Saat ini banyak toko online di Indonesia yang memanfaatkan plugin WooCommerce  untuk membuat toko online berbasis Content Management System (CMS) WordPress. Mulai dari level perseorangan, UMKM, hingga perusahaan kecil-menengah.

Punya toko online sama seperti kamu memiliki sebuah toko offline, perlu ada sistem yang bertujuan untuk memproteksi apabila ada perampok, shoplifter (penguntil), penipu, dst.

Salah satu sistem keamanan di toko offline misalnya toko tersebut menggunakan CCTV, Electronic Article Surveillance (EAS) atau alat penditeksi yang digunakan apabila ada yang mencuri, saat keluar dari pintu otomatis alarm akan berbunyi.

Penggunaan kaca cembung di beberapa titik lokasi yang blind spot, penggunaan sticker edukatif yang menjelaskan bahwa toko ini dilengkapi dengan CCTV, ketahuan mencuri akan ditangkap, dan berbagai tools keamanan lainnya.

Lantas bagaimana dengan keamanan di toko online? Bagaimana cara melindungi toko online dari serangan hacker, transaksi yang fraud, kebocoran data customer, dst? Tentu kamu membutuhkan tools keamanan yang berbeda dengan toko offline.

Berikut ini adalah beberapa hal yang pemilik toko online harus lakukan untuk meningkatkan keamanan WooCommerce.

1. Gunakan Hosting WordPress yang Berkualitas

Tips memilih hosting berkualitas untuk toko online

Sebelum kita berbicara lebih jauh mengenai cara meningkatkan keamanan WooCommerce, pastikan terlebih dahulu bahwa layanan hosting yang kamu gunakan untuk toko online, bukan dari perusahaan hosting abal-abal.

Perusahaan hosting yang bisa dibilang berkualitas apabila telah mengantongi beberapa standar internasional manajemen mutu ISO 9001, ISO 27001, ditambah dengan PCI DSS.

Beberapa perusahaan hosting di Indonesia sudah ada yang mengantongi sertifikasi tersebut, tinggal kamu search saja. Sayangnya untuk perusahaan hosting yang mendukung PCI DSS, masih segelintir.

Kalau harga ya sudah pasti menyesuaikan, ada layanan berkualitas pasti diikuti dengan harga yang tidak ramah kantong. Hehe. Paling enak menggunakan layanan managed WordPress.

Pemilik toko online tidak perlu pusing mengenai cara meningkatkan keamanan WooCommerce, WordPress, server hardening, dst. Tinggal duduk manis, biarkan pihak hosting yang mengerjakan hal-hal tersebut.

Sehingga pemilik toko online bisa fokus kejualannya saja (business process). Secara umum, fitur yang wajib ada pada layanan hosting untuk toko online yaitu;

  • Fitur yang dapat memonitoring serangan siber dan melakuan pencegahan.
  • Fitur yang dapat melakukan patch otomatis saat ada bug pada WordPress, eksploitasi pada plugin, dan tema.
  • Software yang digunakan pada server selalu dalam kondisi up-to-date.
  • Fitur isolasi dan pencegahan dari penyebaran infeksi virus maupun situs yang dihack, sehingga apabila ada situs yang berhasil dibobol, situs yang lain tidak akan terpengaruh meski di layanan shared hosting yang sama.

Keempat pertanyaan di atas bisa kamu tanyakan terlebih dahulu sebelum memutuskan untuk menyewa jasa hosting WordPress. Jika mereka memiliki nomor telepon, hubungi melalui telepon lebih baik agar mendapatkan penjelasan yang detil dan lengkap.

Rekomendasi hosting terbaik untuk toko online yaitu:

  1. DigitalOcean (perusahaan hosting luar negeri)
  2. UpCloud (perusahaan hosting luar negeri)
  3. CloudWays (perusahaan hosting luar negeri)
  4. Hostgator (perusahaan hosting luar negeri)
  5. WP Engine (perusahaan hosting luar negeri)

2. Username Unik dan Kata Sandi yang Kuat

Tips mengamankan toko online yang menggunakan WordPress

Jangan pernah menggunakan username seperti Admin, Administrator, Admin123, dst. Akun dengan username seperti itu mudah sekali ditebak dan diserang menggunakan metode brute force.

Gunakan nama username untuk akun administrator dengan nama yang unik, sulit untuk ditebak, tetapi mudah untuk dihapal. Sedangkan untuk kata sandi bisa menggunakan password generator salah satu fitur yang tersedia pada aplikasi password manager.

Tips membuat password yang sulit ditebak, bisa kombinasikan huruf, angka, dan simbol. Artikel sebelumnya sudah pernah membahas pada tulisan cara membuat password yang kuat dan tidak mudah dihapal.

Jika kamu memiliki beberapa toko online, jangan pernah menggunakan username dan password yang sama untuk di setiap toko online. Gunakan username dan password yang berbeda dan edukasi juga karyawan mengenai hal ini.

Gunakan standar yang lebih tinggi daripada indikator yang tersedia pada plugin WooCommerce, standar yang dimaksud adalah standar panjang password dan kompleksitas password.

Standar kompleksitas password pada plugin WooCommerce

3. Aktifkan Otentikasi Dua Faktor (2FA)

Cara mengaktifkan 2FA Pada WordPress

Password yang kuat dan username yang unik ternyata di tahun ini dan kedepan, tidak cukup mampu untuk melindungi pengguna dari ancaman dan serangan siber. Butuh proteksi tambahan yang disebut dengan Otentikasi Dua Faktor (2FA).

Saat email kamu berhasil diretas, seseorang bisa saja berusaha untuk mengambil alih akun administrator toko online WooCommerce yang kamu miliki maupun akun online lainnya.

Namun dengan mengaktifkan 2FA di WordPress si peretas tidak akan bisa untuk login dan mendapatkan akses akun toko online tersebut.

Otentikasi dua faktor (2FA) memberikan perlindungan tambahan, dengan memvalidasi setiap akun yang login menggunakan password dan username yang sesuai, lalu diverifikasi menggunakan smartphone atau hardware untuk 2FA.

Contoh penggunaan 2FA melalui smartphone bisa menggunakan verifikasi melalui sidik jari, kode SMS, notifikasi approval untuk login, maupun menggunakan software seperti Authy, Google Authenticator, LastPass Authenticator, dan Microsoft Authenticator.

Sedangkan untuk hardware untuk 2FA, ada Kensington Verimark Fingerprint Key, Yubikey, Thetis Ble U2f Security Key, Google Titan Key, dan Thetis Fido U2f Security Key. Sedangkan di sisi WordPress kamu bisa instal plugin 2FA berikut ini:

4. Batasi Upaya Serangan Brute Force di WordPress

Batasi upaya login paksa yang menggunakan brute force

Kebanyakan hacker melakukan brute force untuk mendapatkan akses ke sebuah situs. Mereka menggunakan username dan password secara acak sampai akhirnya bisa login, upaya login semacam ini harus dibatasi oleh sistem.

Karena jika tidak dibatasi bisa memberatkan server dan lebih buruknya lagi si hacker bisa jadi mendapatkan akses untuk login. Upaya login bisa dibatasi, misalnya ada seseorang yang menggunakan username yang tidak valid bisa langsung diblokir.

Atau bisa juga, jika username-nya benar namun password yang dimasukkan itu salah sebanyak lebih dari 5 kali, Secara otomatis sistem akan mengunci username tersebut sehingga tidak bisa login masuk ke WordPress.

Kamu bisa memanfaatkan plugin seperti Limit Login Attempts Reloaded dan Loginizer untuk proteksi WordPress dari serangan brute force.

5. Gunakan Plugin Keamanan untuk WordPress

Gunakan security plugin untuk WooCommerce dan WordPress

Meskipun WordPress sebagai platform yang aman, namun secara keamanan masih harus ditingkatkan agar serangan pada celah keamanan WordPress, tema, dan plugin dapat diminimalisir.

Beberapa plugin keamanan yang dapat meningkatkan keamanan situs WordPress diantaranya yaitu:

Selain menggunakan plugin keamanan, saya juga merekomendasikan untuk menggunakan WAF (Web Application Firewall) layanan ini ada yang gratis dan juga berbayar.

Penggunaan WAF sebagai proteksi tambahan, saat ada yang berusaha melakukan penyerangan ke situs atau toko online, sebelum mereka berhasil mengakses ke server.

Serangan terlebih dahulu dilumpuhkan dengan berbagai filter yang tersedia pada WAF.

Berikut ini daftar penyedia Web Application Firewall yang banyak digunakan oleh situs-situs besar untuk proteksi keamanan situs, yaitu : CloudFlare, Fortinet, Sucuri, Akamai, Incapsula, SiteLock, Trustwave, AppTrana, F5, dan Radware.

6. Update dan Backup WordPress Secara Reguler

Cara Update dan Backup WordPress Secara Reguler

Tips berikutnya untuk meningkatkan keamanan WooCommerce adalah dengan melakukan update dan backup WordPress secara reguler. Backup sebaiknya di set setiap hari untuk toko online, sedangkan untuk jenis blog bisa seminggu sekali.

Backup mencakup file, folder, dan database WordPress. Sebaiknya sebelum melakukan update WooCommerce atau WordPress ke versi terbaru, lakukan backup terlebih dahulu, uji coba di komputer lokal atau stagging site, baru diimplementasikan ke toko online (Live) kamu.

Saat ada pembaruan WordPress, plugin, maupun tema. Cobalah untuk membaca catatan perubahan update terbaru itu mengenai apa. Apakah pembaruan untuk patch keamanan, penambahan fitur, atau perbaikan bug yang sifatnya minor?

Proses backup bisa menggunakan CPanel, Plesk, atau menggunakan beberapa plugin backup berikut ini. Saya coba buat daftar list berdasarkan rekomendasi:

  • VaultPress (backup bisa harian maupun realtime disertai dengan scanner untuk bug dan malware).
  • UpdraftPlus (versi gratis sudah cukup, namun lebih powerful lagi untuk versi yang premium bebas custom backup)
  • BackUpWordPress (versi pro, backup bisa dienkripsi)
  • All-in-One WP Migration (versi premium, addon hanya sekali beli, update bisa seumur hidup)
  • Duplicator (migrasi WordPress jadi terasa lebih mudah dengan plugin ini)

Jika toko online kamu termasuk yang banyak customer yang mendaftarnya, atau sales penjualannya yang setiap hari ada. Backup database, pilih yang harian atau jika diperlukan pilih proses backup secara real time.

Sebagai catatan tambahan, saat blog atau toko online WooCommerce misalnya diretas oleh seseorang. Mohon jangan langsung restore menggunakan file backup sebelumnya karena faktor pertimbangan berikut ini:

  1. Restore melalui file backup sebelumnya bisa menghapus barang bukti tindak kriminal.
  2. File backup sebelumnya bisa jadi memiliki celah keamanan atau bug yang sama.
  3. Data sales maupun lead terakhir bisa saja tidak tersimpan di file backup terakhir.
  4. Catatan log bisa saja terhapus dan tidak tersimpan pada file backup terkahir.
  5. Jejak celah keamanan yang dieksploitasi oleh si hacker bisa terhapus.

Sebelum melakukan upaya restore secara menyeluruh. Kamu bisa terlebih dahulu membackup WordPress saat kejadian peretasan, sebagai bahan bukti dan referensi untuk kedepannya.

7. Gunakan Tema WooCommerce Premium

 

Tema WooCommerce gratis memang banyak tersedia saat ini, banyak situs yang menyediakan tema gratis untuk toko online. Sayangnya tema gratisan ini tidak diaudit keamanannya dengan baik.

Berbeda tema premium seperti tema dari Elegantthemes, saat rilis tema untuk WooCommerce. Semua kode telah diaudit terlebih dahulu oleh pihak ketiga yang memang berkompeten untuk melakukan audit keamanan, mereka bekerjasama dengan Tim dari Sucuri.

Hindari menggunakan plugin dan tema bajakan. Kebanyakan tema dan plugin nulled berisikan malware.

8. SSL Meningkatkan Keamanan WooCommerce

 

Fitur SSL akan membuat komunikasi antara server website dengan browser pengunjung atau customer toko online kamu menjadi lebih aman. Karena pertukaran data keduanya dienkripsi dengan standar industri IT terkini.

Kamu bisa menggunakan SSL gratisan dari Cloudflare, membuatnya sendiri dengan memanfaatkan letsencrypt, atau membeli sertifikat SSL untuk mendapatkan validasi organisasi (jenis sertifikat SSL ini biasa digunakan oleh perusahaan besar).

Saat ini beberapa browser seperti Google Chrome, akan menandai situs yang tidak menggunakan SSL sebagai situs website yang tidak aman. Tentu kalau toko online mendapatkan penanda seperti ini, customer akan mundur cantik (tidak jadi beli).

Setelah konfigurasi dari server atau dari proxy sudah selesai dilakukan, tinggal setting di WordPress menggunakan plugin Really Simple SSL, tujuannya agar request ke http bisa di redirect ke https.

Hal ini akan mengurangi masalah mixed content pada situs yang menggunakan SSL.

9. Gunakan Payment Gateway

 

Beberapa layanan payment gateway di Indonesia saat ini sudah banyak yang mendukung toko online berbasis WooCommerce. Kalau dahulu pemainnya didominasi oleh perusahaan asing seperti Paypal, Stripe, Authorize.net, dll.

Ada beberapa plugin yang bisa kamu integrasikan untuk payment gateway WooCommerce di Indonesia seperti Midtrans, iPaymu, Doku, dll. Beriku ini beberapa manfaat dari penggunaan payment gateway diantaranya adalah:

  • Customer bisa melakukan pembayaran melalui kartu kredit dengan aman.
  • Customer bisa melakukan pembayaran, baik dari dalam negeri maupun luar negeri.
  • Pembayaran jadi lebih mudah dan cepat.
  • Proses verifikasi pembayaran baik kartu kredit dan debit menjadi lebih mudah dan cepat.
  • Toko Online tidak perlu memiliki banyak rekening bank.

10. Track Aktivitas User yang Login

 

Plugin WP Security Audit Log akan membantu kamu mengawasi setiap users yang login ke toko online kamu, baik itu administrator, shop manager, customer, maupun users lain yang kamu perkenankan untuk login.

Semua aktivitas mereka akan dicatatat oleh plugin, saat ada aktivitas yang membahayakan situs web. Plugin akan memberitahukan ke kamu melalui email atau SMS.

Jika ada customer yang akunnya kena bobol. Kamu bisa segera mengambil tindakan, mencatat IP Address dari si hacker, dan melaporkannya ke pihak berwajib. Serta mengklik tombol untuk mengakhiri sesi login untuk pencegahan.

Ibaratnya plugin ini sebagai CCTV-nya di toko online.

Kesimpulan

Membuka usaha melalui toko online berbasis WooCommerce, memang dapat membuka peluang yang besar untuk menjaring customer dari berbagai penjuru dunia.

Di waktu yang bersamaan, spammer dan black hat hacker juga berusaha untuk mengambil keuntungan dari toko online yang kamu miliki. Sebagai pemilik toko online, kamu dituntut untuk selalu meningkatkan keamanan WooCommerce.

Data customer maupun data sensitif yang berada di toko online, keseluruhannya harus menjadi prioritas untuk dilindungi dari kebocoran data akibat serangan cyber. Sebagai bahan ringkasan, berikut ini 10 hal yang dapat meningkatkan keamanan WooCommerce:

  1. Gunakan layanan hosting berkualitas, semua berawal dari titik ini.
  2. Buatlah password dan username yang unik, simpan data akun administrator di aplikasi Password Manager.
  3. Tambahkan fitur 2FA, untuk proses validasi dari setiap users, baik di level admin, store manager, hingga customer.
  4. Batasi login yang tidak valid untuk melindungi serangan brute force.
  5. Gunakan plugin keamanan tambahan, untuk meningkatkan keamanan WooCommerce dan WordPress.
  6. Lakukan update dan backup WordPress, lakukan proses ini secara reguler dan terencana.
  7. Tema WooCommerce Premium, bisa meningkatkan keamanan WooCommerce yang lebih baik dibandingkan tema WordPress gratisan.
  8. SSL melindungi data dari penyadapan, wajib hukumnya untuk toko online menggunakan SSL untuk proteksi, serta meningkatkan kepercayaan dari customer.
  9. Payment Gateway WooCommerce, selain memudahkan pembayaran untuk customer, dari segi pemilik toko online juga memudahkan proses rekap pembayaran dan hal-hal administratif lainnya.
  10. Track Aktivitas Users, sebagai cara untuk memonitoring setiap tindakan yang users lakukan selama login.

Dengan mengikuti beberapa tips sederhana di atas, semoga bisa membuat toko online kamu menjadi lebih aman dan terlindungi. Jika kamu punya tips lain untuk meningkatkan keamanan WooCommerce.

Kamu bisa memberikan saran kepada pembaca yang lain melalui kotak komentar di bawah artikel ini. Bagikan juga tulisan di atas jika kamu rasa bermanfaat melalui Facebook, Twitter, LinkedIn, WhatsApp, Line, dan Telegram.

Kamu juga bisa subscribe untuk mendapatkan artikel terbaru dari blog ini, dengan cara mendaftarkan nama beserta alamat email di kotak berlanggan artikel yang ada di bawah artikel ini. 🙂

0 0 vote
Bantu berikan rating untuk artikel Ini...