Mungkin Kamu pernah mendengar banyak orang yang memiliki website mengeluh tentang keamanan WordPress. Banyak orang berfikir bahwa skrip open source rentan terhadap segala jenis serangan. Apakah itu fakta? Jika demikian, bagaimana Kamu mengamankan website WordPress Kamu?
Namun untungnya, kurangnya keamanan WordPress bawaan adalah sebuah mitos. Bahkan, terkadang website WordPress jauh lebih aman dibandingkan CMS lain. Namun walaupun WordPress sudah cukup aman, Kamu perlu meningkatkan keamanan tersebut.
WordPress adalah Content Management System (CMS) yang paling populer digunakan untuk membuat website. Namun seiring pertumbuhannya, peretas atau hacker telah mencatat dan mulai secara khusus menargetkan website WordPress.
Apa pun jenis konten yang disediakan website Kamu. Jika tidak mengambil tindakan pencegahan tertentu, maka masalah keamanan mungkin saja bisa terjadi atau website diretas.
Nah oleh karena itu pada artikel ini Kami akan membahas beberapa cara terbaik meningkatkan keamanan website WordPress secara lengkap dan mudah dipahami sekalipun untuk pemula. Langsung saja pada pembahasannya. Selamat membaca.
Daftar Isi :
Tahap Awal Cara Meningkatkan Keamanan Website
Gunakan Hosting yang Aman dan Terpercaya
Install Plugin Keamanan WordPress
Gunakan SSL di Website
Pastikan WordPress Selalu Update
Gunakan Password Yang Kuat
Pasang Plugin Backup
Tahap Lanjutan Cara Meningkatkan Keamanan Website
Lindungi File Wp-config.php
Lindungi File .htaccess
Tidak Izinkan Edit File
Ubah URL Login Admin
Batasi Login Masuk
Logout Otomatis
Kesimpulan
Tahap Awal Cara Meningkatkan Keamanan Website
Langkah – langkah keamanan awal website ini ditujukan untuk Kamu yang baru mempunyai website atau masih belajar lebih mendalam tentang WordPress. Cara ini cukup dasar namun efektif untuk meningkatkan keamanan website Kamu.
Gunakan Hosting yang Aman dan Terpercaya
Hal terpenting yang harus diperhatikan untuk pemilik website yaitu gunakan hosting yang aman, handal dan terpercaya. Saran ini sebenarnya sudah sangat jelas bukan? Karena jika Kamu salah memilih hosting maka cara cara yang akan Kami bahas selanjutnya akan sia sia dan tidak maksimal.
Oleh karena itu pastikan Kamu menggunakan hosting yang mempunyai keamanan terbaik seperti Masterweb. Hosting Masterweb menggunakan CloudLinux OS dan teknologi LVE yang membuat website selalu online, cepat diakses dan keamanan berada di level terbaik.
Ada juga fitur SpamExpert teknologi canggih untuk keamanan agar terhindar dari spam, virus, phishing dan malware. Selain itu Kami sudah berpengalaman lebih dari 19 tahun sebagai penyedia hosting dan domain terbaik di Indonesia dengan jumlah pelanggan lebih dari 80.000.
Jika Kamu sudah memiliki hosting di tempat lain, jangan khawatir karena Kamu bisa transfer hosting ke Masterweb dengan harga hemat diskon 50% atau cashback 50%.
Install Plugin Keamanan WordPress
Untuk Kamu yang baru saja membuat website menggunakan WordPress, install plugin keamanan terbaik untuk WordPress adalah hal yang penting. Kamu perlu menginstal plugin keamanan ini agar website lebih aman. Berikut ini beberapa plugin keamanan website yang bisa Kamu gunakan:
Wordfence: Plugin keamanan WordPress yang kami rekomendasikan pertama yaitu Wordfence. Plugin ini sudah didownload lebih dari 3 juta pengguna dengan 2 pilihan versi gratis dan berbayar.
Jika Kamu menggunakan plugin versi gratis, Kamu akan mendapatkan fitur monitoring real time, firewall, scanning plugin, scanning themes, scanning file, dapat memblokir jika ada indikasi ancaman keamanan, dan membuat login admin lebih aman.
iThemes Security: Plugin keamanan yang cukup populer yang Kami rekomendasikan yaitu iThemes Security. Plugin ini telah diunduh sebanyak hampir 1 juta lebih pengguna atau website aktif dengan 2 pilihan versi gratis dan berbayar.
Plugin ini memiliki fitur mendeteksi plugin berbahaya, kata sandi atau password yang kurang kuat dan software yang sudah using.
SecuPress Free: Plugin selanjutnya yaitu SecuPress free. Walaupun plugin ini tidak sepopuler plugin keamanan diatas bukan berarti plugin ini tidak cukup berkualitas.
SecuPress sudah diunduh lebih dari 20 ribu pengguna WordPress dan mempunyai fitur untuk versi gratis yaitu firewall, security alert, anti brute force login, malware scan, blokir IP, security keys, blokir visitor dari bot berbahaya, cek plugin atau tema berbahaya dan bisa membuat laporan tersebut dalam bentuk PDF. Tersedia juga versi berbayar untuk fitur lebih lengkapnya.
Gunakan SSL di Website
Langkah selanjutnya yang perlu Kamu perhatikan yaitu gunakan SSL di website. Memasang SSL adalah satu langkah cerdas untuk mengamankan halaman admin dan website Kamu. SSL memastikan transfer data yang aman antara browser pengguna dan server, sehingga sulit bagi peretas untuk melanggar koneksi atau menipu informasi Kamu.
Contoh jelasnya yaitu jika visitor memasukkan nomor kartu kredit, maka SSL akan mengenkripsi data – data tersebut sehingga peretas tidak dapat membacanya. Mendapatkan sertifikat SSL untuk situs web WordPress sangat mudah.
Kamu dapat membeli SSL di Masterweb atau jika Kamu menggunakan hosting dari Kami maka Kamu akan mendapatkan SSL standar secara gratis. Kamu bisa menggunakan Let’s Encrypt di cPanel atau install plugin Really Simple SSL untuk mengaktifkan SSL di website Kamu. Tidak diperlukan pengaturan lain lagi.
Pastikan WordPress Selalu Update
Pernahkah Kamu menerima pemberitahuan update untuk WordPress Kamu dan Kamu mengabaikannya? Jika iya, mulai sekarang jangan lakukan hal tersebut lagi. Kamu perlu melakukan pembaruan secara berkala terhadap WordPress Kamu.
Update ke versi terbaru bukan sekedar menambah fitur baru di WordPress, namun hal tersebut juga untuk memperbaiki bug, error dan membuat keamanan website lebih baik.
Jadi, jika Kamu menggunakan produk WordPress apa pun, Kami sarankan perbarui secara teratur seperti plugin, tema dan semuanya. Adapun plugin, ini harus diperbarui secara manual dengan masuk ke Plugin di dashboard Kamu dan perbarui plugin yang sudah tersedia update nya.
Gunakan Password Yang Kuat
Langkah selanjutnya yaitu ketika Kamu membuat user, pastikan untuk menggunakan password yang kuat dan tidak mudah ditebak. Jangan pernah coba gunakan password tanggal lahir, nama Kamu, nama orang tua dan sejenis seperti itu.
Ini adalah cara sederhana dan mudah dilakukan untuk mencegah hacker mendapat informasi login Kamu dengan metode serangan yang disebut brute force attack.
Kamu dapat merubah password user WordPress di bagian menu Users – Your Profile di dashboard. Lalu Kamu bisa tekan tombol Generate Password dan secara otomatis rekomendasi password akan muncul. Namun jika Kamu Kamu merasa password tersebut susah diingat atau tidak suka, Kamu dapat menggantinya.
Namun, pastikan keterangan password sudah hijau atau strong. Kamu bisa menggunakan kombinasi angka, huruf besar dan kecil agar password Kamu kuat.
Pasang Plugin Backup
Jika Kamu menggunakan hosting di Masterweb, maka file websie Kamu akan mempunyai backupnya setiap hari. Namun jika Kamu mempunyai data backup sendiri akan jauh lebih baik bukan? Plugin backup sangat penting Kamu instal karena jika serangan hack terjadi, Kamu dapat mengembalikan kondisi WordPress seperti sebelumnya.
Nah inilah beberapa plugin backup yang Kami rekomendasikan untuk Kamu :
UpdraftPlus: UpdraftPlus adalah plugin backup yang paling populer di dunia, lebih dari 2 juta pemasangan aktif saat ini. Backup data Kamu ke cloud dan restore hanya dengan satu klik!.
Backup data bisa langsung ke Dropbox, Google Drive, Amazon S3, UpdraftVault, Rackspace Cloud, FTP, DreamObjects dan masih banyak lagi.
BackWPup: Plugin backup BackWPup ini sudah di instal lebih dari 600 ribu pengguna di seluruh dunia.
Plugin ini dapat digunakan untuk menyimpan instalasi lengkap termasuk / wp-content / dan mendorong data ke Layanan backup eksternal, seperti Dropbox, S3, FTP dan banyak lagi. Dengan satu file .zip backup Kamu dapat dengan mudah untuk restore.
Nah Kamu bisa pilih plugin salah satunya yang Kami rekomendasikan atau bisa juga Kamu memiliki plugin pilihanmu sendiri? Yaa itu semua tergantung pilihanmu.
Tahap Lanjutan Cara Meningkatkan Keamanan Website
Pada tahap keamanan lanjutan ini Kamu memerlukan sedikit pengetahuan terhadap WordPress. Namun tidak perlu khawatir karena Kami akan menjelaskannya secara detail dan mudah dipahami.
Jadi jika Kamu sudah mengamankan website dengan perlindangan keamanan dasar, maka Kamu bisa lanjut ke tahap ini. Yuk langsung saja simak apa saja langkah-langkahnya.
Lindungi File Wp-config.php
File wp-config.php menyimpan informasi penting tentang instalasi WordPress Kamu, dan itu file yang paling penting di direktori root situs. Melindungi itu berarti mengamankan inti dari blog WordPress Kamu.
Cara ini mempersulit para peretas untuk merusak keamanan situs, karena file wp-config.php menjadi tidak dapat diakses oleh mereka.
Proses perlindungannya sangat mudah. Ambil saja file wp-config.php Kamu dan pindahkan ke level yang lebih tinggi dari direktori root Kamu. Namun, pertanyaannya adalah, jika menyimpannya di tempat lain, bagaimana server dapat mengaksesnya?
Di dalam arsitektur WordPress saat ini, pengaturan file konfigurasi diatur ke daftar prioritas tertinggi. Jadi, walaupun disimpan satu folder di atas direktori root, WordPress masih bisa melihatnya.
Selain cara diatas, Kamu juga bisa menggunakan cara kedua ini yaitu menyembunyikan file wp-config.php tersebut. Bagaimana caranya?
Pertama-tama buatlah cadangan situs Kamu karena jika kesalahan sedikitpun terjadi, hal tersebut dapat membuat situs Kamu tidak dapat diakses. Oleh karena itu penting untuk mempunyai backup data website.
Untuk menyembunyikan file Wp-config.php caranya yaitu buka file Wp-config.php Kamu dan tambahkan kode berikut ini :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Meskipun prosesnya sendiri sangat mudah, penting untuk memastikan Kamu memiliki backup website sebelum memulai jika terjadi kesalahan dalam proses.
Lindungi File .htaccess
Selain file wp-config.php Kamu juga harus menyembunyikan file .htaccess caranya sama seperti dibagian file wp-config. Namun pastikan Kamu sudah mempunyai backup website yaa agar jika nanti terjadi kesalahan maka akan bisa dikembalikan seperti sebelumnya.
Caranya yaitu buka file .htaccess dan tambahkan kode berikut ini:
<Files .htaccess>
order allow,deny
deny from all
</Files>
Tidak Izinkan Edit File
Jika pengguna memiliki akses admin ke dashboard WordPress Kamu, mereka dapat mengedit file apa pun yang merupakan bagian dari instalasi WordPress. Ini termasuk semua plugin dan tema.
Jika Kamu melarang pengeditan file, tidak seorang pun akan dapat memodifikasi file mana pun, bahkan jika seorang hacker mendapatkan akses admin ke dashboard WordPress. Untuk membuatnya berfungsi, tambahkan kode berikut ini ke file wp-config.php (di bagian paling akhir): Define(‘DISALLOW_FILE_EDIT’, true);
Ubah URL Login Admin
Semua pengguna WordPress pasti sudah mengetahui url default untuk login ke halaman admin seperti ini :
www.websitekamu.com/wp-admin. Karena hampir semua orang tahu maka ini bisa menjadi peluang hacker untuk masuk melalui celah ini. Hacker biasanya akan melakukan brute force attack untuk menyerang URL login tersebut.
Oleh karena itu, penting untuk Kamu merubah URL login admin tersebut. Bagaimana caranya? Kamu bisa menginstal plugin untuk merubah URL login tersebut. Contohnya seperti WPS Hide Login.
WPS Hide Login adalah plugin yang sangat ringan yang memungkinkan Kamu dengan mudah dan aman mengubah URL halaman form login menjadi apa pun yang Anda inginkan. Direktori wp-admin dan halaman wp-login.php menjadi tidak dapat diakses.
Jadi Kamu harus membookmark atau mengingat url yang sudah Kamu ubah. Menonaktifkan plugin ini akan mengembalikan situs atau mengubah pengaturan Kamu ke keadaan semula. Masuk ke Plugin – Add New dan cari plugin WPS Hide Login.
Kamu install dan ubah URL login yang Kamu inginkan. Seperti dibawah ini.
Batasi Login Masuk
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Meskipun ini dapat membantu jika Kamu sering lupa password huruf kecil atau huruf besar. Namun itu juga membuka celah hacker untuk melakukan brute force attack.
Dengan membatasi upaya login masuk, tentu hal tersebut jauh lebih aman. Kamu bisa menggunakan plugin WPS Limit Login. Jadi coba instal terlebih dahulu dan aktifkan pluginnya.
Setelah itu masuk ke settings dan pilih WPS Limit Login. Lalu akan tampil halaman untuk konfigurasinya, Kamu hanya perlu mengaturnya sesuai keinginan Kamu seperti dibawah ini.
Logout Otomatis
Mungkin tanpa sadar Kamu lupa untuk menutup tab browser halaman admin tanpa melogoutnya. Ini perlu diperhatikan untuk keamanan. Coba bayangkan jika seseorang membuka laptop Kamu dan menggunakan browser tersebut, masuk ke dashboard tanpa harus login terlebih dahulu?
membuat user admin baru tanpa Kamu ketahui dan orang tersebut dapat bebas mengakses website Kamu dan merubahnya. Berbahaya bukan?
Nah namun Kamu tidak perlu khawatir, Kamu bisa mencegah hal tersebut dengan membuat logout otomatis. Logout otomatis ini bisa Kamu atur jangka waktunya sesuai keinginan Kamu. Bisa 5 menit, 10 menit dan seterusnya. Jadi tidak lagi khawatir lupa tidak melogout akun halaman admin WordPress.
Bagaimana caranya? Kamu hanya perlu install plugin Inactive Logout. Setelah plugin di install dan aktif, pilih menu Settings – Inactive Logout. Lalu tampilannya akan seperti tampak pada layar anda.
Kamu bisa memasukkan jangka waktu yang diinginkan agar dapat logout otomatis dibagian Idle Timeout. Contohnya seperti ini Kami beri jangka waktu 6 menit.
Kamu juga bisa memberikan pemberitahuan logout otomatis ini dibagian Idle Message Content agar nanti jika ada pengguna lain tidak kaget halaman admin terlogout sendiri. Jika sudah Kamu bisa tekan tombol Save Changes.
Kesimpulan
Nah itulah beberapa langkah cara meningkatkan keamanan website WordPress mulai dari perlingungan awal hingga ke perlindungan lanjutan. Jadi untuk Kamu yang baru membuat website WordPress, Kami sarankan untuk mengamankan website Kamu dengan langkah – langkah diatas.
Setidaknya Kamu bisa menerapkan keamanan perlindungan awal namun alangkah baiknya jika cara diatas Kamu pelajari dan coba terapkan di website Kamu agar keamanan website lebih maksimal.
Terima kasih sudah membaca artikel ini sampai akhir, semoga artikel ini membantu dan bermanfaat untuk semuanya.
———————————-
Sumber http: https://blogs.masterweb.com/cara-meningkatkan-keamanan-website-wordpress/
