Sangat menjengkelkan mengetahui bahwa situs WordPress telah diretas. Pada artikel ini, kami akan menunjukkan kepada Anda beberapa penyebab utama yang dapat mengancam keamanan WordPress. Jadi Anda dapat menghindari kesalahan ini dan situs web Anda dapat dilindungi.
Penyebab Peretas Mengancam Keamanan WordPress
Pertama-tama, ini bukan hanya WordPress. Semua situs web di internet pastinya rentan terhadap upaya peretasan. Alasan mengapa situs keamanan WordPress menjadi sasaran utama para hacker adalah karena CMS ini paling populer di seluruh dunia.
WordPress sendiri menguasai lebih dari 31% dari semua situs web didunia. Popularitas yang cukup besar ini memberikan cara mudah bagi peretas untuk menemukan situs web yang memiliki keamanan yang kurang, sehingga mereka dapat memanfaatkannya.
Peretas juga memiliki berbagai jenis motif untuk meretas situs web. Beberapa pemula baru belajar mengeksploitasi situs yang kurang aman. Beberapa peretas memiliki niat jahat seperti menyebarkan malware, menggunakan situs untuk menyerang situs lain, atau melakukan spam di internet. Oleh karena itu, ada beberapa alasan yang menjadi penyebab utama mengapa peretas mengancam keamanan WordPress.
Menggunakan Kata Sandi Lemah
Kata sandi adalah kunci untuk situs WordPress Anda. Anda harus memastikan bahwa kata sandi yang Anda gunakan unik dan kuat. Untuk memudahkan Anda, kami telah menyusun daftar akun yang dapat memberi peretas akses penuh ke situs web Anda dan mengancam keamanan wordpress.
- Akun admin WordPress
- Akun panel kontrol hosting web
- akun FTP
- Database MySQL digunakan untuk situs WordPress
- Akun email digunakan untuk admin WordPress atau akun hosting
Semua akun ini dilindungi kata sandi. Menggunakan kata sandi yang lemah memudahkan seseorang untuk meretas kata sandi Anda menggunakan beberapa alat peretasan dasar. Anda dapat dengan mudah menghindarinya dengan menggunakan kata sandi yang unik dan kuat untuk setiap akun. Agar keamanan WordPress Anda tetap terjaga.
Menggunakan Admin sebagai Nama Pengguna WordPress
Menggunakan ‘admin’ sebagai nama pengguna WordPress Anda tidak di sarankan. Jika username administrator adalah admin, maka sebaiknya segera ganti username tersebut dengan username yang lain.
Akses Tidak Aman ke Admin WordPress (Direktori wp-admin)
Area admin WordPress memberi pengguna akses untuk melakukan berbagai tindakan di situs WordPress Anda. Ini juga merupakan area situs WordPress yang paling banyak diserang. Membiarkannya tanpa perlindungan memungkinkan peretas untuk mencoba meretasnya dengan mudah.
Anda dapat mempersulit mereka dengan menambahkan lapisan autentikasi ke direktori admin WordPress. Pertama, Anda perlu melindungi kata sandi area admin WordPress. Ini menambah lapisan keamanan ekstra, dan siapa pun yang mencoba mengakses admin WordPress harus memberikan kata sandi tambahan.
Jika Anda menjalankan situs WordPress dengan banyak pengguna, gunakan kata sandi yang kuat untuk semua pengguna di situs. Anda juga dapat menambahkan autentikasi dua faktor untuk mempersulit peretas masuk ke area admin WordPress.
Web Hosting Mempengaruhi Keamanan WordPress
Seperti semua situs web, situs WordPress di hosting di server web. Beberapa perusahaan hosting tidak mengamankan platform hosting mereka. Ini membuat semua situs web yang di hosting di server rentan terhadap upaya peretasan.
Hal ini dapat dengan mudah untuk dihindari dengan memilih host web terbaik untuk situs web Anda. Untuk memastikan situs Anda di hosting di platform yang aman. Server yang benar-benar aman dapat memblokir banyak serangan paling umum di situs WordPress. Jika ingin lebih aman, sebaiknya gunakan penyedia hosting WordPress terkelola 24 jam seperti DewaBiz.
Tidak Memperbarui WordPress
Beberapa pengguna takut memperbarui situs WordPress mereka. Mereka takut itu akan menghancurkan situs web. Setiap versi baru WordPress memperbaiki bug dan kerentanan keamanan. Jika Anda tidak memperbarui WordPress, Anda sengaja membuat situs Anda rentan terhadap serangan.
Jika Anda takut pembaruan ini akan merusak situs web Anda, maka Anda dapat membuat cadangan WordPress lengkap sebelum pembaruan. Dengan cara ini, jika ada yang tidak berfungsi, Anda dapat dengan mudah memutar kembali ke versi sebelumnya.
Tidak Memperbarui Plugin atau Tema
Sama seperti perangkat lunak inti WordPress, pembaruan tema dan plugin juga penting. Menggunakan plugin atau tema yang kedaluwarsa dapat membuat situs Anda rentan dari peretasan. Gangguan dan bug keamanan sering di temukan di tema dan plugin WordPress.
Biasanya pembuat tema dan plugin cepat memperbaikinya. Namun, jika pengguna tidak mengupdate tema atau plugin, maka tidak ada yang bisa di lakukan. Pastikan Anda selalu memperbarui tema dan plugin WordPress Anda.
Izin File Salah
Izin file atau file permissions adalah seperangkat aturan yang di gunakan oleh server situs web.
ini membantu server web mengontrol akses ke setiap file di situs web Anda. Izin file yang salah dapat memberikan akses kepada peretas untuk menulis dan memodifikasi file. Semua file WordPress ini harus memiliki nilai 644 sebagai izin file. Semua folder di situs WordPress Anda harus memiliki 755 sebagai izin file.
Menggunakan FTP Biasa, bukan SFTP / SSH
Akun FTP di gunakan untuk mengunggah file ke server web menggunakan klien FTP. Sebagian besar penyedia hosting mendukung koneksi FTP menggunakan protokol yang berbeda. Anda dapat terhubung menggunakan FTP biasa, SFTP, atau SSH.
Saat menghubungkan ke situs menggunakan FTP biasa, kata sandi dikirim ke server tanpa enkripsi. Itu dapat di mata-matai dan mudah di curi. Alih-alih menggunakan FTP, Anda harus selalu menggunakan SFTP atau SSH. Anda tidak perlu mengubah klien FTP Anda. Sebagian besar klien FTP dapat terhubung ke situs web melalui SFTP dan juga SSH. Anda hanya perlu mengubah protokol menjadi ‘SFTP – SSH’ saat menghubungkan ke situs web.
Tema dan Plugin Nulled
Terdapat banyak situs web di internet yang mendistribusikan plugin dan tema WordPress berbayar secara gratis. Terkadang mudah tergoda untuk menggunakan nol plugin dan tema di situs Anda. Mengunduh tema dan plugin WordPress dari sumber yang tidak tepercaya sangat berbahaya.
Tidak hanya dapat membahayakan keamanan wordPress, tetapi juga dapat mencuri informasi sensitif. Anda harus selalu mengunduh plugin dan tema WordPress dari sumber tepercaya seperti situs pengembang plugin/tema atau repositori resmi WordPress.
Jika Anda tidak bisa atau tidak ingin membeli plugin atau tema premium, selalu ada alternatif gratis yang tersedia untuk produk ini. Plugin gratis ini mungkin tidak sebagus plugin berbayar, tetapi tetap dapat menjaga situs web Anda tetap aman.
Tidak Mengamankan Konfigurasi WordPress File wp-config.php
File konfigurasi WordPress wp-config.php berisi kredensial login database WordPress. Jika berhasil di retas, maka akan terungkap informasi yang dapat memberi peretas akses penuh ke situs web. Anda dapat menambahkan lapisan perlindungan ekstra dengan menolak akses ke file wp-config menggunakan .htaccess. Tambahkan saja kode kecil ini ke file .htaccess Anda.
- <files wp-config.php>
- order allow,deny
- deny from all
- </files>
Tidak Mengubah Awalan Tabel WordPress
Banyak ahli merekomendasikan bahwa pengguna baru harus mengubah awalan tabel keamanan WordPress default. Secara default, WordPress menggunakan wp_ sebagai awalan untuk tabel yang di buat di database.
Anda mendapatkan opsi untuk mengubahnya selama instalasi. Gunakan awalan yang sedikit lebih rumit. Ini akan mempersulit peretas untuk menebak nama tabel database.