WordPress memiliki isu dalam hal keamanan, lalu apakah WordPress aman untuk digunakan?
Jawabnya “Aman“, Anda tidak perlu takut dengan isu tersebut, karena ada banyak tips menjaga keamanan website WordPress Anda dengan mudah.
Meskipun WordPress menyatakan diri sebagai CMS paling aman dibanding platform sejenis, ada baiknya tetap menjaga keamanan.
Menjaga keamanan WordPress bukan hanya menggunakan password kombinasi yang sulit ditebak saja, ada banyak cara lain.
Para hacker memiliki berbagai cara untuk bisa menembus website target, tidak hanya lewat password saja.
Agar Anda tidak menjadi salah satu korban cyber crime selanjutnya, kami sudah merangkum tips menjaga keamanan WordPress yang terbukti ampuh.
Simak sampai akhir pembahasan ya!
Tips Menjaga Keamanan WordPress
1. Update WordPress
Selalu gunakan WordPress versi terbaru.
Update versi WordPress berisi fixing fitur yang belum sempurna dan update fitur baru pada versi WordPress.
Biasanya notifikasi update WordPress muncul pada bagian atas dashboard WordPress, jika sudah muncul langsung saja update ke versi terbaru.
2. Install Plugin Keamanan WordPress
Plugin keamanan adalah hal yang paling penting dan wajib untuk website WordPress.
Anda bisa install plugin keamanan WordPress seperti Wordfence, Jetpack, AIO WP Security, iThemes dan masih banyak lagi.
Dengan memilih opsi pengamanan tambahan, Anda dapat meningkatkan skor keamanan WordPress dengan plugin.
3. Menambahkan 2 Factor Authentication
2-Factor Authentication atau 2FA, ada yang bilang two step verification adalah lapisan keamanan WordPress tambahan untuk memastikan user asli.
Two factor authentication berisi informasi yang hanya diketahui oleh user asli.
Contohnya memasukan kode angka, terhubung ke smartphone, email atau lainnya.
Untuk bisa mendapatkan informasi 2FA seperti ini, hacker akan kesulitan karena berada diluar dari website.
Bagi Anda yang belum menambahkan 2FA, segera tambahkan untuk website WordPress.
Walaupun lebih repot saat login, tetapi keamanan website meningkat lebih baik.
4. Batasi Login Attempts
Secara default, WordPress mengizinkan semua user melakukan percobaan login menuju website, ini tidak aman untuk website.
Hacker akan memanfaatkan kelemahan ini untuk melakukan brute force, yaitu upaya untuk menebak username dan password menggunakan robot.
Nah Anda perlu membatasi berapa kali jumlah login yang diperlukan, normalnya 3 kali login sudah cukup.
Anda bisa menggunakan plugin tambahan seperti Limit Login Attempts Reloaded, WP Limit Login Attempts dan sejenisnya.
Untuk menjaga keamanan website, install saja dan silahkan batasi berapa kali user boleh mencoba login website.
5. Ubah URL Login
Secara default, pengguna WordPress mendapatkan URL login seperti namadomain.com/wp-admin.
Banyak para pemilik website yang belum merubah URL login standar, sehingga sangat rawan diakses oleh hacker.
Dengan begini hacker akan kesulitan menemukan cara login ke website sehingga keamanan website meningkat.
Cara mengganti URL login bisa Anda buka pada pembahasan artikel sebelumnya atau menggunakan plugin seperti LoginPress, Admin Custom Login, Login Designer dan lainnya.
6. Pilih Provider Hosting Terpercaya
Ada banyak provider hosting di Indonesia saat ini, semuanya berlomba-lomba memberikan harga termurah.
Tetapi bukan itu yang dicari, pilihlah provider hosting terpercaya bukan yang paling murah.
Pilihlah provider hosting yang memiliki uptime server 99,99%, monitor server 24 jam, dan layanan teknis yang siap membantu 24×7 seperti Qwords Cloud Web Hosting Indonesia.
Dengan begini website Anda akan bebas dari down dan keamanan bisa lebih terjamin.
7. Atur Role Pada Semua User
Setiap user di WordPress memiliki role atau hak akses masing-masing, jangan sampai memberikan hak akses yang sesuai dengan pekerjaanya.
Berikut hak akses user di WordPress agar lebih aman:
- Administrator, akses full ke website WordPress tanpa ada batasan.
- Editor, bertugas untuk mengatur, editing dan mempublikasikan post dari contributor, tidak ada akses ke settingan website.
- Author, bisa mempublikasikan post yang mereka buat sendiri tanpa perlu masuk ke editor.
- Contributor, bisa menuliskan post tetapi tidak memiliki akses untuk mempublikasikannya.
- Subscriber, sebagai pengikut, mengganti profil picture dan berkomentar pada website.
Dari semua role tersebut, administrator memiliki role paling tinggi.
Jangan berikan role administrator kepada orang yang tidak mengerti website, takutnya merubah setting atauinstall plugin-plugin yang tidak aman.
8. Install Plugin Audit Log
Audit log adalah plugin yang berfungsi untuk mengecek aktivitas setiap role user.
Jadi, Anda bisa tahu siapa yang menambah, edit, dan menghapus file pada website WordPress.
Jika ada aktivitas mencurigakan, Anda sebagai administrator website bisa mendeteksi dan mencegahnya dari awal.
Anda bisa mencoba install plugin WP Activity Log untuk menambah keamanan WordPress.
9. Protect Directory WP-Admin
Walaupun login sudah Anda berikan fitur keamanan tambahan 2FA, Login Attempts, URL Login dan kombinasi password yang kuat, Anda perlu memproteksi Directory WP-Admin.
Tips menjaga keamanan WordPress ini masih sedikit yang menggunakannya.
Jika Anda pengguna cPanel, bisa membuka pada menu “Password Protect Directories” atau “Directory Privacy”.
Kemudian pilih folder wp-admin, lokasinya berada pada folder /public_html/.
Perlu diketahui bahwa folder wp-admin berisi semua file-file penting pada website.
Kemudian silahkan pilih Permission Folder, pilih “Password protect this directory ”, silahkan buat username dan password.
Terakhir, silahkan simpan dan directory wp-admin sudah memiliki keamanan tambahan.
10. Gunakan “Strong” Password
Anda tak hanya WAJIB mengubah password default, tapi juga WAJIB menggantinya dengan kombinasi password yang kuat agar terhindar dari brute force.
Gunakan kombinasi yang terdiri dari kombinasi angka, huruf, karakter dan simbol.
11. Instal Plugin Detektor Spam
Install plugin yang benar-benar diperlukan saja dan pilih dari sumber yang resmi.
Plugin pembersih dan blokir spam termasuk salah satu yang dibutuhkan.
Anda dapat memilih plugin Akismet atau WP-Spam Free. Tugas dari plugin ini adalah mendeteksi dan memblokir komentar spam secara otomatis.
Komentar spam akan dipisahkan dari komentar biasa atau langsung dilakukan auto delete sesuai pengaturannya.
Selain Akismet, ada pula plugin dengan fungsi serupa yakni WP Spamfree.
Namun bedanya, Akismet lebih ringan karena tidak menerapkan metode javascript seperti yang ada di WP-Spam Free.
Akismet sudah tersedia gratis saat pertama kali Anda menginstall WordPress. Anda hanya perlu mengaktifkannya saja.
12. Nonaktifkan Directory Indexing dan Browsing
Directory indexing dan browsing menjadi fitur WordPress yang perlu Anda nonaktifkan.
Directory indexing akan membantu hacker mencari tahu file-file yang rentan dari website.
Directory browsing digunakan hacker untuk melihat ke dalam files, struktur direktori dan informasi lain.
Silahkan nonaktifkan keduanya agar lebih aman dari hacker.
13. Nonatifkan PHP File Execution
PHP File Execution bisa dimanfaatkan hacker untuk mengeksekusi malware atau script yang berhasil di upload pada website.
Caranya mudah tinggal menambahkan script baru berikut pada notepad.
<Files *.php>
deny from all
</Files>
Kemudian simpan dengan pilih menu “Save As”, bernama .htaccess.
Jika sudah silahkan upload ke panel hosting, langsung saja ke menu File Manager > public_html > wp_includes > Upload.
14. Nonaktifkan Fungsi XML-RPC
XML-RPC menjadi celah hacker untuk melakukan DDoS dan brute force.
XML-RPC memungkinkan dilakukan transmisi data menggunakan HTTP(S) dan XML sebagai encoding.
Fitur ini memang sudah tidak digunakan saat ini, tetapi justru menjadi celah para hacker.
Caranya tinggal install plugin Disable XML-RPC-API.
15. Backup Website Secara Rutin
Backup website berfungsi jika suatu saat terjadi hal yang tidak diinginkan seperti website kena hack, malware atau terhapus, Anda masih memiliki backup.
Backup biasanya sudah disediakan oleh pihak provider hosting, tetapi biasanya bulanan, solusi lain Anda juga bisa install plugin backup website.
Agar data website aman kami menyarankan untuk melakukan backup serutin mungkin, apalagi jika website berisi data-data penting.
Nah di Qwords terdapat opsi tambahan untuk fitur backup website Anda, silahkan pilih saat membeli layanan hosting.
16. Gunakan SSL
SSL atau Secure Socket Layers, fungsinya untuk membuat sambungan yang lebih aman dan terenkripsi.
Saat ini, semua website harus menggunakan SSL, jika tidak website Anda akan ditAndai tidak aman oleh mesin pencari.
Tidak perlu SSL berbayar, Anda bisa menggunakan SSL gratis dari Lets Encrypt.
Tetapi dari segi keamanan memang kurang, Anda bisa membeli SSL berbayar di GudangSSL untuk proteksi keamanan lebih pada website.
17. Gunakan Plugin dan Themes Resmi
Themes dan plugin nulled memang banyak tersebar di Internet, tetapi apakah sadar bahanya dibaliknya?
Nah, ternyata dibaliknya banyak malware jahat yang ditanam.
Anda perlu berhati-hati, lebih baik gunakan plugin dan themes resmi bukan hasil download dari website yang tidak kredibel.
18. Log Out Otomatis Pada Idle User
User yang tidak melakukan aktivitas apa-apa pada website WordPress akan otomatis log out.
Mekanisme seperti ini biasa dilakukan pada akun perbankan atau website penting lain.
Anda bisa menggunakan plugin log out otomatis dari WordPress seperti Inactive Log Out.
Pilih Hosting yang Aman dan Terbukti
Bagaimana? banyak bukan tips menjaga keamanan website WordPress yang Anda miliki?
Pastikan Anda sudah menempatkan file website pada hosting yang aman dan sudah terbukti.
Qwords menjadi pilihan Hosting Terbaik yang perlu Anda coba, sudah berpengalaman puluhan tahun dan memiliki user lebih dari 60 ribu lebih.
Semoga artikel ini bisa bermanfaat dan menambah skor keamanan website.
Terima kasih
