Bagaimana Mencegah Hacking pada WordPress

mencegah hacking pada wordpress

Mencegah Hacking pada WordPress merupakan hal patutnya dilakukan untuk pemilik website. Beberapa orang mungkin sudah cukup familiar atau pernah mendengar kasus penyerangan/peretasan terhadap website yang ada di internet. Sebagian besar penyerang mempunyai motif untuk mencuri data Anda atau merusak situs web Anda.

Attacker dapat memanfaatkan server Anda sebagai relay spam email, atau menyisipkan file yang bersifat ilegal. Bahkan beberapa kasus diluar, penyerang website dapat memanfaatkan server sebagai penambang Bitcoin dan bisa terkena virus Ransomware.

Peretasan biasanya dapat dilakukan dengan skrip otomatis yang telah dibuat attacker untuk menjelajahi Internet dalam upaya untuk mengeksploitasi masalah keamanan situs web yang tersebar. Pada artikel kali ini kami ingin memberi 10 kiat yang dapat Anda lakukan untuk membantu menjaga Anda dan situs Anda tetap aman saat online.

Bagaimana Mencegah Hacking pada Website WordPress

1. Selalu update software/plugin

Tips satu ini mungkin sudah biasa, tetapi memastikan semua perangkat lunak yang Anda gunakan selalu update sangat penting dalam menjaga keamanan situs Anda. Hal ini jg berlaku untuk sistem operasi server dan perangkat lunak apa pun yang mungkin Anda jalankan di situs web Anda seperti CMS atau forum. Ketika lubang keamanan situs web ditemukan dalam perangkat lunak, peretas akan dengan senang hati mencoba menyalahgunakannya.

Jika Anda menggunakan penyedia layanan hosting yang dikelola, jangan khawatir tentang hal ini karena biasanya keamanan sistem operasi dari perusahaan penyedia hosting sudah mengurus hal ini.

Jika Anda menggunakan perangkat lunak pihak ketiga di situs web Anda seperti CMS atau forum, Anda harus memastikan Anda cepat menerapkan patch keamanan apa pun. Sebagian besar vendor seperti WordPress, Umbraco, dan banyak CMS lainnya memberi tahu Anda tentang pembaruan sistem yang Anda gunakan.

2. Injeksi SQL

Serangan SQL injection adalah teknik penyerangan yang menggunakan formulir web atau parameter URL dari website pemilik untuk mendapatkan akses ke atau memanipulasi database Anda. Ketika Anda menggunakan Query SQL standar, mudah untuk secara tidak sengaja memasukkan kode jahat ke dalam kueri Anda yang dapat digunakan untuk mengubah tabel, mendapatkan informasi, dan menghapus data. Anda dapat dengan mudah mencegah hal ini dengan menggunakan query parameter, sebagian besar bahasa web memiliki fitur ini dan mudah diterapkan.

3. Cross-site scripting (XSS)

Cross-site scripting (XSS) menyerang dengan menyuntikkan JavaScript berbahaya ke dalam halaman Anda. Yang kemudian berjalan di browser pengguna Anda, dan dapat mengubah konten halaman, atau mencuri informasi untuk dikirim kembali ke penyerang. Misalnya, jika Anda menampilkan komentar pada halaman tanpa validasi, maka penyerang dapat mengirimkan komentar yang berisi tag skrip dan JavaScript. Yang dapat berjalan di setiap browser pengguna lain dan mencuri cookie login mereka. Memungkinkan serangan untuk mengambil kendali akun setiap pengguna yang melihat komentar. Anda perlu memastikan bahwa pengguna tidak dapat menyuntikkan konten JavaScript aktif ke halaman Anda.

Ini adalah issue yang menjadi perhatian khusus dalam aplikasi web modern, dimana halaman sekarang dibangun terutama dari konten pengguna. Dan yang dalam banyak kasus menghasilkan HTML yang kemudian juga ditafsirkan oleh kerangka kerja front-end seperti Angular and Ember. Kerangka kerja ini menyediakan banyak perlindungan XSS, tetapi mencampur perenderan server dan klien menciptakan jalur serangan baru dan lebih rumit juga. Tidak hanya menyuntikkan JavaScript ke HTML yang efektif, tetapi Anda juga dapat menyuntikkan konten yang akan menjalankan kode dengan memasukkan arahan Sudut, atau menggunakan Ember pembantu.

4.Cek bahwa file atau permission folder anda sudah secure

Melalui File Manager, pastikan permission/hak akses dari folder dan file Anda sudah sesuai penggunaannya. 755 untuk folder, dan 644 untuk file. Apabila anda mendapatkan permission seperti 777 dan 666 yang berarti world-writable, Anda patut mencurigainya. Segera mungkin untuk melakukan pengecekan karena di sanalah area dimana penyerang bisa mengacak halaman tersebut dengan mudah.

5. Validasi sisi server / formulir validasi

Validasi dalam formulir harus selalu dilakukan baik di sisi browser dan server. Browser dapat mengoreksi kegagalan yang ada ketika Anda memasukkan teks ke dalam formulir yang tidak boleh kosong. Namun ini dapat dilewati, Anda harus memastikan bahwa formulir harus tervalidasi di sisi browser dan di sisi server. Terdengar sepele tapi hal ini dapat menyebabkan kode berbahaya atau kode scripting dimasukkan ke dalam database atau dapat menyebabkan hasil yang tidak diinginkan di situs web Anda.

6. Kata Sandi

Semua orang pembuatan kata sandi harus menggunakan kata sandi yang rumit, tetapi tidak banyak orang yang cukup peduli hal itu. Sangat penting untuk menggunakan kata sandi yang kuat di area admin server dan situs web Anda. Tetapi juga penting untuk menuntut praktik kata sandi yang baik bagi pengguna Anda untuk melindungi keamanan akun mereka.

Sebaiknya pengguna mempraktikan penggunaan kata sandi dengan mensyaratkan minimum delapan karakter, termasuk huruf besar dan nomor akan membantu melindungi informasi mereka kedepannya.

Kata sandi harus selalu disimpan dalam format terenkripsi, sebaiknya menggunakan algoritma hashing satu arah seperti SHA. Menggunakan metode ini berarti ketika Anda mengautentikasi pengguna, Anda hanya pernah membandingkan password yang terenkripsi.

7. HTTPS

HTTPS adalah protokol yang digunakan untuk memberikan keamanan dalam mengakses Internet. HTTPS menjamin Anda / pengguna bahwa mereka berbicara dengan server yang terpercaya, dan tidak ada orang lain yang dapat mencegat atau mengubah konten yang mereka lihat saat transit.

Jika Anda memiliki sesuatu yang mungkin diinginkan oleh pengguna Anda, sangat disarankan untuk hanya menggunakan HTTPS untuk mengirimkannya. Itu tentu saja berarti kartu kredit dan halaman login (dan URL yang mereka serahkan) tetapi biasanya jauh lebih banyak dari situs Anda juga. Formulir login sering mengatur cookie misalnya, yang dikirim dengan setiap permintaan lain ke situs Anda yang dibuat oleh pengguna yang masuk, dan digunakan untuk mengautentikasi permintaan tersebut. Penyerang yang mencuri ini akan dapat meniru seorang pengguna dan mengambil alih sesi login mereka. Untuk mencegah serangan semacam ini, Anda memang seharusnya menggunakan HTTPS untuk keamanan situs Anda.

Untuk mempraktikan perlindungan HTTPS, sudah ada Let’s Encrypt yang menyediakan sertifikat gratis dan otomatis, yang Anda perlukan untuk mengaktifkan HTTPS. Khususnya Google telah menyarankan bahwa jika Anda menggunakan HTTPS, dapat memberikan manfaat SEO terhadap website Anda juga.

8. Alat / Tools keamanan situs web

Setelah Anda berpikir Anda telah melakukan semua yang Anda bisa maka saatnya untuk menguji keamanan situs web Anda. Cara paling efektif untuk melakukan tips ini adalah melalui penggunaan alat keamanan situs web, yang bisa disebut pengujian penetrasi atau penetration testing untuk jangka pendek.

Ada banyak produk komersial dan gratis yang bisa Anda coba. Pada dasarnya cara kerja tools ini mirip dengan skrip yang akan digunakan oleh peretas. Untuk menguji semua eksploit dan mencoba untuk menyusupi situs Anda menggunakan beberapa metode yang disebutkan sebelumnya seperti injeksi SQL.

Beberapa alat gratis yang layak untuk dilihat: Netsparker, OpenVAS, WireShark dll.

 

Semoga artikel Mencegah Hacking pada Website WordPress kali ini bisa membantu Anda dalam menjaga situs dan informasi di website Anda tetap aman. Umumnya, sebagian besar CMS memiliki banyak fitur keamanan situs web yang sudah tersedia. Tetapi dengan memiliki pengetahuan tentang eksploitasi keamanan yang paling umum yang kami sebutkan tadi dapat memastikan bahwa Anda telah mengetahui apa yang seharusnya Anda lakukan.

One thought on “Bagaimana Mencegah Hacking pada WordPress

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *