Memiliki sebuah blog berbasis wordpress, maka kita juga harus mempersiapkan diri untuk menghadapai serangan para hacker yang terkadang meresahkan. Dengan keamanan yang rendah, tentu saja website kita rentan akan pembobolan. Lantas, bagaimana cara mengamankan wordpress dengan mudah dan ampuh?.
CMS wordpress merupakan salah satu cms paling populer di dunia. Setidaknya, 30% dari semua situs di dunia ini menggunakan cms ini. Selebihnya ada yang menggunakan Joomla, Drupal, Magento, dan lain sebagainya.
Sekedar informasi, Conten Management System (CMS) merupakan system managemen konten yang bisa digunakan untuk membuat website secara instant dan mudah. Tidak memerlukan usasa yang lebih seperti coding dan lain sebagainya.
Daftar isi
- Apakah WordPress Aman?
- Cara Mengamankan WordPress
- 1. Pilih Hosting Terpercaya
- 2. Update WordPress Core
- 3. Gunakan Theme dan Plugin Original
- 4. Update Plugin dan Theme
- 5. Gunakan Username dan Password yang Susah
- 6. Backup WordPress
- 7. Menggunakan Plugin Keamanan WordPress
- 8. Menyembunyikan URL Login
- 9. Disable File Editing
- 10. Update PHP Version
- 11. Batasi Percobaan Login
- 12. Menggunakan Two Factor Authentication
- 13. Disable Directory Indexing
- 14. Automatically Log Out Idle Users
- 15. Menambah Pertanyaan Keamanan
- 16. Scanning dan Fixing
- Kesimpulan
Apakah WordPress Aman?
Para developer cms wordpress sebenarnya sudah melakukan usaha semaksimal mungkin untuk membuat wordpress aman. Ada sangat banyak orang dan pihak yang berkontribusi demi keamanan wordpress. Namun selagi merupakan buatan manusia, tentu tidak ada yang sempurna.
Bukan tidak mungkin jika suatu saat ada celah yang rentan untuk disalahgunakan oleh pihak yang tidak bertanggung jawab. Walaupun memang kemungkinan tersebut sangat kecil kalau dari pihak wordpress sendiri.
Namun keamanan wordpress bukanlah hanya soal cms itu sendiri. Ada banyak faktor yang harus kita perhatikan dalam mengamankan wordpress. Misalnya saja penggunaan theme dan plugin, harus diperhatikan dengan baik oleh pemilik blog.
Jika anda bergabung dalam berbagai grup wordpress, mungkin tidak asing lagi dengan berbagai serangan tidak bertanggung terhadap wordpress. Sebut saja misalnya serangan redirect, yang membuat website dialihkan ke situs lain.
Selain itu, ada juga serangan brute-force login attempts, dimana seseorang yang tidak bertanggung jawab melakukan percobaan masuk ke dashboard wordpress. Hal seperti ini tentu saja tidak dilakukan secara manual, melainkan dengan menggunakan software, dimana dalam satu menit saja bisa melakukan percobaan login hingga ratusan kali.
Alhasil, mengamankan website wordpress haruslah dilakukan sejak awal. Jangan sampai harus kejadian dulu, baru repot mencari backup, melakukan restore, dan membersihkan file yang bisa saja terinfeksi virus.
Cara Mengamankan WordPress
Mengamankan website wordpress bisa dilakukan dengan berbagai cara. Namun pada artikel ini, kita akan membahas mengenai cara – cara yang mudah dilakukan dan tentunya minim resiko. Bagi yang sudah ahli, memang mungkin saja memiliki cara sendiri untuk mengamankan wordpress masing – masing.
Penggunaan plugin keamanan wordpress biasanya adalah hal yang paling mudah kita lakukan. Minim resiko, tentunya juga mudah dalam pengoperasiannya. Pada umumnya, setiap plugin akan disertai dengan tutorial penggunaan dari developer masing – masing.
1. Pilih Hosting Terpercaya
Apapun yang anda lakukan untuk mengamankan website wordpress akan sia – sia jika menggunakan hosting yang buruk. Hosting yang buruk disini maksudnya adalah hosting yang tidak bisa menjamin keamanan website para pengguna hosting.
Hindari menggunakan hosting perorangan, kecuali anda memang benar – benar yakin kepada pemiliknya ataupun karena sudah kenal dengan pemiliknya.
Selain itu, usahakan juga hosting yang anda gunakan sudah mendukung SSL. SSL menjamin keamanan pertukaran data antara server dengan pengunjung. Alhasil, pihak ketiga yang tidak bertanggung jawab tidak akan bisa mengetahui atau mengintip data sensitif pada website anda dan perangkat pengunjung.
2. Update WordPress Core
Cara mengamankan wordpress yang paling mudah adalah dengan selalu menggunakan wordpress core terbaru. Ini adalah langkah pertama yang bisa anda tempuh jika ingin website wordpres anda aman.
WordPress sendiri memiliki 2 jenis update, yakni major update dan minor update. Namun update apapun itu, ada baiknya anda segera melakukan update wordpress juga. Untuk melakukan update bisa dilakukan via dashboard wordpress ataupun cpanel.
3. Gunakan Theme dan Plugin Original
Para developer wordpress sudah bekerja keras demi menjamin keamanan wordpress. Namun tentu akan sia – sia jika plugin atau theme yang anda gunakan memiliki celah yang rentan untuk diretas oleh orang – orang yang tidak bertanggung jawab.
Maka dari itu, anda harus bisa menjamin keamanan plugin dan theme yang anda gunakan. Tersedia banyak theme dan plugin gratis di direktori wordpress. Namun ada juga developer yang menawarkan versi premium untuk mendapatkan fitur lebih.
Namun sayangnya, tidak jarang para pemilik website wordpress mengunduh plugin atau theme dari internet. Padahal file tersebut belum tentu asli dan mungkin saja sudah disisipi script oleh orang yang tidak bertanggung jawab, lalu menyebarkannya di internet.
Hal seperti ini harus anda hindari. Demi menjaga website anda tetap aman, lebih baik menggunakan theme dan plugin versi gratis dari direktori wordpress, dibandingkan harus mempertaruhkan keamanan wordpress.
4. Update Plugin dan Theme
Sama halnya seperti developer wordpress, para pengembang plugin dan theme juga selalu berusaha menjaga produk mereka tetap aman digunakan. Perbaikan demi perbaikan dilakukan pada setiap versi terbarunya.
Menggunakan plugin dan theme original asli saja tidak cukup. Untuk mengamankan website wordpress, anda juga harus rutin melakukan update. Untuk pembaharuan plugin dan theme, maka biasanya akan diberitahukan melalui notifikasi di dashboard wordpress.
5. Gunakan Username dan Password yang Susah
Username dan password yang sudah ditebak adalah sebuah keharusan dalam mengamankan website wordpress. Mungkin tidak jarang para pemilik website yang hanya menggunakan ‘Admin’ sebagai username. Ini tentu saja sangat mudah ditebak oleh siapapun.
Begitu juga dengan password yang anda gunakan untuk login. Cobalah menggunakan gabungan dari huruf capital, huruf kecil, dan angka. Bahkan jika menambahkan bisa juga menggunakan karakter lain, seperti titik atau koma.
6. Backup WordPress
Kita tidak tahu kapan akan mengalami masalah keamanan wordpress. Untuk itu, alangkah baiknya jika anda selalu rutin melakukan backup data, untuk menghindari kehilangan data sewaktu – waktu. Backup wordpress bisa anda lakukan dengan cara manual ataupun otomatis.
Untuk cara manual, maka anda bisa melakukannya via cpanel. Namun memang langkah – langkahnya akan sedikit ribet, terutama untuk pemula yang baru belajar mengamankan wordpress.
Maka dari itu, anda bisa menggunakan plugin untuk melakukan backup secara otomatis dengan jangka waktu yang bisa anda tentukan sendiri. Misalnya saja menggunakan plugin UpdraftPlus yang bisa anda temukan di direktori wordpress.
Setelah mengaktifkan plugin tersebut, anda pun bisa melakukan konfigurasi dengan mudah. Pilih media penyimpanan yang akan digunakan untuk menyimpan semua hasil backup. Anda bisa memilih google drive misalnya.
Selanjutnya tinggal memilih konten mana saja yang akan dibackup dari website wordpress anda. Jika sudah selesai, maka bisa tentukan interval backup, misalnya setiap hari atau setiap minggu.
7. Menggunakan Plugin Keamanan WordPress
Cara mengamankan wordpress selanjutnya bisa anda lakukan dengan mudah menggunakan plugin. Sebenarnya ada banyak plugin keamanan yang bisa kita temukan di direktori wordpress. Namun untuk kali ini, kita akan memilih sucuri, salah satu plugin yang paling rekomended menurut kami.
Setelah anda mengaktifkan plugin sucuri, maka langkah pertama yang harus anda lakukan untuk mengecek keamanan wordpress adalah menjalankan prosea auditing. Plugin ini akan memindai seluruh direktori website anda.
Plugin sucuri bisa anda gunakan untuk menjaga keamanan wordpress tetap terjamin. Mengapa demikian?, karena plugin ini akan bekerja selama 24 jam dalam sehari dan 7 hari dalam seminggu.
Ya, plugin sucuri akan terus memonitoring setiap aktivitas di dalam website anda, termasuk aktivitas yang mencurigakan. Selain itu, plugin ini juga bisa anda manfaatkan untuk scanning website, apakah ada malware atau tidak.
Anda tidak perlu lagi harus khawatir mengenai keamanan wordpress, sebab sucuri bisa mengirimkan anda notifikasi ketika ada aktivitas yang mencurigakan atau ada masalah yang membutuhkan penanganan serius.
8. Menyembunyikan URL Login
Jika anda khawatir dengan serangan login, maka menyembunyikan url login bisa menjadi salah satu cara paling efektif dalam mengamankan website wordpress anda. URL login yang dulunya domain.com/wp-admin bisa anda ubah sesuka hati dan tentunya harus bersifat rahasia.
Alhasil, orang – orang yang mencoba melakukan serangan login tidak akan bisa mengakses halaman login. Sekedar informasi, serangan login seperti ini bisa menyita banyak resource hosting dan membuat website lambat untuk para pengunjung.
Cara termudah untuk menghilangkan url login adalah dengan menggunakan plugin WPS Hide Login. Plugin ini tersedia di direktori wordpress dan tentu saja bisa anda nikmati secara gratis. Cara menggunakannya juga sangat mudah, cukup install, aktifkan, lalu pilih url login yang baru di kolom yang sudah disediakan.
9. Disable File Editing
Kita mulai masuk ke trik yang lumayan tricky, namun tentunya masih tetap aman dilakukan oleh pemula sekalipun. Namun pada langkah ini kita sudah harus berinteraksi dengan cpanel, jadi pastikan anda memiliki akses ke cpanel website wordpress anda.
Cara mengamankan wordpress via cpanel bisa kita lakukan dengan disable file editing. Ini bermaksud jika mengedit file html atau sejenisnya tidak akan bisa dilakukan via admin wordpress, melainkan harus daric panel.
Misalnya saja anda ingin mengubah deretan kode pada theme atau plugin, bisa dilakukan melalui dashboard wordpress. Namun sebenarnya cara ini lumayan rentan dan tidak bagus untuk keamanan wordpress. Ada baiknya pekerjaan seperti ini dilakukan via cpanel.
Disable file editing bisa anda lakukan dengan cara masuk ke akun cpanel, lalu cari file wp-config.php di direktori utama website anda berada. Edit file tersebut dan tambahkan kode berikut tanpa menghapus kode lainnya.
//Disallow file edit
define(‘DISALLOW_FILE_EDIT’ ,true );
10. Update PHP Version
PHP version juga sangat penting untuk diperhatikan oleh para pemilik website wordpress. Pada umumnya, setiap versi PHP yang baru saja dirilis, biasanya hanya akan mendapatkan support hingga 2 tahun ke depan sejak perilisan pertama kali.
Untuk update PHP version bisa anda lakukan dengan sangat mudah, melalui akun cpanel. Masuk ke akun cpanel, lalu cari Select PHP Version. Anda bisa menemukannya dengan mudah melalui tombol pencarian. Setelah itu, pilih versi PHP terbaru yang ada saat ini.
11. Batasi Percobaan Login
Untuk bisa memasuki dashboard wordpress, tentu dibutuhkan detail username dan password. Untuk anda yang sudah memiliki detail login tersebut, tentu tidak akan kesusahan lagi untuk masuk. Dalam hal ini, anda pasti bisa meminimalisir kesalahan username dan password.
Nah ini bisa anda jadikan alat untuk mengamankan website wordpress. Anda bisa membatasi upaya masuk ke dashboard wordpress. Misalnya saja membatasi upaya masuk ketika salah memasukkan username atau password sebanyak 3 kali saja.
Untuk cara mengamankan wordpress dengan metode ini bisa anda lakukan dengan bantuan plugin Login Lockdown. Pengaturan pada plugin Login Lockdown sangat mudah dan simple. Ketika sudah mengaktifkan plugin tersebut, anda bisa mengatur percobaan login dibatasi berapa kali, berapa menit pembatasan berlaku untuk IP yang sama dan beberapa pengaturan lainnya.
12. Menggunakan Two Factor Authentication
Metode two factor authentication sudah banyak digunakan untuk mengamankan akun dalam dunia digital. Metode ini juga bisa anda lakukan sebagai cara mengamankan wordpress, tentunya dengan bantuan sebuah plugin yang ringan.
Anda bisa menginstal plugin Two Factor Authentication dari direktori wordpress, dan kemudian melakukan aktivasi plugin. Syarat menggunakan fitur ini adalah dengan cara melakukan instalasi aplikasi two factor authentication pada smartphone.
Selanjutnya, anda akan dimintai memasukkan one time password pada saat ingin masuk ke dashboard wordpress. One time password tersebut bisa anda dapatkan dari aplikasi yang sudah anda install sebelumnya pada smartphone.
13. Disable Directory Indexing
Direktori browsing sangat penting untuk disembunyikan oleh para pemilik website wordpress. Jika anda memunculkan direktori indexing, maka seseorang akan bisa dengan mudah mengetahui plugin dan theme apa saja yang anda gunakan, bahkan sampai detail versi masing – masing theme dan plugin.
Upaya hacking pun bisa dilakukan dengan mencari celah pada semua plugin dan theme yang anda miliki, tentunya juga setelah mengetahui versi masing – masing. Bagaimana cara mengamankan wordpress dengan metode ini?.
Anda bisa dengan mudah melakukannya, hanya dengan menambahkan sedikit kode pada file .htacces yang bisa anda temukan di cpanel, tepatnya di direktori website. Anda bisa memasukkan kode di bawah ini pada file tersebut dengan cara mengeditnya.
Options -Indexes
14. Automatically Log Out Idle Users
Untuk pengguna yang idle selama beberapa saat tanpa melakukan aktivitas apa – apa di dalam dashboard wordpress, maka bisa mengaktifkan log out secara otomatis. Caranya sangat mudah, hanya dengan menggunakan bantuan plugin saja.
Anda bisa menggunakan plugin Inactive Logout. Setelah melakukan aktivasi plugin, anda hanya perlu mengatur log out otomatis dilakukan setelah idle berapa menit. Misalnya saja anda bisa mengatur log out secara otomatis setelah idle selama 15 menit.
15. Menambah Pertanyaan Keamanan
Langkah selanjutnya yang bisa anda lakukan dalam meningkatkan keamanan wordpress bisa dengan cara menambah pertanyaan keamanan saat seseorang ingin masuk ke dashboard wordpress. Cara ini juga sangat mudah, anda bisa melakukannya dengan bantuan plugin.
Anda bisa menginstal plugin WP Security Questions dan melakukan akvitasi plugin tersebut. Cara selanjutnya sangat mudah, tinggal mengatur pertanyaan apa yang akan diberikan kepada user beserta jawabannya.
Nantinya, pertanyaan tersebut akan muncul bersamaan dengan kolom username dan password pada saat seseorang ingin memasuki dashboard wordpress. Jika salah memasukkan jawaban, tentu saja akan gagal masuk sekalipun username dan password sudah dimasukkan dengan benar.
16. Scanning dan Fixing
Cara ini bisa anda lakukan dengan menggunakan plugin Sucuri yang sudah kami sampaikan diatas. Jika anda sudah menginstal plugin Sucuri tersebut, maka anda bisa melakukan scanning website wordpress secara rutin.
Misalnya saja sekali seminggu melakukan scanning, untuk mengetahui apakah ada malware atau sejenisnya pada website wordpress anda. Jika ternyata ada malware, anda bisa melakukan perbaikan dengan menggunakan plugin tersebut.
Kesimpulan
Ada banyak cara mengamankan wordpress yang bisa anda lakukan. Mulai dari cara yang mudah dengan menggunakan plugin sampai dengan utak atik file di cpanel. Namun untuk anda yang masih pemula, ada baiknya mencoba menggunakan plugin, yang tentunya akan lebih minim resiko.
Kemanan wordpress memang sangat vital dan harus mendapatkan perhatian serius dari semua pengelola website. Tentu akan sangat merepotkan jika sampai ada malware atau script jahat yang memasuki website wordress anda.
Melakukan perbaikan juga terkadang tidaklah mudah, tergantung dari malware dan script tersebut. Bahkan tidak jarang para pengguna wordpress kesulitan untuk mencari malware yang menyebabkan kerusakan pada website.
Itulah beberapa cara mengamankan wordpress yang bisa anda lakukan dengan mudah demi meningkatkan keamanan wordpress anda.
Wah, makasih bang informasinya, bermanfaat bgt buat pemula.
Wah, makasih bang informasinya, bermanfaat bgt buat pemula.