Umum Dan Cara Memperbaikinya

Seiring popularitas WordPress yang terus meningkat, demikian pula ancaman kerentanan keamanan. Dengan jutaan situs web yang berjalan di WordPress, ini telah menjadi target utama bagi peretas dan penjahat dunia maya yang ingin mengeksploitasi kerentanan.

Apakah itu perangkat lunak yang sudah usang, kata sandi yang lemah, atau izin file yang tidak aman, banyak masalah keamanan dapat membahayakan situs WordPress Anda. Pada artikel ini, saya akan memberi tahu Anda tentang masalah keamanan umum WordPress dengan perbaikannya.

Tinjauan Keamanan WordPress

Meski begitu populer, banyak pengguna WordPress yang tidak mengetahui dasar-dasar mengamankan situs web mereka. Lebih buruk lagi, banyak pengguna percaya pada kesalahpahaman (sangat berbahaya) bahwa memasang sertifikat SSL sudah cukup untuk mengamankan situs mereka.

Dre Armeda , salah satu pendiri Sucuri, dalam sebuah wawancara dengan Cloudways, menyebutkan bahwa “Orang-orang adalah dan akan terus menjadi masalah keamanan terbesar dengan WordPress.”

Saya juga percaya bahwa setengah dari kerentanan keamanan WordPress terjadi karena kelalaian. Ini adalah alasan penting mengapa situs WordPress menjadi sasaran empuk bagi penjahat dunia maya. Banyak pengguna pertama kali hanya menginstal WordPress dan kemudian mempercayai mekanisme keamanan default.

Melakukan hal itu membuat situs web Anda terkena ancaman dunia maya. Untuk melindungi situs web Anda dari lalu lintas berbahaya dan serangan DDoS, Anda harus memilih hosting WordPress yang aman dikombinasikan dengan praktik keamanan terbaik.

Mengapa Keamanan WordPress Penting?

Menjadi platform sumber terbuka, WordPress tetap rentan terhadap serangan keamanan. Orang dengan sedikit pengetahuan tentang WordPress dapat mencoba meretasnya, yang membuatnya sangat tidak aman.

WordPress memberdayakan hampir 43 persen situs web online. Pelanggaran keamanan dapat mengakibatkan hilangnya informasi sensitif, termasuk data pengguna, informasi keuangan, dan kredensial masuk, yang dapat menyebabkan kerusakan serius pada reputasi dan pendapatan bisnis serta mengakibatkan konsekuensi hukum.

Periksa gambar di bawah ini untuk mempelajari pentingnya mengamankan situs WordPress Anda.

Siapa yang Bertanggung Jawab atas Keamanan?

Menjaga keamanan situs WordPress adalah tanggung jawab bersama dari pemilik situs web, penyedia hosting, dan komunitas WordPress.

Tanggung Jawab Pemilik Situs Web

Tanggung jawab utama menjaga keamanan situs WordPress ada pada pemilik situs web. Berikut checklist yang harus dipastikan pemilik website untuk keamanan website.

• Inti WordPress yang diperbarui;
• Tema dan plugin yang diperbarui;
• Versi PHP yang diperbarui;
• Hosting WordPress yang aman;
• kata sandi yang kuat dan 2FA;
• Plugin keamanan yang diinstal;
• Pemindaian keamanan rutin.

Tanggung Jawab Penyedia Hosting

Penyedia hosting yang bertanggung jawab harus menjaga keamanan server dan memastikan bahwa mereka memenuhi persyaratan keamanan standar industri. Host web yang aman akan memiliki proses keamanan yang terbukti di industri dan punggung Anda jika terjadi kesalahan dengan situs web Anda.

Meskipun Anda memiliki penyedia hosting yang berbeda untuk dipilih – tetapi cloud hosting yang dikelola adalah opsi yang lebih baik karena mengelola semua aspek server Anda, termasuk keamanan sisi server, tambalan reguler, dan pembaruan.

Dan mengenai keamanan, Cloudways memenangkan permainan karena fitur keamanannya yang luas. SafeUpdates untuk WordPress membantu Andamenghemat waktu , meningkatkan keamanan, danmengotomatiskansitus web Anda dengan mudah.

Sumber: Pembaruan Aman untuk WordPress/Cloudways

Ini adalah beberapa fitur keamanan yang ditawarkan Cloudways kepada penggunanya. Dengan hosting terkelola, pemilik situs web dapat memanfaatkan fitur keamanan ini dan fokus untuk mengembangkan kehadiran online mereka sementara penyedia menangani detail teknisnya.

Tanggung Jawab Komunitas WordPress

Pengembang yang terhubung dengan Komunitas WordPress juga dapat berperan dalam meningkatkan keamanan situs. Berikut daftar periksa yang dapat mereka ikuti untuk menjaga keamanan WordPress.

• Rilis pembaruan dan tambalan untuk mengatasi kerentanan;
• Selalu perbarui tema dan plugin WordPress;
• Riset untuk meningkatkan keamanan WordPress Core.

Sumber Kerentanan WordPress

Menjadi platform sumber terbuka, WordPress tetap rentan terhadap serangan keamanan. Orang dengan sedikit pengetahuan tentang WordPress dapat mencoba meretasnya, yang membuatnya sangat tidak aman.

Menurut Statistik Kerentanan WordPress WPScan , plugin yang kedaluwarsa atau rusak membuat situs menjadi paling rentan, sedangkan tema dan versi WordPress juga berperan dalam membuat situs rentan terhadap serangan keamanan.

Sumber: WPScan

Juga, statistik mengungkapkan bahwa tema dan plugin gratis membuat situs kurang aman dibandingkan tema dan plugin premium.

– Sumber: WPScan

Masalah Keamanan WordPress Umum

Berikut adalah beberapa masalah keamanan WordPress yang umum dan perbaikannya:

1. Inti WordPress yang sudah ketinggalan zaman

WordPress Core bisa menjadi salah satu alasan utama membuat situs WordPress rentan terhadap ancaman keamanan.

Setelah setiap tiga bulan, pengembang WordPress meluncurkan pembaruan untuk situs WordPress, dan pengguna disarankan untuk terus memperbarui inti secara manual atau otomatis. Rilis ini bertujuan untuk meningkatkan keamanan WordPress dengan memperbaiki bug dan menyelesaikan kesalahan.

Memperbarui WordPress Core meningkatkan keamanan, kinerja, dan fungsionalitas situs Anda. Jika Anda tidak memperbaruinya, Anda tidak akan dapat memperbarui tema dan plugin Anda. Ini akan membuat situs Anda lebih rentan terhadap ancaman keamanan.

Larutan

Anda dapat memperbaiki masalah ini hanya dengan memperbarui situs WordPress Anda. Yang perlu Anda lakukan adalah memeriksa situs Anda untuk pembaruan. Anda harus mengikuti langkah-langkah ini.

• Buka Dasbor WordPress → Pembaruan ;
• Perbarui versi terbaru kapan pun tersedia.

– Sumber: Dasbor WordPress

Kiat Pro: Jika Anda ingin menyelamatkan diri dari kerepotan manual saat mencadangkan situs dan memperbaruinya, Anda dapat menggunakan fitur Cloudways SafeUpdates.

Untuk mengotomatiskan proses pembaruan WordPress dan merampingkan proses pemeliharaan dengan lancar, Cloudways telah memperkenalkan SafeUpdates . Ini membantu Anda mendeteksi, menguji, dan menyebarkan pembaruan tanpa kesalahan.

– Sumber: Platform Cloudways

2. Tema dan Plugin Usang

Salah satu alasan mengapa WordPress mendominasi pasar CMS adalah kemampuannya untuk disesuaikan. Pustaka plugin dan tema yang kaya memudahkan pengguna untuk bermain dengan situs WordPress tanpa harus repot menambahkan fungsionalitas dan desain secara manual.

Namun tahukah Anda bahwa tema dan plugin yang sudah usang dapat membuat situs rentan terhadap ancaman keamanan?

Tema dan plugin harus terus diperbarui agar selaras dengan versi situs WordPress Anda saat ini. Pengembang tema dan plugin sering merilis pembaruan untuk menambahkan lapisan fungsionalitas dan keamanan tambahan ke situs.

Larutan

Anda dapat memperbarui tema dan plugin dari Dasbor WordPress Anda. Anda harus mengikuti langkah-langkah ini.

• Buka Dasbor WordPress → Pembaruan ;
• Klik Perbarui Plugin .

– Sumber: Dasbor WordPress

• KlikPerbarui Tema .

– Sumber: Dasbor WordPress

3. Infeksi Malware

Hampir setiap situs tetap rentan terhadap malware.

Tetapi dengan WordPress, masalahnya menjadi serius karena lebih mudah mendapatkan akses tidak sah. Peretas dapat mencari masalah keamanan di dalam plugin dan tema dan menirunya untuk menyerang situs web.

Larutan

Anda dapat mencegah masalah malware dengan mengambil langkah-langkah berikut. Anda harus mengikuti langkah-langkah ini.

• Periksa plugin dan tema dengan hati-hati sebelum menginstalnya;
• Pemindaian keamanan rutin untuk mendeteksi potensi malware yang berada di dalam situs Anda;
• Anda dapat menginstal plugin untuk deteksi dan penghapusan malware, seperti MalCare , WordFence , Sucuri , dll.

Cloudways hosting juga menyediakan Malcare Bot Protection untuk mengidentifikasi dan memblokir lalu lintas berbahaya dan melindungi dari serangan. Lihat cara mengaktifkan perlindungan bot untuk mengamankan situs WordPress Anda.

4. Skimming Kartu Kredit

Biasanya, peretas menyuntikkan kode JavaScript berbahaya ke situs web untuk mencuri informasi sensitif seperti nomor kartu kredit, tanggal kedaluwarsa, dan kode CVV. Tindakan ini disebut skimming kartu kredit.

Skimming kartu kredit dapat menyebabkan kerugian finansial yang besar dan merugikan bisnis Anda dalam jangka panjang. Jika Anda menggunakan WordPress untuk situs web Anda, Anda mungkin paling rentan terhadap serangan ini karena ini adalah platform sumber terbuka, dan peretas memiliki pengetahuan yang cukup untuk mempelajari detail lebih dalam.

Larutan

Anda dapat mencegah serangan semacam ini dengan mengambil langkah-langkah berikut.

• Instal alat pemantauan seperti Sucuri SiteCheck untuk memindai situs web Anda dari aktivitas berbahaya.

– Sumber: Sucuri

• Selalu perbarui situs dan komponennya dengan tambalan keamanan terbaru dan pembaruan perangkat lunak.
• Gunakan alat keamanan seperti firewall, sistem deteksi intrusi, dan sertifikat SSL untuk lebih melindungi situs dan informasi sensitif.

5. Login Tidak Sah

Serangan brute force menyebabkan login tidak sah.

Ini melibatkan upaya berulang berturut-turut untuk mencoba berbagai kombinasi kata sandi untuk masuk ke situs web. Peretas mencoba ini menggunakan bot yang telah mereka pasang dengan jahat di komputer lain untuk meningkatkan daya yang diperlukan untuk menjalankan serangan semacam itu.

Ada dua alasan utama serangan brute force terjadi begitu mudah.

1. Halaman login backend default situs WordPress mudah ditemukan karena diawali denganwp .Ini mengurangi tebakan bagi peretas.
2. Pemilik situs WordPress menyimpan kata sandi yang lemah dan kredensial login.

Larutan

Anda dapat mencegah masalah ini dengan mengambil langkah-langkah berikut.

• Mengubah URL loginwp-admin default mempersulit peretas untuk meluncurkan serangan brute-force di situs WordPress Anda.
• CAPTCHA dianggap sebagai salah satu perlindungan terbaik terhadap serangan brute force. Baca lebih lanjut tentang cara menambahkan reCAPTCHA tak terlihat Google ke WordPress .
• Sangat disarankan untuk menggunakan kata sandi yang berbeda namun kuat untuk situs web, seperti media sosial dan akun email.
• Untuk menegakkan kebiasaan kata sandi yang kuat di situs Anda, Anda harus menggunakan WPassword WP White Security untuk menerapkan kebijakan kata sandi yang kuat.

6. Serangan Structured Query Language (SQL).

Injeksi SQL adalah serangan di mana penyerang menyematkan perintah SQL di berbagai area situs web Anda (khususnya, kotak komentar dan area teks). Perintah-perintah ini dapat membahayakan database SQL dan mungkin mengungkapkan informasi sensitif yang disimpan dalam database.

Memodifikasi URL dengan menambahkan pernyataan PHP adalah potensi ancaman lain terhadap keamanan WordPress di mana penyerang dapat memicu serangan terhadap database dan komponen situs web lainnya.

Sebagian besar situs WordPress dihosting di server Apache dengan trik cerdas untuk melawan serangan ini. Semua server Apache memiliki file .htaccess yang menentukan aturan akses untuk situs web.

Larutan

Untuk mencegah serangan injeksi SQL dan peretasan URL, ikuti langkah-langkah di bawah ini:

• Gunakan pernyataan yang disiapkan atau kueri berparameter
• Validasi masukan pengguna
• Gunakan akses hak istimewa paling sedikit
• Perbarui perangkat lunak dan basis data Anda secara teratur
• Gunakan Firewall Aplikasi Web (WAF)
• Gunakan enkripsi .

7. Spam Optimasi Mesin Pencari (SEO).

Spam SEO menargetkan SEO situs web. Peretas menyuntikkan kata kunci spam dan iklan pop-up di halaman peringkat teratas dan mencoba menyabotase reputasi dan pendapatan perusahaan.

Ini adalah beberapa alasan mengapa spam SEO terjadi.

• Plugin dan tema yang kedaluwarsa;
• Peran pengguna tidak ditentukan;
• Konten berisi spam;
• Pemeriksaan keamanan yang lemah.

Larutan

Jika situs WordPress Anda terkena spam SEO, ada beberapa langkah yang bisa Anda lakukan untuk membersihkannya.

• Hapus semua plugin dan tema yang mencurigakan atau tidak diinginkan;
• Hapus semua konten berisi spam;
• Perbarui kata sandi Anda;
• Pantau situs web Anda secara teratur;
• Gunakan plugin keamanan seperti Wordfence ;
• Laporkan masalah tersebut ke Google .

8. Serangan Cross-Site Scripting (XSS).

Serangan Cross-Site Scripting (XSS) memungkinkan penyerang menyuntikkan kode berbahaya ke situs web, yang kemudian dijalankan oleh browser pengguna mana pun yang mengunjungi halaman yang terpengaruh.

Ini dapat mengakibatkan hilangnya atau penyalahgunaan informasi sensitif, seperti kredensial masuk atau data pribadi, dan juga dapat digunakan untuk melakukan serangan lain, seperti pengiriman phishing atau malware.

Larutan

Untuk mencegah serangan XSS di WordPress, penting untuk mengikuti praktik terbaik seperti:

• Validasi dan bersihkan input pengguna;
• Selalu perbarui plugin dan tema;
• Tetap perbarui WordPress Core;
• Gunakan Firewall Aplikasi Web (WAF) untuk memeriksa lalu lintas dan mencegah pengunjung yang tidak disetujui menyerang sistem Anda.

Kiat Pro: Jika Anda menggunakan Cloudways, Anda tidak perlu khawatir.Semua server yang diluncurkan melalui Cloudways hadir dengan firewall pra-instal yang berfungsi sebagai garis pertahanan pertama situs web Anda.

9. Serangan Denial of Service (DDoS) Terdistribusi

Serangan DDoS terjadi ketika penyerang mengirimkan lalu lintas ke satu target melalui jaringan atau komputer yang disusupi.

Volume lalu lintas yang tinggi dapat membanjiri server situs web, menyebabkannya tidak tersedia bagi pengguna. Dalam kasus WordPress, serangan DDoS dapat mengakibatkan waktu henti yang signifikan, penurunan kinerja, dan hilangnya pendapatan, serta merusak reputasi situs web.

Larutan

Untuk melindungi situs web Anda dari lalu lintas berbahaya dan serangan DDoS, Anda harus memilih hosting WordPress yang aman dikombinasikan dengan plugin keamanan tingkat atas.

• Gunakan CDN untuk mendistribusikan lalu lintas masuk dan lindungi situs web Anda dari serangan DDoS dengan menyerap lalu lintas sebelum mencapai situs web Anda.
• Ada beberapa plugin perlindungan DDoS yang tersedia untuk WordPress yang dapat membantu Anda mengamankan situs web Anda dari serangan DDoS.
• Cari penyedia hosting yang menawarkan perlindungan DDoS dan pastikan server mereka dilengkapi untuk menangani lalu lintas tingkat tinggi.

Kiat Pro: Cloudways menawarkan add-on Cloudflare Enterprise yang mengurangi serangan DDoS dalam waktu kurang dari 3 detik.

10. Kerentanan Penyertaan File

Instalasi WordPress berisi beberapa file sensitif, seperti wp-config.php , install.php, danreadme.html. File-file ini harus disembunyikan dari semua akses luar.

Kerentanan penyertaan file memungkinkan penyerang mengeksekusi kode arbitrer di situs web dengan memasukkan file berbahaya dari sumber eksternal. Itu dapat terjadi ketika situs web menyertakan file dari sumber eksternal tanpa memvalidasi atau membersihkan jalur file dengan benar.

Larutan

Untuk mengatasi masalah ini, file .htaccess berguna.

Anda dapat menambahkan baris berikut ke file untuk mencegah file penting dirusak. Cuplikan kode berikut juga mencegah akses ke daftar direktori pengguna dan menyembunyikan server sensitif dan file WordPress dari akses tidak sah.

 Pilihan Semua -Indeks


<File .htaccess>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File farhan.php>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File license.txt>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File install.php>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File wp-config.php>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File error_log>
Pesan izinkan, tolak
Tolak dari semua
</File>


<Files fantastico_fileslist.txt>
Pesan izinkan, tolak
Tolak dari semua
</File>


<File fantversion.php>
Pesan izinkan, tolak
Tolak dari semua
</File>

Ringkasan

Keamanan sangat penting untuk situs web WordPress, dan penting untuk menerapkan langkah-langkah untuk mencegah ancaman keamanan. Selalu perbarui perangkat lunak dan plugin, gunakan kata sandi yang kuat, aktifkan autentikasi dua faktor, dan gunakan plugin keamanan.

Pilih penyedia hosting yang aman, gunakan hanya tema dan plugin yang bereputasi baik, dan buat cadangan secara teratur. Dengan mengambil langkah-langkah ini, Anda dapat mengurangi risiko keamanan dan memastikan keamanan situs web WordPress Anda.

Selain itu, saya sangat menyarankan pengguna menyimpan catatan tentang apa yang terjadi di WordPress dengan menggunakan plugin audit keamanan dan plugin keamanan WordPress pilihan , yang memperkuat WordPress dari ancaman online.

Pertanyaan yang Sering Diajukan