Menu
Jasa Pembuatan website, SEO, dan promosi online

Cara mengamankan WordPress

Feb
11
2018
by : Losari WS. Posted in : Blogging

Keamanan sebuah website sangatlah penting. Apalagi jika sebuah website itu telah dibangun berbulan-bulan atau ertahun-tahun lamanya. Untuk itu, dalam artikel kali ini, kita akan membahas tentang Cara mengamankan WordPress. Sebagian besar tips yang diberikan di sini merupakan langkah keamanan berbasis praktik yang tidak memerlukan plugin. Idenya di sini adalah Anda tidak perlu membuat perubahan pada kode apapun, atau memodifikasi WordPress dengan cara apapun untuk menjaga keamanan yang kuat. Ini merupakan langkah-langkah keamanan yang paling dapat digunakan oleh pengguna WordPress untuk membantu melindungi situs mereka dan menjaga WordPress tetap aman.

Sebenarnya WordPress itu sendiri sudah aman. Saat bug ditemukan, tim WordPress memperbaikinya dan mengeluarkan versi baru secepatnya. Jadi sebagian besar masalah keamanan disebabkan oleh faktor eksternal, seperti pengalaman pengguna, server yang tidak aman, dan plugin atau tema pihak ketiga yang tidak dikode dengan baik. Sebagian besar saran yang diberikan dalam artikel ini ditujukan untuk mengurangi risiko dengan mengendalikan faktor eksternal dan lainnya.

Perlu diingat bahwa tidak ada yang namanya situs yang aman sekali. Jika situs Anda online, berarti ada resiko. Dengan demikian, keamanan yang baik bukan tentang mencoba menghilangkan risiko, melainkan mengurangi risiko sebanyak mungkin. Berikut ini beberapa tips Cara mengamankan WordPress:

Cara mengamankan WordPress

Cara mengamankan WordPress

Cara mengamankan WordPress

Tidak perlu melakukan apapun

Jika Anda menjalankan WordPress di server yang aman, dan Anda 100% yakin tentang tema dan plugin yang Anda gunakan, berarti Anda mungkin tidak perlu melakukan langkah apapun.

Gunakan SFTP bukan FTP

Jika Anda masih menggunakan FTP biasa, Anda harus beralih ke SFTP sesegera mungkin. FTP mengirimkan kredensial dan data Anda dalam bentuk teks, yang berarti kata sandi dan informasi sambungan Anda tidak dienkripsi. Jika Anda mentransfer file melalui FTP, maka siapa pun yang mengetahui di jaringan dapat mengambil data Anda dan menggunakannya untuk memanfaatkan situs Anda. Menggunakan SFTP sama seperti menggunakan FTP, namun dengan SFTP semua kredensial dan data Anda akan dienkripsi.

Gunakan SSL / HTTPS

Hampir sama dengan menggunakan SFTP, bukan FTP. Jika situs Anda menggunakan protokol HTTP, semua informasi yang dikirimkan tanpa enkripsi. Jadi semua komentar, login, pembelian (untuk online shop), dan transaksi lainnya dikirim dan diterima tanpa enkripsi melalui jaringan.
Ini berarti hacker bisa mencegat kata sandi dan data sensitif lainnya untuk memanfaatkan situs Anda dan penggunanya. Inilah salah satu alasan mengapa Google dan situs besar lainnya mendorong keras semua orang untuk beralih ke HTTPS. Dengan HTTPS, semua data yang dikirim dienkripsi, yang membantu melindungi dari intersepsi dan eksploitasi.

Menggunakan Hosting Yang Aman

Mungkin ini poin paling penting dari semua tips keamanan website yaitu meng-host situs Anda di server yang aman. Server merupakan dasar dari situs Anda, jadi pastikan bahwa hosting web Anda memiliki reputasi baik dan menyediakan server yang stabil dan aman. Jika Anda punya dana, jangan memikirkan hosting yang murah. Jika Anda mampu membelinya, belilah paket hosting yang lebih baik daripada “shared” hosting. Shared hosting berarti Anda berbagi ruang server dengan pengguna lain. Jikka situs lain di server tersebut diretas, maka semua situs di server mungkin bisa diretas.

Pertimbangkan untuk membeli dedicated hosting, di mana seluruh server didedikasikan untuk situs Anda. Itu memungkinkan website Anda menjadi seaman yang Anda inginkan. Begitu juga dengan VPS hosting, keamanan situs Anda tidak tergantung pada keamanan situs lain.

Beberapa hal yang perlu dipertimbangkan untuk mencari hosting web yang bagus:

  1. Reputasi yang solid, aman, andal, suportif, responsif, dan lain-lain.
  2. Menyediakan server yang dikonfigurasi dengan benar
  3. Menyediakan versi perangkat lunak terkini (Apache / Nginx, PHP, MySQL, dan lain-lain.)
  4. Menyediakan metode yang andal untuk membuat backup dan memulihkan data Anda.

Gunakan Password yang Kuat

Anda harus menggunakan kata kunci yang kuat dan mengubahnya secara teratur. Baca juga: Seberapa sulit password Anda?
Berikut ini beberapa tips tambahan untuk mengguncang password yang kuat:

  1. Buatlah password yang panjang, acak, dan alfanumerik
  2. Jangan memberitahu  kata sandi Anda dengan siapa pun
  3. Jika Anda memberitahu orang lain kata sandi Anda untuk mendapatkan dukungan teknis misalnya, ubah kata kunci sesudahnya
  4. Gunakan generator kata kunci online untuk menghasilkan kata kunci yang kuat
  5. Dan jika Anda ingin mengamankan halaman login WordPress dengan super aman, gunakan two-factor authentication.

Update.

Gunakan WordPress versi terbaru. Pastikan juga semua plugin dan tema yang diinstal di situs Anda terus diperbarui.

Bersihkan Rogue File.

Luangkan waktu untuk memeriksa struktur direktori Anda dan menghapus file yang tidak diperlukan. Anda harus menghapus file-file seperti:

  1. Tema yang tidak terpakai (tidak aktif)
  2. Plugin yang tidak terpakai (tidak aktif)
  3. Script PHP yang tidak digunakan
  4. File JavaScript yang tidak terpakai
  5. File lepas lainnya yang tidak diperlukan
  6. Selalu membackup situs Anda.

Melakukan backup sangat penting untuk menghindari kehilangan data penting jika dan saat terjadi sesuatu yang buruk. Yang perlu dibackup bukan hanya database saja, tapi juga file yang lain.

Gunakan Tema dan Plugin ASLI.

Instal hanya tema dan plugin dari sumber terpercaya, dan jauhi tema tema dan plugin “nulled” atau “bajakan”. Selalu dapatkan plugin, tema, dan script lainnya dari sumber terpercaya. Tema asli seperti Genesis Framework. Dan jika Anda tidak punya paypal atau kartu kredit untuk membelinya, silahkan hubungi saya untuk saya bantu.

Gunakan Plugin Berkualitas

Saat mencari plugin, carilah plugin berkualitas, dengan ciri-ciri seperti:

  1. Bekerja dengan dengan WordPress terbaru
  2. Memiliki feedback dan rating positif.
  3. Support aktif
  4. Jumlah pengguna lainnya
  5. Baru-baru diperbarui.

Dengan memilih tema dan plugin terbaik untuk situs Anda, akan membantu menjaga keamanan situs Anda. Baca juga: 14 Plugin Yang Wajib Di instal Dalam Blog.

Gunakan koneksi internet yang aman

Hindari menggunakan jaringan internet publik jika ingin bekerja dengan situs Anda, Karena Anda tidak pernah tahu siapa yang mengintai di jaringan yang tidak dienkripsi. Jangan pernah login, melakukan pembelian, atau melakukan apa pun selain hanya browsing dari sinyal wi-fi yang tidak diketahui atau tidak aman. Jika tidak, terlalu mudah bagi hacker untuk membajak sinyal dan mencuri informasi Anda.

Jangan Memodifikasi Core WordPress

Jika Anda ingin mengubah fungsi default, lakukanlah melalui chanel yang ditentukan, seperti:

  1. Modifikasi atau sesuaikan fungsi inti melalui plugin
  2. Mengubah atau menyesuaikan tampilan website atau fungsionalitas melalui theme child.
  3. Membuat perubahan pada tema melalui functions.php

Pastikan File Permission di Cpanel Tepat

Jika server Anda dikonfigurasi dengan benar, semua file dan folder WordPress seharusnya dibuat dengan permission yang benar. Aturan umumnya ialah bahwa tingkat izin file harus ditetapkan pada 644 dan folder ditetapkan pada 755. Untuk lebih jelasnya, Anda bisa merujuk kepada WP Codex untuk pengaturan yang tepat.

Disable Error Display

Selama masa pengembangan, menampilkan kesalahan pada bagian depan situs Anda sangat baik. Tapi saat situs Anda sudah online, menampilkan informasi tentang kesalahan merupakan ide yang buruk. Melakukan hal itu dapat mengungkapkan informasi sensitif tentang konfigurasi server Anda, setup PHP, dan potensi kerentanan lainnya.

Untuk itu, setelah pengembangan website Anda selesai dan Anda siap untuk diluncurkan, luangkan waktu sejenak untuk menonaktifkan tampilan kesalahan di situs Anda. Untuk mendisable error display, melalui wp-config.php dan menambahkan baris berikut:

 Menghilangkan spam

Satu hal yang tidak Anda inginkan ialah sekelompok spammer yang meninggalkan komentar di posting Anda. Komentar spam mengirim sinyal bahwa situs Anda mungkin berkualitas buruk, terbengkalai, dan mungkin tidak aman. Itu juga berdampak pada SEO. Untuk membantu mengendalikan spam, Anda dapat menginstal plugin, atau hanya menggunakan fitur spam-control WordPress yang ada di bagian setting. Menghilangkan spam membantu memperbaiki reputasi, peringkat, dan keamanan situs Anda.

Menggunakan perangkat yang bersih saat bekerja dengan situs Anda

Langkah keamanan penting lainnya ialah memastikan bahwa perangkat yang Anda gunakan untuk bekerja dengan situs Anda bebas dari spyware, virus, dan malware lainnya. Walaupun server dan situs Anda super aman, itu semua tidak ada gunanya jika Anda bekerja dari perangkat yang terinfeksi. Seperti yang dinyatakan di WordPress Codex1:

Make sure the computers you use are free of spyware, malware, and virus infections. No amount of security in WordPress or on your web server will make the slightest difference if there is a keylogger on your computer.

Untuk melindungi komputer dan perangkat Anda dari kerentanan keamanan, lakukan hal-hal seperti:

  1. Menghubungkan ke Web melalui router yang aman
  2. Menjalankan firewall yang terpercaya dan andal
  3. Menggunakan semua perangkat lunak asli dan update
  4. Jangan mengizinkan akses ke jaringan atau perangkat yang tidak tepercaya
  5. Hindari situs bajakan dan sebagainya

Monitoring dan Logging

Monitoring dan Logging dapat membantu Anda dalam mengatasi kesalahan dan menyelidiki masalah keamanan. Sebagian besar server mencatat akses terperinci dan error log yang berisi banyak informasi tentang setiap permintaan dan kesalahan, termasuk data berharga seperti tanggal / waktu, alamat IP, URI yang diminta, dan banyak lagi.

Langkah Keamanan Tambahan

Kita telah membahas langkah-langkah yang dapat dilakukan untuk membantu menjaga keamanan WordPress. Sebagian besar teknik tersebut tidak memerlukan modifikasi pada file atau kode apapun. Nah, berikut beberapa teknik keamanan tambahan yang bisa menambah lapisan keamanan wordpress Anda.

  • Authentication Keys

Di dalam file wp-config.php WordPress, pastikan untuk menambahkan beberapa kunci keamanan acak yang kuat ke bagian “Authentication Unique Keys and Salts”. Menambahkan kunci otentikasi ini membantu meningkatkan keamanan login WordPress dan sangat disarankan.
Untuk mendapatkan authentications keys ini, kunjungi https://api.wordpress.org/secret-key/1.1/salt/. Kemudian copy dan paste ke file konfigurasi anda, upload ke server, dan selesai.

  • Disable Directory Views

Tampilan direktori akan muncul bila tidak ada file indeks dalam sebuah direktori. Dalam kasus seperti itu, kita akan bisa melihat semua file di dalamnya. Dalam beberapa kasus tampilan direktori bisa bermanfaat (seperti saat berbagi foto atau video), namun secara umum harus dinonaktifkan.
Secara default, WordPress menyertakan file index.php kosong di berbagai direktori di seluruh core WP, dan beberapa plugin dan tema menyertakannya juga. Itu penting untuk menonaktifkan tampilan direktori, namun mungkin ada beberapa plugin atau tema yang tidak menyertakan file indeks apapun, sehingga  file Anda terbuka dan berpotensi rentan.
Pada server yang dikonfigurasi dengan benar, tampilan direktori harus dinonaktifkan, namun jika tidak atau jika Anda ingin memastikannya, Anda dapat menyertakan baris berikut di file .htaccess situs Anda:

  • Ubah Awalan Database Default (Default Database Prefix)

Ketika Anda menginstal WordPress, akan membuat tabel database menggunakan awalan default, wp_. Nilai ini diatur dalam file wp-config.php, dan dapat disesuaikan sebelum menginstal WordPress. Melakukan hal itu setelah WordPress terinstal memerlukan beberapa pengeditan tambahan.
Mengubah awalan database menjadi sesuatu selain default akan menambahkan lapisan perlindungan terhadap serangan terkait SQL, yang biasanya menargetkan basis data melalui awalan default, wp_. Jadi dengan mengubah nilai itu menjadi yang lain, akan menggagalkan 99,9% serangan yang ditargetkan melalui nilai awalan default.

  • Lindungi Halaman Login

Halaman Login WordPress memungkinkan seseorang yang memiliki akses untuk memasukkan kredensial dan berusaha masuk. Keterbukaan ini sangat bagus untuk penggun, namun juga mengundang serangan brute force. Seperti yang telah dibahas sebelumnya, jika Anda dan semua pengguna terdaftar telah memilih kata kunci yang kuat, maka tidak ada yang perlu dkhawatirkan. Tetapi jika Anda tidak 100% yakin tentang semua kata kunci yang digunakan di situs Anda, Anda mungkin ingin mengambil beberapa langkah untuk melindungi halaman login tersebut. Ada banyak cara untuk melakukannya:

  1. Gunakan plugin untuk melindungi halaman login
  2. Terapkan two-factor authentication
  3. Terapkan otentikasi HTTP
  4. Whitelist Alamat IP.

Salah satu teknik ini akan membantu melindungi Halaman Login WordPress Anda. Selain itu, Anda juga bisa memasukkan kode berikut di file .htaccess:

Cuplikan kode sederhana tersebut akan memungkinkan Anda mengakses Halaman login, sementara dari IP lain tidak bisa. Anda dapat memasukkan alamat IP tambahan dengan mengulangi Allow fromsebanyak yang diperlukan.

  • Melindungi wp-config.php

Salah satu file yang paling sensitif yang disertakan dalam instalasi WordPress idalah wp-config.php. Itu karena file konfigurasi berisi kredensial koneksi database Anda, yang memungkinkan peretas memiliki dan atau menghancurkan keseluruhan situs Anda. Pada server yang dikonfigurasi dengan benar, file wp-config.php seharusnya tidak dapat diakses oleh akses luar manapun.
Tetapi jika Anda tidak yakin, atau hanya ingin menambahkan lapisan perlindungan lain agar lebih aman, berikut kode yang bisa Anda masukkan ke dalam file htaccess:

Sebagai tambahan, Anda juga bisa mengunci file xmlrpc.php dengan menambahkan kode berikut di .htaccess:

  • Disable File Editing

Secara default, WordPress memungkinkan pengguna tingkat admin mengedit file plugin dan tema dari dalam Dashboard WP (melalui Appearance> Editor). Menonaktifkan fngsi ini membantu meningkatkan keamanan. Untuk menonaktifkan pengeditan file dari dalam Admin Area, tambahkan baris ini ke file wp-config.php situs Anda:

Menempatkan baris ini di wp-config.php sama dengan menghapus kemampuan edit_themes, edit_plugins dan edit_files untuk semua pengguna.

  • Tambahkan firewall

Banyak plugin gratis di repository wordpress.org yang menyediakan fungsi ini.

Demikianlah Cara mengamankan WordPress, apabila Anda telah menerapkan semua cara ini di situs Anda, maka Insya Allah website akan aman dari hal-hal yang tidak diinginkan.

artikel terkait Cara mengamankan WordPress

Kamis 1 Februari 2018 | Blogging

Setelah Anda membeli domain, dan damain itu telah menjadi milik Anda secara resmi, Maka timbul pertanyaan,…

Kamis 12 Desember 2013 | Blogging

JASA PEMBUATAN WEBSITE – Ada cara yang menyenangkan untuk mengetahui seberapa lemah password (kata sandi) yang…

Sabtu 27 Januari 2018 | Blogging

Saat ini, pembaca blog memiliki banyak pilihan untuk dibaca, sehingga para blogger harus bersaing untuk mendapatkan…

Jumat 13 Januari 2017 | Blogging

Rahasia cara menaikkan earning Google Adsense akan dibahas melalui e-book yang berjudul Adsense Earning Monster.  Buku…

Cara mengamankan Wordpress

Online Sejak 8 Maret 2013