11 Tindakan Ini Mengancam Keamanan WordPress
Sangat menjengkelkan ketika mengetahui bahwa situs WordPress kita telah diretas. Dalam artikel ini, saya akan berbagi apa saja tindakan yang dapat mengancam keamanan WordPress. Sehingga kamu dapat menghindari kesalahan ini dan website dapat terlindungi.
Contents
- 1 Mengapa WordPress Sebagai Target Para Peretas?
- 1.1 Web Hosting Mempengaruhi Keamanan WordPress
- 1.2 Menggunakan Kata Sandi Yang Lemah
- 1.3 Akses Tidak Terjamin ke Admin WordPress (Direktori wp-admin)
- 1.4 Izin File Tidak Tepat
- 1.5 Tidak Memperbarui WordPress
- 1.6 Tidak Memperbarui Plugin atau Tema
- 1.7 Menggunakan Plain FTP bukan SFTP / SSH
- 1.8 Menggunakan Admin sebagai Nama Pengguna WordPress
- 1.9 Tema dan Plugin Nulled
- 1.10 Tidak Mengamankan Konfigurasi WordPress File wp-config.php
- 1.11 Tidak Mengubah Awalan Tabel WordPress
Mengapa WordPress Sebagai Target Para Peretas?
Pertama, bukan hanya WordPress. Semua situs web di internet rentan terhadap upaya peretasan. Alasan mengapa situs WordPress sebagai target utama bagi para peretas adalah karena CMS yang satu ini merupakan yang paling populer di dunia.
WordPress menguasai lebih dari 31% dari semua situs web yang berarti ratusan juta situs web di seluruh dunia. Popularitas besar ini memberi para peretas cara mudah untuk menemukan situs web yang kurang aman, sehingga mereka dapat memanfaatkannya.
Peretas memiliki berbagai jenis motif untuk meretas situs web. Beberapa pemula yang baru belajar mengeksploitasi situs yang kurang aman. Beberapa peretas memiliki niat jahat seperti menyebarkan malware, menggunakan situs untuk menyerang situs web lain, atau mengirim spam ke internet. Oleh sebab itu, berikut ini beberapa penyebab utama mengapa WordPress diretas dan cara meningkatkan keamanan WordPress.
Web Hosting Mempengaruhi Keamanan WordPress
Seperti semua situs web, situs WordPress dihost di server web. Beberapa perusahaan hosting tidak benar-benar mengamankan platform hosting mereka. Ini membuat semua situs web yang dihosting di server mereka rentan terhadap upaya peretasan.
Ini dapat dengan mudah dihindari dengan memilih webhost terbaik untuk situs web milikmu. Ini memastikan bahwa situsmu dihost pada platform yang aman. Server yang benar-benar aman dapat memblokir banyak serangan paling umum di situs WordPress.
Jika kamu ingin lebih aman, kami sarankan menggunakan penyedia hosting WordPress yang dikelola secara 24 jam seperti IDwebhost.com.
Menggunakan Kata Sandi Yang Lemah
Kata sandi adalah kunci untuk situs WordPress. Kamu perlu memastikan bahwa kata sandi yang digunakan sudah unik dan kuat. Untuk memudahkanmu, kami telah membuat list akun-akun yang dapat memberikan akses lengkap peretas ke situs web milikmu.
- Akun admin WordPress
- Akun panel kontrol hosting web
- Akun FTP
- Database MySQL digunakan untuk situs WordPress
- Akun email yang digunakan untuk akun admin atau hosting WordPress
Semua akun ini dilindungi oleh kata sandi. Menggunakan kata sandi yang lemah mempermudah orang lain untuk meretas kata sandi menggunakan beberapa alat peretasan dasar. Kamu dapat dengan mudah menghindari ini dengan menggunakan kata sandi yang unik dan kuat untuk setiap akun. Sehingga keamanan WordPress milikmu pun tetap terjaga.
Akses Tidak Terjamin ke Admin WordPress (Direktori wp-admin)
Area admin WordPress memberikan akses pengguna untuk melakukan tindakan yang berbeda di situs WordPress milikmu. Ini juga merupakan area yang paling sering diserang dari situs WordPress. Membiarkannya tidak terlindungi memungkinkan peretas mencoba untuk meretasnya dengan mudah.
Kamu bisa mempersulit mereka dengan menambahkan lapisan otentikasi ke direktori admin WordPress. Pertama, kata sandi harus melindungi area admin WordPress. Ini menambahkan lapisan keamanan ekstra, dan siapa pun yang mencoba mengakses admin WordPress harus memberikan kata sandi tambahan.
Jika kamu menjalankan situs WordPress dengan jumlah pengguna, maka terapkan kata sandi yang kuat untuk semua pengguna di situs. Kamu juga dapat menambahkan dua autentikasi faktor untuk membuatnya semakin sulit bagi peretas untuk memasuki area admin WordPress.
Izin File Tidak Tepat
Izin file atau file permissions adalah seperangkat aturan yang digunakan oleh server website. Izin ini membantu server web mengontrol akses setiap file di websitemu. Izin file yang salah dapat memberikan akses kepada peretas untuk menulis dan mengubah file-file ini. Semua file WordPress harus memiliki nilai 644 sebagai izin file. Semua folder di situs WordPress harus memiliki 755 sebagai izin file mereka.
Tidak Memperbarui WordPress
Beberapa pengguna takut memperbarui situs WordPress mereka. Mereka takut bahwa hal itu akan merusak situs website mereka. Setiap versi baru dari WordPress memperbaiki bug dan kerentanan keamanan. Jika tidak memperbarui WordPress, artinya kamu dengan sengaja membuat situs rentan terhadap serangan.
Jika takut update ini akan merusak situs web, maka kamu dapat membuat cadangan WordPress lengkap sebelum menjalankan pembaruan. Dengan cara ini, jika sesuatu tidak berfungsi, kamu dapat dengan mudah kembali ke versi sebelumnya.
Tidak Memperbarui Plugin atau Tema
Sama seperti perangkat lunak WordPress inti, memperbarui tema dan plugin juga sama pentingnya. Menggunakan plugin atau tema yang tertinggal jaman dapat membuat situs rentan. Gangguan keamanan dan bug sering ditemukan di tema dan plugin WordPress.
Biasanya, penulis tema dan plugin cepat untuk memperbaikinya. Namun, jika pengguna tidak memperbarui tema atau plugin mereka, maka tidak ada yang dapat mereka lakukan. Pastikan kamu menjaga tema WordPress dan plugin agar selalu diperbarui.
Menggunakan Plain FTP bukan SFTP / SSH
Akun FTP digunakan untuk mengunggah file ke server webmu menggunakan klien FTP. Kebanyakan penyedia hosting mendukung koneksi FTP menggunakan protokol yang berbeda. Kamu dapat terhubung menggunakan FTP biasa, SFTP, atau SSH.
Ketika terhubung ke situs menggunakan FTP biasa, kata sandimu dikirim ke server yang tidak terenkripsi. Itu bisa dimata-matai dan mudah dicuri. Alih-alih menggunakan FTP, kamu harus selalu menggunakan SFTP atau SSH. Kamu tidak perlu mengubah klien FTP. Sebagian besar klien FTP dapat terhubung ke situs web di SFTP serta SSH. Kamu hanya perlu mengubah protokol ke ‘SFTP – SSH’ saat terhubung ke situs website.
Menggunakan Admin sebagai Nama Pengguna WordPress
Menggunakan ‘admin’ sebagai nama pengguna WordPress tidak disarankan. Jika nama pengguna administrator adalah admin, maka kamu harus segera mengubahnya ke nama pengguna yang berbeda.
Tema dan Plugin Nulled
Ada banyak situs web di internet yang mendistribusikan plugin dan tema WordPress berbayar secara gratis. Terkadang sangat mudah tergoda untuk menggunakan plugin dan tema yang nihil di situsmu. Mengunduh tema dan plugin WordPress dari sumber yang tidak dapat diandalkan sangat berbahaya.
Tidak hanya mereka dapat membahayakan keamanan situs web, tetapi mereka juga dapat mencuri informasi sensitif. Kamu harus selalu mengunduh plugin dan tema WordPress dari sumber terpercaya seperti situs pengembang plugin / tema atau repositori WordPress resmi.
Jika kamu tidak mampu atau tidak ingin membeli plugin atau tema premium, maka selalu ada alternatif gratis yang tersedia untuk produk tersebut. Plugin gratis ini mungkin tidak sebagus mitra berbayar mereka, tetapi mereka tetap bisa menjaga situs website tetap aman.
Tidak Mengamankan Konfigurasi WordPress File wp-config.php
File konfigurasi WordPress wp-config.php berisi kredensial login basis data WordPress. Jika berhasil diretas, maka ia akan mengungkapkan informasi yang dapat memberikan akses lengkap kepada peretas ke situs web. Kamu dapat menambahkan lapisan perlindungan tambahan dengan menolak akses ke file wp-config menggunakan .htaccess. Cukup tambahkan kode kecil ini ke file .htaccess.
<files wp-config.php>
order allow,deny
deny from all
</files>
Tidak Mengubah Awalan Tabel WordPress
Banyak ahli menyarankan pengguna baru harus mengubah awalan tabel keamanan WordPress default. Secara default, WordPress menggunakan wp_ sebagai awalan untuk tabel yang dibuatnya di database.
Kamu mendapatkan opsi untuk mengubahnya selama instalasi. Gunakan awalan yang sedikit lebih rumit. Ini akan membuat lebih sulit bagi peretas untuk menebak nama tabel database.
Member since 6 Sep 2019