Keamanan sebuah website sangatlah penting. Apalagi jika sebuah website itu telah dibangun berbulan-bulan atau ertahun-tahun lamanya. Untuk itu, dalam artikel kali ini, kita akan membahas tentang Cara mengamankan WordPress. Sebagian besar tips yang diberikan di sini merupakan langkah keamanan berbasis praktik yang tidak memerlukan plugin.
Idenya di sini adalah Anda tidak perlu membuat perubahan pada kode apapun, atau memodifikasi WordPress dengan cara apapun untuk menjaga keamanan yang kuat. Ini merupakan langkah-langkah keamanan yang paling dapat digunakan oleh pengguna WordPress untuk membantu melindungi situs mereka dan menjaga WordPress tetap aman.
Sebenarnya WordPress itu sendiri sudah aman. Saat bug ditemukan, tim WordPress memperbaikinya dan mengeluarkan versi baru secepatnya. Jadi sebagian besar masalah keamanan disebabkan oleh faktor eksternal, seperti pengalaman pengguna, server yang tidak aman, dan plugin atau tema pihak ketiga yang tidak dikode dengan baik.
Sebagian besar saran yang diberikan dalam artikel ini ditujukan untuk mengurangi risiko dengan mengendalikan faktor eksternal dan lainnya.
Perlu diingat bahwa tidak ada yang namanya situs yang aman sekali. Jika situs Anda online, berarti ada resiko. Dengan demikian, keamanan yang baik bukan tentang mencoba menghilangkan risiko, melainkan mengurangi risiko sebanyak mungkin. Berikut ini beberapa tips Cara mengamankan WordPress:
Cara mengamankan WordPress
Tidak perlu melakukan apapun
Jika Anda menjalankan WordPress di server yang aman, dan Anda 100% yakin tentang tema dan plugin yang Anda gunakan, berarti Anda mungkin tidak perlu melakukan langkah apapun.
Gunakan SFTP bukan FTP
Cara selanjutnya untuk mengamankan WordPress ialah dengan menggunakan SFTP.
Jika Anda masih menggunakan FTP biasa, Anda harus beralih ke SFTP sesegera mungkin. FTP mengirimkan kredensial dan data Anda dalam bentuk teks, yang berarti kata sandi dan informasi sambungan Anda tidak dienkripsi. Jika Anda mentransfer file melalui FTP, maka siapa pun yang mengetahui di jaringan dapat mengambil data Anda dan menggunakannya untuk memanfaatkan situs Anda.
Menggunakan SFTP sama seperti menggunakan FTP, namun dengan SFTP semua kredensial dan data Anda akan dienkripsi.
Gunakan SSL / HTTPS
Hampir sama dengan menggunakan SFTP, bukan FTP. Jika situs Anda menggunakan protokol HTTP, semua informasi yang dikirimkan tanpa enkripsi. Jadi semua komentar, login, pembelian (untuk online shop), dan transaksi lainnya dikirim dan diterima tanpa enkripsi melalui jaringan.
Ini berarti hacker bisa mencegat kata sandi dan data sensitif lainnya untuk memanfaatkan situs Anda dan penggunanya. Inilah salah satu alasan mengapa Google dan situs besar lainnya mendorong keras semua orang untuk beralih ke HTTPS. Dengan HTTPS, semua data yang dikirim dienkripsi, yang membantu melindungi dari intersepsi dan eksploitasi.
Menggunakan Hosting Yang Aman
Cara mengamankan WordPress berikutnya ialah dengan menggunakan hosting yang aman.
Mungkin ini poin paling penting dari semua tips keamanan website yaitu meng-host situs Anda di server yang aman. Server merupakan dasar dari situs Anda, jadi pastikan bahwa hosting web Anda memiliki reputasi baik dan menyediakan server yang stabil dan aman. Jika Anda punya dana, jangan memikirkan hosting yang murah. Jika Anda mampu membelinya, belilah paket hosting yang lebih baik daripada “shared” hosting. Shared hosting berarti Anda berbagi ruang server dengan pengguna lain. Jikka situs lain di server tersebut diretas, maka semua situs di server mungkin bisa diretas.
Pertimbangkan untuk membeli dedicated hosting, di mana seluruh server didedikasikan untuk situs Anda. Itu memungkinkan website Anda menjadi seaman yang Anda inginkan. Begitu juga dengan VPS hosting, keamanan situs Anda tidak tergantung pada keamanan situs lain.
Beberapa hal yang perlu dipertimbangkan untuk mencari hosting web yang bagus:
- Reputasi yang solid, aman, andal, suportif, responsif, dan lain-lain.
- Menyediakan server yang dikonfigurasi dengan benar
- Menyediakan versi perangkat lunak terkini (Apache / Nginx, PHP, MySQL, dan lain-lain.)
- Menyediakan metode yang andal untuk membuat backup dan memulihkan data Anda.
Gunakan Password yang Kuat
Anda harus menggunakan kata kunci yang kuat dan mengubahnya secara teratur. Baca juga: Seberapa sulit password Anda?
Berikut ini beberapa tips tambahan untuk mengguncang password yang kuat:
- Buatlah password yang panjang, acak, dan alfanumerik
- Jangan memberitahu kata sandi Anda dengan siapa pun
- Jika Anda memberitahu orang lain kata sandi Anda untuk mendapatkan dukungan teknis misalnya, ubah kata kunci sesudahnya
- Gunakan generator kata kunci online untuk menghasilkan kata kunci yang kuat
- Dan jika Anda ingin mengamankan halaman login WordPress dengan super aman, gunakan two-factor authentication.
Update.
Cara mengamankan WordPress berikutnya yaitu dengan melakukan update.
Gunakan WordPress versi terbaru. Pastikan juga semua plugin dan tema yang diinstal di situs Anda terus diperbarui.
Bersihkan Rogue File.
Luangkan waktu untuk memeriksa struktur direktori Anda dan menghapus file yang tidak diperlukan. Anda harus menghapus file-file seperti:
- Tema yang tidak terpakai (tidak aktif)
- Plugin yang tidak terpakai (tidak aktif)
- Script PHP yang tidak digunakan
- File JavaScript yang tidak terpakai
- File lepas lainnya yang tidak diperlukan
- Selalu membackup situs Anda.
Melakukan backup sangat penting untuk menghindari kehilangan data penting jika dan saat terjadi sesuatu yang buruk. Yang perlu dibackup bukan hanya database saja, tapi juga file yang lain.
Gunakan Tema dan Plugin ASLI.
Cara mengamankan WordPress selanjutnya ialah dengan menggunakan tema dan plugin asli, bukan nulled atau bajakan.
Instal hanya tema dan plugin dari sumber terpercaya, dan jauhi tema tema dan plugin “nulled” atau “bajakan”. Selalu dapatkan plugin, tema, dan script lainnya dari sumber terpercaya. Tema asli seperti Genesis Framework. Dan jika Anda tidak punya paypal atau kartu kredit untuk membelinya, silahkan hubungi saya untuk saya bantu.
Gunakan Plugin Berkualitas
Saat mencari plugin, carilah plugin berkualitas, dengan ciri-ciri seperti:
- Bekerja dengan dengan WordPress terbaru
- Memiliki feedback dan rating positif.
- Support aktif
- Jumlah pengguna lainnya
- Baru-baru diperbarui.
Dengan memilih tema dan plugin terbaik untuk situs Anda, akan membantu menjaga keamanan situs Anda. Baca juga: 14 Plugin Yang Wajib Di instal Dalam Blog.
Gunakan koneksi internet yang aman
Cara mengamankan WordPress berikutnya ialah dengan menggunakan koneksi internet yang aman.
Hindari menggunakan jaringan internet publik jika ingin bekerja dengan situs Anda, Karena Anda tidak pernah tahu siapa yang mengintai di jaringan yang tidak dienkripsi. Jangan pernah login, melakukan pembelian, atau melakukan apa pun selain hanya browsing dari sinyal wi-fi yang tidak diketahui atau tidak aman. Jika tidak, terlalu mudah bagi hacker untuk membajak sinyal dan mencuri informasi Anda.
Jangan Memodifikasi Core WordPress
Jika Anda ingin mengubah fungsi default, lakukanlah melalui chanel yang ditentukan, seperti:
- Modifikasi atau sesuaikan fungsi inti melalui plugin
- Mengubah atau menyesuaikan tampilan website atau fungsionalitas melalui theme child.
- Membuat perubahan pada tema melalui functions.php
Pastikan File Permission di Cpanel Tepat
Cara mengamankan WordPress berikutnya ialah memastikan file permission di cPanel tepat.
Jika server Anda dikonfigurasi dengan benar, semua file dan folder WordPress seharusnya dibuat dengan permission yang benar. Aturan umumnya ialah bahwa tingkat izin file harus ditetapkan pada 644 dan folder ditetapkan pada 755. Untuk lebih jelasnya, Anda bisa merujuk kepada WP Codex untuk pengaturan yang tepat.
Disable Error Display
Selama masa pengembangan, menampilkan kesalahan pada bagian depan situs Anda sangat baik. Tapi saat situs Anda sudah online, menampilkan informasi tentang kesalahan merupakan ide yang buruk. Melakukan hal itu dapat mengungkapkan informasi sensitif tentang konfigurasi server Anda, setup PHP, dan potensi kerentanan lainnya.
Untuk itu, setelah pengembangan website Anda selesai dan Anda siap untuk diluncurkan, luangkan waktu sejenak untuk menonaktifkan tampilan kesalahan di situs Anda. Untuk mendisable error display, melalui wp-config.php dan menambahkan baris berikut:
define('WP_DEBUG', false);
Menghilangkan spam
Cara mengamankan WordPress berikutnya ialah menghapus spam.
Satu hal yang tidak Anda inginkan ialah sekelompok spammer yang meninggalkan komentar di posting Anda. Komentar spam mengirim sinyal bahwa situs Anda mungkin berkualitas buruk, terbengkalai, dan mungkin tidak aman. Itu juga berdampak pada SEO. Untuk membantu mengendalikan spam, Anda dapat menginstal plugin, atau hanya menggunakan fitur spam-control WordPress yang ada di bagian setting. Menghilangkan spam membantu memperbaiki reputasi, peringkat, dan keamanan situs Anda.
Menggunakan perangkat yang bersih saat bekerja dengan situs Anda
Langkah keamanan penting lainnya ialah memastikan bahwa perangkat yang Anda gunakan untuk bekerja dengan situs Anda bebas dari spyware, virus, dan malware lainnya. Walaupun server dan situs Anda super aman, itu semua tidak ada gunanya jika Anda bekerja dari perangkat yang terinfeksi. Seperti yang dinyatakan di WordPress Codex1:
Make sure the computers you use are free of spyware, malware, and virus infections. No amount of security in WordPress or on your web server will make the slightest difference if there is a keylogger on your computer.
Untuk melindungi komputer dan perangkat Anda dari kerentanan keamanan, lakukan hal-hal seperti:
- Menghubungkan ke Web melalui router yang aman
- Menjalankan firewall yang terpercaya dan andal
- Menggunakan semua perangkat lunak asli dan update
- Jangan mengizinkan akses ke jaringan atau perangkat yang tidak tepercaya
- Hindari situs bajakan dan sebagainya
Monitoring dan Logging
Monitoring dan Logging dapat membantu Anda dalam mengatasi kesalahan dan menyelidiki masalah keamanan. Sebagian besar server mencatat akses terperinci dan error log yang berisi banyak informasi tentang setiap permintaan dan kesalahan, termasuk data berharga seperti tanggal / waktu, alamat IP, URI yang diminta, dan banyak lagi.
Langkah Keamanan Tambahan
Kita telah membahas langkah-langkah yang dapat dilakukan untuk membantu menjaga keamanan WordPress. Sebagian besar teknik tersebut tidak memerlukan modifikasi pada file atau kode apapun. Nah, berikut beberapa teknik keamanan tambahan yang bisa menambah lapisan keamanan wordpress Anda.
Authentication Keys
Di dalam file wp-config.php WordPress, pastikan untuk menambahkan beberapa kunci keamanan acak yang kuat ke bagian “Authentication Unique Keys and Salts”. Menambahkan kunci otentikasi ini membantu meningkatkan keamanan login WordPress dan sangat disarankan.
Untuk mendapatkan authentications keys ini, kunjungi https://api.wordpress.org/secret-key/1.1/salt/. Kemudian copy dan paste ke file konfigurasi anda, upload ke server, dan selesai.
Disable Directory Views
Tampilan direktori akan muncul bila tidak ada file indeks dalam sebuah direktori. Dalam kasus seperti itu, kita akan bisa melihat semua file di dalamnya. Dalam beberapa kasus tampilan direktori bisa bermanfaat (seperti saat berbagi foto atau video), namun secara umum harus dinonaktifkan.
Secara default, WordPress menyertakan file index.php kosong di berbagai direktori di seluruh core WP, dan beberapa plugin dan tema menyertakannya juga. Itu penting untuk menonaktifkan tampilan direktori, namun mungkin ada beberapa plugin atau tema yang tidak menyertakan file indeks apapun, sehingga file Anda terbuka dan berpotensi rentan.
Pada server yang dikonfigurasi dengan benar, tampilan direktori harus dinonaktifkan, namun jika tidak atau jika Anda ingin memastikannya, Anda dapat menyertakan baris berikut di file .htaccess situs Anda:
Options -Indexes
Ubah Awalan Database Default (Default Database Prefix)
Ketika Anda menginstal WordPress, akan membuat tabel database menggunakan awalan default, wp_. Nilai ini diatur dalam file wp-config.php, dan dapat disesuaikan sebelum menginstal WordPress. Melakukan hal itu setelah WordPress terinstal memerlukan beberapa pengeditan tambahan.
Mengubah awalan database menjadi sesuatu selain default akan menambahkan lapisan perlindungan terhadap serangan terkait SQL, yang biasanya menargetkan basis data melalui awalan default, wp_. Jadi dengan mengubah nilai itu menjadi yang lain, akan menggagalkan 99,9% serangan yang ditargetkan melalui nilai awalan default.
Lindungi Halaman Login
Halaman Login WordPress memungkinkan seseorang yang memiliki akses untuk memasukkan kredensial dan berusaha masuk. Keterbukaan ini sangat bagus untuk penggun, namun juga mengundang serangan brute force. Seperti yang telah dibahas sebelumnya, jika Anda dan semua pengguna terdaftar telah memilih kata kunci yang kuat, maka tidak ada yang perlu dkhawatirkan. Tetapi jika Anda tidak 100% yakin tentang semua kata kunci yang digunakan di situs Anda, Anda mungkin ingin mengambil beberapa langkah untuk melindungi halaman login tersebut. Ada banyak cara untuk melakukannya:
- Gunakan plugin untuk melindungi halaman login
- Terapkan two-factor authentication
- Terapkan otentikasi HTTP
- Whitelist Alamat IP.
Salah satu teknik ini akan membantu melindungi Halaman Login WordPress Anda. Selain itu, Anda juga bisa memasukkan kode berikut di file .htaccess:
<Files wp-login.php> Order Deny,Allow Deny from all Allow from 123.123.123 </Files>
Cuplikan kode sederhana tersebut akan memungkinkan Anda mengakses Halaman login, sementara dari IP lain tidak bisa. Anda dapat memasukkan alamat IP tambahan dengan mengulangi Allow fromsebanyak yang diperlukan.
Melindungi wp-config.php
Salah satu file yang paling sensitif yang disertakan dalam instalasi WordPress idalah wp-config.php. Itu karena file konfigurasi berisi kredensial koneksi database Anda, yang memungkinkan peretas memiliki dan atau menghancurkan keseluruhan situs Anda. Pada server yang dikonfigurasi dengan benar, file wp-config.php seharusnya tidak dapat diakses oleh akses luar manapun.
Tetapi jika Anda tidak yakin, atau hanya ingin menambahkan lapisan perlindungan lain agar lebih aman, berikut kode yang bisa Anda masukkan ke dalam file htaccess:
<Files wp-config.php> Order Allow,Deny Deny from all </Files>
Sebagai tambahan, Anda juga bisa mengunci file xmlrpc.php dengan menambahkan kode berikut di .htaccess:
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
Disable File Editing
Secara default, WordPress memungkinkan pengguna tingkat admin mengedit file plugin dan tema dari dalam Dashboard WP (melalui Appearance> Editor). Menonaktifkan fngsi ini membantu meningkatkan keamanan. Untuk menonaktifkan pengeditan file dari dalam Admin Area, tambahkan baris ini ke file wp-config.php situs Anda:
define('DISALLOW_FILE_EDIT', true);
Menempatkan baris ini di wp-config.php sama dengan menghapus kemampuan edit_themes, edit_plugins dan edit_files untuk semua pengguna.
Tambahkan firewall
Banyak plugin gratis di repository wordpress.org yang menyediakan fungsi ini.
Demikianlah Cara mengamankan WordPress, apabila Anda telah menerapkan semua cara ini di situs Anda, maka Insya Allah website akan aman dari hal-hal yang tidak diinginkan.