Situs WordPress Anda Telah Diretas: Cara Mengetahui dan Apa yang Harus Dilakukan

Situs web yang diretas adalah kekhawatiran utama setiap pemilik situs. Meskipun WordPress merupakan platform yang kuat, tidak ada situs yang sepenuhnya kebal terhadap ancaman keamanan, terutama jika perlindungan yang tepat belum diterapkan.

Namun, jika situs WordPress Anda menjadi korban peretasan dan terjadi kerusakan, jangan khawatir. Ada beberapa strategi yang dapat Anda gunakan untuk mengambil konten yang hilang, memperbaiki kerusakan, dan melindungi situs Anda dari potensi pelanggaran di masa mendatang.

Bagaimana cara mengetahui apakah situs Anda telah diretas

Jika situs web Anda tidak berfungsi sebagaimana mestinya, ada beberapa hal spesifik yang dapat Anda cari untuk menentukan apakah perilaku ini disebabkan oleh peretasan.

Ketidakmampuan untuk masuk : Jika Anda tidak dapat masuk ke dasbor WordPress Anda, itu bisa menjadi tanda bahwa peretas telah mengambil alih akun admin Anda.Mereka mungkin telah mengubah kata sandi Anda, atau lebih buruk lagi, menghapus akun Anda sepenuhnya. Ini sering kali merupakan salah satu tanda pertama yang mengkhawatirkan bahwa sedang terjadi perubahan tidak sah di situs Anda.

Perubahan situs tak terduga : Melihat perubahan yang tidak Anda buat di situs adalah tanda bahaya yang jelas.Ini dapat bermanifestasi sebagai beranda baru, konten tambahan, atau bahkan plugin atau tema baru yang telah diinstal tanpa sepengetahuan Anda. Peretas mungkin menggunakan situs Anda untuk mendistribusikan malware, membuat halaman phishing, atau sekadar merusak situs web Anda untuk menunjukkan kemampuan mereka dalam melanggar keamanan Anda.

Pengalihan situs : Saat situs Anda mengalihkan pengunjung ke situs asing, terutama situs yang berisi iklan, konten berbahaya, atau skema phishing, ini merupakan tanda adanya peretasan.Peretas dapat memasukkan kode pengalihan ke file situs atau database Anda, mengeksploitasi kerentanan untuk mengalihkan lalu lintas Anda demi keuntungan mereka.

Peringatan browser : Jika Anda atau pengguna Anda menemukan peringatan browser saat mencoba mengakses situs Anda, yang menunjukkan bahwa situs tersebut tidak aman atau telah disusupi, ini merupakan indikator serius adanya pelanggaran keamanan.Mesin pencari dan browser memiliki mekanisme untuk mendeteksi dan memperingatkan pengguna tentang situs yang mengandung malware atau menunjukkan perilaku mencurigakan.

Peringatan mesin telusur : Mirip dengan peringatan browser, jika Google atau mesin telusur lainnya menandai situs Anda dengan peringatan seperti “Situs ini mungkin diretas”, artinya mereka telah mendeteksi malware atau konten spam.Mesin telusur terus-menerus memindai situs web untuk mencari aktivitas berbahaya guna melindungi pengguna, dan ditandai dapat berdampak signifikan pada lalu lintas dan kepercayaan situs Anda.

Pemberitahuan plugin keamanan : Jika Anda memasang plugin keamanan, menerima pemberitahuan tentang pelanggaran, aktivitas yang tidak biasa, atau perubahan tak terduga pada file situs Anda merupakan indikasi jelas adanya peretasan.Plugin ini memantau situs Anda untuk jenis aktivitas ini dan sering kali dapat memberikan peringatan dini sebelum efeknya terlihat oleh pengguna atau administrator.

Peringatan penyedia hosting : Penyedia hosting memantau server mereka untuk mengetahui aktivitas yang tidak biasa, seperti lonjakan lalu lintas, penggunaan bandwidth, atau keberadaan malware.Jika penyedia hosting menghubungi Anda dengan kekhawatiran tentang akun Anda, ini merupakan indikasi kuat bahwa situs Anda telah disusupi atau digunakan untuk aktivitas jahat.

Memahami implikasinya

Masing-masing tanda ini menunjukkan metode serangan atau area kerentanan yang berbeda dalam situs WordPress Anda. Mulai dari akses langsung tanpa izin dan modifikasi konten situs hingga metode yang lebih rahasia seperti memasukkan skrip pengalihan atau malware, beragam teknik peretasan. Mengidentifikasi gejala spesifik memungkinkan Anda menyesuaikan respons dan upaya pemulihan dengan lebih efektif, sehingga memastikan Anda mengatasi akar penyebab pelanggaran.

Ketidakmampuan untuk masuk

Ketidakmampuan untuk masuk ke dashboard WordPress Anda memang merupakan gejala mengkhawatirkan yang dapat mengarah pada pelanggaran keamanan. Mari kita lihat masalah ini lebih lanjut, dengan fokus pada membedakan antara kelupaan sederhana dan tanda-tanda peretasan, dan langkah apa yang harus Anda ambil dalam setiap skenario.

Lupa kata sandi bukanlah hal yang aneh, terutama jika Anda mengelola banyak akun atau sudah lama sejak terakhir kali Anda masuk. WordPress memiliki fitur bawaan untuk menangani hal ini, sehingga Anda dapat mengatur ulang kata sandi melalui alamat email Anda.

Tanda-tanda peretasan

Jika proses pengaturan ulang kata sandi tidak berhasil, misalnya, jika Anda tidak menerima email pengaturan ulang kata sandi (dan tidak ada di folder spam), atau jika tautan pengaturan ulang mengarah ke halaman kesalahan, ini mungkin merupakan tanda-tanda gangguan. oleh seorang peretas.

Jika Anda dapat menghubungi orang lain dengan akses administratif dan mereka menemukan bahwa akun pengguna Anda hilang, diubah, atau memiliki izin berbeda, hal ini menunjukkan adanya akses tidak sah.

Perubahan situs yang tidak terduga

Perubahan beranda situs WordPress Anda atau memasukkan konten dan tautan yang menyinggung adalah taktik umum yang digunakan peretas untuk menyebarkan malware, mempromosikan situs web lain, atau sekadar melakukan vandalisme. Berikut ini pembahasan lebih dekat mengenai masalah ini dan cara mengatasinya.

Tanda-tanda peretasan

• Situs Anda menampilkan halaman statis yang tidak Anda buat, sering kali berisi konten berbahaya atau promosi.
• Penambahan konten atau tautan eksternal yang mempromosikan situs lain, terutama jika tautan tersebut mengarah ke konten yang menyinggung atau ilegal. Dimasukkannya tautan tersebut, terutama ketika disembunyikan atau dalam bentuk huruf kecil, merupakan taktik untuk memanipulasi peringkat mesin pencari atau mengarahkan pengunjung Anda ke situs jahat.
• Tema aktif Anda mungkin dialihkan tanpa sepengetahuan Anda, atau Anda mungkin melihat perubahan pada tampilan atau fungsinya yang tidak Anda izinkan.

Sebelum mengambil kesimpulan, verifikasi dengan rekan administrator, editor, atau kontributor bahwa mereka belum melakukan perubahan. Terkadang, pembaruan atau pengujian yang bermaksud baik dapat menyebabkan kegagalan.

Jika Anda baru saja memperbarui tema, terutama jika tema tersebut tidak berasal dari sumber yang memiliki reputasi baik, pembaruan tersebut mungkin telah memasukkan kode berbahaya atau perubahan yang tidak diinginkan. Selalu gunakan tema dari pengembang tepercaya atau repositori tema WordPress resmi.

Pengalihan situs

Peretasan pengalihan situs bisa sangat mengganggu dan merusak, tidak hanya reputasi situs Anda tetapi juga pengalaman pengguna dan kepercayaan pengunjung Anda. Jenis serangan ini mengeksploitasi kerentanan untuk memasukkan kode pengalihan ke file atau database situs Anda, menyebabkan pengunjung dikirim ke situs yang tidak diinginkan dan sering kali berbahaya. Mari kita uraikan bagaimana serangan ini terjadi, implikasinya, dan langkah-langkah untuk mengatasi dan mencegahnya.

Bagaimana peretasan pengalihan situs terjadi

• Tema atau plugin yang ketinggalan jaman dapat mengandung kerentanan keamanan yang dieksploitasi peretas untuk memasukkan skrip pengalihan.
• Akun admin yang disusupi karena kata sandi yang lemah dapat memberikan penyerang akses langsung untuk mengubah konten atau pengaturan situs Anda guna mengalihkan pengguna.
• Kerentanan di tingkat server hosting memungkinkan penyerang mengubah file situs web atau database di beberapa situs yang dihosting di server yang sama.

Peringatan browser dan pemberitahuan mesin pencari

Peringatan browser dan notifikasi mesin pencari adalah peringatan penting yang tidak boleh diabaikan, karena sering kali mengindikasikan pelanggaran keamanan yang dapat menimbulkan konsekuensi luas bagi situs WordPress Anda. Mekanisme ini diterapkan untuk melindungi pengguna dari konten berbahaya, dan jika konten tersebut dipicu untuk situs Anda, ini merupakan sinyal yang jelas untuk mengambil tindakan segera.

Memahami peringatan browser dan pemberitahuan mesin pencari

Peringatan browser : Browser web seperti Chrome, Firefox, dan Safari menggunakan berbagai layanan keamanan untuk memeriksa aktivitas jahat di situs web.Jika mereka mendeteksi malware, upaya phishing, atau aktivitas mencurigakan lainnya, mereka akan menampilkan peringatan kepada pengguna yang mencoba mengakses situs, sering kali menyatakan bahwa situs tersebut tidak aman atau telah disusupi.

Peringatan mesin pencari : Mesin pencari seperti Google memantau situs web yang mereka indeks untuk masalah keamanan.Jika mereka menemukan malware atau tanda-tanda peretasan, mereka mungkin menampilkan peringatan di hasil pencarian, sepertiSitus ini mungkin membahayakan komputer Anda atau Situs ini mungkin diretas. Alat Webmaster Google (sekarang Google Search Console) dapat memberikan peringatan dan detail kepada pemilik situs tentang masalah keamanan ini.

Kemungkinan penyebab

Infeksi malware : Situs Anda mungkin terinfeksi malware yang dirancang untuk mencuri informasi, mengganggu operasi, atau menginfeksi pengunjung.

Spam SEO : Konten tidak sah yang ditambahkan ke situs Anda untuk meningkatkan SEO situs lain dapat menimbulkan peringatan jika terdeteksi oleh browser atau mesin telusur.

Peta situs yang diretas : Peta situs yang disusupi dapat menyesatkan mesin telusur tentang konten situs Anda, sehingga berpotensi menimbulkan peringatan dan hukuman.

Pemberitahuan plugin keamanan

Plugin keamanan memainkan peran penting dalam deteksi dini dan mitigasi peretasan di situs WordPress. Dengan memantau situs Anda dari aktivitas mencurigakan, plugin ini dapat memperingatkan Anda tentang potensi pelanggaran keamanan sebelum berkembang menjadi masalah yang lebih serius. Berikut cara Anda menafsirkan dan menindaklanjuti notifikasi ini:

Memahami notifikasi plugin keamanan

Pemberitahuan pelanggaran : Menunjukkan bahwa telah terjadi akses tidak sah atau kebocoran data.Hal ini dapat melibatkan pengungkapan atau pencurian informasi sensitif.

Peringatan aktivitas yang tidak biasa : Mungkin mencakup perubahan pola lalu lintas yang tidak terduga, pembuatan akun pengguna yang tidak sah, atau modifikasi pada file dan konten yang tidak dilakukan oleh Anda atau pengguna sah lainnya.

Peringatan perubahan file : Memberi tahu Anda tentang modifikasi tidak sah pada file inti, plugin, atau tema situs Anda.Ini bisa menjadi tanda kode berbahaya sedang disuntikkan ke situs Anda.

Peringatan penyedia hosting

Saat penyedia hosting memberi tahu Anda tentang aktivitas atau kekhawatiran yang tidak biasa terkait akun Anda, ini adalah tanda peringatan penting yang harus segera diambil tindakan. Penyedia hosting memiliki perspektif luas mengenai lalu lintas dan perilaku situs web yang mereka host, dan mereka dapat mendeteksi anomali yang mungkin tidak terlihat oleh masing-masing pemilik situs. Inilah yang mungkin diperlukan oleh peringatan tersebut dan bagaimana Anda dapat meresponsnya secara efektif.

Jenis peringatan dari penyedia hosting

Lonjakan lalu lintas : Peningkatan lalu lintas yang tidak biasa dapat mengindikasikan serangan DDoS (Distributed Denial of Service), yang membuat situs Anda kewalahan dengan permintaan agar tidak tersedia bagi pengguna yang sah.

Penggunaan bandwidth : Penggunaan bandwidth yang berlebihan mungkin merupakan tanda bahwa situs Anda menyajikan file berukuran besar (seperti video atau unduhan) tanpa disadari, mungkin karena penyebaran malware.

Kehadiran malware : Penyedia hosting mungkin menjalankan pemindaian malware mereka sendiri dan dapat memperingatkan Anda jika mereka menemukan perangkat lunak berbahaya yang dihosting di situs Anda.

Situs yang masuk daftar hitam : Jika situs web Anda telah masuk daftar hitam oleh mesin pencari atau penyedia keamanan internet, host Anda mungkin akan memberi tahu Anda karena hal ini juga dapat memengaruhi reputasi server.

Alasan umum yang menyebabkan peretasan situs WordPress

WordPress, meskipun merupakan salah satu sistem manajemen konten paling populer dan ramah pengguna, tidak kebal terhadap kerentanan keamanan. Alasan mengapa situs WordPress diretas sering kali dapat ditelusuri kembali ke beberapa faktor umum. Memahami faktor-faktor ini adalah kunci untuk melindungi situs Anda dari gangguan yang tidak diinginkan.

Kata sandi tidak aman

Kata sandi yang tidak aman merupakan salah satu kerentanan utama yang dieksploitasi oleh peretas, khususnya di situs WordPress. Kesederhanaan dan prediktabilitas kata sandi seperti password , 123456, atauadminsecara signifikan menurunkan standar akses tidak sah, membuat serangan brute force tidak hanya mungkin terjadi tetapi sering kali berhasil. Inilah mengapa kata sandi yang kuat sangat penting dan cara menerapkannya secara efektif:

Risiko kata sandi tidak aman

Serangan brute force : Serangan ini menggunakan perangkat lunak otomatis untuk menghasilkan dan menguji ribuan kombinasi kata sandi dalam waktu singkat.Kata sandi yang sederhana dan umum dapat dipecahkan dalam hitungan detik.

Serangan kamus : Mirip dengan kekerasan, tetapi menggunakan kamus kata sandi dan frasa umum, membuat kata sandi sederhana menjadi sangat rentan.

Pengambilalihan akun : Setelah kata sandi disusupi, penyerang dapat memperoleh akses penuh ke situs WordPress Anda, yang berpotensi menyebabkan pencurian data, perusakan situs, atau penyisipan konten berbahaya.

Ciri-ciri password yang kuat

Kata sandi yang kuat adalah pertahanan pertama Anda terhadap akses tidak sah. Kata sandi yang efektif harus:

• Panjangnya minimal 12 karakter, menggabungkan campuran huruf (huruf besar dan kecil), angka, dan karakter khusus.
• Hindari pola yang dapat diprediksi dan frasa umum yang mudah ditebak atau ditemukan dalam serangan kamus.
• Bersifat unik, tidak digunakan kembali di berbagai situs atau layanan untuk mencegah pelanggaran di satu situs dan membahayakan situs lainnya.

Inti, tema, dan plugin sudah ketinggalan zaman

WordPress secara rutin merilis pembaruan yang menambal kerentanan keamanan. Inti, tema, dan plugin WordPress yang ketinggalan jaman menunjukkan kerentanan keamanan yang signifikan, sering kali menjadi titik masuk termudah bagi peretas. WordPress, sebagai platform sumber terbuka, secara rutin memperbarui perangkat lunaknya untuk menambal kelemahan keamanan, meningkatkan fungsionalitas, dan menambahkan fitur baru. Jika pembaruan ini diabaikan, maka pintu terbuka lebar bagi penyerang untuk mengeksploitasi kerentanan yang diketahui.

Mengapa pembaruan itu penting

Patch keamanan : Banyak pembaruan yang mengatasi kerentanan keamanan tertentu yang ditemukan sejak versi terakhir.Dengan tidak memperbarui, Anda mengabaikan perbaikan untuk masalah umum.

Perbaikan bug : Pembaruan tidak hanya mengatasi masalah keamanan tetapi juga memperbaiki bug yang dapat memengaruhi kinerja atau fungsionalitas situs Anda.

Peningkatan fitur : Terus mengikuti perkembangan berarti Anda dapat memanfaatkan fitur dan peningkatan terbaru, yang dapat meningkatkan efisiensi situs web dan pengalaman pengguna.

Risiko mengabaikan pembaruan

• Peretas menggunakan alat otomatis untuk memindai situs web untuk mencari kerentanan yang diketahui. Situs-situs usang mudah dikenali dan menjadi target utama.
• Eksploitasi yang berhasil dapat menyebabkan data dicuri, termasuk informasi sensitif pengguna, yang dapat menimbulkan dampak hukum dan reputasi.
• Serangan dapat mengakibatkan situs Anda dirusak, dijadikan offline, atau digunakan untuk mendistribusikan perangkat lunak berbahaya, sehingga berdampak pada kredibilitas dan SEO Anda.

Tema dan plugin yang dibatalkan

Tema dan plugin null menghadirkan risiko besar terhadap keamanan dan integritas situs WordPress. Ini adalah versi bajakan dari tema dan plugin premium yang didistribusikan secara ilegal di internet, seringkali gratis. Meskipun daya tarik awal untuk mengakses fitur-fitur premium tanpa biaya dapat dimengerti, penggunaan perangkat lunak null memiliki risiko signifikan yang jauh lebih besar daripada manfaat yang dirasakan.

Risiko menggunakan tema dan plugin nulled

Kode berbahaya : Salah satu bahaya utama dari tema dan plugin nulled adalah potensi penyertaan kode berbahaya.Hal ini dapat berkisar dari pintu belakang yang memungkinkan peretas mengakses situs Anda tanpa terdeteksi hingga skrip berbahaya yang dapat mencuri data pengguna atau menyebarkan malware ke pengunjung Anda.

Tidak ada pembaruan atau dukungan : Tema dan plugin premium yang sah hadir dengan keunggulan pembaruan rutin dan dukungan pengembang.Namun, versi nulled tidak disertakan dalam pembaruan ini, sehingga membuat situs Anda rentan terhadap eksploitasi keamanan dan masalah kompatibilitas.

Pertimbangan hukum dan etika : Menggunakan perangkat lunak bajakan adalah ilegal dan tidak etis.Ini melanggar undang-undang hak cipta dan merugikan komunitas WordPress dengan merampas pendapatan yang dibutuhkan pengembang untuk mendukung dan meningkatkan produk mereka.

Hukuman SEO : Aktivitas berbahaya yang dilakukan melalui perangkat lunak null dapat menyebabkan situs Anda masuk daftar hitam oleh mesin telusur, sehingga sangat merusak visibilitas dan reputasi situs Anda.

Kerentanan keamanan : Tema dan plugin null sering kali luput dari perhatian dalam pemindaian keamanan rutin karena kode berbahaya di dalamnya bisa sangat tersembunyi, sehingga sulit dideteksi dan dihapus.

Sumber yang memiliki reputasi baik

Tidak semua plugin dan tema diciptakan sama. Memasang ekstensi dari sumber tidak resmi atau tidak tepercaya meningkatkan risiko menimbulkan kerentanan pada situs Anda. Memilih tema dan plugin dari sumber terpercaya merupakan langkah penting dalam mengamankan dan memastikan keandalan situs WordPress Anda. Ekosistem ekstensi WordPress yang luas menawarkan fungsionalitas yang luar biasa, namun juga menimbulkan risiko jika tidak dinavigasi dengan bijak. Inilah alasan pentingnya memilih sumber yang memiliki reputasi baik dan bagaimana melakukannya secara efektif.

Mengapa memilih sumber yang memiliki reputasi baik

Keamanan : Sumber terpercaya melakukan tinjauan menyeluruh dan pembaruan rutin untuk memastikan tema dan plugin aman dari kerentanan yang diketahui.

Dukungan : Tema dan plugin premium dari penyedia terkemuka hadir dengan dukungan profesional, membantu Anda memecahkan masalah apa pun yang mungkin timbul.

Kompatibilitas : Pengembang tepercaya memastikan produk mereka kompatibel dengan WordPress versi terbaru dan plugin serta tema populer lainnya, sehingga mengurangi risiko konflik.

Kualitas : Tema dan plugin dari sumber terpercaya cenderung mengikuti standar pengkodean WordPress, sehingga memastikan kinerja dan keamanan yang lebih baik.

Pembaruan : Pembaruan rutin dari pengembang tepercaya berarti setiap kerentanan keamanan segera diatasi, dan fitur baru ditambahkan untuk menjaga situs Anda tetap mutakhir.

Rute utama yang digunakan untuk meretas situs WordPress

Pintu Belakang : Ini memungkinkan peretas untuk melewati metode otentikasi normal, mendapatkan akses tidak sah ke situs, sering kali melalui skrip atau file tersembunyi.Contoh yang terkenal adalah kerentanan TimThumb.

Peretasan farmasi : Jenis eksploitasi ini digunakan untuk memasukkan kode berbahaya ke dalam versi WordPress yang sudah ketinggalan zaman, sering kali untuk mendistribusikan spam atau iklan farmasi tanpa sepengetahuan pemilik situs.

Upaya login brute force : Peretas menggunakan alat otomatis untuk menebak kata sandi dan mendapatkan akses ke situs, mengeksploitasi kata sandi yang lemah.

Pengalihan berbahaya : Melalui pintu belakang, peretas dapat memasukkan kode yang mengarahkan pengunjung ke situs jahat, sering kali untuk penyebaran phishing atau malware.

Skrip lintas situs (XSS) : Kerentanan ini, sering ditemukan di plugin, memungkinkan peretas memasukkan skrip berbahaya ke halaman web, yang kemudian dieksekusi di browser pengunjung.

Penolakan layanan (DoS) : Memanfaatkan bug atau kesalahan dalam kode situs web, penyerang dapat membanjiri situs dengan lalu lintas, menjadikannya tidak dapat diakses.

Apa yang harus dilakukan jika situs WordPress Anda diretas

Jika situs WordPress Anda telah diretas, mengambil tindakan segera dan komprehensif sangat penting untuk mendapatkan kembali kendali, membersihkan situs Anda, dan mencegah pelanggaran di masa depan. Langkah-langkah yang diperlukan dapat bervariasi berdasarkan sifat dan tingkat keparahan peretasan, namun pendekatan terstruktur dapat membantu Anda menjalani proses pemulihan secara efektif.

Identifikasi peretasannya

Mengidentifikasi tingkat dan sifat peretasan adalah langkah penting pertama menuju pemulihan situs WordPress Anda. Mengetahui apa yang Anda hadapi dapat membantu Anda memilih strategi paling efektif untuk pembersihan dan perlindungan di masa depan. Berikut cara memulai proses identifikasi:

Inspeksi visual : Periksa situs Anda dari depan untuk melihat tanda-tanda kerusakan yang jelas.Hal ini dapat mencakup postingan, komentar, atau perubahan tampilan situs yang tidak sah.

Konten dan pengalihan : Cari konten apa pun yang tidak Anda buat, seperti postingan atau halaman berisi spam.Periksa apakah situs Anda dialihkan ke situs web lain, terutama situs yang menghosting konten berbahaya atau skema phishing.

Akses dan izin : Tinjau daftar pengguna di dashboard WordPress Anda.Waspadai akun yang tidak Anda buat, terutama akun yang memiliki hak administratif.

Periksa kinerja situs : Perlambatan kinerja situs secara tiba-tiba atau peningkatan penggunaan bandwidth yang tidak terduga juga dapat menjadi indikator peretasan, karena beberapa serangan memanfaatkan sumber daya server Anda.

Aktifkan mode pemeliharaan

Menempatkan situs WordPress Anda ke mode pemeliharaan adalah langkah cerdas selama pemulihan dari peretasan. Ini tidak hanya melindungi pengunjung Anda dari konten yang berpotensi berbahaya tetapi juga menjaga tampilan profesional situs Anda saat Anda sedang melakukan perbaikan. Berikut cara mengelola proses ini, baik saat ini Anda memiliki akses ke dasbor admin atau tidak.

Jika Anda dapat mengakses dashboard WordPress Anda

Plugin seperti Coming Soon Page & Maintenance Mode oleh SeedProd atau WP Maintenance Mode adalah pilihan yang sangat baik. Mereka memungkinkan Anda untuk mengaktifkan mode pemeliharaan dan mengatur pesan atau halaman khusus yang akan dilihat pengunjung, menjelaskan bahwa situs Anda sedang menjalani pemeliharaan.

1. Buka Plugins > Add Newdan cari plugin mode pemeliharaan pilihan Anda.
2. KlikInstal dan Aktifkan.
3. Setelah aktivasi, cari pengaturan plugin di dashboard WordPress Anda.
4. Sesuaikan halaman mode pemeliharaan sesuai keinginan Anda dan aktifkan.

Sebagian besar plugin menawarkan opsi untuk desain, pengiriman pesan, dan bahkan penghitung waktu mundur atau formulir berlangganan.

Jika Anda tidak dapat mengakses dashboard WordPress Anda

Jika area admin Anda terkunci, ada metode alternatif untuk mengaktifkan mode pemeliharaan:

Melalui FTP

1. Gunakan editor HTML untuk membuat halaman maintenance.html sederhana .Anda dapat menyertakan pesan yang memberi tahu pengunjung bahwa situs sedang dalam pemeliharaan.
2. Hubungkan ke situs Anda melalui FTP.
3. Unggah filemaintenance.html ke direktori root situs web Anda.

Program penghapusan malware 10Web

Jika situs web Anda dihosting di 10Web, Anda dapat memanfaatkan program penghapusan malware 10Web . Pendekatan komprehensif 10Web terhadap keamanan situs WordPress menunjukkan komitmen yang kuat untuk menjaga integritas dan keamanan situs web yang mereka host. Bagi pemilik situs, layanan ini memberikan ketenangan pikiran dan solusi praktis terhadap ancaman malware yang selalu ada. Berikut adalah tindakan utama yang diambil oleh tim keamanan 10Web:

• Cadangkan situs web.
• Instal ulang file inti WordPress.
• Ubah semua kata sandi SFTP, SSH, dan basis data.
• Hapus semua plugin atau tema yang terinfeksi.
• Pindai situs web Anda dengan perangkat lunak keamanan pihak ketiga.
• Nonaktifkan plugin untuk sementara.
• Hapus suntikan Javascript dari Halaman atau Postingan.
• Aktifkan mode pemeliharaan.

10Web akan mengambil langkah lebih lanjut jika situs web Anda memerlukan penghapusan malware dan masalah yang lebih kompleks.

Ubah semua kata sandi

Setelah pelanggaran keamanan, mengatur ulang kata sandi di semua titik akses adalah langkah mendasar untuk mendapatkan kembali kendali dan mengamankan situs WordPress Anda dari akses tidak sah lebih lanjut. Reset komprehensif ini tidak hanya mencakup kata sandi admin WordPress Anda tetapi juga kata sandi yang digunakan untuk SFTP, database Anda, dan akun hosting Anda. Berikut penjelasan lebih rinci mengapa hal ini penting dan cara mengelola proses ini secara efektif.

Mengapa mengubah semua kata sandi

Seringkali tidak jelas kata sandi mana yang telah dibobol, sehingga penting untuk mengatur ulang semua kata sandi untuk menghilangkan pintu belakang yang mungkin digunakan peretas untuk akses di masa mendatang. Bahkan setelah membersihkan malware atau memulihkan situs Anda, kata sandi yang tidak diubah tetap menjadi kerentanan untuk masuk kembali. Peretas dapat membuat akun pengguna tambahan untuk akses terus-menerus. Menyetel ulang kata sandi dan mengaudit akun pengguna dapat membantu mencegah hal ini.

Mendorong semua pengguna, terutama administrator, untuk mengatur ulang kata sandi mereka. Fitur kata sandi yang disarankan WordPress menghasilkan kata sandi yang kuat dan rumit.

Navigasikan ke Pengguna > Profil Andadi dashboard WordPress untuk mengakses fitur ini.

SFTP dan kata sandi akun hosting

Ubah ini melalui panel kontrol penyedia hosting Anda. Setiap penyedia memiliki prosesnya sendiri, jadi bacalah dokumentasi atau dukungan mereka jika diperlukan.

Jika Anda pengguna 10Web, Anda dapat membuat kata sandi SFTP baru dari dasbor 10Web Anda. Lihat juga cara mengubah kata sandi akun 10Web Anda .

Kata sandi basis data

Ini dapat diperbarui melalui panel kontrol hosting Anda, tetapi ingatlah untuk memperbarui filewp-config.php Anda dengan kata sandi database baru untuk menjaga fungsionalitas situs.

Memperbarui inti, tema, dan plugin WordPress

Memperbarui inti, tema, dan plugin WordPress Anda adalah langkah penting dalam mengamankan situs Anda, terutama setelah diretas. Proses ini memastikan bahwa setiap kerentanan yang diketahui telah ditambal, sehingga mengurangi risiko serangan lebih lanjut.

Sebelum memulai pembaruan apa pun, penting untuk memiliki cadangan lengkap situs WordPress Anda. Ini termasuk database situs web Anda, file WordPress, tema, dan plugin. Cadangan memungkinkan Anda memulihkan situs ke kondisi saat ini jika proses pembaruan menyebabkan masalah.

Perbarui inti WordPress

Memperbarui inti WordPress harus menjadi langkah pertama Anda karena banyak pembaruan plugin dan tema dirancang agar kompatibel dengan WordPress versi terbaru.

1. Arahkan ke Dasbor > Pembaruandi area admin WordPress Anda.
2. Jika versi baru WordPress tersedia, Anda akan melihat pesan yang meminta Anda untuk memperbarui. Klik tombol untuk memulai proses pembaruan.

Perbarui plugin dan tema

Setelah memperbarui inti WordPress, lanjutkan ke plugin dan tema Anda. Ini membantu memastikan kompatibilitas dan fungsionalitas di seluruh situs Anda.

1. BukaDasbor > Pembaruan. Anda akan melihat daftar plugin yang pembaruannya tersedia. Anda dapat memilih semua plugin dan memperbaruinya secara bersamaan atau memperbaruinya satu per satu.
2. Di bagian pembaruan yang sama, periksa pembaruan tema yang tersedia. Mirip dengan plugin, Anda dapat memperbarui tema satu per satu atau sekaligus, bergantung pada apa yang dibutuhkan situs Anda.

Jika situs Anda menggunakan WooCommerce, berikan perhatian khusus pada urutan pembaruan untuk mencegah potensi konflik yang dapat memengaruhi fungsionalitas toko online Anda.

• Perbarui ekstensi WooCommerce terlebih dahulu. Ini sering kali terintegrasi erat dengan fungsionalitas WooCommerce dan harus kompatibel dengan versi terbaru.
• Setelah memperbarui ekstensi, lanjutkan untuk memperbarui plugin WooCommerce itu sendiri. Ini memastikan toko Anda tetap berfungsi dan aman.

Hapus pengguna

Menghapus akun admin yang tidak sah adalah langkah penting dalam mengamankan situs WordPress Anda setelah diretas. Akses tidak sah ke area admin situs Anda dapat menyebabkan pelanggaran keamanan lebih lanjut, pencurian data, dan vandalisme situs.

Sebelum melanjutkan penghapusan akun admin apa pun, penting untuk memastikan bahwa Anda tidak menghapus pengguna sah yang mungkin telah mengubah detailnya atau yang akunnya mungkin tidak langsung Anda kenali.

• Hubungi semua individu yang memiliki atau seharusnya memiliki akses admin untuk mengonfirmasi detail akun mereka. Langkah ini membantu mencegah penghapusan akun sah secara tidak sengaja.
• Jika memungkinkan, tinjau log aktivitas untuk melihat tindakan mencurigakan yang dilakukan oleh akun admin. Ini mungkin termasuk pembuatan pengguna baru, perubahan tak terduga pada situs, atau pemasangan plugin atau tema yang tidak dikenal.

Hapus akun admin yang tidak sah

Setelah Anda memastikan akun mana yang tidak sah, Anda dapat melanjutkan untuk menghapusnya:

1. Di dasbor WordPress Anda, bukaPengguna > Semua Pengguna.
2. Klik tautan Administrator di bagian atas untuk memfilter daftar berdasarkan pengguna dengan hak istimewa administrator.
3. Centang kotak di samping akun pengguna mana pun yang telah Anda verifikasi sebagai tidak sah atau mencurigakan.
4. Dari menu tarik-turunTindakan Massal , pilih Hapus.
5. Lalu klikTerapkan .WordPress akan menanyakan apa yang harus Anda lakukan dengan konten yang dimiliki oleh pengguna tersebut. Anda dapat memilih untuk menghapus semua konten yang terkait dengannya atau menugaskannya ke pengguna lain.

Ikuti petunjuknya untuk mengonfirmasi penghapusan akun. WordPress akan menghapus pengguna yang dipilih dan konten terkaitnya, berdasarkan pilihan Anda.

Pertimbangan penting

• Sebelum menghapus akun, pertimbangkan konten (postingan, halaman, dll.) yang dibuat oleh pengguna tersebut. WordPress akan menawarkan opsi untuk menghapus kontennya atau menugaskannya ke pengguna lain. Buatlah keputusan yang hati-hati berdasarkan relevansi dan integritas konten.
• Untuk akun admin lainnya, terapkan perubahan kata sandi untuk memastikan bahwa semua akun aman. Dorong penggunaan kata sandi yang kuat dan unik.
• Evaluasi kebutuhan setiap peran admin. Membatasi jumlah pengguna dengan akses administratif dapat mengurangi kerentanan situs Anda. Pertimbangkan untuk menetapkan peran tingkat yang lebih rendah seperti Editor atau Kontributor yang tidak memerlukan hak istimewa admin penuh.

Hapus file yang tidak sah

Mendeteksi dan menghapus file tidak sah dari instalasi WordPress Anda sangat penting untuk menjaga integritas dan keamanan situs web Anda. File berbahaya atau tidak terduga dapat menjadi indikator peretasan atau pelanggaran keamanan, yang berpotensi membahayakan situs atau pengunjung Anda. Memanfaatkan plugin keamanan seperti Wordfence atau layanan seperti Sucuri dapat menyederhanakan proses ini secara signifikan.

Menggunakan Wordfence untuk pemindaian file

Wordfence adalah plugin keamanan WordPress populer yang menyertakan fitur pemindaian file komprehensif yang dirancang untuk mendeteksi kode berbahaya, pintu belakang, dan perubahan file yang tidak sah.

1. Masuk ke dasbor WordPress Anda.
2. Navigasikan kePlugins > Add New, dan cariWordfence.
3. Klik untukInstal lalu Aktifkanplugin.

Setelah diaktifkan, Wordfence akan menambahkan item menu baru ke dashboard WordPress Anda.

Untuk menjalankan pemindaian:

1. Klik padaWordfence > Pindai.
2. Tekan tombolMulai Pemindaian Wordfence untuk memulai pemindaian situs Anda.

Setelah pemindaian selesai, Wordfence akan menyajikan daftar temuan. Ini termasuk file apa pun yang bukan miliknya, tidak pada tempatnya, atau telah dimodifikasi dengan cara yang mencurigakan.

Wordfence memungkinkan Anda melihat detail setiap masalah, membantu Anda memutuskan apakah akan menghapus, memperbaiki, atau mengabaikan file yang ditandai. Jika Anda tidak yakin tentang file tertentu, teliti atau mintalah saran ahli sebelum mengambil tindakan.

Menggunakan Sucuri untuk keamanan situs web

Sucuri menawarkan berbagai layanan keamanan situs web, termasuk pemindaian dan penghapusan malware. Meskipun mereka memiliki plugin WordPress, rangkaian layanan lengkap mereka melampaui apa yang ditawarkan plugin tersebut.

Mulailah dengan alat SiteCheck gratis Sucuri yang tersedia di situs web mereka. Masukkan URL situs Anda untuk menjalankan pemindaian jarak jauh yang dapat mengidentifikasi malware yang diketahui, status daftar hitam, kesalahan situs web, dan perangkat lunak usang.

Untuk pembersihan yang lebih menyeluruh dan perlindungan berkelanjutan, pertimbangkan untuk berlangganan salah satu paket berbayar Sucuri. Layanan ini mencakup perlindungan firewall situs web, pemantauan berkelanjutan, dan penghapusan malware profesional.

Buat ulang peta situs Anda

File sitemap.xml yang disusupi dapat berdampak signifikan terhadap visibilitas dan reputasi situs web Anda dengan mengarahkan mesin telusur untuk menandai situs Anda sebagai tidak aman atau disusupi.Membersihkan dan membuat ulang peta situs Anda adalah langkah penting dalam proses pemulihan, memastikan mesin pencari mengindeks situs Anda dengan benar.

Buat ulang peta situs Anda

Banyak situs WordPress menggunakan plugin SEO seperti Yoast SEO, All in One SEO, atau Rank Math untuk membuat dan mengelola file sitemap.xml mereka. Tentukan yang mana yang digunakan situs Anda.

Akses pengaturan plugin SEO Anda. Seharusnya ada opsi untuk melihat, membuat, atau membuat ulang peta situs Anda. Ikuti instruksi plugin untuk membuat peta situs baru yang bersih. Tindakan ini secara otomatis akan menghapus semua tautan berbahaya atau karakter asing yang dimasukkan.

Sebelum melanjutkan, tinjau peta situs yang baru dibuat untuk memastikan peta situs terlihat benar dan bebas dari entri yang mencurigakan. Anda biasanya dapat mengakses peta situs Anda dengan membukadomainanda.com/sitemap.xml .

Kirim ke Google Search Console

Jika Anda belum melakukannya, menambahkan situs Anda ke Google Search Console (GSC) sangat penting bagi setiap pemilik situs. GSC memberikan wawasan berharga tentang keberadaan situs Anda di hasil penelusuran Google dan memungkinkan Anda berkomunikasi langsung dengan Google mengenai status situs Anda.

o ke Google Search Console dan tambahkan situs Anda sebagai properti. Anda harus memverifikasi kepemilikan Anda atas situs tersebut, yang dapat dilakukan dengan beberapa cara, termasuk mengunggah file ke server Anda atau menambahkan tag meta ke beranda situs Anda.

Setelah situs Anda diverifikasi, Anda dapat mengirimkan peta situs Anda ke Google.

1. Di Google Search Console, pilih properti Anda (situs web).
2. Navigasikan ke Peta Situs di bawah bagian Indeks.
3. Masukkan URL dari sitemap Anda (misalnya, `sitemap.xml`) dan klikkirim .

Setelah diserahkan, perhatikan bagian "Sitemaps" di GSC. Anda dapat memeriksa kesalahan yang dilaporkan oleh Google dan melihat berapa banyak halaman yang diindeks.

Jika situs Anda ditandai atau dihukum karena sitemap yang diretas, Anda perlu meminta ulasan dari Google.

Membersihkan dan mengoptimalkan database Anda

Jika database WordPress Anda telah diretas, itu dapat menghasilkan berbagai masalah dari konten spam yang muncul di situs Anda hingga akses administratif yang tidak sah. Mengidentifikasi dan membersihkan database yang dikompromikan sangat penting untuk memulihkan integritas dan kinerja situs Anda.

Mengidentifikasi database yang dikompromikan

Solusi keamanan seperti Wordfence, Sucuri, atau Security dapat memindai situs Anda dan mengidentifikasi perubahan atau suntikan berbahaya dalam database Anda. Alat -alat ini sering memberikan peringatan jika mereka mendeteksi elemen yang dikompromikan.

Jika Anda merasa nyaman dengan manajemen basis data, Anda dapat memeriksa secara manual database WordPress Anda menggunakan alat seperti phpMyAdmin. Cari entri yang tidak biasa atau mencurigakan, terutama di tabel WP_OPTIONS , WP_USERS, danWP_POSTS. Tanda -tanda kompromi termasuk konten spam, akun admin yang tidak terduga, dan tautan aneh atau suntikan skrip.

Plugin pemindai ninja menawarkan fitur untuk memindai basis data dan sistem file Anda untuk malware dan kode yang mencurigakan. Ini adalah alat yang berguna jika Anda lebih suka solusi khusus untuk pemindaian di luar apa yang disediakan plugin keamanan umum.

Membersihkan dan mengoptimalkan database Anda

Sebelum melakukan perubahan, pastikan Anda memiliki cadangan lengkap dari database WordPress Anda. Ini memungkinkan Anda untuk memulihkan situs Anda jika terjadi kesalahan selama proses pembersihan.

WP-Optimize adalah plugin yang tidak hanya membersihkan database Anda dengan menghapus data basi dan tidak perlu tetapi juga menawarkan opsi untuk mengoptimalkan strukturnya.

• Instal dan aktifkan WP-Optimize dari repositori plugin WordPress.
• Arahkan ke menu yang mengoptimalkan WP di dasbor WordPress Anda.
• Gunakan fitur database untuk membersihkan revisi pos, opsi sementara, dan data lain yang dapat menumpuk dari waktu ke waktu. Berhati -hatilah dengan menghapus data dan pastikan Anda memahami apa yang dilakukan setiap opsi.

Jika Anda telah mengidentifikasi entri berbahaya tertentu selama inspeksi atau melalui plugin keamanan, Anda dapat menghapus secara manual ini menggunakan phpMyAdmin atau alat manajemen basis data serupa. Langkah ini membutuhkan perawatan dan pemahaman tentang struktur basis data WordPress untuk menghindari menghapus data penting secara tidak sengaja.

Setelah membersihkan database Anda, ubah kata sandi untuk pengguna admin WordPress Anda, database Anda, dan perbarui garam keamanan dalam filewp-config.php .Mengubah garam akan mencatat semua pengguna dan mengharuskannya untuk masuk lagi, membatalkan sesi yang tidak sah.

Membersihkan database yang diretas adalah proses rumit yang dapat secara signifikan memengaruhi fungsionalitas situs Anda jika tidak dilakukan dengan benar. Jika Anda tidak nyaman melakukan tugas -tugas ini sendiri, pertimbangkan untuk mencari bantuan dari layanan keamanan WordPress profesional. Pemeliharaan dan pemantauan rutin dapat membantu mencegah kompromi basis data di masa depan.

Tindakan pencegahan

Langkah -langkah pencegahan sangat penting dalam melindungi situs WordPress Anda terhadap potensi ancaman dan meminimalkan risiko peretasan di masa depan. Menerapkan praktik keamanan yang kuat tidak hanya melindungi situs Anda tetapi juga menjaga reputasi Anda dan memastikan pengalaman yang aman bagi pengguna Anda. Berikut adalah strategi utama untuk meningkatkan keamanan situs WordPress Anda:

Tetap diperbarui : Perbarui inti, plugin, dan tema WordPress Anda secara teratur.Pembaruan seringkali termasuk tambalan keamanan untuk kerentanan.

Gunakan Kata Sandi yang Kuat dan Izin Pengguna: Menerapkan kata sandi yang kuat dan unik untuk admin WordPress Anda, akun FTP, database, dan panel kontrol hosting. Dorong pengguna untuk melakukan hal yang sama. Batasi izin pengguna sesuai kebutuhan. Tidak setiap pengguna membutuhkan akses administratif.

Implementasikan Otentikasi Dua Faktor (2FA) : Tambahkan lapisan keamanan tambahan dengan membutuhkan bentuk identifikasi kedua di luar sekadar kata sandi.

Instal Plugin Keamanan WordPress : Gunakan plugin keamanan seperti Wordfence, Sucuri Security, atau IThemes Security untuk pemindaian malware reguler, perlindungan firewall, dan untuk memantau aktivitas yang mencurigakan.

Gunakan penyedia hosting yang aman : Pilih penyedia hosting yang dikenal karena langkah -langkah keamanan yang kuat dan reputasi positif.Banyak yang menawarkan rencana hosting khusus WordPress dengan fitur keamanan yang ditingkatkan.

Cadangan Situs Anda Secara Rutin : Pertahankan cadangan reguler dari situs dan database WordPress Anda.Gunakan solusi yang memungkinkan pemulihan mudah jika situs Anda terganggu.

Aktifkan enkripsi SSL : Gunakan SSL (Secure Sockets Layer) untuk mengamankan transfer data antara situs web Anda dan pengunjung Anda, melindungi informasi sensitif seperti kredensial login dan data pribadi.

Situs WordPress Harden Anda : Ikuti praktik terbaik yang mengeras WordPress, seperti menonaktifkan pengeditan file, melindungi file wp-config.php, dan mengubah awalan basis data default.

Batas upaya login : Batasi jumlah upaya login untuk mencegah serangan brute force.Sebagian besar plugin keamanan menyediakan fitur ini.

Hapus tema dan plugin yang tidak digunakan : Hapus plugin dan tema yang tidak aktif atau tidak perlu.Masing -masing berpotensi menambah kerentanan ke situs Anda.

Gunakan captcha untuk formulir : Menerapkan captcha pada login, pendaftaran, dan formulir komentar untuk mengurangi spam dan serangan otomatis.

Nonaktifkan XML-RPC jika tidak diperlukan : XML-RPC dapat menjadi target untuk serangan brute force.Nonaktifkan jika Anda tidak menggunakannya untuk aplikasi seluler atau koneksi jarak jauh.

Menutup pikiran

Di seluruh blog ini, kami telah mengeksplorasi berbagai aspek keamanan WordPress, dari mengidentifikasi dan mengatasi peretasan hingga menerapkan langkah -langkah pencegahan yang kuat untuk melindungi situs Anda terhadap ancaman di masa depan. Dengan memahami pentingnya pembaruan rutin, kebijakan kata sandi yang kuat, dan penggunaan plugin dan layanan keamanan terkemuka, Anda dapat meningkatkan mekanisme pertahanan situs Anda. Ingat, keamanan adalah proses yang berkelanjutan yang membutuhkan kewaspadaan, tindakan cepat, dan komitmen terhadap praktik terbaik. Apakah Anda sedang pulih dari peretasan atau ingin membentengi situs Anda secara proaktif, langkah -langkah yang diuraikan dalam blog ini memberikan dasar yang kuat untuk memelihara situs WordPress yang aman dan dapat dipercaya. Tetap mendapat informasi, tetap siap, dan jaga agar situs WordPress Anda terlindungi dari lanskap ancaman online yang terus berkembang.