Cara Mengamankan Situs WordPress Anda

Meski Anda merasa belum melakukan langkah apapun untuk mengamankan situs WordPress, kemungkinan setidaknya Anda pernah melakukan beberapa taktik populer. Bisa jadi Anda juga pernah mendengar plugin yang bisa mengatasi masalah keamanan ini. Artikel kali ini akan lebih fokus pada berbagai cara yang bisa Anda lakukan untuk mengamankan admin situs.

Tahukah Anda kalau 73 persen situs populer yang menggunakan WordPress dikategorikan rentan peretasan? Atau sudahkah Anda mendengar kalau dari 10 plugin yang paling rentan, 5 diantarannya adalah plugin komersil yang diperjual-belikan?  Yang lebih parah, 1 dari 5 plugin ini adalah plugin sekuritas.

Meski instalasi WordPress sangat mudah digunakan dan relatif aman, semakin sering Anda menambahkan plugin, tema, atau kode custom, semakin besar resiko peretasan. Dan semakin banyak pengguna yang Anda tambahkan ke instalasi manapun, kemungkinannya jadi lebih meningkat. Ini jelas bukan kabar yang menggembirakan baik untuk individu maupun bisnis.

Langkah Pengamanan Situs WordPress

Jadi mari kita eksplorasi bagaimana cara agar Anda bisa mengamankan situs WordPress untuk memastikan informasi dan pelanggan Anda tetap aman.

Selalu update WordPress Anda

Sesuatu yang sederhana bisa memiliki efek besar pada keamanan situs. Kapanpun Anda login ke dashboard dan melihat banner “Update available,” segera klik dan update situs Anda. Bila Anda khawatir akan muncul masalah baru, buat backup sebelum menginstalnya. Yang penting adalah Anda melakukan ini secara teratur. Informasi tentang celah keamanan apapun yang telah diperbaiki dari versi sebelumnya kini tersedia untuk publik, yang berarti situs yang tidak diperbaharui menjadi lebih rentan.

Update plugin dan tema

Seperti ketika Anda meng-update WordPress secara teratur, Anda juga perlu meng-update plugin dan tema. Tiap plugin dan tema yang diinstal di situs Anda ibarat pintu belakang menuju admin situs Anda. Kecuali keamanannya terjamin, plugin dan tema menjadi pintu yang terbuka untuk info personal Anda.

Hapus plugin atau tema yang tidak Anda gunakan

Menghapus plugin dan tema yang tidak Anda gunakan akan menurunkan resiko di-hack. Bila tidak menggunakan plugin atau tema tertentu, Anda tidak akan meng-update-nya, jadi lebih baik untuk menghapusnya.

Hanya download plugin dan tema dari sumber yang dipercaya

Mendownload plugin dan tema dari WordPress.org sebenarnya paling baik karena telah melewati proses scan sebelum diterima di Theme Directory atau Plugin Directory. Bila Anda membutuhkan tema atau plugin premium, hanya download dari sumber terpercaya. Silahkan baca artikel kami tentang plugin galeri foto untuk WordPress.

Ganti izin file

Hindari direktori konfigurasi dengan izin 777. Anda harus memilih 755 atau 750, menurut WordPress.org. Lalu atur file menjadi 640 atau 644 dan wp-config.php menjadi 600.

Jangan gunakan “admin” sebagai nama pengguna

Bila Anda telah menginstal WordPress menggunakan “admin” sebagai nama pengguna atau nama lain yang sangat sederhana, Anda bisa mengubahnya di query SQL di PHPMyAdmin.

Sering ganti password

Yang paling baik adalah password dengan kombinasi huruf dan angka acak. Anda bisa gunakan password generator seperti Norton Password Generator atau Strong Password Generator untuk melakukan tugas ini.

Pastikan user Anda menggunakan nama pengguna dan sandi yang kuat

Sangat baik bila Anda membuat nama pengguna dan sandi yang kuat, tapi bila pengguna Anda tidak melakukan hal serupa, usaha Anda tidak akan berarti dan situs Anda rentan di-hack.

Tambahkan autentikasi dua langkah

Cara yang sangat bagus untuk mencegah serangan hacker adalah mengatur autentikasi dua langkah. Ini berarti password membutuhkan kode tambahan yang dikirim ke nomor telepon Anda untuk login ke situs Anda. Sering kali, kode kedua untuk login dikirim melalui SMS. Beberapa plugin bisa digunakan untuk menambahkna fitur ini sepreti ClefGoogle Authenticator, dan Duo Two-Factor Authentication.

Instal firewall di komputer

Ini menjadi langkah tambahan tapi mudah dilakukan. Dan setelah firewall diinstal berarti ada tambahan lapisan keamanan untuk melindungi situs Anda dari hacker dan peretas keamanan.

Batasi login

Bila dibiarkan, hacker akan login ke situs Anda berulang kali hingga mereka bisa crack password Anda. Tapi ada plugin yang mengizinkan Anda membatasi jumlah waktu orang dari IP tertentu untuk mencoba login dalam periode waktu yang ditentukan. Pengguna dibatasi untuk mencoba login kembali untuk waktu yang dialokasikan. Login LockDown bagus dalam menawarkan fitur ini tapi plugin lain yang menawarkan set fitur kemanan sering menyertakan batasan login seperti iThemes Security dan Sucuri Security.

Batasi akses pengguna

Kadang keamanan situs jadi bermasalah karena sesuatu yang sangat sederhana; akses dari terlalu banyak orang. Aturan umumnya adalah hanya membolehkan akses ke mereka yang benar-benar perlu dan hanya memberi mereka izin minimal untuk melengkapi tugas yang diberikan.

Backup untuk situs Anda

Lakukan ini sesuai jadwal. Backup terjadwal merupakan bagian penting dari strategi keamanan situs karena ini untuk memastikan kalau situs Anda bermasalah, Anda bisa me-restore-nya ke versi sebelumnya. Pilih solusi otomatis seperti VaultPress, BlogVault, BackupBuddy, atau WordPress Backup to Dropbox untuk backup sederhana.

Periksa autentikasi tema dan lakukan scan keamanan

Seperti ketika Anda menginstal software antivirus di komputer untuk memeriksa malware, begitu juga instalasi scanner pada WordPress. Scanner keamanan akan memeriksa kode jahat di plugin untuk memastikan tak ada yang berbahaya. Beberapa scanner yang bisa Anda pertimbangkan antara lain Sucuri SitecheckCodeGuardTheme Authenticity Checker, dan AntiVirus.

Sampai di sini kita telah membahas beberapa hal yang umum diketahui untuk mengamankan website WordPress, kita akan berlanjut ke bagian yang mungkin belum terpikirkan oleh Anda.

Tapi pertama pastikan Anda membuat child theme sebelum melakukan perubahan apapun pada file functions.php

Kurangi penggunaan plugin

Seperti yang sudah dijelaskan di atas kalau Anda perlu menghapus plugin dan tema yang tidak Anda gunakan. Tapi ada baiknya Anda juga membatasi jumlah plugin yang Anda instal. Untuk menjaga keamanan situs, Anda perlu mencermati kriteria yang Anda gunakan dalam memilih plugin.

Ini bukan sekedar tentang keamanan. Ini tentang kecepatan situs dan performanya juga. Memuat situs dengan terlalu banyak plugin bisa membuatnya jadi sangat lambat. Jadi bila situs Anda bisa berfungsi tanpa plugin tertentu, kenapa tidak tinggalkan saja? Semakin sedikit plugin yang Anda miliki, semakin kecil akses hacker ke info Anda.

Jangan download plugin premium gratis

Meski Anda perlu menghemat pengeluaran, bukan ide baik untuk mendownload plugin premium dari sumber manapun selain dari yang resmi dijual.

Sebuah kesalahan bila Anda mendownload plugin bajakan, tapi plugin yang benar-benar resmi sering corrupt oleh malware saat masuk ke situs download ilegal.  Ini berarti plugin yang tadinya premium yang bagus dengan kode yang baik kini menjadi jalan bagi hacker menunju backend situs Anda. Ini semua terjadi karena Anda ingin menghemat uang. Sekali lagi, tinggalkan download ilegal.

Pilih update otomatis

Telah disebutkan di atas, Anda perlu meng-update instalasi WordPress kapanpun versi terbaru dirilis, dan ini membutuhkan pengulangan. Bila Anda menjalankan WordPress versi lama, semua keamanan di versi yang Anda jalankan jadi hal yang umum bagi publik. Ini berarti hacker juga memiliki info tersebut dan bisa dengan mudah menggunakannya untuk menyerang situs Anda.

Tapi meng-update situs Anda saja mungkin tidak cukup, terutama bila Anda tidak melakukan maintenance teratur. Pada kasus ini, semakin Anda membuat tugas ini secara otomatis, akan lebih baik. Meski ini tidak cocok untuk semua orang, update otomatis bisa jadi pilihan tepat untuk mereka yang ingin langkah yang tidak terlalu rumit tapi situs tetap aman.

Bahkan sejak WordPress 3.7, update WordPress sekarang terjadi secara otomatis. Tapi update besar masih membutuhkan persetujuan. Anda bisa masukkan sedikit kode ke file wp-config.php untuk mengkonfigurasi situs untuk menginstal update besar secara otomatis.

Anda bisa masukkan ini di file dan update besar akan terjadi di background tanpa membutuhkan persetujuan Anda.

define( ‘WP_AUTO_UPDATE_CORE’, true );

Tapi update otomatis juga bisa merusak situs Anda, terutama bila Anda menjalankan plugin atau tema yang tidak sesuai dengan versi terbaru. Tapi tetap saja, pengaturan update otomatis sebanding dengan resiko bila Anda tidak secara teratur login ke situs Anda.

Mengatur update plugin dan tema secara otomatis

Biasanya, plugin dan tema menjadi hal yang perlu Anda update secara manual. Lagi pula, update dirilis pada waktu yang berbeda. Tapi sekali lagi, bila Anda bukan orang yang melakukan maintenance situs secara teratur, Anda membutuhkan konfigurasi update otomatis agar semuanya tetap diperbaharui tanpa perlu intervensi.

Update otomatis untuk plugin dan tema jadi hal lain yang bisa Anda konfigurasi dengan memasukkan kode ke wp-config.php. Untuk plugin Anda akan gunakan:

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

Untuk tema, Anda bisa gunakan:

add_filter( ‘auto_update_theme’, ‘__return_true’ );

 

Hapus editor plugin dan tema

Bila Anda orang yang secara rutin melakukan perubahan pada plugin dan tema maka Anda bisa melewati bagian ini. Tapi bila Anda tidak menggunakan editor plugin dan tema built-in di dashboard WordPress secara teratur, Anda lebih baik berhenti menggunakannya.

Ini karena pengguna WordPress resmi diberi akses ke editor ini dan bila akun mereka di-hack, editor bisa digunakan untuk mengambil alih seluruh situs dengan memodifikasi kode yang ditemukan di sana.

Pilih hosting terbaik

Anda bisa terapkan semua trik pada situs Anda dengan semua langkah keamanan yang telah disebutkan, tapi bila Anda tidak memiliki provider hosting yang baik, usaha Anda hanya akan sia-sia. Ahli sekuritas WP melaporkan 41 persen situs WordPress di-hack karena  host yang rentan diretas.

Bila Anda ingin menggunakan shared hosting, pastikan untuk menyertakan isolasi akun. Ini akan mencegah situs orang lain pada server mempengaruhi situs Anda. Tapi akan lebih baik untuk menggunakan layanan yang langsung pada WordPress. Provider hosting yang spesialis pada WordPress lebih mungkin menyertakan WP firewall, PHP dan MySQL terbaru, scanning malware teratur, server yang dirancang untuk menjalankan WordPress, dan tim layanan pelanggan yang tahu tentang WordPress luar-dalam.

Lindungi file paling penting menggunakan .htaccess

Bila Anda sering membaca tentang sekuritas WordPress, Anda tentu pernah mendengar file .htaccess sebelumnya dan kemungkinan telah mengaksesnya. Membuat satu file ini bisa memberi dampak besar pada keamanan seluruh situs Anda.

Kenapa file ini penting? Karena file ini ibarat jantung WordPress dan langsung mempengaruhi bagaimana situs Anda menyusun permalink dan menjaga keamanan. Anda bisa masukkan banyak potongan kode ke file .htaccess dimanapun di luar tag #BEGIN WordPress dan #END WordPress untuk memodifikasi file mana yang terlihat dalam direktori situs Anda.

Untuk pemula, Anda perlu sembunyikan wp-config.php karena ini adalah central hub untuk situs Anda dan menyertakan info personal Anda dan banyak detail lainnya berkaitan dengan keamanan situs. Sembunyikan dengan menambahakn kode ini ke .htaccess:

<files wp-config.php>

Anda juga bisa batasi akses admin dengan menciptakan file .htaccess baru dan menguploadnya di direktori wp-admin.

Masukkan alamat IP di area yang tersedia. Anda bisa memberi akses ke wp admin dari berbagai alamat IP dengan memasukkannya ke daftar sebagai ‘dibolehkan dari alamat IP’ pada tiap garis baru.

Anda bisa batasi akses ke wp-login.php dengan cara yang sama. Cukup tambahkan kode ke .htaccess:

<Files wp-login.php>
# allow access from my IP address
allow from 192.168.5.1
</Files>

Bila Anda tidak mau memblokir tiap IP dan hanya ingin memblokir orang tertentu yang berusaha mengakses wp-admin atau wp-login.php, Anda bisa lakukan dengan memblokir alamat IP tersebut secara individu menggunakna kode:

order allow,deny
deny from 456.123.8.9
allow from all

Cara lain untuk mencegah orang melihat direktori situs Anda adalah dengan membuatnya tidak bisa dilihat.

Ada banyak cara lain untuk memodifikasi .htaccess untuk meningkatkan keamanan situs Anda. Ini hanya beberapa yang penting yang perlu Anda terapkan.

Sembunyikan nama pengguna penulis

Bila default WordPress dibiarkan utuh, sangat mudah menemukan tiap nama pengguna penulis untuk situs Anda. Dan karena yang sering terjadi penulis utama situs juga menjadi administrator, akan mudah untuk menemukan nama pengguna admin. Ini jelas tidak bagus. Kapanpun Anda memberi info ke hacker, Anda memiliki resiko masalah keamanan pada situs. Baca juga info kami tentang mengubah tampilan halaman administrator pada WordPress.

Ada baiknya menyembunyikan nama pengguna penulis untuk memastikan Anda tidak memermudah tugas hacker. Untuk melakukannya, Anda perlu menambahkan kode ke situs. Setelah dimasukkan, kode ini akan bekerja, jadi ketika orang memasukkan ?author=1setelah URL utama Anda, mereka tidak memiliki informasi administrator dan akan dikirim kembali ke homepage.

Cukup salin dan tempel kode berikut ke file functions.php:

add_action(‘template_redirect’, ‘bwp_template_redirect’);
function bwp_template_redirect()
{
if (is_author())
{
wp_redirect( home_url() ); exit;
}
}

Update komputer Anda

Kadang hacker bisa mendapat akses ke situs karena keamanan yang rentan pada komputer Anda. Cara terbaik melawan ini adalah terus membuat komputer Anda update. Ketika patch untuk software dirilis, segera instal. Ketika sistem operasi baru dirilis, segera lakukan upgrade.

Begitu pula, pastikan Anda menggunakan software anti virus secara teratur. Anda bisa jalankan software antivirus gratis seperti Avast, PAnda Free Antivirus, Comodo, atau AVG untuk mengetahui keberadaan virus atau malware di komputer dan menghapusnya.

Samarkan halaman login

Menyembunyikan elemen tertentu dari situs Anda tidak akan mencegah hacker mengaksesnya tapi akan membuat mereka lebih sulit mencapainya. Melakukan rename pada halaman login jadi cara cepat untuk mempersulit hacker. Jadi bila halaman login Anda berbeda dari yang biasa maka hacker akan butuh waktu lebih lama untuk menyerang situs Anda. Banyak plugin tersedia untuk melakukan perubahan sederhana ini termasuk Lockdown WP Admin serta beberapa plugin sekuritas WordPress.

Kesimpulannya, mengamankan situs WordPress lebih dari sekedar menginstal plugin keamanan lalu tugas Anda selesai. Ada banyak hal yang perlu Anda lakukan. Kadang langkah sederhana bisa memberi perbedaan besar padas strategi keamanan situs WordPress Anda.

 

7,670 total views, 12 views today

  • Dipo Putra

    Saya ada pertanyaan nih… Dengan segala fitur keamanan dan penangkal spam yang dewaweb miliki, kok comment systemnya beralih ke disqus? Masih banyak spam yang lewat ya? Sebagai customer, saya ingin tahu alasan dewaweb pakai disqus.

    • Sebenarnya pertimbangannya lebih ke user-friendly interface yang dimiliki Disqus system Pak. Disqus juga telah memiliki user base sendiri yang bisa kita manfaatkan. Mereka juga punya fitur related articles yang sempat kita pakai. Semua ini mempermudah kita sehingga bisa fokus di konten saja. Semoga membantu. 🙂

  • kalau cara mengamankan blogspot bagaimana om?

    • Blogspot maksudnya blogger pak? Blogger saat ini hanya ada yang cloud service. Jadi fitur pengamanannya sudah diberikan dari pihak Blogger-nya sendiri. Tinggal bagaimana kita mengamankan password kita.

      • jadi sudah secara otomatis ya? berarti tinggal kita amankan password aja dong

  • Silahkan Pak.

  • Amir mahmud

    Wah banyak sekali yang harus dilakukan. Menurut saya yang paling mudah adalah menyamarkan halaman login

  • Amir mahmud

    Wah banyak sekali yang harus dilakukan. Menurut saya yang paling mudah adalah menyamarkan halaman login

    • Betul Pak. Memang banyak yang harus dilakukan untuk mengamankan website WordPress memang.