Lakukan Panduan Audit Keamanan WordPress

Diterbitkan: 2020-08-25

Mari kita mulai dengan mengatakan bahwa WordPress cukup aman. Namun, jika Anda yakin ada sesuatu yang mencurigakan dengan situs web Anda, sebaiknya lakukan audit keamanan WordPress . Kenyataannya, sayangnya, sebagian besar situs web mengalami semacam masalah keamanan, cepat atau lambat. Dan itu tidak hanya membahayakan situs web Anda, tetapi juga membahayakan informasi pengguna yang berpotensi sensitif. Untuk mencegahnya, mari kita bahas langkah-langkah utama melakukan audit keamanan WordPress di situs web Anda.

Mengapa penting untuk secara teratur melakukan audit keamanan WordPress di situs web Anda

Banyak pemilik situs web tidak benar-benar memikirkan keamanan situs web sampai situs tersebut dikompromikan. Anda ingin memastikan bahwa Anda melakukan apa yang dapat Anda lakukan untuk mencegah potensi pelanggaran keamanan. Saat Anda melakukan audit keamanan WordPress, Anda sedang meninjau kebijakan Anda dan memperkuatnya. Akan lebih baik untuk melakukan audit keamanan setidaknya setiap tahun, atau lebih teratur, tergantung pada ukuran situs web Anda dan jenis informasi pengguna. Namun, bahkan jika Anda baru saja melakukan audit, Anda sebaiknya mengulanginya dalam situasi berikut:

  • Anda menemukan akun yang mencurigakan di situs web Anda atau upaya login yang mencurigakan
  • Jika Anda mengalami penurunan lalu lintas secara tiba-tiba
  • Situs web Anda tiba-tiba menjadi lambat
  • Anda dapat melihat tautan yang mencurigakan

Bagaimana melakukan audit keamanan situs web

Jika Anda ingin masuk lebih dalam, audit keamanan dapat mencakup lebih banyak langkah. Namun, audit keamanan yang komprehensif perlu menyertakan langkah-langkah utama ini:

  • Pastikan WordPress, plugin, dan tema terbaru
  • Hapus file, tema, dan plugin yang tidak Anda perlukan
  • Pastikan solusi pencadangan Anda berfungsi
  • Analisis akun pengguna
  • Jadikan keamanan kata sandi Anda lebih kuat
Keamanan.
Lakukan audit WordPress dengan benar dan teratur

Pembaruan sangat penting

Memastikan perangkat lunak inti WordPress Anda mutakhir sangat penting, sama seperti memastikan Anda memperbarui plugin dan tema secara teratur. Dan ini bukan hanya soal stabilitas situs web Anda, tetapi juga keamanannya . Dalam perangkat lunak apa pun, kerentanan dapat muncul, dan pengembang memperbaikinya dengan merilis pembaruan yang berisi tambalan keamanan. Prosesnya sederhana, Anda perlu mengunjungi Dasbor dan memilih halaman Pembaruan.

Hapus tema dan plugin yang tidak lagi Anda gunakan

Kita semua menyukai tema dan plugin. Tapi berapa banyak plugin yang terlalu banyak? Dan bagaimana dengan plugin yang telah kita instal, hanya untuk mengetahui bahwa kita tidak terlalu menyukainya? Terkadang, kami hanya menonaktifkannya dan membiarkannya tetap berada di server. Tapi, apa yang Anda benar-benar Anda harus uninstall mereka. File dan plugin tema lama dapat menyebabkan masalah keamanan di situs web Anda, dan tidak ada alasan mengapa Anda tidak boleh mencegahnya. Solusinya cukup sederhana – buka tab Tema dan Plugin dan putuskan mana yang Anda butuhkan. Jika beberapa dari mereka tidak aktif selama beberapa waktu, ada kemungkinan Anda tidak benar-benar membutuhkannya. Juga, setelah Anda menghapusnya, pastikan tidak ada file yang tertinggal.

plugin WordPress.
Sebelum Anda menginstal lebih banyak plugin, hapus yang tidak Anda gunakan

Siapkan dan uji cadangan WordPress Anda

Bagian penting dari audit keamanan WordPress adalah memastikan Anda memiliki cadangan situs web Anda, jika terjadi kesalahan. Namun, banyak pemula lupa tentang colokan cadangan setelah mereka mengaturnya. Pencadangan pertama mungkin memakan waktu lama karena seluruh situs web Anda sedang disalin. Pencadangan berikutnya akan jauh lebih cepat karena hanya perubahan yang akan disalin. Namun, setelah beberapa saat, plugin cadangan mungkin berhenti bekerja, jadi Anda harus memastikan bahwa plugin Anda masih menyimpan cadangan Anda . Uji cadangan Anda dari waktu ke waktu, untuk memastikan semuanya beres. Dengan begitu, jika terjadi sesuatu, Anda dapat memulihkan cadangan dan situs Anda akan kembali normal.

Dua jenis situs web

Dengan mengklik halaman Pengguna dan Semua Pengguna, Anda dapat melihat semua akun pengguna. Dalam kasus pertama, jika situs Anda memerlukan pendaftaran, Anda akan dapat melihat banyak akun pengguna di sini. Jika Anda memenangkan situs web bisnis atau blog, dan situs web Anda tidak memerlukan pendaftaran, Anda mungkin hanya menemukan satu atau beberapa akun pengguna di halaman ini. Dengan situs web ini, Anda ingin pergi ke Pengaturan dan memastikan bahwa pada halaman Umum, opsi "Siapa pun dapat mendaftar" tidak dicentang. Dalam kedua kasus ini, jika Anda menemukan akun pengguna yang mencurigakan atau tidak aktif, Anda mungkin ingin menghapusnya.

Analisis akun pengguna

Anda juga harus tahu bahwa WordPress mengizinkan enam peran berbeda yang dapat Anda tetapkan untuk pengguna Anda: Pelanggan, Kontributor, Penulis, Editor, Administrator, dan Admin Super. Pastikan Anda menetapkan peran ini dengan benar, karena tidak setiap pengguna harus memiliki tingkat izin yang sama. Analisis akun pengguna dengan:

  • Memeriksa berapa banyak pengguna yang memiliki akses admin
  • Saat Anda melakukan audit keamanan WordPress, pastikan peran yang sesuai diberikan kepada pengguna
  • Memastikan Anda mengenali pengguna di halaman, dan menghapus pengguna yang tampak mencurigakan
  • Pastikan admin tidak menggunakan nama pengguna "admin" karena peretas dapat mengeksploitasi ini
Seorang penulis WordPress, peran yang tidak akan melakukan audit keamanan WordPress.
Penulis, dan peran lainnya, tidak perlu memiliki hak istimewa penuh

Anda dapat melihat bahwa nama pengguna yang jelas bukanlah ide terbaik. Untuk mengubahnya, Anda harus menghapus akun dan menyiapkan akun baru dengan hak istimewa yang sama. Karena ini adalah proses yang panjang, periksa untuk melihat apakah plugin dapat membantu Anda mengubah nama pengguna tanpa itu. Dalam hal kata sandi Anda, kata sandi yang rumit selalu lebih disukai, dan perlu diingat bahwa otorisasi dua faktor akan membuat kata sandi Anda lebih kuat. Jika Anda tidak tahu cara mengubah nama pengguna dan kata sandi WordPress, Anda akan menemukan artikel ini berguna.

Ada lebih banyak langkah yang terlibat jika Anda ingin melakukan audit keamanan WordPress yang lebih menyeluruh. Namun, ini adalah langkah utama yang harus selalu Anda sertakan dalam praktik keamanan situs web Anda. Jika Anda meluangkan waktu beberapa jam setiap kali melakukan audit, Anda akan melindungi situs web Anda dengan lebih efisien dan mencegah masalah keamanan tertentu.