Saat ini WordPress adalah platform CMS yang paling populer di dunia. Di antara jutaan website yang dibangun dengan menggunakan CMS (Content Management System), sekitar 22% di antaranya dibuat dengan menggunakan WordPress. Menyusul yakni Joomla (1%) dan Drupal (kurang dari 1%).
Melihat kepopuleran WordPress tersebut, hal ini mengundang banyak sekali ancaman dari para hacker dan berbagai malware yang ada di luar sana.
Dewaweb sebagai penyedia web hosting Indonesia amat mendukung penggunaan WordPress, karena kemudahan-kemudahan yang ditawarkannya.
Seorang pengguna bisa mempelajari cara penggunaan WordPress dengan cepat, dan Dewaweb juga memberikan dukungan dengan memberikan video tutorial yang bisa Anda lihat di YouTube Channel kami.
Di bawah ini kami akan memberikan sejumlah tips-tips penting – dengan langkah-langkah sederhana – keamanan WordPress agar Anda sebagai seorang pemilik website berbasis WordPress bisa mengamankan website Anda.
Update WordPress ke versi terakhir
WordPress senantiasa mengeluarkan update terbaru yang seringkali berisi patch/fix terhadap celah keamanan. Baru-baru ini WordPress mengeluarkan pengumuman bahwa versi 3.9 ke bawah mempunyai celah keamanan serius – Security Updates: WordPress 3.9.2
Pastikan website Anda selalu menggunakan WordPress versi terbaru.
Baca Juga: Tips Keamanan WordPress – Seri 2 – Cara Mengubah Nama User Admin di Database mySQL
Jangan gunakan “admin” sebagai user administrator di WordPress Anda
Hal yang paling umum terjadi bagi para pemilik website berbasis WordPress adalah menggunakan “admin” sebagai nama usernya.
Untuk instalasi default, user “admin” ini umumnya memiliki role (hak) sebagai administrator. Artinya, seorang hacker hanya perlu menebak/menjebol password user “admin” tersebut saja, karena nama user-nya sudah dia ketahui yakni “admin”.
Kita bisa mempersulit para hacker (dan dengan demikian satu langkah lebih mengamankan WordPress kita) dengan tidak menggunakan nama user “admin” di website WordPress kita.
Kalau sang hacker harus menebak nama user dengan hak administrator ditambah juga harus menebak passwordnya, bukankah itu sudah lebih mempersulit si hacker untuk mendapatkan akses ke dashboard WordPress kita?
Bagi teman-teman sekalian yang sudah terlanjur menggunakan “admin” sebagai nama usernya, berikut saran tambahan kami:
- Pastikan password yang digunakan amat kuat (kombinasi huruf besar, huruf kecil, angka dan karakter khusus)
- Ubah nama user “admin” menjadi nama user lainnya. Pada artikel berikutnya, kami akan memberikan tips dan langkah-langkah bagaimana kita bisa mengubah nama user “admin” tersebut, dengan melakukan sedikit perubahan di database mySQL website kita.
Gunakan password yang kuat
Hal ini sebenarnya cukup sederhana, namun pada prakteknya jarang dilakukan orang. Password-password umum yang sering digunakan orang antara lain “pass”, “wordpass”, “123”, “12345”, “admin”, “admin_namawebsitenya”, dan seterusnya.
Password-password semacam ini amat sangat mudah untuk ditebak, dan oleh karenanya mudah untuk dijebol!
Gunakanlah password yang kuat dengan beberapa prinsip berikut:
- Makin panjang makin baik. Password yang hanya sepanjang 6 karakter, akan lebih mudah jebol ketimbang password sepanjang 8 karakter.
- Gunakan kombinasi huruf besar, huruf kecil, angka dan karakter khusus, misalnya B3ru4n@
- Jangan pernah memberitahu password Anda ini kepada orang lain. Jika Anda perlu memberikan akses ke website WordPress Anda, lebih baik Anda buatkan username dan password yang baru – yang bersifat sementara.
- Jangan pernah mencatat password Anda pada secarik kertas (apalagi jika Anda tulisi kertas tersebut misalnya “Password dewaweb.com”!)
Baca Juga: Tips Keamanan WordPress – Seri 3 – Cara Mengubah Password User di Database mySQL
Gunakan plugin-plugin keamanan gratis yang ada
Sedikit lebih baik daripada tidak sama sekali. Ada lebih baik daripada tidak ada.
Cukup umum kami menemukan para pengguna WordPress hanya fokus pada pengembangan website nya saja, namun melupakan unsur keamanannya. Baru setelah terjadi sesuatu (website rusak, di hack dll) menyadari akan pentingnya mengamankan websitenya.
Keamanan berbanding terbalik dengan kenyamanan dan performa. Semakin aman website kita, maka semakin tidak nyaman (repot login dll) dan juga akan membebani server (karena eksekusi script plugin keamanannya) sehingga page load time (waktu yang dibutuhkan untuk loading halaman website kita) menjadi lebih lambat.
Pada prinsipnya, tidak ada istilah 100% aman atau 100% tidak akan bisa dijebol. Para pelaku kejahatan selalu satu langkah lebih pintar ketimbang polisi. Yang bisa kita lakukan hanya mempersulit saja, menghambat para pelaku kejahatan sedemikian rupa sehingga mereka tidak dengan mudah membobol website kita.
Install lah plugin-plugin keamanan gratis yang bisa Anda cari dan download di WordPress.org. Memiliki satu plugin keamanan lebih baik daripada tidak sama sekali, karena setidaknya sebagian dari celah keamanan yang ada pada WordPress Anda sudah tertutupi.
Ada banyak plugin-plugin semacam ini, baik yang gratis maupun yang berbayar. Kami akan memberikan rekomendasi kami tentang hal ini, namun jika Anda tidak mengikuti rekomendasi kami (memilih plugin yang lain) itu juga tidak apa.
Prinsipnya adalah Anda lakukan sesuatu dan tidak berdiam diri untuk mengamankan website Anda sendiri.
Untuk plugin keamanan yang gratis, kami merekomendasikan plugin Wordfence Security.
Untuk plugin keamanan yang berbayar, kami merekomendasikan plugin Secure Scan PRO.
Pada artikel kami yang lain nanti, kami akan membahas lebih detail mengenai kedua plugin ini – cara install dan setting nya yang optimal. Untuk saat ini, seperti prinsip tersebut diatas, silahkan Anda download salah satu atau kedua plugin ini dan pasang pada website WordPress Anda. Ada lebih baik daripada tidak sama sekali.
Baca Juga: Tips Keamanan WordPress – Seri 4 – Cara Mengubah/Menyembunyikan Folder Login WordPress
Sembunyikan folder login standar WordPress yakni wp-admin
Langkah pertama untuk membobol website WordPress Anda adalah dengan mencoba untuk mendapatkan akses ke dashboard WordPress Anda.
Karena kepopuleran dan kemudahan WordPress, saat ini sudah umum diketahui oleh banyak orang (termasuk para hacker) di folder mana dia bisa melakukan login ke dashboard WordPress Anda, yakni folder wp-admin.
Folder tersebut sebenarnya bisa Anda sembunyikan atau Anda ganti ke folder lain. Jika Anda sembunyikan/ganti dengan folder lain, ini akan menambah satu langkah lagi untuk mempersulit para hacker untuk menjebol website WordPress Anda.
Kami akan membahas lebih detail tentang bagaimana Anda bisa melakukan hal ini pada artikel kami selanjutnya.
Lakukan backup!
Seperti yang sudah dijelaskan pada tips no 3 diatas, pada dasarnya tidak ada yang namanya 100% aman atau 100% anti jebol. Website Anda tetap bisa dijebol hacker atau terjangkit malware.
Menggunakan cloud hosting Dewaweb sudah lebih mempersulit para hacker dan malware untuk menjangkiti website Anda, namun bukan berarti tidak bisa di-hack sama sekali! Oleh sebab itu, kita perlu melakukan langkah-langkah pencegahan.
Langkah pengamanan terbaik bagi kita yang memiliki dan mengoperasikan website berbasis WordPress adalah dengan melakukan backup data berkala.
Ada 2 hal penting yang harus selalu kita backup yakni:
- File-file website kita (semua file WordPress kita, semua file-file yang pernah kita upload melalui dashboard, plugins dan themes yang terinstall di WordPress kita)
- Database mySQL website WordPress kita
Kadang kita hanya mem-backup salah satunya saja dan lupa untuk membackup keduanya (atau bahkan tidak membackup sama sekali!) Ingat, website WordPress kita baru akan berjalan baik jika kedua elemen tersebut diatas (file-file website kita dan database mySQL nya) ada.
Anda bisa lakukan backup dengan beberapa cara/metode berikut ini (salah satunya saja cukup, namun jika Anda lakukan beberapa diantaranya, akan jauh lebih baik lagi):
- Lakukan backup cPanel hosting Anda, yakni Full Backup
- Jika website WordPress Anda diinstall menggunakan Softaculous, lakukan backup dengan menggunakan Softaculous
- Pastikan hosting website yang Anda pilih dan gunakan memiliki fitur untuk mem-backup website Anda dan gunakan fitur itu! Dewaweb memiliki fitur Time Machine Backup, dimana website Anda akan secara otomatis di-backup 2 kali sehari, dan di-backup hingga 2 minggu kebelakang.
- Install plugin-plugin untuk backup website WordPress Anda. Ada plugin yang gratis, ada juga yang berbayar. Sekali lagi, lebih baik ada daripada tidak sama sekali.
- Lakukan backup secara manual, yakni mendownload seluruh file-file website Anda dan export (download) database mySQL Anda secara berkala.
Pada artikel-artikel kami selanjutnya, beberapa dari metode diatas akan kami bahas dengan lebih mendetail.
Sekian dulu untuk tips-tips tentang bagaimana kita bisa melakukan pengamanan terhadap website WordPress kita. Lakukan satu atau beberapa tips diatas, atau bahkan semuanya – hal ini akan jauh lebih mengamankan website WordPress Anda daripada tidak sama sekali.
Jangan sampai Anda menyesal ketika website Anda sudah rusak, terjangkit virus/malware, atau di hack orang.
Celah keamanan WordPress ada banyak sekali sebenarnya, dan mungkin tidak akan pernah bisa kita tutupi 100%. Kalau kita bisa amankan sebagian saja, sudah lebih baik daripada tidak sama sekali.
Terimakasih atas perhatian teman-teman semua, khususnya bagi Anda para pengguna WordPress. Semoga tips-tips tersebut diatas bisa membantu kita semua.