in

Memberikan Keamanan Website eCommerce WordPress

TokoDaring.Com – Memberikan Keamanan Website eCommerce WordPress. Website memang merupakan objek sasaran empuk dari berbagai macam serangan siber.

Apalagi website toko daring atau website eCommerce. Yang sering jadi sasaran pencurian data, baik data pengguna maupun yang terkait dengan pembayaran (kartu kredit dan akun bank).

Website eCommerce WordPress, Amankah ?

Website eCommerce WordPress, Amankah

Sejak hadirnya plugin WooCommerce yang dapat mentransformasikan website atau blog WordPress menjadi website toko online.

Kami memang sering menerbitkan artikel tentang bagaimana cara membuat dan memaksimalkan website eCommerce menggunakan WordPress.

Bahkan dalam beberapa artikel yang kami terbitkan, kami sering mendorong agar pelaku usaha kecil yang ingin go digital, agar menggunakan WordPress (dan WooCommerce).

Namun tidak bisa di pungkiri, bahwa banyak sikap skeptis tentang website yang di buat menggunakan WordPress, yang katanya tidak aman.

Terlebih, banyaknya laporan yang secara quantitatif tentang serangan-serangan yang mentargetkan website berbasis WordPress.

Pertanyaannya adalah, apakah website ecommerce atau toko online yang di buat menggunaakan platform CMS WordPress itu aman dalam hal cyber security ?

Fakta tentang keamanan website WordPress yang katanya lemah.

Benarkah situs website WordPress itu terlalu lemah dalam hal keamanan ? Bahkan situs-situs sekelas NASA, Microsoft dan Apple pun bisa di retas.

Sebenarnya ada beberapa hal yang menyebabkan website berbasis WordPress di katakan lemah dalam hal security.

Meskipun faktanya sebenarnya tidak demikian. Jika kita dapat memahami atau menggunakan WordPress sesuai ‘best practices’nya. Maka menggunakan WordPress sebagai mesin bisnis eCommerce dapat sepenuhnya aman.

Dalam artikel terpisah ini, kami paparkan tentang website WordPress yang katanya tidak aman. Juga tentang keuntungan dan kekurangannya di gunakan sebagai platform daring bisnis anda.

Memberikan keamanan website eCommerce WordPress

Pada artikel ini kami paparkan tentang bagaimana cara untuk mengamankan website ecommerce WordPress dan WooCommerce pada layer pertama.

Maksudnya pada tahap yang paling awal ketika anda baru saja membuat website. Artinya ini bukan satu-satunya cara untuk mengamankan website ecommerce WordPress anda.

Tentu masih ada langkah pada layer berikutnya untuk benar-benar membuat website anda aman.

Mengamankan website ecommerce WordPress

Banyak hal dan cara yang bisa dilakukan untuk memberikan keamanan website eCommerce berbasis WordPress.

Mulai dari faktor eksternal, penggunaan layanan atau software, bahkan kebiasaan-kebiasaan atau perilaku kita sendiri ketika memanage website ecommerce.

Gunakan layanan hosting yang kredibel

Memilih hosting yang tepat bisa menjadi langkah awal yang kuat untuk melindungi website eCommerce anda.

Hosting adalah rumah bagi file-file dan script eCommerce anda di simpan dan di jalankan. Seharusnya anda mempercayakan hosting website pada perusahaan yang kredibel.

Kenapa ? karena ternyata banyak juga layanan hosting yang ternyata di jalankan secara individu dengan ‘kemampuan’ seadanya. Namun di bungkus dengan label atau bahasa-bahasa promosi yang tinggi.

Coba cari tau dulu tentang perusahaan hosting yang akan di gunakan. Lihat profil perusahaannya, dan jangan tergiur dengan kata-kata manis dari satu suara si hosting itu sendiri.

Mungkin ada testimoni atau komentar dari para penggunanya yang sudah eksis. Jaman seperti saat ini, teknologi memang semakin murah.

Tapi jangan juga pilih yang murahan. Pilihlah yang berkualitas dan memiliki track record yang bagus.

Perusahaan hosting yang kredibel tentu ‘mempersenjatai’ infrastrukturnya dengan software dan hardware di level enterprise.

Penggunaan perangkat level enterprise secara langsung akan berpengaruh juga terhadap keamanan website anda.

Jangan gunakan tema dan plugin hasil crack (Nulled themes / nulled plugins)

Yang harus di hindari adalah jangan gunakan tema “Nulled”.

Nulled theme biasanya adalah tema WordPress premium dengan banyak fitur. Namun di jual oleh oknum tak bertanggung jawab dengan harga murah karena hasil dari crack tersebut.

Sesaat setelah melakukan instalasi WordPress, maka anda akan memilih tema yang akan di gunakan sebagai canvas desain website eCommerce anda.

Lalu anda juga akan menginstall plugin untuk mendukung dan memperluas kemampuan dan fitur website bisnis online.

Memilih tema atau plugin gratis juga tidak ada salahnya. Tapi cari tau tentang profil pengembangnya. Pengembang tema yang terpercaya mengeluarkan tema versi gratis sebagai bagian dari tema premium itu sendiri.

Ketika anda memutuskan untuk memulai bisnis online menggunakan WordPress, seharusnya terdapat anggaran untuk belanja software.

Maka gunakan anggaran tersebut untuk membeli tema dan plugin keamanan versi premium dari pengembang terpercaya untuk perlindungan yang lebih maksimal.

Tema atau plugin yang di keluarkan dari pengembang terpercaya biasanya di maintain secara baik, yaitu dengan selalu memperbarui versi dan patch secara rutin.

Tidak membelanjakan modal yang sudah di anggarkan bisa jadi satu hal yang dapat membuat bisnis anda tidak berkembang.

Untuk melindungi website ecommerce, maka pastikan untuk tidak menggunakan tema “Nulled”.

Nulled theme biasanya adalah tema WordPress premium dengan banyak fitur. Namun di jual oleh oknum tak bertanggung jawab dengan harga murah karena hasil dari crack tersebut.

Instal plugin keamanan

Penggunaan plugin yang terlampau banyak pada website ecommerce WordPress memang membuat website anda menjadi “gendut”.

Namun bukan berarti anda melewatkan atau tidak menginstal plugin keamanan. Plugin keamanan seharusnya masuk dalam daftar plugin yang harus anda pasang pada awal-awal platform online anda berjalan.

Anda juga seharusnya menggunakan plugin keamanan versi premium. Silahkan anda cari referensi tentang plugin keamanan yang memberikan fitur komplit dan cocok pada model bisnis ecommerce anda.

Biasanya ada saat di mana anda harus membayar setiap tahun (recurring payment) atau sekali bayar untuk pemakaian tak terbatas.

Yang pasti plugin kemanan versi berbayar bisa membantu mengamankan website ecommerce anda dan membuat perlindungan bahkan ketika anda sedang tertidur.

Gunakan strong password dan verifikasi dua langkah

Tinggalkan kebiasaaan 20 tahun lalu dimana anda membuat password berdasarkan tanggal jadian anda dengan sang pacar, misalnya joni081217.

Buatlah password yang anda sendiripun akan sulit dan malas untuk mengetikannya. Anda boleh atau tidak menggunakan password generator untuk membuat password. Tapi paling tidak lebihi standar membuat password.

Jika standarnya anda harus memasukan sedikitnya 8 karakter kombinasi huruf besar, huruf kecil, simbol dan angka. Maka buatlah 12 atau 16 karakter.

WordPress juga memungkinkan anda untuk menambahkan verifikasi dua langkah melalui nomor handphone. Maka aktifkan atau gunakan fitur tersebut.

Ubah password secara rutin

Mengubah password secara rutin juga merupakan cara memberikan keamanan website ecommerce .

Mengubah password secara rutin juga bukanlah hal yang sulit karena anda bisa melakukannya langsung dari dashboard admin pada menu my profile dengan cara generate password.

Apalagi jika anda pernah berurusan dengan tim support tema atau plugin saat memperbaiki tema atau plugin yang bermasalah.

Untuk hal yang sulit diatasi biasanya tim support meminta supaya diberikan login info dengan hak akses yang tinggi.

Selalu update versi WordPress, tema dan plugin

Sama sekali tidak ada alasan untuk menunda apalagi tidak mengupdate versi WordPress. Salah satu alasan kenapa WordPress sering menjadi target serangan adalah karena populasinya yang besar. Lebih dari 40% website di seluruh dunia, ternyata di buat menggunakan WordPress.

Namun hal yang menyenangkan adalah WordPress di dukung oleh komunitas yang juga besar. beberapa organisasi mereka secara sukarela bekerja mencari “lubang- lubang yang terbuka” yang dapat dieksploitasi. Lalu menutup dan memperbaiki lubang tersebut untuk diperbaiki.

Perbaikan atau patch itulah yang dikirim untuk di update ke user masing-masing untuk diupdate.

Desain dan kemampuan website eCommerce WordPress anda secara umum akan terdiri dari Core WordPress, tema dan plugin atau ekstension.

Setiap hari akan selalu ada ribuan bahkan jutaan percobaan exploitasi pada lubang-lubang yang terbuka dan menyasar pada tiga komponen tersebut. Maka, jangan tunda juga update tema website dan plugin yang anda gunakan.

Jika anda menggunakan tema atau plugin dan tidak pernah lagi mendapatkan dukungan update (abandoned). Maka segera cari dan gunakan tema atau plugin lain.

Apa itu abandoned theme atau abandoned plugin ? yaitu tema atau plugin di mana pihak pengembanya tidak memperbarui kode rilis apapun selama lebih dari 2 tahun.

Itu berarti tidak ada perbaikan bug, atau penyesuaian pada versi core WordPress atau pada platform PHP itu sendiri.

mengamankan website ecommerce

Melalui halaman theme atau plugin repository WordPress.org, anda bisa melihat rutinitas update tema dan plugin yang anda gunakan.

Juga apakah tema dan plugin tersebut kompatibel pada versi WordPress terbaru ?

Tidak ada salahnya juga untuk melihat review, jumlah download dan instalaso aktif nya. Lihat juga testimoni atau komen dari para pengguna yang lain.

Jika dalam dua atau lebih major update core WordPress, sedangkan tema atau plugin tersebut belum mengeluarkan update, maka akan ada notice berupa :

“This plugin hasn’t been tested with the latest 3 major releases of WordPress. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress”.

Pengembang tema dan plugin yang terpercaya akan menyesuaikan produknya pada setiap versi baru WordPress di rilis.

Berikut adalah cara lainnya untuk melindungi website ecommerce WordPress

Ada cara-cara lainnya untuk mengamankan dan melindungi website ecommerce anda. Langkah ini masih dalam kategori pengamanan layer pertama. Namun sedikit teknikal, dimana ada perintah-perintah directive yang perlu di tambahkan ke dalam file instalasi WordPress.

Cara ini di yakini mampu untuk memperkeras dan melindungi website ecommerce WordPress :

Mengubah hal-hal yang biasa (ganti username dan URL login)

Kebiasaan seringkali dijadikan acuan atau tebakan bagi para orang-orang yang jahil untuk melakukan serangan.

Dari serangan yang sifatnya ringan (spam), sedang (redirect) hingga serangan deface bahkan mengambil alih website.

Maka dari itu ubahlah hal-hal yang biasa menjadi hal yang tidak biasa hingga orang sulit menebaknya, misalnya :

Mengganti username login

Ada dua username yang bisa digunakan untuk masuk ke dashboard admin WordPress, yaitu alamat email dan username yang anda pilih.

Username yang bersifat biasa dan mudah di tebak adalah sebagai berikut :

  • Admin.
  • Root.
  • Alamat email.
  • Dan lain-lain yang mudah di tebak.

Nama-nama user seperti di atas sudah sangat umum. Metode serangan brute force akan sangat mudah mentarget dan menebak string username tersebut. Maka segera ganti jika misalnya anda masih mengunakannya.

Ganti URL login dan URL dashboard

Secara default URL login dan dashboard admin adalah sebagai berikut. Carikan dan ganti dengan path lain yang anda kehendaki dan itu akan mengamankan website ecommerce WordPress anda.

  • Login : //domain.com/wp-login.php
  • Register : //domain.com/wp-login.php?action=register
  • Dashboard admin : //domain.com/wp-admin/

Cek artikel ini untuk melihat cara mengganti masing-masing URL, mengganti URL login WordPress tanpa plugin.

Batasi percobaan login

Setelah mengganti halaman URL login dan registrasi, anda mungkin perlu juga membatasi login yang dilakukan berkali-kali.

Cara ini buan hanya dapat meminimalisir, tapi juga benar-benar dapat melindungi website ecommerce dari model serangan brute force attack.

Kita tau bahwa metode serangan brute force attack adalah dengan melakukan beberapa kali percobaan secara acak.

Memasang atau menambahkan captcha dan JS challenge

Memasang captcha, baik yang anda buat sendiri atau menggunakan google captcha yang lebih simple. Captcha mampu membantu sites website anda menangkis spam atau kunjungan para ‘bot’.

Provider hosting anda, mungkin memiliki fitur “under attack”. Aktifkan fitur tersebut segera ketika anda melihat banyaknya percobaan login atau komentar yang masuk yang di rasa di lakukan oleh bot.

Artikel yang kami tulis ini menjelaskan bagaimana cara memasang captcha di website WordPress.

Melindungi folder dan file penting WordPress

Tiga cara berikutnya untuk melindungi website ecommerce, meminta anda untuk menyentuh dan mengubah file atau script pemrograman WordPress anda.

Menambahkan keamanan pada folder wp-include

Di dalam direktori website, terdapat sebuah folder dengan nama wp-include. Folder tersebut berisi sekumpulan file yang seharusnya tidak boleh diakses oleh orang yang tidak berkepentingan.

Hanya anda atau tim yang memiliki hak dan dapat mengakses folder dan file tersebut. Untuk melindungi file-file di folder wp-include, tambahkan kode perintah berikut ke dalam file .htaccess.

 # Melindungi folder wp-include
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]
 </IfModule>

Menambahkan keamanan pada file wp-config.php

File wp-config.php juga merupakan file krusial yang harus terlindungi karena berisi data-data yang sensitive. Seperti

Untuk menambahkan keamanan tersebut, tambahkan beberapa baris kode berikut ke dalam file .htaccess.

 # Melindungi file wp-config.php
 <files wp-config.php>
 order allow,deny
 deny from all
 </files>

Anda juga dapat memindahkan file wp-config.php ke folder lain di dalam instalasi WordPress, namun anda harus melakukan cek ulang setiap kali terdapat update.

Menon-aktifkan menu edit setiap file editor

Dari dashboard admin, terdapat menu theme editor dan plugin editor. Jika di biarkan terbuka, theme dan plugin editor tersebut mungkin bisa menjadi celah dan di akses oleh orang yang tidak bertanggung jawab.

Untuk menutup akses file editor tersebut, tambahkan sebaris kode berikut ke dalam file wp-config.php. Pastikan anda menambahkannya setelah tag <?php.

define('DISALLOW_FILE_EDIT', true);

Beberapa cara yang kami rangkum di atas untuk melindungi website ecommerce anda memang tidak membuat website ecommerce anda menjadi kebal dan aman 100%.

Tapi ketika itu semua bisa di kombinasikan, di percaya dapat melindungi website ecommerce dalam level yang signifikan.

Tapi masih belum benar-benar aman, apalagi yang mesti di lakukan

Pada level yang lebih tinggi, kami menyarankan agar anda bermitra dengan layanan-layanan yang terkait dengan perlindungan website. Atau layanan keamanan yang mengkhususkan pada layanan berbasis WordPress lainnya.

Tidak murah memang, paling tidak ada biaya yang musti anda kocek hingga 2 juta sampai dengan 5 juta setiap bulannya.

Tapi dengan mengetahui apa saja yang menjadi trend ancaman keamanan website eCommerce, maka anda selangkah lebih mau ketika harus mencari cara untuk mencegahnya.

Written by TokoDaring

TokoDaring.Com - 'Majalah' online (online publishing),  sumber dan referensi teknis untuk membangun dan memaksimalkan performa bisnis toko online. Optimizing your store!

hal yang membuat usaha anda jalan di tempat

Hal Yang Membuat Usaha Anda Jalan Di Tempat

website ecommerce wordpress amankah

Website eCommerce WordPress, Amankah ?