laptop

Cara Meningkatkan Keamanan Website WordPress Anda


Menjaga dan meningkatkan keamanan website sangat penting bagi setiap pemilik website. Diketahui bahwa Google telah mem-blacklist atau memasukkan ke daftar hitam sekitar 10.000+ website setiap harinya untuk malware dan sekitar 50.000 untuk phishing setiap pekannya.

Jika Anda serius mengembangkan website Anda, maka Anda perlu belajar cara menambah keamanan website WordPress Anda. Dalam panduan ini, Anda akan mendapatkan tips menambah keamanan website WordPress untuk membantu Anda melindungi website Anda dari peretas dan malware.

Sebenarnya software inti WordPress sudah sangat aman, dan diaudit secara rutin oleh ratusan developer.

Namun, peluang website Anda diretas pasti tetap ada. Tugas Anda adalah meminimalisir peluang terjadinya. Sebagai pemilik website, ada banyak yang dapat Anda lakukan untuk meningkatkan keamanan WordPress Anda (Walaupun Anda bukan ahli IT).

Berikut Beberapa langkah yang dapat Anda ambil untuk melindungi website Anda dari kerentanan keamanan.

Mengapa Keamanan Website Sangat Penting?

Agar lebih mudah menavigasi panduan ini, silahkan lihat daftar isi dibawah ini.

Website WordPress yang diretas dapat menyebabkan kerusakan serius pada pendapatan dan reputasi bisnis Anda. Peretas dapat mencuri informasi pengunjung website, kata sandi, menginstal software berbahaya, bahkan dapat mendistribusikan malware kepada pengunjung website Anda.

Skenario terburuknya, Anda mungkin harus membayar tebusan kepada peretas hanya untuk mendapatkan kembali akses ke website Anda.

Jika website Anda adalah bisnis, maka Anda perlu memberi perhatian ekstra pada keamanan website WordPress Anda.

Sama halnya dengan pemilik bisnis yang juga bertanggung jawab untuk melindungi bangunan toko fisik mereka, sebagai pemilik bisnis online, Anda bertanggung jawab untuk melindungi website bisnis Anda.

Mengupdate WordPress Secara Rutin

WordPress adalah software open source yang secara rutin di maintenance dan diperbarui. Secara default, WordPress secara otomatis menginstal minor update. Untuk update versi full, harus dilakukan secara manual.

WordPress juga dilengkapi dengan ribuan plugin dan tema yang dapat Anda instal di website Anda. Plugin dan tema ini dikelola oleh developer pihak ketiga yang secara teratur juga merilis pembaruan juga.

Pembaruan WordPress ini sangat penting untuk keamanan dan stabilitas website WordPress Anda. Anda perlu memastikan bahwa WorsPress, plugin, dan temanya sudah diperbarui.

Menggunakan Kata Sandi dan User Permissions yang Kuat

Upaya peretasan website wordpress yang paling umum dilakukan adalah pencurian kata sandi. Anda dapat mencegahnya dengan menggunakan kata sandi yang lebih kuat dan unik untuk website Anda. Tidak hanya untuk area admin atau dasbor WordPress, tetapi juga untuk akun FTP, database, akun hosting WordPress, dan alamat email kustom Anda yang menggunakan nama domain website Anda.

Banyak pengguna internet tidak suka menggunakan kata sandi yang kuat karena sulit diingat. Solusinya adalah dengan menggunakan aplikasi pengelola kata sandi terbaik.

Cara lain untuk mengurangi resiko peretasan adalah dengan tidak memberi siapa pun akses ke akun admin WordPress Anda kecuali Anda benar-benar harus. Jika Anda memiliki tim atau penulis tamu, maka pastikan Anda mengetahui peran dan keahlian orang tersebut di website WordPress Anda sebelum menambahkan sebagai user baru.

Peran Penyedia Hosting Web

Penyedia Hosting WordPress Anda memiliki peranan paling penting dalam keamanan website WordPress Anda. Penyedia layanan hosting seperti Niagahoster mempunyai teknologi keamanan Imunify 360 yang memungkinkan website Anda terlindung dari serangan hacker, malware, dan virus berbahaya setiap saat. Itulah sebabnya saya membeli paket unlimited hosting di Niagahoster.co.id walaupun sebenarnya masih ada penyedia layanan hosting lain yang memberikan harga jauh lebih murah.

Bagaimana cara mengetahui perusahaan hosting web yang baik untuk melindungi website dan data Anda?

  • Mereka terus memantau jaringan mereka untuk aktivitas yang mencurigakan.
  • Semua perusahaan hosting yang baik memiliki alat untuk mencegah serangan DDOS skala besar
  • Mereka terus meningkatkan software server, versi php, dan hardware untuk mencegah peretas mengeksploitasi kerentanan keamanan yang diketahui dalam versi lama.
  • Mereka telah siap untuk menyebarkan rencana pemulihan bencana dan kecelakaan yang memungkinkan mereka untuk melindungi data Anda jika terjadi kecelakaan besar.

Pada paket hosting bersama, Anda berbagi sumber daya server dengan banyak pelanggan lain. Ini membuka risiko kontaminasi trafik di mana peretas dapat menggunakan website tetangga untuk menyerang website Anda.

Menggunakan layanan hosting yang dikelola menyediakan platform yang lebih aman untuk website Anda. Perusahaan hosting wordpress yang dikelola menawarkan cadangan otomatis, otomatis update WordPress, dan konfigurasi keamanan yang lebih canggih untuk melindungi website Anda.

Saya sendiri menggunakan dan merekomendasikan menggunakan layanan hosting di Niagahoster.co.id yang telah dipercaya lebih dari 52.000 Pelanggannya di Seluruh Indonesia (Lihat kupon untuk mendapatkan diskon).

Meningkatkan Keamanan Website WordPress dengan Langkah Mudah (Tanpa Coding)

Membuat Backup atau Cadangan

Membuat cadangan atau backup adalah pertahanan pertama Anda terhadap setiap serangan ke website WordPress. Ingat, tidak ada yang 100% aman. Jika website pemerintah saja dapat diretas terlebih lagi website Anda.

Membuat cadangan memungkinkan Anda bisa dengan cepat memulihkan website WordPress Anda jika sesuatu yang buruk terjadi.

Ada banyak plugin Backup WordPress gratis dan berbayar yang dapat Anda gunakan. Hal terpenting yang perlu Anda ketahui ketika membuat backup adalah Anda secara rutin harus menyimpan full backup ditempat yang aman (bukan di akun hosting Anda).

Sebaiknya simpan di layanan cloud seperti Amazon, Dropbox, atau cloud pribadi seperti Stash.

Kapan waktu terbaik untuk membuat backup? berdasarkan seberapa sering Anda mengupdate website Anda, pengaturan yang ideal mungkin sekali sehari atau backup real-time.

Untungnya hal ini dapat dilakukan dengan mudah dengan menggunakan plugin seperti UpdraftPlus atau BlogVault. Keduanya dapat diandalkan dan yang paling penting mudah digunakan (tidak perlu coding).

Plugin Keamanan WordPress Terbaik

Setelah menyimpan backup, hal selanjutnya yang perlu Anda lakukan adalah mengatur sistem audit dan pemantauan yang melacak semua yang terjadi di website Anda.

Ini termasuk pemantauan integritas file, upaya login yang gagal, pemindaian malware, dll.

Untungnya, ini semua dapat dikelola oleh plugin keamanan WordPress gratis terbaik, Sucuri Scanner.

Anda bisa menginstal dan mengaktifkan plugin Sucuri Security gratis. Untuk detail lebih lanjut, silakan lihat panduan langkah demi langkah tentang Cara Menginstal Plugin WordPress.

keamanan website

Setelah aktivasi, Anda harus pergi ke menu Sucuri di admin WordPress Anda. Hal pertama yang akan diminta untuk dilakukan adalah ‘Generate API Key’. Plugin ini membantu pencatatan audit, pemeriksaan integritas, peringatan email, dan fitur penting lainnya.

keamanan website wordpress

Hal berikutnya, yang perlu Anda lakukan adalah mengklik tab ‘Hardening’ dari menu Settings. Terapkan setiap opsi dan klik tombol “Apply Hardening“.

keamanan website wordpress

Opsi ini membantu Anda mengunci area utama yang sering digunakan peretas dalam serangan mereka.

Setelah ‘hardening’, pengaturan default plugin ini sudah cukup baik untuk sebagian besar website dan tidak memerlukan perubahan apa pun. Satu-satunya yang mungkin perlu Anda ubah adalah ‘Email Alerts’ atau ‘Pemberitahuan Email’.

Pengaturan default, peringatan ini dapat mengacaukan kotak masuk Anda dengan email. Sebaiknya terima peringatan untuk tindakan kunci seperti perubahan plugin, pendaftaran pengguna baru, dll. Anda dapat mengonfigurasi peringatan dengan masuk ke Sucuri Settings » Alerts.

keamanan website wordpress

Plugin keamanan WordPress ini sangat kuat, jadi telusuri semua tab dan pengaturan untuk melihat semua yang dapat dilakukannya seperti pemindaian Malware, log Audit, pelacakan Upaya Login Gagal, dll.

[Kembali ke Atas ↑]

Enable Firewall Aplikasi Web (WAF)

Cara termudah untuk melindungi website Anda dan yakin dengan keamanan WordPress Anda adalah dengan menggunakan firewall aplikasi web (WAF).

Firewall website memblokir semua trafik berbahaya bahkan sebelum mencapai website Anda.

DNS Level Website Firewall – Firewall ini merutekan trafik website Anda melalui server proxy cloud. Hal ini membuatnya hanya mengirim trafik asli ke server web Anda.

Application Level Firewall – Plugin firewall ini memeriksa trafik setelah mencapai server Anda tetapi sebelum memuat sebagian besar skrip WordPress. Metode ini tidak seefisien firewall tingkat DNS dalam mengurangi beban server.

Anda juga dapat menggunakan Sucuri sebagai aplikasi firewall web WordPress terbaik.

Kelebihan firewall Sucuri adalah dilengkapi dengan pembersihan malware dan jaminan penghapusan blacklist. Bahkan jika Anda berhasil diretas di bawah pengawasan mereka, mereka menjamin bahwa mereka akan memperbaiki website Anda (tidak peduli berapa banyak halaman yang Anda miliki).

Tingkatkan Keamanan WordPress Anda dengan Sucuri Firewall »

Sucuri bukan satu-satunya penyedia firewall tingkat DNS yang ada. Penyedia firewall tingkat DNS populer lainnya adalah Cloudflare.

Pindahkan Website WordPress Anda ke SSL / HTTPS

SSL (Secure Sockets Layer) adalah protokol yang mengenkripsi transfer data antara website Anda dengan browser pengunjung. Enkripsi ini mempersulit seseorang untuk mencuri informasi.

Setelah Anda mengaktifkan SSL, website Anda akan menggunakan HTTPS yang sebelumnya HTTP, Anda juga akan melihat tanda gembok di samping alamat website Anda di browser.

ssl

Organisasi nirlaba bernama Let’s Encrypt memutuskan untuk menawarkan Sertifikat SSL gratis kepada pemilik website.

Saat sekarang, Anda lebih mudah mendapatkan SSL untuk semua website WordPress Anda. Banyak perusahaan penyedia hosting web sekarang menawarkan sertifikat SSL gratis ketika membeli paket hosting pada mereka termasuk Niagahoster.

Keamanan WordPress untuk Pengguna DIY

Jika Anda sudah mengikuti dan mempratekkan panduan yang telah disebutkan diatas, maka website Anda sudah mempunyai tingkat keamanan yang lebih baik.

Namun seperti biasa, ada lebih banyak tambahan yang dapat Anda lakukan untuk lebih menguatkan keamanan WordPress Anda.

Beberapa langkah tambahan ini memerlukan pengetahuan coding.

Mengubah Default Username “admin”

Sebelumnya, username admin WordPress default adalah “admin”. Karena username membentuk setengah dari kredensial login, ini memudahkan peretas untuk melakukan serangan brute-force.

Untungnya, WordPress telah mengubah ini dan sekarang mengharuskan Anda untuk memilih nama pengguna khusus pada saat menginstal WordPress.

Namun, beberapa orang masih menggunakan default username yaitu “admin”.

Karena WordPress tidak ada pilihan untuk mengubah username secara default, ada tiga metode yang dapat Anda gunakan untuk mengubah username.

  1. Buat username admin baru dan hapus yang lama.
  2. Gunakan plugin Username Changer
  3. Perbarui username di phpMyAdmin

Catatan: Yang dimaksud disini username “admin”, bukan role administrator.

[Kembali ke Atas ↑]

Disable Pengeditan File

WordPress dilengkapi dengan editor kode bawaan yang memungkinkan Anda untuk mengedit tema dan file plugin Anda langsung dari area admin WordPress Anda. Di tangan yang salah, fitur ini bisa menjadi risiko keamanan, itulah sebabnya Anda disarankan untuk mematikannya.

Anda dapat dengan mudah melakukan ini dengan menambahkan kode berikut di file wp-config.php Anda.

1| //Disallow file edit
2| define( 'DISALLOW_FILE_EDIT', true );

Atau, Anda dapat melakukan ini dengan 1-klik menggunakan fitur Hardening di plugin Sucuri yang telah disebutkan sebelumnya.

Nonaktifkan Eksekusi File PHP di Direktori WordPress Tertentu

Cara lain untuk menguatkan keamanan WordPress Anda adalah dengan menonaktifkan eksekusi file PHP di direktori di mana itu tidak diperlukan seperti /wp-content/uploads/.

Anda dapat melakukan ini dengan membuka editor teks seperti Notepad dan menempelkan kode ini:

1| <Files *.php>
2| deny from all
3| </Files>

Selanjutnya, Anda perlu menyimpan file ini sebagai .htaccess dan mengunggahnya ke folder /wp-content/uploads/ di website Anda menggunakan klien FTP.

Atau, Anda dapat melakukan ini dengan 1-klik menggunakan fitur Hardening di plugin Sucuri yang telah disebutkan di atas.

Batasi Upaya Login

Secara default, WordPress memungkinkan pengguna untuk mencoba masuk sebanyak yang mereka inginkan. Ini membuat website WordPress Anda rentan terhadap serangan brute force. Peretas mencoba memecahkan kata sandi dengan mencoba masuk dengan kombinasi yang berbeda.

Ini dapat dengan mudah diperbaiki dengan membatasi upaya login yang gagal yang dapat dilakukan user. Jika Anda menggunakan firewall aplikasi web yang disebutkan sebelumnya, maka fitur ini sudah ada secara otomatis.

Namun, jika Anda tidak memiliki pengaturan firewall, lanjutkan dengan langkah-langkah di bawah ini.

Pertama, Anda perlu menginstal dan mengaktifkan plugin Login LockDown. Untuk detail lebih lanjut, lihat panduan langkah demi langkah tentang Cara Menginstal Plugin WordPress.

Setelah aktivasi, kunjungi halaman Settings » Login LockDown untuk mengatur plugin.

Login Lockdown options

Tambahkan Autentikasi Dua Faktor

Teknik autentikasi dua faktor mengharuskan pengguna untuk masuk dengan menggunakan metode autentikasi dua langkah. Yang pertama adalah username dan kata sandi, dan langkah kedua mengharuskan Anda untuk mengautentikasi menggunakan perangkat atau aplikasi terpisah.

Sebagian besar website online populer seperti Google, Facebook, Twitter, memungkinkan Anda mengaktifkannya untuk akun Anda. Anda juga dapat menambahkan fungsionalitas yang sama ke website WordPress Anda.

Pertama, Anda perlu menginstal dan mengaktifkan plugin Two Factor Authentication. Setelah aktivasi, Anda perlu mengklik tautan ‘Two Factor Auth’ di sidebar admin WordPress.

Two Factor Authenticator settings

Selanjutnya, Anda perlu menginstal dan membuka aplikasi authenticator di ponsel Anda. Ada beberapa di antaranya yang tersedia seperti Google Authenticator, Authy, dan LastPass Authenticator.

Sebaiknya gunakan LastPass Authenticator atau Authy karena keduanya memungkinkan Anda untuk mencadangkan akun Anda ke cloud. Hal ini sangat berguna jika ponsel Anda hilang, diatur ulang, atau Anda membeli ponsel baru. Semua login akun Anda akan mudah dipulihkan.

Pada panduan ini kita akan menggunakan LastPass Authenticator untuk tutorial. Namun, instruksi serupa untuk semua aplikasi auth. Buka aplikasi authenticator Anda, lalu klik Add Button.

Add website

Anda akan ditanya apakah Anda ingin memindai situs secara manual atau memindai barcode. Pilih opsi pemindaian barcode lalu arahkan kamera ponsel Anda pada QRcode yang ditampilkan di halaman pengaturan plugin.

Demikian, aplikasi autentikasi Anda sekarang akan menyimpannya. Lain kali Anda masuk ke website Anda, Anda akan dimintai kode auth dua faktor setelah Anda memasukkan kata sandi Anda.

Enter your two-factor auth code

Cukup buka aplikasi authenticator di ponsel Anda dan masukkan kode yang Anda lihat di dalamnya.

Disable Directory Indexing and Browsing

Disable directory browsing

Penjelajahan direktori dapat digunakan oleh peretas untuk mengetahui apakah Anda memiliki file dengan kerentanan yang diketahui, sehingga mereka dapat memanfaatkan file-file ini untuk mendapatkan akses.

Penjelajahan direktori juga dapat digunakan oleh orang lain untuk melihat ke dalam file Anda, menyalin gambar, mencari tahu struktur direktori Anda, dan informasi lainnya. Inilah sebabnya mengapa sangat disarankan agar Anda mematikan pengindeksan dan penjelajahan direktori.

Anda perlu terhubung ke website Anda menggunakan FTP atau manajer file cPanel. Selanjutnya, temukan file .htaccess di direktori root website Anda.

Setelah itu, Anda perlu menambahkan baris berikut di akhir file .htaccess:

Options -Indexes

Jangan lupa untuk menyimpan dan mengunggah file .htaccess kembali ke website Anda.


Secara otomatis User tidak aktif Logout di WordPress

User yang sudah login atau masuk terkadang lupa logout, dan ini menimbulkan risiko keamanan. Seseorang dapat membajak sesi mereka, mengubah kata sandi, atau membuat perubahan pada akun mereka.

Inilah sebabnya mengapa banyak situs perbankan dan keuangan secara otomatis mencatat pengguna yang tidak aktif. Anda dapat menerapkan fungsi serupa di website WordPress Anda juga.

Anda perlu menginstal dan mengaktifkan plugin Inactive Logout. Setelah aktivasi, kunjungi Settings » Inactive Logout untuk mengonfigurasi pengaturan plugin.

Logout idle users

Cukup atur durasi waktu dan tambahkan pesan logout. Jangan lupa untuk mengklik tombol ‘save changes’ untuk menyimpan pengaturan Anda.

[Kembali ke Atas ↑]

Tambahkan Pertanyaan Keamanan ke Layar Login WordPress

Add security question on login screen

Menambahkan pertanyaan keamanan ke layar login WordPress Anda membuatnya lebih sulit bagi seseorang untuk mendapatkan akses ilegal.

Anda dapat menambahkan pertanyaan keamanan dengan menginstal plugin WP Security Questions. Setelah aktivasi, Anda perlu mengunjungi halaman Settings » Security Questions untuk mengonfigurasi pengaturan plugin.

Memindai WordPress untuk Malware dan Vulnerabilies

Jika Anda memiliki plugin keamanan WordPress yang diinstal, maka plugin tersebut akan secara rutin memeriksa malware dan tanda-tanda pelanggaran keamanan.

Namun, jika Anda melihat penurunan mendadak dalam trafik website atau peringkat pencarian, maka Anda mungkin ingin menjalankan pemindaian secara manual. Anda dapat menggunakan plugin keamanan WordPress Anda.

Menjalankan pemindaian online ini cukup mudah, Anda hanya memasukkan URL website Anda dan pemindai ini seketika mencari malware yang dikenal dan kode berbahaya.

Sekarang perlu diingat bahwa sebagian besar pemindai keamanan WordPress hanya dapat memindai website Anda. Mereka tidak dapat menghapus malware atau membersihkan website WordPress yang diretas.

Lanjut ke bagian berikutnya, Membersihkan malware dan Website WordPress yang Diretas.

Memperbaiki Website WordPress yang Diretas

Banyak pengguna WordPress tidak menyadari pentingnya cadangan dan keamanan webiste sampai website mereka diretas.

Membersihkan website WordPress bisa sangat sulit dan memakan waktu. Saran pertama adalah mempekerjakan seorang profesional untuk mengurusnya.

Peretas menginstal backdoor di website yang terkena dampak, dan jika backdoor ini tidak diperbaiki dengan benar, maka website Anda kemungkinan akan diretas lagi.

Mengizinkan perusahaan keamanan profesional seperti Sucuri untuk memperbaiki website Anda akan memastikan bahwa website Anda aman untuk digunakan lagi. Ini juga akan melindungi Anda dari serangan di masa depan.

Demikian panduan meningkatkan keamanan website wordpress. Semoga bermanfaat. Silahkan bagikan artikel ini jika menurut Anda bisa bermanfaat untuk orang lain.

[Kembali ke Atas ↑]


Leave a Comment

Your email address will not be published. Required fields are marked *