Meningkatkan keamanan WordPress sangat penting karena bisa jadi website WordPress Anda merupakan target serangan hacker. Jika website Anda tidak aman, Anda berisiko kehilangan data, reputasi, atau bahkan ditutup oleh pihak berwenang.
Pada artikel ini Anda dapat melihat cara-cara meningkatkan keamanan WordPress. Masing-masing cara saya coba jelaskan secara sederhana dan saya sertakan link tutorial dari website ini maupun dari website lain.
Sebelum melakukan semua metode di artikel ini dicoba, sebaiknya Anda melakukan backup terlebih dahulu untuk menghindari kesalahan. Lihat tutorial backup dengan WordPress dengan plugin UpdraftPlus.
Masalah Keamanan Yang Mungkin Terjadi
Brute-Force Login Attempts
Serangan brute force adalah teknik yang digunakan oleh hacker untuk menebak password dengan mencoba berbagai kombinasi huruf, angka, dan simbol secara masal di halaman login WordPress.
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) adalah sebuah serangan yang dilakukan dengan tujuan untuk menyisipkan kode berbahaya ke sebuah website.
Kode berbahaya ini akan dijalankan ketika website tersebut dibuka oleh pengunjung, yang akan mengakibatkan kerusakan atau kebocoran data.
Biasanya, XSS digunakan untuk mencuri data sensitif dari pengguna seperti password atau data pribadi lainnya.
SQL Injections
SQL Injections adalah teknik yang digunakan untuk menyisipkan perintah SQL pada sebuah basis data. Teknik ini sering digunakan oleh para attacker untuk melakukan akses ilegal ke basis data.
Dengan menggunakan teknis ini, attacker dapat mengakses informasi yang tidak seharusnya dapat diakses.
Cara Meningkatkan Keamanan WordPress
1. Selalu Update WordPress, Tema dan Plugin
Selalu lakukan update jika ada notifikasi pembaruan barik dari core WordPress, Tema atau plugin. Berbagai bug bisa saja muncul pada versi sebelum nya yang bisa dimanfaat hacker untuk melakukan serangan.
2. Gunakan Username Unik
Username login WordPress harus unik karena username merupakan identitas unik yang digunakan untuk masuk ke halaman admin WordPress.
Username yang mudah ditebak seperti “admin”, “admin123”, atau username yang mirip nama domain dapat dimanfaatkan hacker untuk masuk ke halaman admin.
Tips memilih username:
- Hindari penggunaan “admin”
- Hindari memilih username yang sesuai dengan nama domain
Jika username akun Anda umum, silakan ikuti tutorial menganti username di WordPress.
3. Gunakan password yang kuat
Menggunakan password yang kuat untuk akun login akan membantu melindungi akun dari hacker yang mencoba masuk dan mencuri data Anda dengan metode Brute Force.
Beberapa tips membuat password yang kuat:
- Password harus sulit ditebak, Misalnya, jangan gunakan nama, admin, atau angka 1-8
- Gunakan kombinasi huruf, angka, dan karakter khusus. Misalnya, “P@ssw0rd123”.
- Gunakan panjang password yang cukup, minimal 8 karakter.
- Gunakan password yang unik untuk setiap akun yang Anda miliki.
- Ubah password secara berkala, sekitar setiap 3-6 bulan.
Selain itu, Anda juga dapat menggunakan password manager seperti LastPass atau 1Password untuk membantu Anda menyimpan dan mengelola password yang kuat secara aman.
4. Batasi Jumlah Percobaan Login
Membatasi jumlah percobaan login merupakan fitur keamanan yang cukup penting. Fitur ini akan memblokir akses ke akun setelah beberapa percobaan login yang gagal.
Contohnya jika pengguna melakukan kesalahan login sebanyak 3 kali, maka pengguna harus menunggu beberapa waktu lagi untuk mencoba login kembali.
Baca juga: Tutorial membatasi percobaan login di WordPress
5. Gunakan Tema dan Plugin Dari Sumber Resmi
Tema dan plugin WordPress bisa Anda dapatkan dari mana saja, tapi pastikan tema dan plugin yang Anda download dari sumber asli atau website resmi.
Banyak sekali tema dan plugin yang bisa Anda download gratis dari website-website yang ditemukan di Internet. Karena WordPress bersifat Open Source, dibanyak kasus tema dan plugin dari sumber tidak resmi sudah dimodifikasi dan dapat menyebabkan kerusakan website.
Berikut adalah beberapa hal yang bisa terjadi jika Anda menggunakan tema & plugin dari sumber tidak resmi:
- Tema & plugin dapat mengandung kode berbahaya yang dapat merusak website Anda dan data pengguna. Kode ini dapat mengambil data pengguna, mengirim spam, atau menyebabkan situs Anda di hack.
- Tema & plugin tidak selalu diupdate secara teratur, sehingga dapat menjadi sumber masalah kompatibilitas dengan versi terbaru WordPress atau plugin lainnya. Ini dapat menyebabkan situs Anda menjadi tidak stabil atau mengalami error.
- Tema & plugin tidak mendapat dukungan resmi dari pengembang aslinya, sehingga jika Anda mengalami masalah, Anda tidak dapat menghubungi pengembang untuk mendapatkan bantuan.
Website-website penyedia tema & plugin terpercaya:
Baca juga:
6. Ganti Prefix Table Database WordPress
Secara default prefix tabel database pada WordPress menggunakan (“wp_”), Prefix default tersebut dapat menjadi target serangan SQL injection karena sudah umum digunakan untuk WordPress. Dengan mengganti prefix tabel database, Anda membuatnya lebih sulit untuk dijadikan target serangan.
Baca juga: Tutorial mengganti prefix tabel database WordPress
7. Aktifkan Firewall
Firewall memiliki manfaat untuk mengawasi lintas yang terjadi di website Anda agar hacker tidak dapat melihat informasi penting, serta mencegah malware untuk masuk ke jaringan.
Untuk mengaktifkan Firewall di WordPress Anda bisa menggunakan plugin keamanan seperti All-In-One Security.
8. Aktifkan SSL/HTTPS.
Dengan menggunakan SSL WordPress Anda akan lebih aman karena semua informasi yang terjadi antara website dan browser pengguna akan terenkripsi. Menggunakan enkripsi memastikan tidak ada data yang disalahgunakan oleh pihak yang tidak memiliki hak.
Cara menggunakan SSL adalah dengan membelinya dari penyedia hosting. Beberapa pihak hosting juga menyediakan Let’s Encrypt yang bisa Anda gunakan secara gratis.
Baca juga: Tutorial memasang SSL Let’s Encrypt dari Cpanel
9. Disable File Editing
Pada dasarnya file editing ini merupakan fitur bawaan WordPress untuk memudahkan Anda melakukan editing file PHP seperti tema dan plugin langsung dari halaman admin.
Tapi, dibalik manfaatnya fitur ini juga bisa menjadi cela para hacker untuk masuk dan melakukan modifikasi kode.
Untuk menonaktifkan file editing pada halaman admin, Anda cukup melakukan editing file wp-config.php yang berada di folder utama WordPress Anda.
Copy paste kode dibawah ini dibagian paling atas, kemudian save file tersebut.
define( 'DISALLOW_FILE_EDIT', true );Anda bisa melakukan editing file wp-config.php dari cpanel atau dengan plugin file manager.
10. Gunakan Versi PHP Terbaru.
WordPress ditulis dengan menggunakan bahasa PHP, dengan melakukan update Anda akan mendapatkan dukungan keamanan, perbaikan bug, dan peningkatan performa yang lebih baik.
Saat artikel ini ditulis, versi PHP terbaru adalah 8.1, saat ini saya merekomendasikan menggunakan versi 7.4 karena rata-rata tema dan plugin sudah mendukung versi ini.
untuk melihat dan mengganti versi PHP dapat Anda lakukan dari panel hosting.
Baca juga: Tutorial mengganti versi PHP dari hosting
Setelah melakukan update versi PHP terbaru, cek kembali semua fungsi website Anda. Karena bisa jadi tema atau plugin yang Anda gunakan belum memberikan dukungan pada versi terbaru.
11. Lakukan Backup Otomatis
Melakukan backup sangat penting, Anda akan menyimpan semua data dari website WordPress Anda. Dengan memiliki backup, Anda dapat dengan mudah mengembalikan kondisi website jika terjadi masalah seperti kerusakan, kehilangan data, atau masalah serangan hacker.
Ada dua metode melakukan backup di WordPress, backup dari Cpanel hosting dan backup menggunakan plugin seperti UpdraftPlus.
Baca juga: Backup WordPress menggunakan plugin UpdraftPlus
Kesimpulan
Tidak ada website yang 100%, tapi dengan mengetahui metode serangan dan cara meningkatkan keamanan WordPress akan meminimalisir risiko serangan tersebut.
Tinggalkan Balasan