15 Tips Penting Untuk Mengamankan Website WordPress

Tips Penting Mengamankan WordPress Site

WordPress security menjadi topik utama yang paling banyak dicari. Mengapa? Karena WordPress adalah CMS atau blogging platform yang paling populer dan banyak digunakan baik oleh perseorangan atau korporat. Namun ini juga menjadi celah bagi para hacker dan spammer untuk tertarik menembus batas keamanan WordPress site.

Walaupun WordPress mungkin telah mengklaim dirinya sebagai CMS yang aman dibanding platform sejenis, tentu ada saja kelemahan yang dapat ditemukan sehingga hacker dan spammer dapat menembusnya. Mereka dapat mengakses situs Anda dari dalam, mencuri data-data penting Anda, dan mengacaukan kerja keras Anda yang telah dibangun selama ini pada WordPress site Anda.

WordPress sendiri adalah CMS yang digagas oleh Matt, Mike Little dan Michel Valdrighi pada 2003. Sejak WordPress pertama kali dirilis pada 27 Mei 2003, CMS ini terus berkembang. Pembaruan pun kerap dilakukan untuk meningkatkan kualitasnya bagi para pengguna. Lebih lanjut mengenai sejarah dan perkembangan WordPress telah kami bahas pada artikel sebelumnya.

Apakah Anda salah satu pengguna WordPress? Anda pasti ingin mengetahui cara-cara yang dapat dilakukan agar WordPress site Anda aman.

Berikut adalah 15 tips penting untuk mengamankan WordPress site Anda!

1. Menggunakan Plugin Wordfence Security (Wajib)

Wordfence Security

Wordfence adalah free enterprise class security dan performance plugin yang mampu membuat situs Anda 50 kali lebih cepat sekaligus lebih aman. Dimulai dari pemeriksaan terhadap situs yang telah terinfeksi. Tool ini mampu melakukan deep server side scan terhadap source code Anda dan membandingkannya dengan Official WordPress repository bagi core, themes, dan plugins. Kemudian salah satu kelebihan lainnya adalah tool ini tersedia 100% gratis. Memang Wordfence menyediakan versi premium, tetapi versi gratisnya dapat dikatakan telah mumpuni bagi keamanan website Anda. Kami sendiri menggunakan plugin ini untuk menjaga keamanan wp-admin Dewaweb.

 

2. Menggunakan 2-Factor Authentication (Wajib)

2-Factor Authentication juga dikenal sebagai 2FA, Two Step Verification atau nama lainnya TFA, adalah lapisan keamanan tambahan yang dikenal juga sebagai “otentikasi multi faktor”. 2-Factor-Authentication ini tidak hanya memerlukan kata sandi dan nama pengguna tetapi juga suatu info lain yang hanya dimiliki oleh pengguna yang memilikinya. Info itu berupa potongan informasi yang seharusnya mereka sebagai pengelola website ketahui atau dapat mereka tangani – jadi semacam token.

Alasan penggunaan 2-Factor Authentication adalah prosedur keamanan standar (terutama online) yang ada kebanyakan cuma memerlukan nama pengguna dan kata kunci sederhana. Hal itu membuat semakin mudah bagi cyber criminal (baik kelompok terorganisir maupun yang bekerja sendiri) untuk mendapatkan akses ke data pribadi pengguna seperti detail pribadi dan keuangan hingga akhirnya menggunakan informasi tersebut, melakukan tindakan curang yang umumnya terkait dengan hal finansial.

Dengan 2-Factor Authentication, tidak hanya nama pengguna dan kata sandi yang digunakan tetapi juga informasi lain yang hanya diketahui oleh pengguna.  Maka semakin sulit bagi penyusup potensial atau peretas untuk mendapatkan akses atau melakukan pencurian data sensitif dari para klien maupun perusahaan Anda (jika website Anda digunakan untuk keperluan bisnis).

 

3. Menggunakan Web Hosting yang Tepat (Wajib)

WordPress hosting atau web hosting Anda memainkan peranan paling penting terkait keamanan website. Hosting provider yang tepat dapat memberikan keamanan extra yang melindungi server-servernya dari ancaman yang sebelumnya telah kami bahas dengan Anda.

Bagaimanapun juga, shared hosting tradisional biasa rentan karena selain server resource-nya dibagi dengan banyak customer lainnya, sistem hosting ini dapat membuka celah bagi kontaminasi dari hacker yang memanfaatkan neighboring site. Lalu bagaimana solusi yang tepat?

Ada sebuah teknologi web hosting mutakhir yang dapat Anda manfaatkan untuk menjaga keamanan website Anda yaitu cloud hosting. Selain lebih aman karena security sistem dan jalur arus yang jelas, teknologi ini juga mampu menghindarkan Anda dari error page yang kerap terjadi karena arus traffic yang padat. Sekarang, perkaranya tinggal mencari jasa cloud hosting terpercaya, cepat dan aman yang mana yang ingin Anda gunakan.

Di antara para kompetitor penyedia jasa web hosting sendiri, Dewaweb adalah layanan cloud hosting pertama di Indonesia yang juga pertama mendapat sertifikat International Organization for Standarddization and The International Electrotechnical Commision 27001:2013.

4. Menjaga WordPress Tetap Update (Wajib)

WordPress Update

WordPress adalah open source software yang secara terus-menerus mendapatkan maintaining dan update. Berdasarkan setting default, WordPress secara otomatis melakukan instalasi terhadap berbagai minor update.

WordPress juga dibuat dengan sangat banyak plugin dan theme yang dapat Anda install langsung pada website Anda. Plugin dan theme ini dikelola oleh third-party developers yang secara berkelanjutan atau konsisten melepas update-update berguna yang dapat mengoptimalkan WordPress site Anda.

Releases Category Archive

Update-update yang dilakukan oleh WordPress ini sangat krusial bagi keamanan dan stabilitas dari WordPress site Anda. Anda mungkin membutuhkan kepastian soal WordPress core Anda, soal plugins, atau juga theme yang paling up to date.

5. Memanfaatkan Plugin WP Security Audit Log (Wajib)

WordPress Security Audit Log

Security plugin atau tool satu ini menjaga log akan segala hal yang terjadi di WordPress site Anda. Dengan menggunakan WP Security Audit Log, Anda dapat melakukan track terhadap aktivitas user yang telah atau sedang berlangsung. Jika ada aktivitas yang mencurigakan menjadi sangat mudah mendeteksinya dan mencegahnya sebelum terjadi masalah security yang lebih besar.

 

6. Perjelas Pengaturan Role Pada User (Wajib)

Pada WordPress, sebenarnya ada lima user role yang tersedia. Kelima user role tersebut adalah:

  • Adiminstrator (Memiliki akses ke seluruh pilihan, tindakan dan fitur administratif)
  • Editor (Dapat mengatur dan mempublikasikan post. Melakukan fungsi review pada post yang dimasukkan oleh contributor)
  • Author (Dapat mempublikasikan post-nya sendiri, kapanpun juga)
  • Contributor (Dapat menulis post tetapi tidak bisa mempublikasikannya. Kontributor ini cuma bisa menambahkan post mereka untuk di-review)
  • Subscriber (Hanya memiliki kemampuan mendasar semacam mengganti profile picture dan meninggalkan komentar)

Sayangnya, pada default setting di WordPress, Anda sebagai pengelola website tidak bisa mengatur secara spesifik apa yang bisa dan tidak bisa dilakukan oleh masing-masing user role. Padahal hal ini juga termasuk salah satu cara untuk menjaga keamanan WordPress site Anda.

Lalu bagaimana caranya?

Ada beberapa plugin yang bisa membantu Anda mengubah fungsi ini. Salah satu yang kami sarankan adalah User Role Editor dari Official WordPress Plugin Directory.

Anda dapat menemukan tool-nya pada bagian bawah menu Users jika Anda sudah mengaktifkan plugin-nya. Plugin ini dapat langsung dipakai.

User role-nya dapat dipilih pada bagian atas halaman. Daftar itu mencakup semua user role yang sudah ada dan user role khusus yang Anda buat.

Setelah memasukkan profil user role-nya, akan terlihat daftar pengguna yang sudah diatur dan tugas apa saja yang boleh atau tidak boleh dilakukan oleh user tersebut. Untuk mengubah-ubahnya, Anda tinggal menghapus atau klik bertanda centang di kotak yang tersedia, seperti pada gambar di bawah ini!

User Role Editor WordPress

7. Menonaktifkan PHP File Execution (Wajib)

Cara lainnya untuk mengetatkan keamanan WordPress security Anda adalah dengan menonaktifkan PHP file execution di dalam directories yang tak dibutuhkan seperti /wp-content/uploads/.

Anda dapat juga melakukannya dengan membuka text editor seperti Notepad dan copy-paste kode berikut!

<Files *.php>

deny from all

</Files>

Selanjutnya Anda perlu menyimpan file ini sebagai .htaccess dan upload file ini ke /wp-content/uploads/folders pada website Anda menggunakan FTP client.

8. Backup Website Anda Secara Reguler (Wajib)

Tidak peduli seberapa aman situs Anda, selalu ada ruang untuk kelemahan sistem yang ada pada website Anda. Hal ini membuat para peretas atau hacker akan tetap bersemangat untuk menembus keamanan Anda. Melakukan backup terhadap website Anda secara reguler dapat membantu Anda dalam mengatasi serangan terhadap keamanan Anda. Jika Anda melakukan backup secara rutin, Anda dapat mengembalikan website Anda ke dalam keadaan semula. Ada beberapa plugin yang bisa Anda gunakan untuk melakukan backup.

Beberapa web hosting yang kredibel telah menyediakan fitur keamanan khusus semacam time machine backup yang ada pada layanan kami. Hal ini tentu sangat membantu tugas klien atau Anda sebagai pengelola website agar data website Anda di-backup secara reguler.

9. Membatasi Login Attempts (Wajib)

Berdasarkan default setting yang telah ada, WordPress mengizinkan users untuk mencoba login sesering yang mereka inginkan. Ini membuat WordPress site Anda rentan terhadap brute-force attack. Para hacker akan mencoba melakukan crack terhadap password Anda dengan cara mencoba login dengan berbagai kombinasi password berbeda.

Hal ini dapat diatasi secara gampang dengan membatasi failed login attempts. Jika Anda menggunakan aplikasi web firewall, maka hal ini sudah secara otomatis diatasi.

Bagaimanapun juga, jika Anda tidak memiliki firewall setup, coba memproses langkah-langkah yang kami berikan berikut.

Pertama, Anda perlu install dan aktifkan Login Lockdown plugin. Kemudian saat aktivasi, klik Settings>>Login LockDown page untuk melakukan setting terhadap plugin seperti pada gambar.

10. Menggunakan Security Feature dari Jetpack (Optional)

Security feature satu ini berfungsi dengan melakukan pembatasan ketat akan aktivitas login yang mencurigakan. Jetpack juga mampu melindungi WordPress site Anda dari brute force attack. Anda juga dapat mengawasi berapa banyak jumlah serangan yang terjadi terhadap situs Anda melalui dashboard Anda. Selain itu, jika Anda sendiri kesulitan masuk karena gagal login berulang, tersedia fungi whitelisting dari Jetpack. Jadi, Anda tak perlu khawatir.

Anda dapat melakukan instalasi Jetpack dan menerapkannya langsung pada WordPress site Anda. Tersedia fitur gratis maupun premium. Namun saran kami jika Anda ingin Jetpack berjalan maksimal, sisihkan uang Anda untuk mendapat versi premium demi keamanan WordPress site Anda.

 

11. Lindungi Direktori wp-admin Anda (Optional)

Sebenarnya, area admin WordPress Anda sudah dilindungi oleh kata sandi WordPress Anda. Namun, menambahkan proteksi password ke direktori admin WordPress menambahkan lapisan keamanan lebih ke website Anda. Bagaimana cara melakukannya? Berikut adalah langkah-langkah pada dashboard hosting cPanel umumnya:

  1. Masuk ke dashboard hosting cPanel WordPress Anda lalu klik ikon ‘Password Protect Directories’ atau ‘Directory Privacy’
  2. Selanjutnya, Anda perlu memilih folder wp-admin Anda, yang biasanya berada di dalam /public_html/wp-admin
  3. Pada layar berikutnya, Anda perlu mencentang kotak di samping opsi ‘Password protect this directory’ dan memberikan nama untuk direktori yang dilindungi
  4. Klik tombol simpan untuk mengatur hak akses
  5. Tekan tombol back kemudian create user. Anda akan diminta memberikan username / password, lalu klik tombol save

Pada hosting yang profesional, Anda bisa meminta tolong pada perusahaan tersebut untuk melakukan fungsi ini. Jadi, bila langkah-langkah di atas tidak sama, coba tanyakan pada jasa hosting Anda, bagaimana mengaturnya agar direktori wp-admin Anda aman.

12. Batasi Akses Login dengan Captcha (Optional)

Apa itu captcha? Jika Anda pengguna setia internet, Anda tentu sudah tak asing lagi dengan kotak berisi tulisan angka atau huruf yang terpelintir atau meliuk-liuk saat Anda hendak mengisi kolom komentar, saat Anda hendak login ke media sosial Anda, dan di mana-mana.

Facebook Captcha

Captcha ini diciptakan untuk memblokir mesin spamming dari posting manapun yang Anda inginkan. Untuk mencegah spammer, Captcha secara efektif dapat bekerja untuk menguji apakah yang berusaha masuk adalah manusia atau mesin. Hal ini dapat menipu spammer, visual language mengambil teks yang dihasilkan secara acak dan memanipulasi gambarnya, sehingga manusia hampir tidak dapat membacanya (agak kesulitan), namun komputer yang mencoba memotretnya tidak bisa sama sekali membacanya.

Anda dapat mengunduh fitur keamanan canggih satu ini di WordPress Anda tanpa ribet. Kunjungi WordPress Plugin Directory Anda dan download plugin Login No Captcha reCAPTCHA.

 

13. Menonaktifkan Fungsi Directory Indexing dan Browsing (Optional)

Directory browsing dapat digunakan oleh para hacker untuk mencari tahu files mana yang rentan dari WordPress site Anda, sehingga mereka dapat suatu keuntungan dari files tersebut dalam melakukan akses nantinya.

Directory browsing juga dapat digunakan oleh orang lain yang ingin melihat ke dalam files, copy images, mencari tahu directory structure, dan informasi lainnya. Inilah mengapa mematikan directory indexing dan browsing Anda menjadi sangat penting bagi keamanan website Anda.

Anda perlu terkoneksi ke website Anda dengan menggunakan FTP atau Cpanel’s file manager Anda. Kemudian, lokasikan .htaccess file Anda di website’s root directory. Jika Anda tak dapat menemukannya di sini, maka coba cari cara lain dengan meninjau referensi terkait masalah ini.

Lalu, Anda perlu tambahkan following line di akhir .htaccess file:

Options –Indexes

Jangan lupa untuk menyimpan dan upload .htaccess file kembali ke situs Anda!

 

14. Menonaktifkan Fungsi XML-RPC (Optional)

XML-RPC telah difungsikan berdasarkan default setting pada WordPress 3.5 karena membantu mengkoneksikan WordPress site Anda ke web dan mobile app.

Karena kelebihan sistemnya, XML-RPC dapat secara signifikan mengatasi serangan brute-force. Contohnya, biasanya apabila hacker ingin mencoba 500 separate login attempts yang mana bisa tertangkap dan diblokir oleh Login LockDown plugin.

Tetapi dengan XML-RPC, seorang hacker dapat menggunakan system.multicall function untuk mencoba ribuan password yang mengirimkan 20 hingga 50 request.

Inilah mengapa Anda perlu menonaktifkan XML-RCP di WordPress Anda. Caranya? Cobalah metode .htaccess. Sejauh ini, kami menganggap metode inilah yang terbaik karena bersifat least resource intensive.

 

15. Mengatur Log Out Otomatis Pada Idle Users (Optional)

Logged in user terkadang bisa saja menjauh dari screen, dan kadang ini menjadi suatu ancaman keamanan. Seseorang bisa saja melakukan hijack terhadap sesi seseorang tersebut dan mengganti password atau melakukan perubahan pada akun WordPress site orang itu.

Ini juga yang terjadi pada banyak banking dan financial sites yang secara otomatis logged out sebagai inactive user. Anda dapat mengimplementasikan fungsi yang mirip di WordPress site Anda sebaik mungkin.

Anda akan membutuhkan instalasi dan aktivasi Idle User Logout plugin. Saat aktivasi, klik Settings>>Idle User Logout page untuk mengkonfigurasi plugin settings.

 

Simpulan

Melalui artikel ini kami telah membantu Anda memahami pentingnya WordPress security dan bagaimana WordPress yang tak aman dapat merugikan bisnis Anda. Selain itu, kami juga telah memberikan Anda langkah-langkah yang telah dipaparkan secara jelas dan terstruktur agar Anda dapat mengamankan WordPress site Anda secara maksimal. Ada pula beberapa plugin atau tools keamanan yang bisa Anda manfaatkan untuk menjaga keamanan website yang Anda kelola melalui WordPress. Selain membaca artikel ini, Anda juga dapat mencari referensi terkait dari situs terpercaya lainnya yang juga memberikan panduan menjaga keamanan WordPress site yang komprehensif.

Jika Anda ingin tahu lebih lanjut mengenai hal-hal lain yang terkait dengan WordPress, Anda dapat membaca artikel-artikel kami sebelumnya. Kami juga pernah membahas soal bagaimana cara meningkatkan SEO WordPress agar Anda dapat meningkatkan pengunjung di website Anda.