5 Hal untuk Memberitahu Klien Anda Tentang Keamanan WordPress
Diterbitkan: 2021-02-05Membangun dan mengamankan situs web WordPress selalu menjadi tantangan. Pengembang sangat berhati-hati untuk menulis kode yang solid dan mengimplementasikan fitur seperti plugin keamanan untuk mengurangi serangan yang tak terhindarkan.
Meski begitu, kami tidak keluar dari hutan. Mengutip pepatah lama: situs web hanya seaman tautan terlemahnya. Di luar potensi eksploitasi karena kode, tautan terlemah cenderung menjadi pengguna yang kurang informasi. Seseorang yang, bukan karena kesalahan mereka sendiri, membuat pilihan buruk yang membuat situs web mereka rentan.
Untuk menggunakan klise lain: pertahanan terbaik adalah pelanggaran yang baik. Dalam hal ini, ini berarti bersikap proaktif dalam mengajari klien tentang praktik terbaik keamanan. Beberapa hal (seperti kata sandi yang kuat) bersifat universal, sementara yang lain lebih spesifik untuk WordPress itu sendiri. Dan itulah fokus kami hari ini.
Dengan itu, mari kita tinjau lima hal yang perlu diketahui klien Anda tentang keamanan WordPress.
Jangan Instal Plugin WordPress Tanpa Berkonsultasi dengan Profesional
Kami mengerti: godaan untuk menginstal plugin adalah nyata. Bagaimanapun, mereka hanya berjarak beberapa klik saja.
Tapi risikonya juga nyata. Plugin WordPress sangat bervariasi dalam hal kualitas dan, dengan demikian, keamanan. Tidak jarang menemukan plugin di repositori resmi yang belum diperbarui dalam satu tahun atau lebih. Mungkin itu tidak berbahaya; mungkin tidak.
Karena itu, perancang web harus mendorong klien untuk melakukan konsultasi cepat sebelum memasang plugin. Tawarkan untuk melihat dan meninjau detailnya. Langkah tunggal ini dapat mencegah skenario mimpi buruk terkait keamanan dan stabilitas situs.
Ada beberapa manfaat. Pertama, ini membuat Anda tetap mengetahui apa yang terjadi dengan situs tersebut. Selain itu, ini memungkinkan Anda mengarahkan klien ke plugin yang bagus dan bereputasi baik. Belum lagi ini melatih klien untuk berpikir sebelum mereka mengklik. Itu menguntungkan semua orang.
Buat Akun Pengguna Baru, Daripada Berbagi Satu Akun
Banyak organisasi memiliki lebih dari satu orang yang membutuhkan akses ke dasbor WordPress. Terlalu sering, pengguna tersebut berbagi satu akun.
Di permukaan, ini mungkin tampak seperti masalah kepercayaan yang sederhana. Dan pasti ada unsur itu. Jika seorang anggota tim keluar dari organisasi, ada kemungkinan mereka masih memiliki akses jika kata sandinya belum diubah. Dan orang jahat bisa melakukan beberapa kerusakan.
Perhatian nyata lainnya di sini adalah tentang keamanan perangkat. Jika Anda memiliki, katakanlah, lima orang berbagi akun administrator WordPress, yang diperlukan hanyalah salah satu perangkat mereka untuk dieksploitasi. Misalnya, keylogger pada PC satu pengguna dapat membahayakan akun.
Oleh karena itu, disarankan agar setiap pengguna memiliki akun sendiri. Ini mudah dilakukan di dalam WordPress, dan kami bahkan dapat membuat peran pengguna khusus yang membatasi apa yang dapat dan tidak dapat dilakukan seseorang.
Tetap Perbarui Inti, Plugin, dan Tema WordPress
Idealnya, klien Anda akan membuat kontrak dengan Anda untuk menangani pembaruan perangkat lunak. Tetapi jika mereka yang bertanggung jawab, penting bagi mereka untuk menangani masalah ini dengan sangat serius.
Sebagai pengembang, ada beberapa hal yang lebih menjengkelkan daripada memecahkan masalah situs web yang disusupi, hanya untuk masuk ke WordPress dan melihat bahwa ada beberapa versi yang ketinggalan zaman. Ini mirip dengan membiarkan pintu depan rumah Anda terbuka lebar, 24/7. Anda seharusnya tidak terlalu terkejut ketika seseorang masuk dan mengambil TV baru Anda yang mewah.
Pentingnya menjaga inti WordPress, plugin, dan tema diperbarui tidak dapat dilebih-lebihkan. Mengetahui bahwa itu mungkin masih di luar tingkat kenyamanan beberapa klien. Tidak apa-apa. Entah mereka dapat mempekerjakan Anda untuk menanganinya atau, paling tidak, mengaktifkan pembaruan otomatis jika memungkinkan.
Terlepas dari bagaimana pembaruan diterapkan, mereka harus dijaga. Meskipun tidak menjamin keamanan, ini jauh lebih baik daripada alternatifnya.
Otentikasi Dua Faktor Dapat Membuat Perbedaan Besar
Menambahkan otentikasi dua faktor ke WordPress cukup sederhana. Tapi itu hanya bermanfaat jika pemangku kepentingan benar-benar menggunakannya.
Benar, itu sangat tidak nyaman. Harus memverifikasi email, pesan teks, atau memeriksa aplikasi seluler untuk masuk bisa sangat merepotkan. Tapi langkah ekstra ini sangat penting. Ini menempatkan penghalang besar antara aktor jahat dan akses ke bagian belakang situs web Anda.
Dan pengalaman pengguna sebenarnya semakin baik. Beberapa implementasi sekarang menggabungkan pengenalan perangkat dengan 2FA. Artinya, selama perangkat pengguna dikenali, tidak perlu memverifikasi login untuk jangka waktu tertentu.
Plus, 2FA telah menjadi standar di banyak tempat. Beberapa aplikasi perbankan online tidak mengizinkan Anda masuk tanpanya. Tidak ada alasan mengapa situs web Anda tidak boleh memanfaatkan teknologi ini juga.
Apa yang Aman Hari Ini Mungkin Tidak Besok
Terlepas dari platform yang dijalankannya, sebuah situs web bukanlah urusan satu-dan-selesai. Ini membutuhkan perhatian yang sering (jika tidak konstan) – dengan keamanan memainkan peran utama.
Web terus berkembang. Teknologi baru menjadi tua dengan sangat cepat. Dan apa yang pernah dianggap sebagai praktik terbaik keamanan terkadang dapat dibuktikan sebaliknya.
Karena itu, keamanan situs web menjadi tantangan yang benar-benar tidak ada habisnya. Ini adalah pertempuran harian untuk organisasi kecil dan besar.
Akibatnya website perlu berubah seiring dengan perkembangan zaman. Ketika datang ke WordPress, itu mungkin berarti mengganti plugin keamanan lama dengan sesuatu yang lebih baik. Atau menghilangkan tema dan plugin yang ditinggalkan untuk memperketat segalanya. Itu juga bisa memerlukan perubahan di lingkungan host atau server.
Penting untuk dipahami bahwa hanya karena Anda telah berinvestasi dalam keamanan hari ini tidak berarti Anda tidak perlu melakukannya lagi besok.
Edukasi Klien Hari Ini untuk Situs WordPress yang Lebih Aman
Klien kami sering mengandalkan kami untuk memberikan beberapa pengetahuan bersama dengan situs web pembunuh. Dan keamanan mungkin saja merupakan subjek terpenting yang dapat kita ajarkan kepada mereka.
Melakukan upaya untuk melakukannya dari awal dapat membayar dividen jangka panjang. Klien yang memahami cara menjaga keamanan situs web WordPress mereka cenderung tidak melakukan salah satu kesalahan penting tersebut. Itu saja mungkin perbedaan antara membersihkan situs yang diretas dan kelancaran.