Mirza M. Haekal Mirza is a member of SEO Team at Niagahoster. He loves to learn something new everyday.

26+ Cara Mengamankan WordPress Terbaik untuk Website Anda [Edisi 2021]

13 min read

Featured Image 22+ Cara Mengamankan WordPress Terbaik untuk Website Anda [Edisi 2021]

Tahukah Anda kalau mengamankan website tidak cukup hanya dengan membuat password yang sulit ditebak? Ada banyak cara mengamankan WordPress yang bisa Anda lakukan agar website Anda terhindar dari serangan cyber crime yang mengakibatkan website bermasalah.

Di artikel ini, kami akan membagikan panduan lengkap cara mengamankan WordPress agar website Anda terlindungi dengan baik. Penasaran, kan? Yuk, simak sampai akhir!

26+ Cara Mengamankan WordPress Terbaik untuk Website Anda

Berikut adalah beberapa cara yang bisa Anda coba untuk mengamankan website WordPress Anda dari serangan hacker:

1. Gunakan Hosting Terpercaya

Cara mengamankan WordPress yang pertama adalah memilih layanan hosting dengan fitur keamanan yang lengkap.  Kenapa hal ini menjadi langkah utama?

Hosting ibarat rumah yang menyimpan semua data untuk website Anda. Kalau rumah itu aman, tentu Anda jadi lebih nyaman, bukan?

Nah, sebuah layanan hosting yang baik akan menawarkan Anda berbagai fitur yang ampuh untuk meningkatkan keamanan, antara lain:

  • SSL GratisSSL akan mengenkripsi pertukaran data antara website Anda dan perangkat pengunjung. Alhasil, pihak ketiga tak bisa mengintip atau mencuri data tersebut. 
  • Imunify360Tools ini memiliki advanced firewall untuk melindungi website dari akses luar yang tidak diinginkan, deteksi malware dini yang mampu mengkarantina file yang terinfeksi dan kemampuan memblokir IP jika ada aktivitas mencurigakan.
  • Anti Spam EmailEmail spam bisa berisi virus yang merugikan Anda. Mulai dari merusak perangkat, hingga mencuri data Anda. Maka dari itu, pilih hosting yang mempunyai fitur anti spam SpamExperts.

Jadi, selalu mulai upaya mengamankan website WordPress Anda dengan memilih layanan hosting yang tepat.

Gunakan Hosting Terpercaya untuk Keamanan Website Anda

2. Pasang SSL

Jika hosting Anda sudah menyediakan SSL secara gratis seperti Niagahoster, pastikan Anda mengaktifkannya. Nantinya, website dengan perlindungan SSL yang aktif akan memunculkan ikon gembok di samping URL seperti ini:

salah satu cara mengamankan wordpress adalah dengan memasang SSL

Dengan perlindungan SSL, komunikasi data akan terenkripsi. Ini merupakan cara mengamankan WordPress dari hacker yang ampuh karena bisa mencegah peretas mencuri informasi sensitif. Ini terutama penting bagi Anda yang memproses data pengunjung seperti toko online atau website membership.

Lalu, bagaimana cara memasang SSL? Cukup mudah! Anda bisa mengakses menu Let’s Encrypt di cPanel, lalu tambahkan wildcard dan tunggu prosesnya. 

Anda bisa juga menggunakan layanan SSL berbayar seperti Comodo. Caranya setelah membeli layanannya, lakukan aktivasi dengan memasukkan kode validasi melalui cPanel.

3. Gunakan Versi WordPress dan Plugin Terbaru

Sangat penting untuk menggunakan WordPress dan plugin versi terbaru agar keamanan website maksimal. Sebab, berbagai bug versi sebelumnya sudah diperbaiki. Dengan begitu, hacker akan lebih sulit menyerang website Anda.

Untungnya, WordPress memberikan kemudahan update. Pertama, Anda bisa klik update saat ada pemberitahuan di dashboard seperti ini:

salah satu cara mengamankan wordpress adalah dengan update wordpress terbaru

Kedua, jika tidak ada pemberitahuan update, Anda juga bisa melakukan update WordPress secara manual dengan mengunduh versi terbaru WordPress dan mengunggahnya ke website Anda sesuai panduan → Cara Update WordPress Manual dan Otomatis

Ketiga, bagi pengguna Niagahoster, cukup menyalakan fitur Auto Update melalui WordPress Management di Member Area agar selalu mendapatkan versi WordPress terbaru.

cara mengamankan wordpress dengan melakukan update wordpress melalui member area Niagahoster

4. Gunakan Tema dan Plugin dari Website Resmi

Selain selalu gunakan versi terbaru, pastikan plugin dan tema yang Anda gunakan juga berasal dari website resminya. Selain itu, sebisa mungkin hindari website yang menyediakan plugin dan tema gratisan/bajakan.

Dengan mendownload tema dan plugin di luar website resmi, keamanan WordPress Anda bisa terancam. Sebab, mungkin saja tema dan plugin tersebut disusupi virus atau kode yang bisa merusak maupun mencuri data website Anda.

Maka dari itu, pastikan tema yang Anda download berasal dari WordPress.org atau WordPress.com. Ini adalah cara yang sederhana, tapi efektif untuk mengamankan WordPress dari serangan hacker.

5. Hapus Plugin dan Tema Lama yang Tidak Dibutuhkan

Kalau Anda memiliki tema atau plugin yang sudah tidak dibutuhkan, sebaiknya Anda menghapusnya. Terutama, plugin yang sudah tidak update.

Alasannya, plugin dan tema tersebut bisa saja mempunyai celah keamanan yang mampu dimanfaatkan hacker.

Anda bisa menghapus plugin melalui menu Plugin > Installed Plugins. Pastikan plugin sudah dalam keadaan tidak aktif, dan klik Delete.

cara mengamankan WordPress dengan hapus tema dan plugin yang tak dibutuhkan

Sedangkan untuk menghapus tema, Anda perlu masuk ke Appearance > Themes. Lalu, klik tema yang ingin Anda hapus dan klik Delete.

meningkatkan keamanan WordPress dengan hapus tema yang tak dibutuhkan

6. Gunakan Plugin Keamanan WordPress

Apakah website Anda sudah sepenuhnya aman? Belum tentu. Oleh karena itu, Anda perlu menambahkan plugin keamanan yang tepat untuk memperkuat keamanan website WordPress Anda.

Berikut beberapa plugin keamanan terbaik yang bisa Anda gunakan:

  • iThemes Security — iThemes Security mampu mendeteksi plugin berbahaya yang Anda pasang, software yang tidak update, dan password yang lemah. 
  • Wordfence Security — Wordfence Security memiliki firewall canggih, monitor website secara real-time, scan plugin berbahaya, dan masih banyak lainnya.
  • SecuPress Free — SecuPress mempunyai fitur seperti Anti Brute Force, blokir IP mencurigakan, scan malware, dan segudang fitur lainnya.

Dengan bantuan plugin keamanan di atas, Anda jadi tahu celah keamanan apa yang perlu dihindari. Bahkan, beberapa plugin bisa melakukan langkah pencegahan otomatis.

Sebenarnya, tiga plugin di atas sudah cukup untuk meningkatkan keamanan WordPress Anda. Tapi, jika Anda ingin menginstall plugin keamanan lainnya, Anda bisa cek → 10+ Plugin Security WordPress Terbaik dan Gratis

7. Lakukan Backup Rutin

Cara mengamankan WordPress selanjutnya adalah dengan melakukan backup data secara rutin. Kenapa?

Jika memiliki file backup, Anda bisa mencegah terjadinya kerusakan website yang tidak diinginkan dengan melakukan restore versi terakhir yang disimpan. 

Misalnya, jika terjadi serangan dan website Anda tak bisa diakses karena ada file yang dihapus hacker. Nah, Anda tinggal restore saja backup data sebelum hacker menyerang. Praktis, bukan?

Jika Anda menggunakan Niagahoster, backup rutin sudah otomatis dijalankan. Selain itu, Anda juga bisa melakukan backup dengan bantuan plugin backup seperti BackupBuddy atau BlogVault.

8. Gunakan Versi PHP Terbaru

Sebagai komponen utama WordPress, PHP yang Anda gunakan pastikan adalah versi yang terbaru. Sebab, dukungan keamanan yang diberikan jauh lebih baik untuk mengatasi bug yang bisa saja muncul.

meningkatkan keamanan WordPress dengan update versi PHP

Saat artikel ini ditulis, versi PHP terbaru adalah 8.0 yang didukung hingga tahun 2023. 

Namun, sebelum Anda menggunakan versi PHP terbaru di WordPress Anda, perhatikan kompatibilitasnya, ya! Pastikan tema atau plugin Anda mendukung versi PHP tersebut.

Nah, untuk menggunakan PHP versi terbaru, Anda bisa mengaturnya melalui cPanel dengan memilih Select PHP Version pada menu Software.

langkah pertama cara mengganti versi PHP melalui cPanel

Lalu, klik Current PHP Version untuk memunculkan pilihan versi PHP termasuk yang saat ini Anda gunakan (current). Pilihlah versi terbaru yang Anda inginkan, dalam contoh ini versi 8.0.

cara mengamankan wordpress dengan mengganti versi PHP melalui cPanel

Walau kelihatannya terlalu teknis, tapi cara ini patut Anda lakukan untuk mengamankan WordPress Anda dari tingkat sistem.

9. Gunakan Username dan Password yang Sulit Ditebak

Percayalah, menggunakan username admin bawaan WordPress bukan ide yang bagus. Sebab, semua pengguna WordPress sudah bisa menebaknya.

Jadi, buatlah sendiri username unik agar hanya Anda yang bisa mengaksesnya. Caranya, pilihlah menu Users > Add New melalui dashboard WordPress Anda. Lalu, pilih Role Administrator.

cara mengamankan WordPress dengan menggunakan username dan password yang sulit ditebak

Password yang sulit ditebak itu berupa kombinasi angka, huruf besar dan kecil, ada karakter spesial, dan panjangnya minimal 10 karakter.

Untungnya, Anda tak perlu bingung membuat password yang sulit ditebak. Sekarang, ada banyak aplikasi password manager yang bisa membantu Anda membuat password unik. 

Tak perlu takut lupa password yang sudah dibuat, ya. Sebab, password manager Anda bisa sekaligus untuk menyimpannya.

10. Berikan Role yang Sesuai ke User

WordPress menyediakan beberapa role untuk penggunanya dengan fungsi berbeda-beda, yaitu: 

  • Administrator — Memiliki kontrol penuh pada setiap pengaturan WordPress. Mulai dari post, halaman, komentar, plugin, tema, hingga user lainnya.
  • Editor — Memiliki kontrol penuh pada aspek yang berhubungan dengan konten, yakni semua post, halaman, dan komentar. 
  • Author  — Hanya memiliki kontrol penuh pada post yang mereka buat sendiri.
  • Contributor — Hanya bisa membuat post dan mengeditnya, tapi tidak bisa menerbitkannya.
  • Subscriber — User dengan kontrol paling terbatas. Subscriber hanya bisa login dan memperbarui profil saja.

Penting untuk memastikan Anda memberikan role pada setiap orang sesuai tanggung jawabnya di website WordPress Anda. 

Jadi, tidak semua pengguna harus menjadi Administrator yang punya wewenang penuh, ya!. Itu sama saja memberikan kunci rumah kepada setiap tamu Anda. 

Misalnya, kalau Anda bekerja sama dengan kontributor untuk guest post, cukup berikan role Contributor. Kalau Anda punya banyak penulis freelance, berikan role Author. 

Dengan begitu, kemungkinan website WordPress Anda diutak-atik oleh orang yang tidak berhak lebih kecil.

11. Gunakan Two-Factor Authentication

Seperti namanya, Two-Factor Authentication (2FA) merupakan sebuah metode keamanan login dengan dua langkah. Menariknya, WordPress sudah mendukung fitur keamanan berlapis ini lho.

Nantinya,  Anda akan login seperti biasa dengan username dan password WordPress. Lalu, langkah kedua adalah Anda harus memasukkan kode unik yang dikirimkan melalui SMS, telepon, email, atau aplikasi 2FA. Terdengar aman, bukan?

Nah, untuk menggunakan 2FA di WordPress begini caranya: 

  1. Install plugin Google Authenticator – WordPress Two Factor Authentication
  2. Pilih metode autentikasi yang Anda inginkan. Di sini, kami memilih melalui aplikasi 2FA. Anda juga bisa memilih melalui SMS, email, dan lain sebagainya.

    salah satu cara mengamankan website wordpress adalah menggunakan Two-Factor Authentication
  3. Anda akan diberikan QR code yang harus Anda scan melalui aplikasi Google Authenticator di smartphone Anda. Jadi, Anda harus mendownload aplikasi tersebut di Android Play Store atau iOS App Store.
  4. Setelah scan QR code, masukkan kode OTP yang muncul di Google Authenticator ke kotak yang disediakan. Lalu, klik Verify and Save.

    masukkan kode OTP saat menggunakan Two-Factor Authentication
  5. Selamat, 2FA sudah diaktifkan di WordPress Anda! Dengan begitu, saat login, Anda akan diminta memasukkan kode OTP sesuai aplikasi Google Authenticator.

12. Berikan Pertanyaan Keamanan saat Login

Selain password unik dan 2FA, cara lain untuk mengamankan login WordPress adalah dengan menambahkan pertanyaan keamanan saat login. Alhasil, jika password Anda bocor, hacker masih harus mengetahui jawaban dari pertanyaan keamanan ini sebelum bisa login. 

Untuk menambahkan fitur cara mengamankan login WordPress ini, Anda cukup melakukan instalasi plugin sebagai berikut:

  1. Install plugin WP Security Question.
    langkah pertama install plugin WP Security Question
  2. Setelah plugin diaktifkan, masuk Plugins dan pilih Settings pada WP Security Question.
    langkah kedua instal plugin wp security question
  3. Anda bisa menyiapkan daftar pertanyaan pada menu Setup Questions dan menghapus pertanyaan yang tidak diinginkan dengan klik Remove.
    langkah ketiga install plugin wp security question
  4. Scroll ke bawah dan berikan centang pada Login Screen. Lalu, klik Save Setting untuk menyimpan pengaturan.
    langkah keempat install plugin wp security question
  5. Selanjutnya, pengguna perlu memilih pertanyaan yang akan digunakan setiap kali login.
    langkah kelima install plugin wp security question
  6. Jika ingin mengganti pertanyaan keamanan, Anda bisa menuju ke User > Profile > My Security Questions. Pilih pertanyaan yang Anda inginkan dan isi jawaban pada kolom Your Answer. Kemudian, klik Update Profile untuk menyimpan pengaturan.
    langkah keenam install plugin wp security question

13. Batasi Percobaan Login

Secara default, WordPress tak membatasi percobaan login Anda. Efeknya, hacker bisa bebas melakukan percobaan login dengan password berbeda-beda sampai menemukan kombinasinya. 

Lalu, bagaimana cara mengamankan login WordPress dengan membatasi percobaan login? Ini dia langkahnya:

  1. Install plugin Limit Login Attempts Reloaded
    cara mengamankan wordpress dengan menginstal plugin limit login attempts reloaded
  2. Klik menu Settings > Limit Login Attempts untuk masuk ke Dashboard plugin. Lalu, pilih tab Settings.

    Ada beberapa hal yang perlu Anda tentukan, yaitu:

    allowed retries mengatur berapa banyak percobaan login yang diizinkan;
    minutes lockout yang melarang pengguna login beberapa menit saat semua percobaan gagal;
    lockouts increase lockout times untuk mencegah pengguna login beberapa jam setelah gagal minutes lockout dalam jumlah tertentu;
    hours until retries are reset mengatur berapa jam percobaan login direset lagi dari awal.

    Kemudian, klik Save Settings untuk menyimpan pengaturan Anda.

    langkah kedua untuk batasi percobaan login wordpress
  3. Anda juga bisa mengecualikan (Safelist) atau memblokir (Blocklist) IP address tertentu pada tab Logs. Lalu, klik Save Settings untuk menyimpan pengaturannya.
    langkah ketiga untuk batasi percobaan login wordpress

14. Terapkan Logout Otomatis

Keamanan website Anda juga bisa terancam jika Anda sering meninggalkan komputer dalam keadaan sedang login. Sebab, siapapun bisa menggunakan komputer tersebut dan mengotak-atik WordPress Anda.

Maka dari itu, sebaiknya Anda menerapkan logout otomatis jika tak ada aktivitas dalam durasi tertentu. Berikut caranya:

  1. Install plugin Inactive Logout
    langkah pertama Terapkan Logout Otomatis untuk meningkatkan keamanan wordpress
  2. Klik menu Settings > Inactive Logout. Lalu, atur berapa menit akun akan logout otomatis pada opsi Idle Timeout.
    langkah kedua untuk menerapkan logout otomatis di wordpress
  3. Pada opsi Idle Message Content Anda bisa mengatur pesan yang dimunculkan saat logout otomatis terjadi. Sehingga pengguna lain tak kaget saat akunnya tiba-tiba logout.
    langkah ketiga untuk menerapkan logout otomatis di wordpress
  4. Scroll ke bawah dan klik Save Changes untuk menyimpan pengaturan Anda.

15. Cegah Hotlinking

Hotlinking adalah tindakan pencurian aset sebuah website. Jadi, ada website lain menggunakan aset gambar atau video Anda di website mereka melalui link dari server hosting Anda. Artinya, gambar yang ditampilkan di website mereka berasal dari server Anda dan menggunakan bandwidth Anda juga.

Singkatnya, hotlinking ini bisa menguras bandwidth Anda dan kalau terus terjadi akan menyebabkan Anda mengalami error 509 bandwidth limit exceeded. Efeknya, website Anda tidak bisa diakses.

Untuk mengatasinya, Anda bisa mengikuti cara mencegah hotlinking berikut ini:

  1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih Hotlink Protection pada menu Security.
    cara meningkatkan keamanan wordpress dengan mencegah hotlinking
  2. Klik Enable untuk menyalakan perlindungan hotlink. Selamat, aset website Anda berhasil dilindungi!
    langkah kedua untuk cegah hotlinking

    Anda juga bisa memasukkan jenis file tambahan yang dilindungi pada kolom block direct access for the following extensions. Misalnya, MP3, MKV, dan sebagainya. Lalu, klik Submit untuk menyimpan pengaturannya.

16. Berikan Password untuk Halaman Login

Kami tebak Anda login ke WordPress dengan URL websiteanda.com/wp-admin, kan? Tak perlu terkejut, itulah URL default dari WordPress yang umum digunakan. 

Nah, Anda bisa melindungi halaman login dengan password supaya hacker kesulitan melakukan peretasan. Berikut cara mengamankan login WordPress dengan memberikan password:

  1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih Directory Privacy.
    cara mengamankan wordpress dengan memberikan password untuk halaman login
  2. Klik direktori public_html. Lalu, klik Edit pada direktori wp-admin

    langkah kedua memberikan password untuk halaman login
  3. Klik centang pada Password protect this directory. Lalu, masukkan nama sesuka hati Anda pada kolom di bawahnya. Nama ini nanti akan ditampilkan saat Anda harus memasukkan password. Kemudian, klik Save.

    langkah ketiga untuk mengamankan wordpress dengan cara memberikan password untuk halaman login
  4. 4. Di bawahnya akan muncul kolom baru Create User. Ingat, masukkan username dan password yang rumit. Atau Anda juga bisa menggunakan Password Generator yang sudah disediakan. Kemudian, klik Save untuk menyimpan pengaturan.

    langkah keempat untuk memberikan password untuk halaman login wordpress

17. Mengubah URL Halaman Login

Cara mengamankan website WordPress selanjutnya adalah dengan mengubah URL halaman login. Terutama, bila Anda merasa memberikan password pada halaman login masih kurang, Anda bisa mengganti URL halaman login tersebut.

Nah, seperti yang sudah disebutkan, /wp-login.php merupakan URL login default di semua WordPress. Jadi, hacker pun sudah hafal.

Dengan mengganti URL halaman login, keamanan website Anda akan lebih baik karena bisa menyulitkan hacker membobolnya. Lalu, bagaimana caranya? Gampang! Anda cukup pasang plugin custom login seperti LoginPress, Login Designer, atau Login Customizer.

18. Sembunyikan Versi WordPress Anda

Ternyata, menyembunyikan versi WordPress juga bisa menjadi cara mengamankan WordPress yang ampuh, lho. Kenapa demikian? Sebab, jika WordPress Anda belum update ke versi terbaru, hacker bisa mengetahuinya dan memanfaatkan celah keamanan di versi tersebut. 

Berikut cara mudah menyembunyikan versi WordPress Anda:

  1. Pasang plugin WP Hardening. Lalu, pilih Security Fixers pada menu WP Hardening di dashboard WordPress Anda.
    langkah pertama mengamankan wordpress dengan cara menyembunyikan versi wordpress anda
  2. Klik Details pada tab Disable Information Disclosure & Remove Meta information. Lalu, klik Hide WordPress Version Number agar tombol berubah menjadi warna hijau.
    langkah kedua mengamankan wordpress untuk menyembunyikan versi wordpress anda
  3. Selesai! Sekarang, versi WordPress Anda tak akan bisa dilihat oleh siapapun.

19. Proteksi Serangan DDoS

DDos atau Distributed Denial of Service adalah serangan cyber crime dengan cara membanjiri lalu lintas jaringan. Alhasil, server akan overload dan website Anda tak bisa diakses sama sekali. Seram juga, ya?

Untungnya, Anda bisa menggunakan Cloudflare yang mampu memblokir lalu lintas berbahaya sebelum diarahkan ke website Anda. Dengan begitu, serangan DDoS ke website Anda bisa dicegah. 

Jika Anda menggunakan hosting Niagahoster, integrasi Cloudflare sudah sepenuhnya didukung. Jadi, Anda hanya tinggal register akun di website Cloudflare, lalu mengaktifkannya melalui cPanel.

cara mengamankan wordpress dengan melakukan proteksi ddos

Setelah aktif, Anda harus mengupdate DNS Cloudflare ke nameserver website Anda. Anda bisa melakukannya melalui Member Area Niagahoster seperti ini:

cara mengamankan wordpress dari serangan hacker malalui update dns cloudflare

Untuk panduan lengkap menggunakan Cloudflare, Anda bisa mengikuti langkah-langkahnya di → Cara Setting CloudFlare di WordPress

20. Nonaktifkan Fitur Edit Tema dan Plugin

Tahukah Anda kalau secara default, Anda bisa mengedit file tema dan plugin langsung dari dashboard WordPress?  Meskipun fitur ini memudahkan, tapi ada risiko keamanan yang perlu Anda perhatikan.

cara mengamankan wordpress dari serangan hacker dengan menonaktifkan fitur edit tema dan plugin

Jika digunakan oleh orang yang salah, fitur ini bisa untuk menjalankan script berbahaya, mengakses database, mengedit tema sehingga tidak kompatibel dengan browser pengunjung, dan masih banyak lainnya. 

Maka dari itu, kami menyarankan Anda untuk menonaktifkannya. Bagaimana caranya?

  1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
    langkah pertama untuk nonaktifkan fitur edit tema dan plugin
  2. Masuk ke folder public_html, lalu klik kanan file wp-config.php dan pilih Edit
    langkah kedua untuk nonaktifkan fitur edit tema dan plugin
  3. Ketikkan kode ini tepat di bawah define( ‘WP_DEBUG’, false );

    // Disallow file edit
    define( ‘DISALLOW_FILE_EDIT’, true );

    langkah ketiga untuk nonaktifkan fitur edit tema dan plugin
  4. Klik Save Changes di kanan atas untuk menyimpan perubahan. Sekarang, opsi edit tema dan plugin sudah hilang dari dashboard Anda.
    bukti kalau edit file plugin dan tema sudah nonaktif di dashboard wordpress

21. Nonaktifkan Eksekusi File PHP di Direktori Tertentu

Selain menonaktifkan edit tema dan plugin, Anda juga harus menonaktifkan eksekusi file PHP di direktori yang sekiranya tidak perlu. Misalnya, direktori /wp-includes/ dan /wp-content/uploads/. Alasannya, hacker bisa menyalahgunakan fitur eksekusi file untuk menjalankan malware atau script berisi perintah tertentu. 

Berikut cara menonaktifkan eksekusi file PHP di direktori tertentu:

  1. Buka aplikasi Notepad di komputer Anda. Lalu, masukkan kode di bawah ini:

    <Files *.php>
    deny from all
    </Files>

    langkah pertama tentang cara mengamankan wordpress dengan menonaktifkan eksekusi file php di direktori tertentu
  2. Klik File dan pilih Save As

    langkah kedua tentang cara mengamankan wordpress dengan menonaktifkan eksekusi file php di direktori tertentu
  3. Pada kolom Save as type pilih All Files. Lalu, pada File name ketikkan .htaccess. Kemudian, klik Save.

    langkah ketiga tentang cara mengamankan website wordpress dengan menonaktifkan eksekusi file php di direktori tertentu
  4. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.

    langkah pertama untuk menonaktifkan fitur edit tema dan plugin agar terhindar dari serangan hack
  5. Buka direktori public_html, lalu masuk ke direktori wp-includes. Kemudian, klik Upload.

    langkah keempat cara nonaktifkan eksekusi file php di direktori tertentu
  6. Klik Select File dan pilih file .htaccess yang barusan Anda buat.

    langkah keenam cara nonaktifkan eksekusi file php di direktori tertentu
  7. Jika upload sudah selesai, klik Go Back to…
    langkah ketujuh cara nonaktifkan eksekusi file php di direktori tertentu
  8. Ulangi langkah nomor lima hingga tujuh pada direktori uploads yang berada di dalam wp-content. Selesai! Anda berhasil menonaktifkan eksekusi file PHP pada direktori  /wp-includes/ dan /wp-content/uploads/

    cara menghindari serangan hack dengan menonaktifkan eksekusi file php di direktori wp contents

22. Nonaktifkan Directory Browsing

Directory browsing adalah aktivitas membuka direktori website menggunakan URL, misalnya, websiteanda.com/wp-includes/. Efeknya, orang lain bisa tahu semua file dan folder Anda di direktori tersebut.

cara mengamankan wordpress dari serangan hacker dengan menonaktifkan directory browsing

Directory browsing ini juga memungkinkan orang lain mengetahui versi tema dan plugin yang Anda pakai dan hacker bisa memanfaatkan celah pada file tersebut untuk menyerang website Anda. 

Untungnya, Anda bisa menonaktifkan directory browsing dengan cara yang cukup mudah, yaitu:

  1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
    langkah pertama untuk menonaktifkan fitur edit tema dan plugin
  2. Masuk ke direktori public_html, lalu klik kanan file .htaccess dan pilih Edit.

    langkah kedua untuk menonaktifkan directory browsing
  3. Masukkan kode berikut tepat di atas # END WordPress.

    Options – Indexes

    langkah terakhir untuk menonaktifkan directory browsing
  4. Klik Save Changes di kanan atas untuk menyimpan pengaturan Anda. Sekarang, directory browsing website Anda sudah dinonaktifkan dan akan menampilkan halaman error 404.

Perhatian!


Jika Anda tak bisa menemukan file .htaccess, ikuti panduan di bawah ini untuk menampilkannya:

Cara Menampilkan File Hidden (.htaccess) Melalui File Manager ›

23. Amankan File wp-config.php

File wp-config.php merupakan file yang menghubungkan website dengan database WordPress Anda. Jadi, salah satu cara terbaik untuk mengamankan WordPress Anda adalah dengan mengamankan file wp-config.php. Karena di dalamnya terdapat detail login database Anda dan informasi penting lainnya.

Berikut beberapa cara mengamankan file wp-config.php:

Pindahkan File wp-config.php

  1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.

    langkah pertama untuk nonaktifkan fitur edit tema dan plugin
  2. Masuk ke folder public_html, lalu klik kanan pada file wp-config.php dan pilih Copy.

    langkah kedua memindahkan file wp-config.php
  3. Ketikkan nama folder tujuan file wp-config.php. Misalnya, folder /etc.

    langkah ketiga memindahkan file wp-config.php
  4. Edit file wp-config.php asli Anda dengan cara klik kanan dan pilih Edit. Lalu, masukkan kode berikut ini tepat di bawah <?php

    include(‘/home/usernamecpanelanda/etc/wp-config.php’);

    Jangan lupa mengganti usernamecpanelanda di atas dengan username cPanel Anda.

    langkah keempat memindahkan file wp-config.php

Update Kunci Keamanan WordPress

Kunci keamanan WordPress merupakan variabel acak di file wp-config.php untuk meningkatkan enkripsi dari informasi yang disimpan pada cookie pengunjung website Anda. Saat ini ada empat kunci berbeda yaitu: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, dan NONCE_KEY.

Anda bisa memperbarui kunci keamanan tersebut dengan mengedit file wp-config.php. Lalu, menyalin kode pada Secret Key Generator ke file wp-config Anda.

update kunci keamanan wordpress

Ubah Hak Akses

Secara default, permission file pada direktori WordPress adalah 644. Artinya, file tersebut dapat dibaca dan diedit oleh pemilik file dan juga dapat diakses oleh user lain dalam server yang sama. 

Nah, supaya hanya Anda yang bisa mengaksesnya, Anda harus mengganti permission menjadi 440. Caranya, klik kanan pada file wp-config dan pilih Change Permissions. Lalu, atur menjadi 440 seperti ini:

cara mengubah hak akses di wordpress

24. Ganti Database Prefix

Database berisi berbagai data penting dari WordPress Anda sehingga menjadi sasaran empuk hacker. Sayangnya, secara default semua prefix database WordPress berawalan wp_. Sehingga hacker tak kesulitan menebaknya dan bisa melancarkan aksinya.

Lalu, apakah prefix database WordPress bisa diganti? Tentu bisa! Berikut caranya:

  1. Install plugin Brozzme DB Prefix & Tools Add-ons
    cara mengamankan wordpress dengan cara mengganti database prefix
  2. Masuk ke menu Tools dan pilih DB PREFIX.

    langkah kedua cara ganti database prefix
  3. Masukkan nama prefix baru pada kolom New Prefix. Pastikan nama prefix Anda tidak menggunakan karakter selain huruf, angka, dan garis bawah ( _ ). Terakhir, klik Change DB Prefix untuk menyimpan pengaturannya.

    langkah ketiga cara ganti database prefix

25. Menonaktifkan PHP Error Reporting

Apakah Anda pernah melihat pesan error seperti gambar di bawah ini?

ilustrasi php error reporting
Sumber gambar: Wpbeginner

Tahukah Anda kalau error di atas bisa membahayakan website Anda? Sebab, hacker bisa tahu bagian mana yang error pada website Anda, sehingga bisa langsung memanfaatkan celah tersebut.

Maka dari itu, sebaiknya Anda menonaktifkan PHP Error Reporting sebagai cara mengamankan WordPress dari hacker. Caranya, Anda bisa menambahkan barisan kode di bawah ini pada file wp-config.php:

ini_set(‘log_errors’,‘On’);
ini_set(‘display_errors’,‘Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_LOG’, true);
define(‘WP_DEBUG_DISPLAY’, false);

26. Nonaktifkan XML-RPC

XML-RPC merupakan protokol yang memungkinkan beberapa sistem untuk saling terhubung menggunakan jaringan internet. Alhasil, Anda bisa mengakses WordPress melalui berbagai perangkat, hingga menjalankan trackback atau pingback.

Sebenarnya, XML-RPC sudah tidak terlalu dibutuhkan. Tapi, justru banyak celah keamanan untuk serangan DDoS dan brute force. Maka dari itu, kalau Anda memang tak membutuhkannya, sebaiknya Anda nonaktifkan XML-RPC agar WordPress lebih aman. Bagaimana caranya? 

Anda hanya tinggal install dan aktifkan plugin Disable XML-RPC-API. Setelah itu, XML-RPC akan otomatis dinonaktifkan. Sangat mudah, bukan?

27. Pasang Antivirus di Perangkat Anda

Cara mengamankan WordPress dari hacker yang terakhir adalah menginstall antivirus di perangkat Anda. Tujuannya, agar bisamencegah file-file berbahaya tak sengaja diupload ke website Anda. Misalnya, file yang terinfeksi virus, file malware, dan sebagainya. Jadi, semua file yang Anda upload akan aman dan bebas dari virus.

Nah, rekomendasi antivirus terbaik kami adalah Bitdefender Antivirus Plus, Kaspersky Total Security, atau ESET Smart Security Premium. Untuk rekomendasi lengkapnya, Anda bisa cek di artikel → 8+ Antivirus Terbaik Untuk Amankan File Website

Infografis Cara Mengamankan WordPress Terbaik untuk Website Anda

Manakah Cara Mengamankan WordPress yang Sudah Anda Terapkan?

Keamanan website WordPress Anda harus diutamakan. Karena hal ini dapat mempengaruhi reputasi hingga jumlah pengunjung website Anda. Untungnya ada banyak cara mengamankan WordPress yang bisa Anda terapkan.

Di atas, kami sudah memberikan rekomendasi untuk menjamin keamanan website Anda, mulai dari menggunakan username password unik hingga melakukan backup rutin. 

Namun, yang paling penting dari semua langkah tersebut adalah menggunakan layanan hosting yang menyediakan fitur keamanan yang lengkap seperti Niagahoster

Nah, meskipun artikel ini cukup menjadi bekal Anda untuk melindungi website dari hacker, kami juga memiliki panduan keamanan WordPress yang lebih lengkap dalam bentuk ebook lho. Tenang, Anda bisa mendownloadnya gratis kok.

banner ebook 25 langkah ampuh mengamankan website wordpress

Semoga artikel ini bermanfaat meningkatkan keamanan website Anda. Jika Anda ada pertanyaan, jangan ragu untuk menyampaikannya di kolom komentar di bawah, ya! Sampai jumpa di artikel selanjutnya!

Mirza M. Haekal Mirza is a member of SEO Team at Niagahoster. He loves to learn something new everyday.

Leave a Reply

Your email address will not be published. Required fields are marked *