10 Kerentanan Keamanan WordPress Teratas dan Cara Memperbaikinya

Diterbitkan: 2018-11-28

Kutipan ini cukup baik untuk memberi Anda gambaran tentang masalah keamanan yang terjadi di seluruh dunia. Faktanya, keamanan situs web adalah subjek yang telah memberikan malam tanpa tidur kepada pemilik situs untuk waktu yang lama. Tidak ada yang mampu mencapai keamanan 100% untuk situs bisnis mereka.

Menurut survei yang dilakukan oleh Juniper Research, kejahatan dunia maya akan merugikan bisnis lebih dari $2 triliun pada tahun 2019. Ini adalah statistik yang mengkhawatirkan dan menunjukkan bahwa mengamankan situs web dari hari ke hari menjadi sangat sulit. Pada saat yang sama, Anda perlu menemukan cara untuk mengamankan situs Anda, karena berisi data Anda yang paling penting serta informasi sensitif.

Seperti yang Anda semua tahu bahwa, WordPress menguasai 31% internet dan oleh karena itu, sangat jelas bahwa platform WordPress akan menghadapi masalah keamanan web dengan jumlah tertinggi. Sebagian besar pengguna mempercayai platform yang luar biasa ini dan itulah mengapa mereka membangun situs bisnis mereka di atasnya.

Namun, menurut penelitian yang dilakukan oleh Sucuri, WordPress adalah platform situs web yang paling terinfeksi untuk tahun 2018.

WordPress in 2018

Oleh karena itu, penting bagi Anda semua untuk mengetahui berbagai kerentanan keamanan WordPress dan cara untuk memperbaikinya. Jadi, mari kita mulai dan menganalisis setiap kerentanan satu per satu.

Ada dua jenis perusahaan: mereka yang telah diretas, dan mereka yang belum tahu bahwa mereka telah diretas.

– John Chambers

10 Kerentanan Keamanan WordPress Teratas

  1. Hosting Web Tidak Aman
  2. Menggunakan Kata Sandi yang Lemah
  3. Tidak Memperbarui WordPress
  4. Injeksi SQL
  5. Lupa Untuk Mengamankan File Konfigurasi WordPress
  6. Tidak Memperbarui Plugin atau Tema
  7. Menggunakan FTP Biasa
  8. Tidak Mengubah Awalan Tabel WordPress
  9. Perangkat lunak perusak
  10. Izin File Salah

1. Hosting Web Tidak Aman

Ini mungkin salah satu alasan terbesar mengapa situs WordPress mudah terinfeksi. Seperti semua situs web lainnya, situs web WordPress juga dihosting di server. Terkadang yang terjadi adalah perusahaan penyedia hosting tidak mengamankan platform mereka. Dalam skenario seperti itu, ada kemungkinan situs WordPress Anda diserang oleh orang luar.

Cara Untuk Memperbaiki Masalah Ini

Cara terbaik untuk memperbaiki masalah ini adalah dengan meng-hosting situs WordPress Anda di beberapa platform hosting terbaik. Berikut daftar penyedia hosting WordPress terbaik yang dapat Anda manfaatkan untuk situs web bisnis Anda.

Penyedia Hosting WordPress Terbaik

  • Bluehost
  • HostGator
  • SitusGround
  • DreamHost
  • InMotion Hosting

2. Menggunakan Kata Sandi yang Lemah

Kata sandi adalah bagian penting dari keamanan situs web WordPress Anda. Anda selalu perlu memastikan bahwa Anda menggunakan kata sandi yang kuat untuk akun WordPress Anda. Menurut penelitian yang dilakukan oleh WPTemplate, 8% situs web WordPress di seluruh dunia diretas karena kata sandi minggu. Kata sandi minggu dapat memberikan akses mudah ke hal-hal berikut:

  • Akun Admin WP
  • Akun C-Panel
  • Akun FTP
  • Basis Data WordPress Anda

Itulah mengapa menjadi sangat penting untuk memiliki kata sandi yang kuat untuk situs web WordPress Anda.

Cara Untuk Memperbaiki Masalah Ini
  • Bentuk Kata Sandi yang Kompleks

    Salah satu cara Anda dapat memperbaiki masalah ini adalah dengan membentuk kata sandi yang rumit untuk situs Anda. Usahakan selalu menggunakan kombinasi Alphabet, Numbers, Special Characters, dll untuk membuat password. Ini akan membantu Anda membuat kata sandi yang kuat yang tidak mudah ditebak.

  • Gunakan Pengelola Kata Sandi

    Cara lain untuk memperbaiki masalah ini adalah dengan menggunakan pengelola kata sandi. Pengelola kata sandi adalah aplikasi yang memungkinkan Anda menyimpan semua kata sandi di satu tempat dan kemudian mengelolanya melalui Kata Sandi Utama. USP dari pengelola kata sandi apa pun adalah mereka memiliki fungsi pengisian otomatis.

    Berikut adalah daftar beberapa pengelola kata sandi terbaik:

    • LastPass
    • 1Kata Sandi
    • Dashlane
  • Otentikasi Dua Faktor

    Ini adalah salah satu cara terbaik untuk melindungi situs WordPress Anda dari pencurian kata sandi. Dalam skenario otentikasi dua faktor, jika beberapa penyerang dapat menebak kata sandi situs WordPress Anda, maka dia tidak akan masuk ke situs Anda. Dia akan memerlukan kode keamanan yang dikirim ke ponsel Anda. Dengan cara ini, Anda akan dapat melindungi situs web Anda.

    Ada cara utama untuk menyiapkan otentikasi dua faktor di WordPress:

    1. Verifikasi SMS
    2. Aplikasi Google Authenticator

3. Tidak Memperbarui WordPress

Ada banyak pengguna yang merasa nyaman dengan salah satu versi WordPress dan oleh karena itu, mereka tidak memperbarui versi WordPress mereka secara berkala. Alasan utama di baliknya adalah, mereka takut itu akan merusak situs web mereka. Namun, setiap versi baru WordPress dilengkapi dengan perbaikan untuk bug keamanan dan itulah mengapa penting bagi Anda untuk memperbarui situs web Anda.

Cara Untuk Memperbaiki Masalah Ini

Selalu periksa versi terbaru WordPress dan coba perbarui situs web Anda. Ini akan meminimalkan kemungkinan masalah keamanan. Bagi mereka yang takut memperbarui WordPress akan membuat kerusakan situs dapat mengambil cadangan situs web mereka. Jadi, jika versi baru tidak berfungsi sesuai kebutuhan Anda, Anda selalu dapat kembali.

4. Injeksi SQL

SQL Injection adalah salah satu metode tertua untuk mendapatkan akses situs web. Seperti yang Anda semua tahu, SQL adalah bahasa yang digunakan untuk bekerja dengan database WordPress dan itulah sebabnya dalam jenis serangan ini, peretas menyuntikkan perintah SQL ke situs Anda untuk mengambil informasi. Peretas semakin pintar dari hari ke hari dan mereka membuat injeksi SQL baru setiap hari. Jadi, sebagai pemilik situs web, Anda harus mengetahui cara untuk menghilangkan masalah ini.

Cara Untuk Memperbaiki Masalah Ini
  • Pindai Kerentanan Injeksi SQL

    Anda harus memeriksa masalah Injeksi SQL di situs WordPress Anda secara teratur. Namun, ini bisa menjadi tugas yang sangat sulit untuk dilakukan secara manual dan itulah mengapa Anda harus menggunakan beberapa alat pemindaian keamanan untuk tujuan itu. Berikut daftar alat pemindaian keamanan terbaik:

    • Pemindaian Keamanan WordPress
    • Periksa Situs Sucuri
    • WPScan
  • Menambahkan Kode Ke file .htaccess Anda

    Cara lain untuk mencegah SQL Injection adalah dengan menambahkan kode tertentu di file .htaccess Anda. .htaccess adalah file konfigurasi yang digunakan di server web dan oleh karena itu, dengan mengubah bagian itu Anda akan dapat membatasi akses orang luar ke database WordPress Anda.

    Tambahkan kode berikut di file .htaccess Anda:

    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteCond %{QUERY_STRING} ../ [NC,OR]
    RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
    RewriteCond %{QUERY_STRING} tag= [NC,OR]
    RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
    RewriteCond %{QUERY_STRING} http:  [NC,OR]
    RewriteCond %{QUERY_STRING} https:  [NC,OR]
    RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
    RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
    RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
    RewriteRule ^(.*)$ - [F,L]
    

5. Lupa Untuk Mengamankan File Konfigurasi WordPress

File Konfigurasi WordPress (wp-config.php) terdiri dari kredensial login database WordPress. Oleh karena itu, jika ada orang luar yang mendapatkan akses ke file ini, maka dia dapat mencuri informasi Anda dan merusak situs web Anda. Oleh karena itu, Anda perlu melakukan segala kemungkinan untuk melindungi file ini.

Cara Untuk Memperbaiki Masalah Ini

Salah satu cara paling sederhana untuk melindungi file wp-config.php adalah dengan memodifikasi .htaccess dan membatasi aksesnya. Untuk tujuan itu, cukup tambahkan cuplikan berikut ke file .htaccess Anda:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Tidak Memperbarui Plugin atau Tema

Sama seperti WordPress inti, penting untuk menggunakan versi terbaru dari plugin atau tema di situs WordPress. Menggunakan versi lama dari plugin atau tema apa pun dapat membuat situs Anda rentan terhadap ancaman keamanan. Menurut survei yang dilakukan oleh WPWhiteSecurity, 54% kerentanan WordPress global disebabkan oleh plugin.

Cara Untuk Memperbaiki Masalah Ini

Selalu periksa pembaruan di salah satu plugin dan tema Anda. Pastikan Anda menggunakan versi terbaru yang tersedia di WordPress. Dengan mengikuti metodologi ini, Anda akan meminimalkan kemungkinan ancaman keamanan di situs WordPress Anda.

7. Menggunakan FTP Biasa

Bagi yang belum tahu, akun FTP digunakan untuk mengunggah file di server situs web Anda menggunakan klien FTP. Sebagian besar penyedia hosting mendukung koneksi FTP menggunakan berbagai jenis protokol: FTP sederhana, SFTP, atau SSH.

Sebagian besar pemilik situs web WordPress membuat kesalahan dengan menggunakan FTP biasa. Sekarang, apa yang terjadi di FTP biasa adalah bahwa kata sandi Anda dikirim ke server dalam bentuk tidak terenkripsi. Jadi, siapa pun yang bisa meretas server bisa mendapatkan akses mudah ke situs WordPress Anda.

Cara Untuk Memperbaiki Masalah Ini

Alih-alih menggunakan FTP, Anda dapat memilih opsi SFTP atau SSH. Anda tidak perlu mengubah klien FTP untuk tujuan itu. Cukup ubah protokol menjadi 'SFTP-SSH' saat menghubungkan ke situs web Anda. Dengan menggunakan protokol ini, Anda akan dapat mengirim kata sandi ke server dalam bentuk terenkripsi yang meminimalkan risiko masalah keamanan.

8. Tidak Mengubah Awalan Tabel WordPress

Seperti yang Anda semua tahu bahwa, secara default, semua tabel WordPress yang dibuat di database Anda dimulai dengan awalan bernama ks29so_. Sebagian besar pengembang WordPress tidak peduli untuk mengubah awalan ini, karena mereka merasa bahwa itu tidak akan mempengaruhi kinerja situs.

Sejalan dengan itu, awalan ini membuat situs WordPress Anda rentan terhadap masalah keamanan. Alasan di balik itu adalah, penyerang dapat dengan mudah menebak nama tabel database WordPress Anda. Karena itu, Anda harus mencoba menghidupkan kembali masalah ini sesegera mungkin.

Cara Untuk Memperbaiki Masalah Ini

Alih-alih menggunakan awalan default untuk tabel database WordPress, Anda harus menentukan awalan Anda sendiri yang sifatnya rumit sehingga siapa pun tidak dapat menebaknya. Anda dapat mengubah awalan tabel database WordPress Anda pada saat instalasi. Jadi, selalu ingat poin itu. Setelah itu, Anda tidak akan mendapatkan kesempatan untuk mengubah awalan.

Inilah cara Anda dapat mengubah awalan database WordPress untuk meningkatkan keamanan:

9. Perangkat lunak perusak

Malware adalah singkatan dari perangkat lunak berbahaya. Dengan kata lain, Anda dapat mengatakan bahwa itu adalah kode yang digunakan untuk mendapatkan akses ke situs web secara tidak sah. Situs web yang diretas dengan jelas menunjukkan bahwa malware telah disuntikkan. Sekarang, jika Anda ingin mengenali malware di situs, coba lihat file yang baru saja diubah.

Ada banyak jenis infeksi malware di web, tetapi untuk WordPress, empat infeksi malware utama adalah seperti yang tercantum di bawah ini:

  • Pintu belakang
  • Unduhan drive-by
  • Peretasan farmasi
  • Pengalihan berbahaya
Cara Untuk Memperbaiki Masalah Ini

Masalah malware apa pun dapat dengan mudah diidentifikasi dengan mencari file yang baru saja dimodifikasi dan kemudian menghapus file itu dari situs WordPress Anda. Cara lain untuk mengatasi masalah ini adalah menginstal versi baru WordPress atau dengan memulihkan situs web WordPress dari cadangan terbaru Anda. Kedua metode ini akan membantu Anda meminimalkan kerentanan keamanan.

10. Izin File Salah

Izin file adalah seperangkat aturan yang digunakan oleh server web. Ini membantu server Anda untuk mengontrol akses ke file Anda di situs WordPress Anda. Sekarang, terkadang yang terjadi adalah pengguna menetapkan izin file yang salah yang memungkinkan penyerang mengakses file dan memodifikasinya sesuai dengan kebutuhan mereka yang dapat menyebabkan kerusakan besar pada situs WordPress Anda.

Cara Untuk Memperbaiki Masalah Ini

Cara terbaik untuk memperbaiki masalah ini adalah dengan mengatur izin file yang tepat untuk situs WordPress Anda. Izin file di situs web WordPress mana pun harus seperti yang tercantum di bawah ini:

  • 755 atau 750 untuk semua direktori
  • 644 atau 640 untuk file
  • 600 untuk wp-config.php

Dengan mengatur izin ini, Anda akan dapat membatasi akses ke situs WordPress Anda yang akan membantu Anda mengamankannya dari penyerang.

Pikiran Akhir

Keamanan telah menjadi perhatian utama bagi pemilik situs web selama bertahun-tahun. Bahkan setelah begitu banyak penelitian dilakukan di bidang ini, belum ada yang mengklaim 100% aman. Ini menunjukkan tingkat kerumitan yang harus dihadapi seseorang saat menangani masalah ini.

Mempertimbangkan hal ini, kami telah mencoba memberi Anda 10 kerentanan keamanan WordPress teratas dan cara untuk memperbaikinya yang pasti akan membantu Anda dalam waktu dekat.

Apa pendapat Anda tentang hal ini? Sebutkan mereka di bagian komentar kami. Terima kasih!