RisangToko online berbasis WordPress kini semakin populer karena mudah digunakan dan fleksibel diakses dari mana saja. Namun di balik kemudahannya, ada satu hal penting yang tak boleh diabaikan yaitu keamanan. Dalam artikel ini, kami akan membahas tips untuk meningkatkan keamanan toko online WordPress Anda dari berbagai ancaman digital.
Jenis Ancaman Terhadap Toko Online
Menjaga keamanan toko adalah hal yang sangat penting. Ibarat toko offline yang tidak dijaga keamanannya, pasti maling bisa masuk kapan saja. Sama halnya dengan toko online WordPress. Kalau pengguna tidak aware dalam menjaga keamanannya, hacker dapat melakukan peretasan untuk mengambil data hingga website menjadi tidak bisa diakses.
Karena semakin berkembangnya dunia digital, semakin marak juga ancaman terhadap keamanan. Semua jenis website bisa menjadi target serangan hacker, termasuk toko online. Beberapa ancaman yang dapat terjadi menyerang toko online WordPress seperti:
1. SQL Injection
Seperti namanya, serangan ini fokus pada celah keamanan yang ada di dalam kode SQL. Penyerang umumnya akan melakukan manipulasi pada data di SQL baik itu mengedit, mengambil data, atau menghapus data di database.
Pada WordPress, serangan SQL Injection sering mengincar pada area seperti formulir login, contact form, kolom komentar, bahkan kotak pencarian di sebuah website yang tidak memiliki perlindungan memadai.
2. Bruteforce
Bruteforce adalah sebuah metode serangan yang melakukan percobaan login secara berulang untuk mendapatkan informasi password admin yang asli. Serangan ini sering terjadi pada halaman login suatu website.
Apabila perlindungan keamanan di halaman login tidak memadai, maka penyerang akan berhasil dalam melakukan pembobolan.
3. Malware atau virus
Malware atau virus yang masuk ke dalam website lambat laun akan menggerogoti isian website baik itu menghapus data, mengubah data, bahkan menambahkan data. Hal yang sering ditemukan kalau website terjangkit malware adalah tampilan website yang berubah ataupun adanya file-file aneh dengan nama random.
Tampilan website yang terkena malware bisa berubah menjadi informasi jika website di hack atau bahkan berubah menjadi halaman promosi judi online. Serangan ini dapat masuk karena memang adanya celah keamanan baik itu halaman login, kolom komentar, atau bahkan pengguna yang teledor memasang plugin atau theme bajakan.
4. DDoS attack
Serangan DDoS akan membuat website menjadi berat diakses karena dibanjiri permintaan palsu yang masuk ke server. Hasilnya website menjadi lemot dan bahkan tidak bisa diakses. Apabila Anda menggunakan layanan shared hosting, provider hosting dapat melakukan suspend terhadap akun hosting yang ditemukan terkena serangan DDoS.
Serangan ini dapat terjadi karena hacker sudah mengincar website Anda atau website Anda sudah terkena malware atau virus terlebih dahulu. Akhir-akhir ini sering ditemukan serangan DDoS yang menargetkan suatu website yang sudah terkena malware atau virus judi online.
5. Cross-site Scripting XSS
Cross-site Scripting atau XSS adalah serangan yang memanfaatkan celah keamanan website dengan tujuan untuk menyisipkan script berbahaya pada sebuah halaman website. Serangan ini umumnya akan terjadi ketika penyerang menyisipkan karakter khusus di website, namun website tidak memindai dengan bersih terkait karakter khusus tersebut.
Website menganggap karakter tersebut bagian dari program yang akan ditampilkan pada suatu halaman. Serangan XSS biasanya akan mengincar area website yang ada form input, baik itu kolom komentar, formulir pencarian, atau form login.
Serangan ini juga bisa saja terjadi pada sebuah plugin atau theme bajakan yang sengaja digunakan oleh pengguna.
Seberapa rentan WordPress tanpa perlindungan?
WordPress sebenarnya sudah cukup aman, namun jangan mengabaikan pentingnya melapisi dengan keamanan tambahan. Tanpa adanya keamanan tambahan di sebuah website, resiko peretasan akan sangat tinggi. Berikut beberapa fakta terkait kerentanan pada WordPress:
- Menurut Sophos, hampir 13.000 situs WordPress diretas setiap hari.
- Tetap menggunakan plugin & tema yang telah usang.
- Tidak melakukan update rutin.
- Website toko online menjadi sasaran empuk peretas.
- Penggunaan password yang sangat lemah seperti admin1234.
- Memilih plugin dan tema bajakan karena tergiur harga yang murah.
Dari beberapa fakta tersebut, jika pengguna sangat mengabaikan untuk melampisi keamanan tambahan. Lambat laun website toko online akan dibobol hacker. Dampak yang ditimbulkan sangat besar, seperti kebocoran data, kehilangan kepercayaan pelanggan, reputasi toko menjadi rusak, hingga kerugian finansial.
Rekomendasi Plugin keamanan untuk WordPress
Untuk meningkatkan keamanan toko online berbasis WordPress, Anda dapat memanfaatkan plugin keamanan yang saat ini sudah banyak tersedia. Berikut beberapa plugin keamanan yang bisa dipertimbangkan.
1. All In One WP Security & Firewall
Plugin keamanan pertama yang bisa dipertimbangkan adalah All In One WP Security & Firewall. Plugin ini menawarkan fitur dasar keamanan yang powerful, seperti:
- Firewall dasar.
- Perlindungan brute force.
- Perlindungan tambahan akses halaman login.
- Mendeteksi perubahan file.
- Blacklist IP.
Interface yang diberikan sangat sederhana sehingga memudahkan untuk digunakan. Plugin ini bisa langsung digunakan dalam versi free. Selain itu, plugin ini juga ringan untuk digunakan, sehingga tidak memakan begitu banyak resource dalam hosting.
2. Sucuri Security
Plugin keamanan selanjutnya adalah Sucuri Security. Plugin ini dapat langsung digunakan dalam versi free. Apabila sudah cocok dan ingin menambah fitur, maka dapat melakukan upgrade ke versi pro. Fitur unggulan yang ditawarkan plugin ini seperti
- Malware scanning.
- Blacklist monitoring.
- Notifikasi security.
- Perlindungan firewall (WAF).
- Dapat mengaudit aktivitas keamanan di WordPress.
- Monitoring pada file terkait perubahan tanpa izin.
Untuk detail informasi dan cara install, dapat Anda baca dengan klik di sini.
3. Solid Security
Solid Security dahulu memiliki nama iThemes Security. Plugin keamanan ini juga dapat diandalkan. Plugin ini juga memberikan fitur keamanan unggulan seperti:
- Perlindungan brute force.
- Mendeteksi perubahan file.
- Backup database.
- Tambahan keamanan login.
- Site scanner.
Plugin tersedia dalam versi free dan paid, untuk versi free sudah memberikan fitur keamanan dasar yang langsung dapat digunakan.
4. Wordfence Security
Wordfence Security adalah plugin keamanan WordPress yang memang dirancang untuk melindungi website dari berbagai serangan cyber seperti bruteforce, malware atau virus, dan serangan cyber lainnya. Plugin ini sudah digunakan lebih dari 5 juta pengguna WordPress.
Plugin ini tersedia dalam versi free dan berbayar, namun pada versi gratisnya sudah dapat memberikan perlindungan dasar yang cukup aman untuk website Anda. Fitur unggulan yang ditawarkan seperti
- Pemindaian malware.
- Perlindungan tambahan login.
- Penjadwalan scan malware otomatis.
- Real-Time Threat Intelligence.
- Blacklist IP.
- Dapat digunakan untuk multisite.
Untuk detail informasi fitur dan cara install, dapat Anda baca dengan klik di sini.
5. MalCare
Plugin terakhir yang bisa dipertimbangkan adalah MalCare. Plugin ini sudah digunakan lebih dari 200 ribu pengguna aktif dan baru-baru ini mendapatkan popularitas di komunitas WordPress.
Pemindaian yang dilakukan plugin ini sangat mendalam dan dapat dilakukan secara otomatis. Plugin ini dapat langsung digunakan dalam versi free, namun fiturnya yang diberikan sebatas scan malware. Fitur unggulan yang ditawarkan plugin ini seperti:
- Deep scanning untuk malware.
- Penjadwalan scan secara otomatis.
- Perlindungan halaman login.
- Penghapusan malware dalam satu klik.
- Blacklist IP.
- Menyediakan log aktivitas.
- Pemantauan dan peringatan secara real time.
Tips Meningkatkan Keamanan Toko Online
Selain mengandalkan plugin, berikut beberapa informasi tips yang dapat digunakan untuk meningkatkan keamanan toko online khususnya yang berbasis WordPress.
1. Gunakanlah password kuat
Tips pertama untuk meningkatkan keamanan toko online berbasis WordPress adalah menggunakan password yang kuat. Password seringkali diabaikan oleh pengguna, padahal merupakan bagian yang krusial. Jangan gunakan password yang lemah dan mudah ditebak seperti tanggal lahir atau nama.
Gunakanlah kombinasi huruf besar, huruf kecil, angka, dan simbol. Usahakan panjang password lebih dari 8 karakter. Anda juga bisa memanfaatkan situs password generator untuk memberikan informasi password random yang kuat.
2. Memasang Two-Factor Authentication (2FA)
2FA ibaratnya kunci ganda untuk keamanan login. Sehingga setelah memasukkan password utama, masih terdapat halaman tambahan yang digunakan untuk melakukan verifikasi login. 2FA umumnya berupa kombinasi angka acak yang akan direset setiap menit. Detail cara melakukan setting 2FA di WordPress dapat dibaca di sini.
3. Melakukan update
Apabila sudah muncul notifikasi update versi baik itu WordPress, plugin hingga tema. Janganlah menunda untuk melakukan update version. Usahakanlah untuk segera melakukan update versi. Biasanya pengembang memberikan update untuk menambah celah keamanan dari versi sebelumnya.
4. Jangan gunakan versi bajakan
Tips selanjutnya untuk meningkatkan keamanan toko online berbasis WordPress adalah tidak menggunakan plugin atau theme nulled. Jangan tergiur oleh versi murah dari plugin atau tema premium. Apalagi jika market yang menyediakan tidak kredibel.
Versi premium bajakan atau nulled umumnya sudah dilakukan modifikasi bahkan sudah dimasukkan script berbahaya berupa malware. Jika memerlukan versi Pro, pastikan membeli dari situs resmi. Walau harganya relatif lebih mahal, namun keamanan menjadi yang paling utama.
BACA JUGA: Bahaya Menggunakan Theme dan Plugin Nulled
5. Menghapus plugin atau tema yang tidak dipakai
Jika ada plugin atau tema yang sudah tidak digunakan, segeralah untuk melakukan penghapusan. Karena plugin yang tidak digunakan biasanya akan terabaikan terutama dari segi update versi. Hal ini dapat membuat celah keamanan menjadi lebar.
6. Batasi percobaan login
Sama seperti 2fa, gunakanlah batasan percobaan login. Hal ini dapat berguna untuk membatasi serangan brute force. Anda juga dapat memberikan tambahan HTTP authentication. Fitur ini akan menampilkan pop up login pada halaman yang di setting.
7. Backup rutin
Tips meningkatkan keamanan toko online yang terakhir adalah membuat backup rutin. Membuat backup adalah hal yang sering diabaikan oleh pengguna. Banyak pengguna yang hanya mengandalkan fasilitas backup mingguan penyedia hosting. Lebih baik jika pengguna juga rutin melakukan backup pada website.
Tentunya pengguna dapat lebih leluasa melakukan rutin backup setiap hari, per 3 hari, atau bahkan per minggu. Backup menjadi hal yang penting, karena tidak ada yang mengetahui kapan website tiba-tiba terkena hack.
Apa yang Harus Dilakukan Jika Website Sudah Diretas?
Lalu bagaimana jika website sudah terlanjur diretas? Jangan panik! Masih ada langkah-langkah yang bisa Anda lakukan untuk menyelamatkan kembali website Anda.
1. Lakukan fresh upgrade
Fresh upgrade adalah cara untuk membersihkan malware dengan mereplace file WordPress. Untuk melakukan ini harus berhati-hati agar tidak menimpa folder wp-content dan file wp-config.
Lakukan backup terlebih dahulu jika ingin menggunakan langkah ini. Tampilan website dapat berubah, namun nantinya dapat Anda sesuaikan kembali setelah pembersihan selesai dilakukan.
2. Ganti password
Segeralah melakukan perubahan password, baik itu password login admin WordPress, password panel hosting yang digunakan, serta password admin database. Pastikan menggunakan kombinasi password kuat.
3. Melakukan scan file
Anda dapat memanfaatkan plugin keamanan untuk melakukan scan file website secara menyeluruh. Anda juga dapat memanfaatkan fitur scan apabila layanan hosting yang digunakan terdapat fitur tersebut. Setelah mendapatkan hasil, segeralah melakukan pembersihan pada file yang terinfeksi malware.
4. Melakukan restore
Apabila kerusakannya sudah parah, silakan lakukan restore data menggunakan backup yang Anda miliki. Setelah proses restore selesai, silakan melakukan audit ulang untuk memindai file-file yang terinfeksi malware. Karena bisa saja file yang di restore ada benih-benih malware yang sudah ada sejak beberapa hari atau beberapa minggu sebelumnya.
5. Periksa file secara manual
Jika memiliki pengetahuan teknis, Anda dapat melakukan pengecekan file secara manual untuk mencari file-file tersembunyi yang terinfeksi.
6. Memeriksa reputasi website
Setelah melakukan pembersihan, Anda bisa memanfaatkan tools online seperti Google Search Console, URLVoid, atau tools online lainnya. Periksalah juga halaman pencarian google, apabila ada hasil index konten malware. Segeralah melakukan request remove url melalui Google Search Console.
Penutup
Meningkatkan Keamanan toko online menjadi hal yang sangat penting dilakukan. Jangan pernah mengabaikannya. Dengan langkah-langkah keamanan yang tepat akan membuat website toko online menjadi lebih aman dan nyaman baik untuk pemilik dan pelanggan.
Di Rumahweb, kami menyediakan hosting yang aman untuk toko online Anda, lengkap dengan fitur SSL gratis, malware detection by Monarx, webShield protection, hingga Firewall dari sisi server. Semua ini dirancang untuk membantu melindungi toko online Anda dari berbagai ancaman digital.
Namun, keamanan toko online tidak hanya bergantung pada fitur hosting, peran aktif pengguna dalam menerapkan langkah-langkah keamanan tambahan juga sangat penting untuk memastikan perlindungan yang optimal.
Demikian artikel kami tentang meningkatkan keamanan toko online berbasis WordPress, semoga bermanfaat.
