Apa yang terlintas dalam pikiran ketika mendengar kata ‘Keamanan Website’?
Mungkin sebagian dari Anda akan berpikir mengenai peretasan website, malware, maupun virus yang mengancam website Anda. Ya, semua yang Anda pikirkan memang benar.
Keamanan WordPress merupakan salah satu aspek penting selain dari sisi kecepatan dan SEO website. Anda tentu wajib mengamankannya dari berbagai macam ancaman, baik kerusakan akibat malware, serangan brute force hingga hacker yang tidak bertanggungjawab.
Keamanan Website WordPress
Berdasarkan penelitian yang dilakukan salah satu situs jasa keamanan securi.net, pada Q1 2016 sudah terdapat lebih dari 11.000+ website yang terinfeksi dan 75% dari angka tersebut menggunakan platform WordPress. Semakin populer dan semakin tinggi jumlah pengguna WordPress tentu memancing pihak-pihak pelaku kejahatan internet. Infeksi ke website WordPress Anda bisa melalui manapun, seperti plugin yang tidak terupdate, theme, brute force, hosting, file/script yang sudah tidak terpakai, hingga password dengan keamanan rendah.
19 Tips Mengamankan Website WordPress Anda
Dalam ulasan kali ini, kami akan memberikan tips untuk mengamankan website WordPress, terlebih jika Anda baru saja mulai membuatnya. Anda dapat melakukannya sendiri di rumah, dimulai dari hal-hal sederhana seperti update plugin untuk mengantisipasi plugin vulnerability, theme, bahkan mengacak password Anda untuk menghindari serangan brute force.
1. Pastikan Versi WordPress Anda up-to-date
Update versi WordPress terbaru diperlukan untuk mengatasi celah (bug system) versi sebelumnya. Anda bisa melakukannya secara langsung melalui halaman dashboard WordPress ketika terdapat versi terbaru. Pastikan Anda selalu update versi untuk mengurangi resiko keamanan WordPress yang ada.
2. Plugin WordPress Anda Update (Menggunakan Versi Terbaru)
Para pengembang plugin selalu berusaha untuk menutup bug dan hacker selalu mencari celah. Selalu update plugin Anda ke versi terbaru agar terhindar dari serangan hacker.
3. Hapus Plugin yang Tidak Digunakan
Jangan hanya menonaktifkan plugin yang tidak perlu. Hapus plugin untuk menutup celah bagi para hacker untuk meretas website Anda. Selain itu, menghapus plugin yang tidak digunakan dapat meringankan kerja WordPress Anda.
4. Pastikan Tema yang Anda Gunakan Update
Tidak hanya plugin, celah yang sama tentu akan dimanfaatkan oleh para hacker. Silakan cek ketersediaan versi tema terbaru Anda melalui menu Appearance > Theme pada dashboard WordPress Anda. Jangan lupa untuk menghapus theme WordPress yang sudah tidak Anda gunakan.
5. Gunakan Tema, Plugin, dan Script dari Website Resmi
Pastikan Anda download theme, script bahkan plugin dari website pengembang resmi. Anda perlu waspada terhadap website yang menyediakannya secara gratis dan, tentu saja, jangan menggunakan produk bajakan. Jika Anda menginginkan theme ataupun plugin gratis, Anda bisa memperolehnya melalui website resmi WordPress.
Melalui resource yang belum jelas sumbernya, Anda tentu tidak mengetahui script apa yang telah disisipkan oleh penjahat ataupun bahaya lainnya. WordPress.org, WordPress.com dan bahkan themeforest bisa Anda jadikan sumber terpercaya untuk mendapatkan tools website Anda.
6. Memilih Penyedia Layanan Hosting yang Terpercaya
Penyedia layanan webhosting tentu memiliki peranan penting untuk keamanan website Anda. Pilih layanan hosting yang menyediakan layanan tambahan keamanan seperti SSL gratis ataupun Anti Spam dan bahkan fitur keamanan bitNinja yang dimiliki server Niagahoster untuk melindungi website Anda dari serangan botnet, hacker dan malware.
7. Membuat Custom Link Login
/wp-login.php ialah link login yang otomatis digunakan setelah kita melakukan instalasi dan akan login WordPress. Tentunya para hecker mengetahuinya dan mempermudah mereka untuk menerobos ke akun Anda. Terlebih jika Anda menggunakan password yang sama di berbagai akun layanan lainnya. Untuk mencegahnya, kita bisa mengubah link login ke WordPress menggunakan plugin Custom Login URL Nantinya Anda juga dapat mengubah link logout, lost password dan lainnya.
8. Ubah Default Username “Admin”
Setelah Anda melakukan instalasi WordPress, default username yang akan Anda dapatkan adalah admin. Hal tersebut tentu mempermudah serangan brute force, brute force ialah salah satu metode yang digunakan para hacker untuk meretas akun dengan cara mencoba semua kemungkinan kombinasi. Jika username Anda saat ini masih menggunakan “admin” segeralah ubah dengan lainnya. Berikut cara-cara yang bisa Anda gunakan untuk mengubah username “Admin”
- Anda bisa mengubahnya dengan membuat username baru dan kemudian Anda delete username lama.
1. Login Admin > User > Add new user
2. Logout
3. Login menggunakan user baru dan delete username lama pada menu user
- Menggunakan plugin Username Changer, Anda bisa mendapatkannya langsung melalui wordpress.org
Setelah Anda instal plugin segeralah ubah username Anda melalui User > Username Changer
- Melalui PHP My Admin.
Metode mengubah username melalui database ini lebih sulit dilakukan. Ada dapat melakukannya melalui PHP MyAdmin.
cPanel > PHP MyAdmin > wpp6_users
9. Menggunakan Password yang Lebih Rumit
Untuk mendapatkan kombinasi password yang rumit, gunakanlah kombinasi password dan angka. Jangan menggunakan password seperti angka yang berurutan( 1, 2, 3, 4, 5), tanggal lahir, nama Anda ataupun sandi yang mudah ditebak lainnya. Sama dengan username, password yang mudah ditebak memudahkan serangan brute force.
10. Mengaktifkan Limit Login
Jika Anda tidak mengaktifkan limit login, pengguna dapat mencoba login berulangkali menggunakan username dan password. Hal ini tentu menimbulkan resiko dan memberikan kesempatan pada hacker untuk meretas website WordPress Anda dengan berbagai macam username dan password. Anda bisa mengatasi dengan mengaktifkan limit login ke admin WordPress. Plugin yang dapat Anda gunakan ialah, Login Lock Down
Cara kerjanya, Anda dapat membatasi pengguna ketika mencoba login dengan username dan password yang salah, apabila dalam beberapa kali gagal maka IP akan terblokir dan Anda juga dapat melakukan setting berapa lama IP tersebut akan terblokir.
(sumber: wp-guidance)
11. Disable PHP Execution WordPress Anda
Jangan berikan celah kepada para hecker untuk menyentuh website WordPress Anda. Salah satu cara efektif yang bisa dilakukan adalah melakukan disable file php yang tidak diperlukan seperti pada wp-content/uploads/. Caranya seperti dibawah ini;
<Files *.php>
deny from all
</Files>
Copy dan paste teks diatas ke notepad dan simpan dengan nama .htaccess kemudian upload file tersebut ke folder /wp-content/uploads/ menggunakan FTP. Melakukan disable PHP execution dengan htaccess tidak akan menjamin website Anda tidak terhack, namun hal ini merupakan salah satu tips dan usaha untuk megamankan website WordPress Anda.
12. Menguah Default Tabel Prefix
Database merupakan bagian penting di website WordPress. Untuk mencegah para spamer dan hacker menerobos keamanan WordPress melalui database maka Anda dapat melakukan perubahan pada tabel prefix. Pada umumnya, setelah Anda melakukan instalasi WordPress default tabel prefix Anda ialah wpp6_, mereka tentu sudah mengetahui hal ini dan tentu saja dengan mudah dapat menyusup melalui script-script SQL jika Anda tidak melakukan perubahan.
Berikut langkah-langkah untuk mengubahnya dan dapat Anda lakukan dengan mudah:
- Masuk ke cPanel hosting Anda dan langsug menuju File Manager
- Temukan file wp-config.php dan ubah tabel prefix wpp6_ menjadi misalnya wpp6_a12345_ a
Anda bisa mengubahnya dengan menambahkan angka ataupun huruf dan undescore (_) - Ubah database file default WordPress Anda yang mengandung unsur wpp6_
Lakukan melalui PHP My Admin di cPanel Anda > SQL
13. Mengaktifkan Passwod Login Directory
Waspadai serangan DDOS, minimalisir resiko ini dengan mengaktifkan password login directory. Meskipun di awal saat Anda akan mengkases cPanel dan masuk ke wp-admin directory sudah terdapat password. Anda dapat menambahkan lapisan keamanan WordPress dengan memberikan login username dan password.
Login ke cPanel Anda > Klik Password Protect Directory > Pilih wp-admin directory dan tambahkan permission dengan menginputkan username dan password seperti gambar diatas.
14. Disable File Editing
Pada dasarnya WordPress memiliki keleluasaan di file editor sehingga pengguna dapat mengembangkan dan menggunakannya sesuai kebutuhan, dapat mengubah file PHP dan bisa melakukan file editing tema ataupun plugin melalui admin editor. Buruknya, jika hacker/pihak yang tidak bertanggung jawab berhasil masuk admin area Anda, mereka dapat melakukan apapun. Mencegahnya, Anda lakukan disable file editing melalui cPanel. Pada file wp-config.php tambahkan
define( 'DISALLOW_FILE_EDIT', true );
15. Menonaktifkan PHP Error Reporting
Jika Anda menggunakan website WordPress tentu Anda pernah melihat pesan error seperti gambar berikut ataupun error lainnya.
sumber gambar: wpbeginner
Bila hal ini terjadi pada website yang telah online dan Anda tidak segera mengatasinya kemudian hacker melihat celah-celah error, tentu akan membahayakan keamanan WordPress, pada pesan error syntax WordPress seringkali menampilkan username WordPress Anda. Tentunya, pesan error memberikan informasi kelemahan website Anda yang dapat di manfaatkan para hacker. Anda dapat melakukannya melalui wp-config php.
16. Mengaktifkan Otomatis Logout Bagi “Idle User”
Apapun dapat terjadi jika lalai dan menyepelekan keamanan WordPress. Saat Anda login di WordPress dan tidak terdapat aktivitas apapun, bahka jika user meninggalkan layar maka akan menimbulkan resiko keamanan. Plugin yang bisa Anda gunakan adalah Idle User Logout. Anda bisa melakukan setting untuk menentukan kapan admin WordPress Anda otomatis terlogout. Cara penggunannya pun mudah, Anda aktifkan plugin dan masuk pada setting plugin Idle User Logout.
17. Mengaktifkan Firewall
Jangan lupakan keamanan jaringan Anda. Ibarat razia polisi lalu lintas, firewall akan menyaring lalu lintas jaringan yang aman dan resmi yang diperbolehkan untuk melwatinya. Firewall bermanfaat untuk menjaga arus lalu lintas agar informasi berharga tidak dicuri ataupun mencegah agar malware tidak masuk ke jaringan Anda. Firewall akan melakukan inspeksi melalui Alamat IP, Port, Protokol dan bahkan header yang terdapat dipaket tersebut. Oleh karena itu, segera cek ke technical support penyedia layanan hosting Anda, pastikan setting firewall di server Anda telah aktif.
18. Instal Plugin Keamanan di WordPress
Salah satu plugin yang bisa Anda gunakan untuk keamanan WordPress Anda ialah wordfence. Anda harus melakukan scanning malware dan virus di website Anda. Selain itu percobaan IP yang berbahaya dapat otomatis diblokir oleh Wordfence. Untuk mendapatkan plugin tersebut Anda dapat langsung download melalui wordpress.org. Jika Anda belum mengetahui cara instal plugin silakan ikuti panduan berikut ini.
19. Instal Antivirus di WordPress dan Perangkat Anda
Tidak hanya scan virus dan malware di website WordPress Anda, antivirus local juga perlu Anda instal di perangkat Anda. Seperti Smadav, Nod32, avira dll. Hal tersebut perlu Anda lakukan untuk mengantisipasi file-file terinfeksi dari perangkat ataupun dari website ke perangkat Anda saat upload/download data.
Poin-poin diatas merupakan hal yang perlu Anda perhatikan untuk mengamankan website WordPress Anda. Jika sebelumnya Anda tidak memperdulikan keamanan WordPress, berhati-hatilah, karena kejahatan tidak hanya terjadi di dunia nyata namun juga terjadi di dunia maya. Apabila Anda memiliki pengalaman terkait keamanan WordPress silakan berbagi di kolom kementar ?
Sumber : https://www.niagahoster.co.id/blog/life-hack/19-tips-keamanan-wordpress/