Para pemula mungkin ingin tahu kenapa situs WordPress terkena hack? Akan cukup merepotkan bila situs WordPress Anda terkena hack. Di artikel kali ini, kita akan mencari tahu beberapa penyebab utama kenapa situs WordPress terkena hack, agar Anda bisa menghindari hal ini dan melindungi situs Anda.
Kenapa WordPress menjadi target para hacker?
Pertama, bukan hanya WordPress. Semua website di internet rentan terhadap percobaan hack.
Alasan kenapa situs WordPress menjadi target utama, karena WordPress merupakan website builder paling populer di dunia. WordPress digunakan oleh lebih dari 31 persen website.
Popularitas ini memberi hacker cara mudah untuk menemukan website yang kurang aman, untuk bisa mereka eksploitasi.
Hacker memiliki berbagai motif untuk me-hack sebuah website. Beberapa adalah pemula yang sedang belajar mengeksploitasi situs yang kurang aman.
Beberapa hacker memiliki niat jahat seperti membagikan virus, menggunakan situs untuk menyerang website lain, atau menyebarkan spam di internet.
Berikut ini beberapa penyebab utama situs WordPress mengalami hack dan cara mencegah website terkena hack.
Web hosting yang tidak aman
Seperti semua website, situs WordPress di-host di server web. Beberapa perusahaan hosting tidak dengan baik mengamankan platform hosting mereka. Ini membuat semua website yang di-host di server rentan terhadap percobaan hack.
Ini bisa dengan mudah dihindari dengan memilih penyedia hosting WordPress terbaik untuk website Anda. Ini memastikan situs Anda di-host pada platform yang aman. Server yang aman bisa memblokir serangan paling umum pada sitsu WordPress.
Menggunakan kata sandi yang lemah
Kata sandi adalah kunci untuk situs WordPress Anda. Anda perlu pastikan Anda menggunakan kata sandi yang kuat dan unik untuk tiap akun berikut karena dapat memberi hacker akses ke website Anda:
- Akun admin WordPress
- Akun control panel web hosting
- Akun FTP
- Database MySQL yang digunakan untuk situs WordPress Anda
- Akun email yang digunakan untuk admin WordPress atau akun hosting.
semu akun ini dilindungi oleh kata sandi. Menggunakan kata sandi yang lemah memberi kemudahan pada hacker untuk melacak kata sandi menggunakan beberapa tool hacking dasar.
Anda bisa dengan mudah menghindari ini dengan menggunakan kata sandi yang unik dan kuat untuk tiap akun.
Akses yang tidak terlindungi ke admin WordPress (wp-admin directory)
Admin area WordPress memberi pengguna akses untuk melakukan berbagai tugas pada situs WordPress. Admin area juga yang paling umum diserang di situs WordPress.
Membiarkannya tanpa perlindungan memudahkan hacker melakukan pendekatan berbeda untuk merusak website Anda. Anda bisa membuat mereka sulit dengan menambahkan lapisan otentikasi ke admin directory WordPress Anda.
Pertama Anda membutuhkan kata sandi untuk melindungi admin area WordPress. Ini menambah lapisan pengamanan tambahan, dan siapa saja yang mencoba mengakses admin WordPress harus menyediakan kata sandi tambahan.
Bila Anda menjalankan situs WordPress multi-author atau multi-user, maka Anda bisa gunakan kata sandi yang kuat untuk semua pengguna di situs Anda. Anda bisa juga tambahkan otentikasi dua faktor untuk membuat hacker lebih sulit masuk ke admin area WordPress Anda.
File permission yang tidak tepat
File permission adalah sejumlah aturan yang digunakan oleh web server. Permission ini membantu web server mengontrol akses ke file di dalam situs. File permission yang tidak tepat bisa menyediakan akses ke hacker untuk menulis dan mengubah file ini.
Semua file WordPress Anda harus punya nilai 644 sebagai file permission. Semua folder di situs WordPress harus punya 755 sebagai file permission.
Tidak mengupdate WordPress
Beberapa pengguna WordPress takut mengupdate situs WordPress mereka. Mereka takut melakukan ini akan merusak website.
Tiap versi baru WordPress mengatasi bugs dan kerentanan keamanan. Bila Anda tidak mengupdate WordPress, maka Anda dengan sengaja membiarkan situs rentan keamanannya.
Bila Anda takut mengupdate situs akan merusak website, maka Anda bisa ciptakan backup WordPress lengkap sebelum menjalankan update. Dengan begitu, bila ada sesuatu yang tidak berfungsi, maka Anda bisa dengan mudah kembali ke versi sebelumnya.
Tidak mengupdate plugin atau tema
Seperti halnya software WordPress utama, mengupdate tema dan plugin sama pentingnya. Menggunakan plugin atau tema yang kadaluarsa bisa membuat situs rentan keamanannya.
Masalah keamanan dan bugs sering ditemukan pada plugin dan tema WordPress. Biasanya tema dan plugin bisa dengan cepat diperbaiki. Tapi bila pengguna tidak mengupdate tema atau plugin, maka tak ada yang bisa dilakukan.
Pastikan untuk selalu menjaga tema dan plugin WordPress Anda tetap update.
Menggunakan FTP bukan SFTP/SSH
Akun FTP digunakan untuk mengupload file ke web server dengan menggunakan FTP client. Kebanyakan penyedia hosting mendukung koneksi FTP menggunakan protokol berbeda. Anda bisa terhubung menggunakan FTP, SFTP atau SSH.
Ketika Anda terhubung ke situs menggunakan plain FTP, kata sandi terkirim ke server tanpa enkripsi. Ini bisa mudah dicuri. Daripada menggunakan FTP, Anda perlu selalu gunakan SFTP atau SSH.
Anda tidak perlu mengubah FTP client. Kebanyakan FTP client bisa terhubung ke website pada SFTP serta SSH. Anda hanya perlu mengubah protokol ke SFTP – SSH ketika terhubung ke website.
Menggunakan “admin” sebagai username WordPress
Menggunakan “admin” sebagai username WordPress sangat tidak dianjurkan. Bila username administrator Anda “admin” maka Anda perlu segera mengubahnya menjadi username lain.
Tema dan plugin dari sumber yang tidak terpercaya
Ada banyak website di internet yang membagikan plugin dan tema WordPress secara gratis. Kadang kita merasa tertarik menggunakannya.
Mendownload tema dan plugin WordPress dari sumber yang tidak terpercaya sangat berbahaya. Ini tidak hanya bisa mengganggu keamanan website, tapi juga bisa digunakan untuk mencuri informasi penting.
Anda harus selalu mendownload plugin dan tema WordPress dari sumber terpercaya seperti plugin dan tema dari pengembang resmi WordPress.
Bila Anda tidak bisa atau tidak mau membeli plugin atau tema premium, maka ada selalu alternatif gratis yang tersedia untuk produk tersebut. Plugin gratis ini mungkin tidak sebagus sebagus yang berbayar, tapi bisa melakukan tugasnya dan yang paling penting website Anda tetap aman.
Tidak mengamankan konfigurasi wp-config.php
Konfigurasi file wp-config.php mengandung login database rahasia. File ini bisa menunjukkan informasi yang bisa memberi hacker akses penuh di dalam website Anda.
Anda bisa tambahkan lapisan perlindungan dengan menolak akses ke wp-config.php menggunakan .htaccess. Anda hanya perlu tambahkan kode ke file .htaccess.
<files wp-config.php> order allow,deny deny from all </files> |
Semoga artikel ini membantu Anda mengetahui alasan kenapa situs WordPress bisa terkena hack.