Cara Mengamankan WordPress

Cara Agar WordPress Aman!

Di bawah ini adalah beberapa cara mengamankan WordPress terbaik yang harus Anda ketahui untuk meningkatkan keamanan WordPress, sehingga website Anda tidak mudah diretas orang yang tidak bertanggung jawab.

Gunakan Hosting Terpercaya

Cara mengamankan WordPress pertama adalah menggunakan hosting terpercaya yang dilengkapi dengan berbagai macam fitur keamanan secara lengkap. Hosting sangat penting, karena hosting adalah rumahnya bagi semua data website Anda.

Tentu saja jika sebuah rumah aman, maka Anda akan nyaman tinggal di dalamnya. Sebuah layanan hosting terbaik dan terpercaya harus memiliki berbagai fitur yang bisa meningkatkan keamanan website seperti patchman.  Software ini mempunyai kemampuan mendeteksi dan memperbaiki celah keamanan pada website.

Tidak hanya itu saja, hosting yang Anda gunakan juga harus memiliki keamanan yang ditingkatkan, lengkap dengan perlindungan Sucuri website Security, pemindaian malware & perbaikan website otomatis, pemindaian keamanan WordPress membuat website lebih aman.

Jadi, untuk mengamankan website Anda harus bermula dari hosting yang Anda gunakan.

Perbarui WordPress Secara Rutin

Cara berikutnya adalah dengan memperbarui WordPress secara rutin, kenapa? Karena WordPress terbaru kemungkinan besar jauh lebih aman daripada versi lama. Jadi, memperbarui WordPress secara rutin sangat penting.

Anda bisa menerapkan beberapa kode di wp-config.php agar WordPress Anda bisa memperbarui secara otomatis. Caranya adalah sebagai berikut:

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file wp-config.php, caranya klik menu Files > httpdocs > wp-config.php.

Langkah 3: Copy dan paste kode dibawah ini di file wp-config.php.

#Enable all core updates, including minor and major: define ( 'WP_AUTO_UPDATE_CORE', true );

Langkah 4: Klik Save.

Selesai, Anda sudah bisa menerapkan cara mengamankan WordPress dengan memperbarui WordPress secara otomatis.

Amankan File wp-config.php

File wp-config.php adalah salah satu file yang berisi banyak data penting tentang database, nama pengguna dan juga kata sandi, pastikan file ini sudah aman dan hanya Anda yang bisa mengaksesnya.

Salah satu cara mengamankan file wp-config.php adalah dengan mengunci file tersebut, sehingga tidak ada orang lain yang bisa mengakses file ini. Caranya adalah dengan menambah kode di file .htaccess.

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file .htacccess, caranya klik menu Files > httpdocs > .htaccess.

Langkah 3: Tambahkan kode di bawah ini tepat di bagian atas kumpulan kode di file .htaccess.

<files wp-config.php> order allow,deny deny from all </files>

Langkah 4: Klik Save.

Kode tersebut akan mengunci file wp-config.php sehingga sulit untuk diakses dari luar.

Gunakan Plugin dan Tema Versi Terbaru

Gunakan plugin dan tema dengan versi terbaru, karena biasanya plugin maupun tema terbaru celah keamanannya telah diperbaiki agar menjadi lebih baik. Gunakan beberapa rekomendasi template WordPress berikut dengan keamanan terbaiknya.

Untuk tema, hindari penggunaan tema nulled. Hal ini untuk memastikan bahwa website Anda aman karena tema nulled sangat rentan dimanfaatkan oleh orang yang ingin meretas website Anda.

Tidak lupa juga gunakan plugin yang memang telah disediakan di WordPress.org untuk menghindari tindakan peretasan melalui plugin yang tidak resmi. Pelajari berbagai cara update plugin WordPress yang pernah kami bahas dalam pembahasan berikut.

Lindungi Bagian Admin WordPress

Halaman admin adalah salah satu bagian utama dari WordPress. Jjika halaman admin berhasil diretas, maka website Anda secara penuh dapat diambil alih dan Anda akan mendapatkan ancaman tidak bisa masuk kembali selama-lamanya.

Untuk melindungi bagian Admin WordPress dari para peretas, pastikan untuk memiliki perlindungan kata sandi untuk direktori yang mengarahkan ke halaman Admin. Pastikan juga bahwa file WordPress hanya bisa akses oleh Anda maupun orang kepercayaan Anda.

Nah, file .htaccess bisa membatasi akses salah satunya adalah membatasi hanya alamat IP tertentu yang dapat mengakses halaman Admin atau direktori file halaman admin. Caranya adalah sebagai berikut:

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file .htacccess, caranya klik menu Files > httpdocs > .htaccess.

Langkah 3: Tambahkan kode di bawah ini tepat di bagian atas kumpulan kode di file .htaccess.

# deny access to wp admin Order deny,allow Allow from xx.xx.xx.xx # (Alamat IP ) deny from all

Langkah 4: Klik Save.

Nah setelah itu coba Anda akses halaman admin dari komputer lain, harusnya IP selain yang ditambahkan tidak bisa membukanya.

Backup Website Secara Teratur

Pastikan Anda melakukan backup secara rutin di situs website WordPress Anda. Backup data dan file WordPress akan sangat membantu Anda ketika website Anda mengalami keadaan yang darurat. Sehingga Anda bisa memulai dari awal lagi dengan menggunakan data backup tersebut.

Kami sarankan untuk menjadwalkan backup data website, sehingga jika Anda lupa maka secara otomatis website akan membackup. Berikut juga beberapa fitur backup yang perlu Anda perhatikan selama proses pencadangan tersebut.

Aktifkan SSL

Aktifkan SSL untuk mengamankan website WordPress, lapisan soket aman yang dapat mengenkripsi semua informasi yang dikirim ke dan dari situs website Anda. Sehingga bisa mencegah serangan para peretas.

Tidak hanya untuk keamanan, SSL juga dapat meningkatkan kinerja website Anda di mesin pencari seperti Google. Salah satu ciri alamat website yang menggunakan SSL adalah selalu diawali dengan HTTPS, sedangkan yang tidak biasanya diawali dengan HTTP.

Penyedia hosting seperti Exabytes Indonesia menawarkan SSL gratis untuk setiap pembelian WordPress hosting.

Hapus Pengguna yang Tidak Aktif di Website WordPress Anda

Terkadang sebuah website memiliki beberapa pengguna, tujuannya beragam ada yang sebagai kontributor penulis atau editor. Tapi kadang ada beberapa pengguna yang sudah tidak aktif login, maka kami sarankan untuk menghapusnya.

Kenapa? Karena akun pengguna yang tidak aktif dapat menjadi ancaman keamanan untuk website Anda. Cara untuk menghapus pengguna-pengguna tersebut sangat mudah.

Ikuti langkah-langkahnya di bawah ini:

Langkah 1: Login terlebih dahulu ke halaman dashboard WordPress Anda.

Langkah 2: Klik Users > Hapus salah satu pengguna yang memang sudah tidak aktif.

Selesai, Anda sudah berhasil menghapus pengguna yang sudah tidak aktif.

Gunakan Kata Sandi yang Sangat Kuat

Kata sandi yang kuat adalah lapisan pelindung pertama untuk masuk ke halaman WordPress. Anda bisa menggunakan kombinasi huruf kecil, huruf besar, karakter khusus dan angka untuk mengatur kata sandi yang kuat dan tidak mudah ditembus.

Beberapa persyaratan dasar untuk kata sandi yang kuat:

Batasi Jumlah Login Gagal

Salah satu teknik peretasan adalah brute force di mana hacker mencoba setiap kemungkinan dari kombinasi kata sandi yang Ada. Cara untuk menghalau serangan peretasan tersebut adalah dengan membatasi jumlah upaya login yang gagal. Terapkan juga autentikasi dua faktor di WordPress Anda untuk hasil yang lebih baik.

Hapus Pesan Kesalahan Login

Saat Anda memasukkan kombinasi nama pengguna dan juga kata sandi yang salah di halaman login, biasanya akan muncul pesan kesalahan yang memberikan petunjuk tentang kesalahan yang Anda lakukan.

Sebagai contoh, Anda memasukkan nama pengguna yang salah dan kata sandi yang salah. Maka pesan kesalahannya adalah “Nama pengguna dan kata sandi yang Anda gunakan salah”. Akan tetapi jika Anda memasukkan nama pengguna benar dan kata sandi yang salah, maka pesan kesalahannya adalah “Kata sandi yang dimasukan salah”.

Pesan kesalahan login tersebut sebaiknya dihapus. Namun jika memang ingin tetap ada pesan kesalahan, Anda perlu menggantinya untuk semua situasi dengan “Maaf nama pengguna dan kata sandi yang Anda masukan salah”.

Hal itu akan membuat peretas yang melakukan serangan brute force akan menyerah melakukan percobaan login.

Sembunyikan Nomor Versi WordPress

Biasanya versi WordPress akan ditempatkan di bagian tampilan sumber situs website dan hal ini akan menjadi sasaran empuk bagi para peretas, terutama jika versi WordPress yang Anda gunakan diketahui.

Jika versi WordPress sudah diketahui, para peretas akan merancang serangan sempurna berdasarkan bug yang terdapat di versi WordPress tersebut. Anda bisa menggunakan plugin seperti plugin Sucuri untuk menghapus atau menyembunyikan versi WordPress.

Gunakan Plugin Keamanan dan Firewal

Memasang plugin keamanan dan firewal adalah salah satu cara mengamankan WordPress paling mudah, karena Anda hanya cukup menginstal serta melakukan sedikit konfigurasi dan website Anda sudah dilindungi dengan baik.

Salah satu plugin keamanan yang bisa Anda gunakan adalah All In One WP Security & Firewall, plugin tersebut 100% gratis. Tidak hanya itu, plugin ini juga memiliki beberapa fitur keamanan berupa login security, pencegahan brute force dan mengamankan konten.

Batasi Pengindeksan di WordPress

Mesin pencari seperti Google, pada dasarnya merayapi seluruh situs website Anda dan mengindeks setiap konten yang ada di website tersebut. Terkecuali jika Anda melakukan konfigurasi, sehingga ada beberapa URL atau konten yang tidak di indeks mesin pencari.

Bagaimana dengan halaman admin? Tentu saja halaman admin juga akan diindeks mesin pencari, kecuali jika Anda membatasi pengindeksan pada URL tertentu. Cara mengamankan WordPress dengan membatasi pengindeksan adalah sebagai berikut:

Langkah 1: Masuk ke halaman cPanel Anda terlebih dahulu.

Langkah 2: Masuk ke httpdocs atau public_html.

Langkah 3: Buat file robot.txt dan isikan kode dibawah ini di file tersebut.

# User-agent: * Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins/ Disallow: /wp-content/cache/ Disallow: /wp-content/themes/ Disallow: */trackback/ Disallow: */feed/ Disallow: /*/feed/rss/$ Disallow: /category/*

Langkah 4: Klik save.

Gunakan Email Sebagai Login

Ketika Anda membuka website WordPress, seperti biasa Anda harus memasukkan username/nama pengguna untuk masuk ke akun WordPress Anda. Kami sarankan untuk menggunakan email menggantikan username/nama pengguna.

Menggunakan email sebagai login jauh lebih aman untuk menghindari website Anda diretas orang yang tidak bertanggung jawab.

Gunakan HTTPS untuk Login ke Dashboard WordPress

Seperti yang sudah dijelaskan sebelumnya, bahwa HTTPS adalah versi aman dari HTTP. Ketika Anda menggunakan HTTPS maka data Anda akan dikirimkan ke bentuk yang telah dienkripsi, sehingga dapat mempersulit peretas untuk memecahkan kata sandi maupun username Anda.

Cara agar login ke dashboard WordPress menggunakan HTTPS, hanya perlu menambahkan beberapa kode dibawah ini.

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file wp-config.php, caranya klik menu Files > httpdocs > wp-config.php.

Langkah 3: Copy dan paste kode dibawah ini di file wp-config.php.

define('FORCE_SSL_LOGIN', true);

Langkah 4: Klik Save.

Selesai, sekarang Anda sudah menggunakan HTTPS untuk masuk ke halaman login dashboard WordPress.

Mencegah SQL Injection di Website

Anda bisa dengan mudah melindungi website dari teknik peretasan SQL injection website. Caranya sangat mudah, yuk ikuti setiap langkah-langkah yang dijelaskan!

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file .htacccess, caranya klik menu Files > httpdocs > .htaccess.

Langkah 3: Tambahkan kode di bawah ini di file .htaccess.

# protect from sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]

Langkah 4: Klik Save.

Uninstall Plugin dan Tema yang Sudah Tidak Digunakan

Peretas biasanya menyusup melalui plugin atau tema yang sudah tidak digunakan, contohnya plugin dan tema yang tidak aktif. Peretas dapat mengeksploitasi kerentanan yang terdapat pada plugin dan tema yang sudah tidak aktif.

Mulai sekarang dan seterusnya, kami merekomendasikan Anda untuk menghapus atau uninstall plugin dan tema yang sudah tidak aktif.

Nonaktifkan Editor Bawaan WordPress

WordPress secara default dilengkapi dengan editor bawaan sendiri, Anda bisa dengan mudah edit file secara langsung di website WordPress. Tapi ternyata hal ini dapat menimbulkan beberapa risiko dan salah satunya adalah keamanan.

Ketika editor bawaan aktif, pengguna yang dapat mengakses administrator dapat dengan mudah mengedit kode tema dan plugin secara langsung. Ini tentu akan meningkatkan resiko keamanan yang rentan terhadap peretasan.

Misalnya, jika ada peretas yang berhasil masuk ke halaman administrator WordPress, Maka peretas tersebut dapat merusak file WordPress Anda tanpa harus masuk ke halaman cPanel terlebih dahulu. Maka dari itu, kami merekomendasikan untuk dinonaktifkan.

Caranya adalah sebagai berikut:

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file wp-config.php, caranya klik menu Files > httpdocs > wp-config.php.

Langkah 3: Copy dan paste kode di bawah ini di file wp-config.php.

define( 'DISALLOW_FILE_EDIT', true );

Langkah 4: Klik Save.

Hapus Referensi WordPress dari Tema yang Digunakan

Hapus referensi WordPress dari tema yang Anda gunakan, mungkin akan menjadi salah satu cara mengamankan WordPress yang perlu Anda lakukan sekarang juga. Karena seorang peretas akan mencoba meretas WordPress jika mereka tahu bahwa Anda menggunakan WordPress.

Sehingga untuk beberapa keadaan, kami menyarankan untuk merahasiakan bahwa Anda menggunakan WordPress. Caranya adalah dengan menghapus semua info yang menerangkan bahwa website Anda menggunakan WordPress.

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file wp-config.php, caranya klik menu Files > httpdocs > wp-content > themes > Divi (folder tema ini disesuaikan dengan tema yang Anda gunakan) > header.php.

Langkah 3: Cari dan hapus kode di bawah ini di file header.php.

<meta name="generator" content="WordPress" />

Langkah 4: Klik Save.

Nonaktifkan Laporan Kesalahan PHP

Peretas dapat menggunakan pesan kesalahan untuk meretas website Anda. Misalnya saja pesan kesalahan dari tema maupun plugin. Maka kami merekomendasikan Anda untuk menonaktifkan laporan kesalahan dengan menggunakan langkah-langkah dibawah ini:

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file wp-config.php, caranya klik menu Files > httpdocs > wp-config.php.

Langkah 3: Copy dan paste kode dibawah ini di file wp-config.php.

error_reporting (0); @ini_set ('display_errors', 0);

Langkah 4: Klik Save.

Batasi Akses ke Direktori Plugin

Batasi akses ke direktori plugin WordPress Anda seperti www.domain-anda.com/wp-content/plugins/.

Jika tidak dibatasi, maka seseorang bisa dengan mudah menelusuri folder dan dapat melihat plugin mana yang Anda gunakan. Sehingga beresiko diretas melalui plugin yang Anda gunakan.

Maka dari itu kami menyarankan Anda untuk membatasi akses ke direktori plugin. Sebelum menerapkan cara mengamankan WordPress dengan membatasi akses ke direktori, Anda bisa membuat file kosong dengan nama index.html dan ikuti langkah berikut ini:

Langkah 1: Masuk ke cPanel Anda terlebih dahulu.

Langkah 2: Buka file .htacccess, caranya klik menu Files > httpdocs > .htaccess.

Langkah 3: Tambahkan kode di bawah ini tepat di bagian atas kumpulan kode di file .htaccess.

Options -Indexes

Langkah 4: Klik Save.

Ubah Username Default WordPress

Hindari tetap menggunakan username default bawaan dari WordPress, username tersebut mudah sekali untuk ditebak dan akun admin Anda akan mudah diretas oleh orang yang tidak bertanggung jawab.

Pastikan Pengguna Lain Menggunakan Sandi yang Kuat

Bagi Anda yang memiliki lebih dari satu penulis atau pengguna, selalu pastikan mereka menggunakan kata sandi yang kuat dan tidak mudah ditebak. Karena akan sangat percuma jika Anda menggunakan kata sandi yang kuat tapi anggota tim Anda tidak menggunakan kata sandi yang kuat.

Anda bisa cek apakah pengguna lain menggunakan kata sandi atau tidak dengan menggunakan plugin seperti Force Strong Passwords.

Ubah Kata Sandi Secara Berkala

Semakin lama Anda menggunakan kata sandi yang sama, maka semakin banyak waktu yang Anda berikan kepada para peretas yang ingin memecahkan kata sandi tersebut. Ingat, jangan berikan kesempatan sekecil apapun kepada para peretas untuk masuk ke sistem website Anda.

Maka dari itu mengubah kata sandi secara berkala minimal beberapa kali dalam setahun adalah cara mengamankan WordPress yang paling mudah. Jadi ubah kata sandi secara berkala ya dan jangan pernah bosan.

Gunakan Captcha atau reCaptcha

Selain username dan kata sandi, menggunakan captcha atau recatpcha di bagian login yang merupakan cara yang berguna untuk mengamankan halaman login dari para peretas yang meretas melalui halaman tersebut.

Tambahkan Pertanyaan Keamanan di Halaman Login

Tambahkan pertanyaan keamanan di setiap halaman login WordPress, dengan menambahkan pertanyaan keamanan tentu saja akan menambah kesulitan orang untuk mendapatkan akses ke halaman login.

Untuk melakukannya Anda bisa meminta bantuan plugin bernama WP Security Question.

Jangan Biarkan Komentar Spam Masuk

Komentar spam selain dapat merusak keindahan konten website Anda, tidak jarang dimanfaatkan untuk meretas website maupun meretas pengunjung website Anda. Metodenya biasanya mereka akan membagikan link jebakan dan jika Anda klik, maka kemungkinan peretas bisa masuk ke sistem komputer Anda dan mengambil alih WordPress Anda.

Salah satu cara menghilangkan komentar spam adalah dengan menonaktifkan kolom komentar di pengaturan WordPress Anda.

Gunakan Aplikasi FTP untuk Terhubung ke Server Website Anda

Gunakan aplikasi FTP seperti Filezilla untuk menghubungkan server Anda dengan komputer Anda. Hal ini berguna untuk memastikan komunikasi antara komputer dan server terlindungi. Semua layanan hosting di Exabytes Indonesia sudah dilengkapi dengan akun FTP yang siap Anda gunakan.

Gunakan Nama Database yang Unik & Tidak Mudah di Tebak

Hindari memberikan nama database yang mudah ditebak seperti “wordpress” atau “barang”, kami menyarankan dalam membuat nama database sama dengan kata sandi yaitu buatlah serumit mungkin.

Jika suatu saat Anda lupa nama database website Anda, maka Anda bisa dengan mudah cek melalui file wp-config.php.

Nonaktifkan XML-RPC

XML-RPC memungkinkan pengguna dapat terhubung ke WordPress dan digunakan juga untuk trackback dan pingback, trackback merupakan mekanisme pemberitahuan kepada pemilik blog bahwa ada tema postingan yang sama dan menginginkan pemilik website tersebut menautkan postingan yang sama tersebut.

Sedangkan pingback adalah suatu mekanisme di mana kita ingin memberitahukan kepada pemilik suatu weblog bahwa kita menaut weblog tersebut.

Secara default fitur ini telah aktif, sayangnya banyak peretas yang memanfaatkan hal ini untuk meretas website.

Jadi kami merekomendasikan Anda untuk menonaktifkan fitur XML-RPC dan untuk melakukannya Anda bisa menggunakan bantuan plugin Disable XML-RPC.

Cara Mengamankan WordPress Mana yang Sudah Anda Terapkan Saat Ini?

Keamanan website WordPress adalah hal utama, karena hal ini dapat memengaruhi reputasi website Anda. Namun tenang saja, ada banyak cara mengamankan WordPress yang bisa Anda terapkan.

Anda bisa menerapkan semuanya atau sebagian saja yang menurut Anda paling mudah. Cara mengamankan WordPress di atas adalah rekomendasi kami untuk menjamin keamanan website Anda mulai dari username dan juga password sampai menonaktifkan beberapa fitur bawaan yang tidak digunakan.

Akan tetapi dari semua cara mengamankan WordPress di atas yang paling krusial adalah layanan hosting, Anda harus menggunakan layanan hosting yang menyediakan fitur keamanan lengkap seperti yang ada di Exabytes Indonesia.

Semoga artikel ini bisa menjadi bekal untuk Anda dalam melindungi website dari para peretas ya.

Good luck!