WordPress adalah pesaing yang signifikan dalam membuat situs web online, tetapi memahami keamanan situs web hanyalah permulaan. Membuat situs web Anda hanya untuk menghapusnya karena upaya malware atau phishing adalah bencana. Saat ini, Google Blacklists hampir 50.000 situs web untuk phishing dan lebih dari 70.000 situs web untuk malware setiap minggu.
Mengetahui cara menjaga keamanan situs web Anda berjalan dengan lancar bukan hanya tentang pengalaman pelanggan; Ini tentang menjaga domain Anda dari daftar hitam yang terus tumbuh.
Secara keseluruhan, perangkat lunak WordPress Core sangat aman. Ini diaudit secara teratur untuk memastikan itu melakukan dan beroperasi pada tingkat yang optimal oleh ratusan pengembang. Itu tidak berarti memiliki situs WordPress bukan tanpa risiko; Risiko potensial ada dengan setiap domain. Peretas dapat menyebabkan kerusakan besar pada bisnis, termasuk reputasi yang rusak, kehilangan pendapatan bisnis, atau kehilangan situs web Anda. Mereka dapat menginstal perangkat lunak berbahaya, mendistribusikan malware, mencuri kata sandi atau informasi keuangan dari pelanggan Anda, atau semua hal di atas.
Membatasi risiko situs web Anda terkena calon peretas adalah cara termudah untuk melindungi bisnis Anda. Untuk membantu memastikan situs Anda aman, tetap di atas tips berikut:
1) Selalu beri tahu WordPress Anda
Sebagai perangkat lunak open-source, WordPress perlu dikelola secara teratur. Biasanya, ini terjadi sebagai pembaruan rutin untuk perangkat lunak. Pembaruan kecil akan dilakukan secara otomatis. Jika ada rilis yang signifikan, pengguna perlu memulai pembaruan secara manual. Pembaruan ini dapat ditemukan di backend domain, di bawah bagian rumah.
Demikian juga, tema dan plugin yang saat ini diaktifkan melalui situs web Anda dikelola oleh pengembang pihak ketiga. Mereka akan sering melakukan pembaruan rutin, memperbaiki bug, atau membuat perbaikan bagi pengguna. Tema dan plugin ini juga perlu diperbarui secara teratur untuk memastikan kelancaran fungsi, stabilitas, dan keamanan situs.
2) Pilih kata sandi yang kuat
Sebagian besar upaya peretasan akan dimulai dengan kata sandi curian, terutama jika individu menggunakan urutan yang mudah ditebak. Pastikan semua kata sandi unik dan sulit ditebak; Sertakan angka, huruf besar, huruf kecil, dan simbol alfanumerik. Perbarui kata sandi untuk akun hosting, area admin, email, dan akun FTP apa pun. Untuk kata sandi yang rumit, manajer kata sandi disarankan.
3) Investasikan dalam cadangan WordPress
Tidak peduli seberapa aman situs web Anda; Tidak ada yang pernah 100% aman. Memiliki cadangan situs web memungkinkan pemulihan cepat situs WordPress Anda jika terjadi sesuatu. Pastikan Anda menyimpan cadangan situs penuh secara teratur ke suatu tempat yang jauh. Anda tidak ingin menyimpan cadangan situs Anda di hosting situs web Anda (karena ini dapat dikompromikan juga). Idealnya, memiliki cadangan yang dilakukan setiap hari sangat ideal.
4) Memiliki firewall aplikasi web
Situs web Firewall membawa lalu lintas berbahaya berhenti total, mencegah akses sebelum mencapai situs web Anda. Firewall tingkat aplikasi memeriksa lalu lintas begitu mencapai server tetapi sebelum mengakses sebagian besar skrip WordPress. Metode ini mungkin tidak mengurangi beban server yang biasanya ditemukan dengan malware. Firewall situs web tingkat DNS akan merutekan lalu lintas melalui server proxy cloud. Ini memblokir semua upaya jahat dan hanya mengirimkan lalu lintas asli ke situs web Anda.
5) Pasang plugin keamanan
Memiliki plugin keamanan dapat memberi Anda informasi tentang upaya login yang gagal, malware, peringatan email, dan banyak lagi. Beberapa plugin gratis, menawarkan layanan tanpa biaya hanya dengan menghasilkan kunci API. Kunci API ini memberikan izin dan kontrol plugin saat melakukan cek dan evaluasi.
6) Investasikan di Secure Sockets Layer (SSL)
SSL mengenkripsi transfer data dari browser pengguna ke situs web Anda. Enkripsi menyulitkan peretas untuk mendapatkan informasi sensitif. Situs web mana pun yang menggunakan SSL akan menampilkan HTTPS bukan HTTP. Anda juga akan melihat gembok di sebelah alamat situs web di browser.
7) Ubah Nama Pengguna Admin Default Anda
Secara umum, nama pengguna default untuk sebagian besar akun WordPress adalah 'Admin.' Sebagai seorang peretas akan menggunakan nama pengguna dan kata sandi untuk mengakses informasi yang sensitif, penting untuk mengubah nama default. Jika Anda memiliki nama default, buat nama pengguna admin baru dan hapus yang lama.
8) Turunkan upaya login
Saat ini, nilai default untuk upaya login pada WordPress diatur ke Unlimited. Ini berarti situs web dapat rentan terhadap serangan kekuatan brute dengan mencoba memecahkan kata sandi dengan kombinasi yang berbeda. Dengan membatasi upaya login yang gagal, Anda akan mencegah hal ini terjadi. Cukup ubah jumlah upaya sebelum mengunci akun ke angka kurang dari lima.
9) Selalu mengaktifkan otentikasi dua faktor
Otentikasi dua faktor mengharuskan individu untuk memasukkan nama pengguna dan kata sandi akun mereka di situs web, diikuti oleh otentikasi menggunakan perangkat terpisah. Ini dapat dilakukan di bawah bagian Auth Dua Faktor di bagian Admin WordPress Anda. Anda ingin melampirkan Authenticator Google atau LastPass Authenticator untuk mengaktifkan fungsi ini.
10) Pantau pengguna terdaftar di Situs
Jika Anda mengizinkan pendaftaran pengguna di situs web, selalu tinjau pelanggan dengan cermat. Sebagian besar orang akan dengan cermat mengisi pendaftaran untuk terus mengakses situs. Jika Anda melihat konten pengisi (misalnya, [email protected]), pertimbangkan untuk menghapus akun. Demikian juga, jika Anda melihat situs web berkinerja perlahan setelah pengguna tertentu terdaftar, lengkapi pemeriksaan data publik pada individu tersebut.
Pengguna yang menawarkan nama depan dan belakang mereka ke situs web dapat dengan cepat dikonfirmasi menggunakan platform pemeriksaan latar belakang untuk alasan keamanan. Tidak semua orang perlu divalidasi (ini akan terbukti memakan waktu dan mahal). Jika Anda melihat pengguna yang merepotkan atau sulit, seseorang yang tampaknya terus memposting komentar spam atau hanya Zapped fungsionalitas server Anda, mungkin sepadan dengan penyelidikan.
11) Jangan pernah memberikan nama pengguna atau kata sandi Anda kepada siapa pun
Kebanyakan orang yang bekerja dengan situs web WordPress tidak perlu masuk ke backend situs web Anda untuk melakukan pekerjaan mereka. Bahkan pengembang tema tidak memerlukan platform untuk membuat pengkodean mereka. Bagi kebanyakan orang, membuat nama pengguna dan kata sandi baru adalah opsi yang lebih mudah dan lebih aman.
Meskipun beberapa keadaan tertentu mungkin mengharuskan orang lain untuk menggunakan nama pengguna dan kata sandi Anda, jadilah sangat selektif tentang siapa yang memiliki akses ke informasi ini. Itu selalu merupakan ide bijak untuk mengubah kata sandi Anda ketika mereka selesai melakukan pekerjaan yang diperlukan. Pastikan untuk memperbarui manajer kata sandi Anda setelah memperbarui informasi ini.