WordPress adalah sistem manajemen konten ( CMS ) yang paling populer sekarang ini, dimana kurang lebih 30% situs web di dunia ini menggunakan WordPress sebagai CMS nya.
Namun seiring pertumbuhannya, para peretas mulai mengincar dan lancarkan banyak serangan kepada situs situs berbasis WordPress.
Apapun jenis website kamu, tanpa terkecuali, jika kamu tidak mengambil tindakan pencegahan tertentu, kamu mungkin akan menjadi target selanjutnya.
Dalam artikel ini, saya akan membagikan tips terbaik untuk menjaga keamanan situs WordPress.
1. Pilih Hosting Yang Bagus Reputasi nya
Cara paling simple untuk menjaga situs kamu tetap aman adalah dengan membeli hosting di penyedia hosting yang menyediakan banyak lapisan keamanan, atau menyediakan banyak fitur terkait dengan Keamanan website.
Pilih yang bagus reputasi nya, dan paling responsif adminnya jika ada permasalahan keamanan di hostingnya.
2. Jangan Pakai Tema & Plugin Bajakan
Tema premium WordPress terlihat lebih profesional dan memiliki lebih banyak fitur yang dapat disesuaikan ketimbang tema WordPress yang gratis.
Seperti yang banyak orang katakan kamu akan mendapatkan apa yang kamu bayar.
Tetapi ada banyak situs yang menyediakan tema premium dalam bentuk bajakan. Tema-tema bajakan adalah tema premium yang sudah diubah kodenya, ini adalah sangat berbahaya.
Biasanya pelaku yang membuat tema premium bajakan menyisipkan kode-kode malware tersembunyi, di mana ini akan merusak website juga database kamu. Beberapa kasus kode-kode tersembunyi tersebut bisa mengambil alih tugas fungsi admin website kamu.
Sebelum terjadi hal-hal yang tidak diinginkan, sebaiknya selalu hindari penggunaan tema-tema dan juga plugin bajakan.
3. Install WordPress Security Plugin
Adalah pekerjaan yang menghabiskan banyak waktu untuk secara berkala memeriksa keamanan situs web kamu dari malware.
Apalagi bagi kamu yang tidak paham mengenai kode-kode pemrograman, kamu mungkin tidak akan sadar Ketika kamu melihat seonggok Malware yang tertulis sebuah kode.
Untungnya ada orang-orang yang mengerti bahwa tidak semua orang itu adalah programmer, dan mereka menciptakan plugin WordPress terkait keamanan untuk membantu kita semua.
Security plugin akan menjaga keamanan situs kamu, dan memonitor situs kamu 24 jam untuk secara berkala memeriksa apa yang terjadi di situs kamu.
Ada banyak plugin yang bagus misalnya sucuri ataupun wordfence. Keduanya menawarkan audit aktivitas keamanan, pemantauan file-file yang terintegrasi, pemindaian malware secara berkala, pemberitahuan langsung ke email jika ada problem terkait keamanan, dan bahkan fitur firewall untuk yang berlangganan jenis premium (berbayar).
4. Gunakan Password Yang Kuat
Kata sandi adalah bagian yang sangat penting dari keamanan situs web dan sayangnya hal ini sering diabaikan.
Jika kamu menggunakan kata sandi yang biasa-biasa saja seperti 123456, ABC 123, password, tanggal lahir kamu, nomor rumah, kamu harus segera mengubah kata sandi tersebut.
Meskipun kata sandi tersebut mudah diingat tetapi juga sangat mudah ditebak, pengguna yang mahir dapat dengan mudah memecah kata sandi kamu dan login ke web kamu tanpa melalui banyak kesulitan.
Sangat penting bagi kamu untuk menggunakan kata sandi yang kompleks, atau lebih baik lagi kata sandi dibuat secara otomatis dengan campuran huruf dan angka. Kombinasi huruf yang tidak bisa ditebak, termasuk karakter karakter khusus seperti simbol %$# dan lain sebagainya.
Kamu bisa membuat password yang kuat tersebut dengan bantuan aplikasi pembuat password seperti LastPass atau KeePass, atau bentuk web app seperti passwordsgenerator.net (jangan lupa buat backup data passwordnya agar kamu tidak lupa).
5. Nonaktifkan File Editing
Ketika kamu login ke situs WordPress kamu, biasanya ada fungsi kode di dashboard WordPress kamu Yang memungkinkan kamu untuk mengedit tema dan plugin langsung dari dashboard.
Kami menyarankan agar kamu menonaktifkan fitur ini. Jika ada peretas yang berhasil masuk ke dalam dashboard admin WordPress kamu, mereka dapat dengan mudah memasukkan kode-kode malware ke dalam tema atau plugin lewat fitur tersebut.
Untuk menonaktifkan fitur tersebut kamu cukup menempelkan kode berikut di file wp-config.php kamu.
define ('DISALLOW_FILE_EDIT', true);
6. Install Sertifikat SSL
Single socket layer atau yang biasa disebut SSL, bermanfaat untuk semua jenis situs web. awal ya SSL dibutuhkan untuk membuat situs aman untuk transaksi tertentu, seperti memproses pembayaran.
Namun sekarang ini, Google telah mengakui pentingnya SSL, dan dengan itu memberikan nilai lebih untuk web yang ber SSL dalam hasil pencariannya.
Menggunakan SSL adalah wajib untuk setiap situs yang memproses informasi sensitif, seperti kata sandi, atau detail kartu kredit.
Tanpa sertifikat SSL, semua data antara browser web pengguna dan server web kamu dikirimkan dalam bentuk teks biasa. Hal ini merupakan celah yang bisa dimanfaatkan oleh para peretas.
Dengan menggunakan SSL, informasi sensitif dienkripsi sebelum ditransfer antara browser ke server kamu, sehingga dengan itu membuatnya lebih sulit untuk diretas dan menjadikan situs kamu lebih aman.
Baca juga: Cara Pasang SSL
7. Ganti URL WordPress Login
Secara default, untuk login ke WordPress alamatnya adalah “domainkamu.com/wp-admin”. Jika kamu membiarkannya secara default seperti itu, peretas biasanya akan melancarkan serangan brute force dengan mengirimkan berulang kombinasi user kata sandi.
Untuk mencegah hal ini, dapat mengubah url login atau menambahkan pertanyaan semacam capthca di halaman login web kamu.
Kamu juga bisa mengubah URL login default kamu dengan menggunakan plugin bernama WPS Hide Login.
8. Batasi Percobaan Login
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Meskipun ini dapat membantu untuk kamu yang sering lupa password, ini juga membuka kemungkinan-kemungkinan web kamu mendapatkan serangan brute force.
Dengan membatasi percobaan login, pengguna masih bisa mencoba masuk untuk beberapa kali jika dia lupa, sedangkan untuk peretas dia akan kesulitan melancarkan serangan brute force nya karena setiap berapa kali loginnya salah, percobaan login selanjutnya akan ditolak.
Kamu bisa membatasi percobaan login ini dengan menggunakan plugin security yang fiturnya ada juga di dalam plugin Wordfence.
9. Sembunyikan File wp-config.php dan .htaccess
Memproteksi file wp-config.php merupakan salah satu cara untuk meningkatkan keamanan WordPress kamu. Karena di dalam file wp-config.php berisi informasi yang sangat sensitif terhadap instalasi WordPress, seperti security key dan juga detail koneksi database.
Tentunya kamu tidak ingin isi dari file ini berada di tangan yang salah, jadi keamanan terkait file wp-config.php ini adalah sesuatu yang harus kamu anggap serius.
Dengan cara berikut Kamu bisa memproteksi file php config dan menjadikannya lebih aman dari sebelumnya.
Kamu hanya perlu buka file .htaccess di root directory pada website kamu dengan menggunakan editor kamu bisa mengcopy kode dibawah ini lalu menyimpannya.
# protect wpconfig.php
<files wp-config.php>
order allow, deny
deny from all
</files>
10. Selalu Update Core WordPress ke Versi Terbaru
Selalu memperbarui versi WordPress adalah langkah yang bagus untuk menjaga keamanan situs web kamu. Karena pada setiap pembaruannya atau updatenya koma pengembang akan membuat beberapa perubahan yang seringkali termasuk juga pembaruan untuk fitur keamanan.
Dengan tetap menggunakan versi terbaru, kamu membantu melindungi web kamu dari sasaran para peretas yang telah mengidentifikasi sebelumnya, celah-celah yang bisa dieksploitasi, yang dapat digunakan untuk mendapatkan akses ke situs kamu.
Penting juga untuk memperbarui versi plugin dan juga tema situs kamu untuk alasan yang sama.
Secara default koma WordPress secara otomatis akan mengunduh pembaruan kecil. Namun untuk pembaruan besar koma kamu perlu perbarui nya langsung dari dashboard admin WordPress kamu.
Kesimpulan
Keamanan WordPress adalah salah satu bagian penting dari sebuah situs web. Jika kamu tidak menjaga keamanan WordPress kamu, peretas dapat dengan mudah menyerang situs kamu.
Menjaga keamanan situs web kamu bukanlah hal yang sulit, langkah-langkah yang saya jabarkan di tulisan ini dapat dilakukan tanpa mengeluarkan uang sepeserpun.
Jika website kamu terserang malware, dan kesulitan atau tidak ada waktu untuk membersihkan nya, kamu bisa menyewa jasa yang saya sediakan, kamu bisa menuju ke halaman ini untuk detail lebih lanjut Jasa Hapus Malware.
Semoga bermanfaat.
About The Author
Gege Riyadi
Founder Gegeriyadi.com, layanan yang sudah 10 tahun bergerak di bidang Web Development Services yang juga intens update seputar SEO dan juga Web Optimization... [Read full bio]