26+ Cara Mengamankan WordPress Terbaik untuk Website Anda [Edisi 2023]

Tahukah Anda kalau keamanan adalah bagian dari cara membuat website. Atau, Anda baru tahu jika mengamankan website tidak cukup hanya dengan membuat password yang sulit ditebak? Ada banyak cara mengamankan WordPress yang bisa Anda lakukan agar website Anda terhindar dari serangan cyber crime yang mengakibatkan website bermasalah.

Di artikel ini, kami akan membagikan panduan lengkap cara mengamankan WordPress agar website Anda terlindungi dengan baik. Penasaran, kan? Yuk, simak sampai akhir!

26+ Cara Mengamankan WordPress Terbaik untuk Website Anda

Berikut adalah beberapa cara yang bisa Anda coba untuk mengamankan website WordPress Anda dari serangan hacker:

1. Gunakan Hosting Terpercaya

Cara mengamankan WordPress yang pertama adalah memilih layanan hosting dengan fitur keamanan yang lengkap.  Kenapa hal ini menjadi langkah utama?

Hosting ibarat rumah yang menyimpan semua data untuk website Anda. Kalau rumah itu aman, tentu Anda jadi lebih nyaman, bukan?

Nah, sebuah layanan hosting yang baik akan menawarkan Anda berbagai fitur yang ampuh untuk meningkatkan keamanan, antara lain:

• SSL Gratis — SSL adalah metode untuk mengenkripsi pertukaran data antara website Anda dan perangkat pengunjung. Alhasil, pihak ketiga tak bisa mengintip atau mencuri data tersebut. 
• Imunify360 — Tools ini memiliki advanced firewall untuk melindungi website dari akses luar yang tidak diinginkan, deteksi malware dini yang mampu mengkarantina file yang terinfeksi dan kemampuan memblokir IP jika ada aktivitas mencurigakan.
• Anti Spam Email — Email spam bisa berisi virus yang merugikan Anda. Mulai dari merusak perangkat, hingga mencuri data Anda. Maka dari itu, pilih hosting yang mempunyai fitur anti spam SpamExperts.

Jadi, selalu mulai upaya mengamankan website WordPress Anda dengan memilih layanan hosting yang tepat.

2. Pasang SSL

Jika hosting Anda sudah menyediakan SSL secara gratis seperti Niagahoster, pastikan Anda mengaktifkannya. Nantinya, website dengan perlindungan SSL yang aktif akan memunculkan ikon gembok di samping URL seperti ini:

Dengan menginstal SSL, komunikasi data akan terenkripsi. Ini merupakan cara mengamankan WordPress dari hacker yang ampuh karena bisa mencegah peretas mencuri informasi sensitif. Ini terutama penting bagi Anda yang memproses data pengunjung seperti toko online atau website membership.

Lalu, bagaimana cara memasang SSL? Cukup mudah! Anda bisa mengakses menu Let’s Encrypt di cPanel, lalu tambahkan wildcard dan tunggu prosesnya. 

Anda bisa juga menggunakan layanan SSL berbayar seperti Comodo. Caranya setelah membeli layanannya, lakukan aktivasi dengan memasukkan kode validasi melalui cPanel.

3. Gunakan Versi WordPress dan Plugin Terbaru

Sangat penting untuk menggunakan WordPress dan plugin versi terbaru agar keamanan website maksimal. Sebab, berbagai bug versi sebelumnya sudah diperbaiki. Dengan begitu, hacker akan lebih sulit menyerang website Anda.

Untungnya, WordPress memberikan kemudahan update. Pertama, Anda bisa klik update saat ada pemberitahuan di dashboard seperti ini:

Kedua, jika tidak ada pemberitahuan update, Anda juga bisa melakukan update WordPress secara manual dengan mengunduh versi terbaru WordPress dan mengunggahnya ke website Anda sesuai panduan → Cara Update WordPress Manual dan Otomatis

Ketiga, bagi pengguna Niagahoster, cukup menyalakan fitur Auto Update di Member Area agar selalu mendapatkan versi WordPress terbaru.

4. Gunakan Tema dan Plugin dari Website Resmi

Selain selalu gunakan versi terbaru, pastikan plugin dan tema yang Anda gunakan juga berasal dari website resminya. Selain itu, sebisa mungkin hindari website yang menyediakan plugin dan tema gratisan/bajakan.

Dengan mendownload tema dan plugin di luar website resmi, keamanan WordPress Anda bisa terancam. Sebab, mungkin saja tema dan plugin tersebut disusupi virus atau kode yang bisa merusak maupun mencuri data website Anda.

Maka dari itu, pastikan tema yang Anda download berasal dari WordPress.org atau WordPress.com. Ini adalah cara yang sederhana, tapi efektif untuk mengamankan WordPress dari serangan hacker.

5. Hapus Plugin dan Tema Lama yang Tidak Dibutuhkan

Kalau Anda memiliki tema atau plugin yang sudah tidak dibutuhkan, sebaiknya Anda menghapusnya. Terutama, plugin yang sudah tidak update.

Alasannya, plugin dan tema tersebut bisa saja mempunyai celah keamanan yang mampu dimanfaatkan hacker.

Anda bisa menghapus plugin melalui menu Plugin > Installed Plugins. Pastikan plugin sudah dalam keadaan tidak aktif, dan klik Delete.

Sedangkan untuk menghapus tema, Anda perlu masuk ke Appearance > Themes. Lalu, klik tema yang ingin Anda hapus dan klik Delete.

6. Gunakan Plugin Keamanan WordPress

Apakah website Anda sudah sepenuhnya aman? Belum tentu. Oleh karena itu, Anda perlu menambahkan plugin keamanan yang tepat untuk memperkuat keamanan website WordPress Anda.

Berikut beberapa plugin keamanan terbaik yang bisa Anda gunakan:

• iThemes Security — iThemes Security mampu mendeteksi plugin berbahaya yang Anda pasang, software yang tidak update, dan password yang lemah. 
• Wordfence Security — Wordfence Security memiliki firewall canggih, monitor website secara real-time, scan plugin berbahaya, dan masih banyak lainnya.
• SecuPress Free — SecuPress mempunyai fitur seperti Anti Brute Force, blokir IP mencurigakan, scan malware, dan segudang fitur lainnya.

Dengan bantuan plugin keamanan di atas, Anda jadi tahu celah keamanan apa yang perlu dihindari. Bahkan, beberapa plugin bisa melakukan langkah pencegahan otomatis.

Sebenarnya, tiga plugin di atas sudah cukup untuk meningkatkan keamanan WordPress Anda. Tapi, jika Anda ingin menginstall plugin keamanan lainnya, Anda bisa cek → 10+ Plugin Security WordPress Terbaik dan Gratis

7. Lakukan Backup Rutin

Cara mengamankan WordPress selanjutnya adalah dengan melakukan backup data secara rutin. Kenapa?

Jika memiliki file backup, Anda bisa mencegah terjadinya kerusakan website yang tidak diinginkan dengan melakukan restore versi terakhir yang disimpan. 

Misalnya, jika terjadi serangan dan website Anda tak bisa diakses karena ada file yang dihapus hacker. Nah, Anda tinggal restore saja backup data sebelum hacker menyerang. Praktis, bukan?

Jika Anda menggunakan Niagahoster, backup rutin sudah otomatis dijalankan. Selain itu, Anda juga bisa melakukan backup dengan bantuan plugin backup seperti BackupBuddy atau BlogVault.

8. Gunakan Versi PHP Terbaru

Sebagai komponen utama WordPress, PHP yang Anda gunakan pastikan adalah versi yang terbaru. Sebab, dukungan keamanan yang diberikan jauh lebih baik untuk mengatasi bug yang bisa saja muncul.

Saat artikel ini ditulis, versi PHP terbaru adalah 8.0 yang didukung hingga tahun 2023. 

Namun, sebelum Anda menggunakan versi PHP terbaru di WordPress Anda, perhatikan kompatibilitasnya, ya! Pastikan tema atau plugin Anda mendukung versi PHP tersebut.

Nah, untuk menggunakan PHP versi terbaru, Anda bisa mengaturnya melalui cPanel dengan memilih Select PHP Version pada menu Software.

Lalu, klik Current PHP Version untuk memunculkan pilihan versi PHP termasuk yang saat ini Anda gunakan (current). Pilihlah versi terbaru yang Anda inginkan, dalam contoh ini versi 8.0.

Walau kelihatannya terlalu teknis, tapi cara ini patut Anda lakukan untuk mengamankan WordPress Anda dari tingkat sistem.

9. Gunakan Username dan Password yang Sulit Ditebak

Percayalah, menggunakan username admin bawaan WordPress bukan ide yang bagus. Sebab, semua pengguna WordPress sudah bisa menebaknya.

Jadi, buatlah sendiri username unik agar hanya Anda yang bisa mengaksesnya. Caranya, pilihlah menu Users > Add New melalui dashboard WordPress Anda. Lalu, pilih Role Administrator.

Password yang sulit ditebak itu berupa kombinasi angka, huruf besar dan kecil, ada karakter spesial, dan panjangnya minimal 10 karakter.

Untungnya, Anda tak perlu bingung membuat password yang sulit ditebak. Sekarang, ada banyak aplikasi password manager yang bisa membantu Anda membuat password unik. 

Tak perlu takut lupa password yang sudah dibuat, ya. Sebab, password manager Anda bisa sekaligus untuk menyimpannya.

10. Berikan Role yang Sesuai ke User

WordPress menyediakan beberapa role untuk penggunanya dengan fungsi berbeda-beda, yaitu: 

• Administrator — Memiliki kontrol penuh pada setiap pengaturan WordPress. Mulai dari post, halaman, komentar, plugin, tema, hingga user lainnya.
• Editor — Memiliki kontrol penuh pada aspek yang berhubungan dengan konten, yakni semua post, halaman, dan komentar. 
• Author  — Hanya memiliki kontrol penuh pada post yang mereka buat sendiri.
• Contributor — Hanya bisa membuat post dan mengeditnya, tapi tidak bisa menerbitkannya.
• Subscriber — User dengan kontrol paling terbatas. Subscriber hanya bisa login dan memperbarui profil saja.

Penting untuk memastikan Anda memberikan role pada setiap orang sesuai tanggung jawabnya di website WordPress Anda. 

Jadi, tidak semua pengguna harus menjadi Administrator yang punya wewenang penuh, ya!. Itu sama saja memberikan kunci rumah kepada setiap tamu Anda. 

Misalnya, kalau Anda bekerja sama dengan kontributor untuk guest post, cukup berikan role Contributor. Kalau Anda punya banyak penulis freelance, berikan role Author. 

Dengan begitu, kemungkinan website WordPress Anda diutak-atik oleh orang yang tidak berhak lebih kecil.

11. Gunakan Two-Factor Authentication

Seperti namanya, Two-Factor Authentication (2FA) merupakan sebuah metode keamanan login dengan dua langkah. Menariknya, WordPress sudah mendukung fitur keamanan berlapis ini lho.

Nantinya,  Anda akan login seperti biasa dengan username dan password WordPress. Lalu, langkah kedua adalah Anda harus memasukkan kode unik yang dikirimkan melalui SMS, telepon, email, atau aplikasi 2FA. Terdengar aman, bukan?

Nah, untuk menggunakan 2FA di WordPress begini caranya: 

1. Install plugin Google Authenticator – WordPress Two Factor Authentication
2. Pilih metode autentikasi yang Anda inginkan. Di sini, kami memilih melalui aplikasi 2FA. Anda juga bisa memilih melalui SMS, email, dan lain sebagainya.
   
   
3. Anda akan diberikan QR code yang harus Anda scan melalui aplikasi Google Authenticator di smartphone Anda. Jadi, Anda harus mendownload aplikasi tersebut di Android Play Store atau iOS App Store.
4. Setelah scan QR code, masukkan kode OTP yang muncul di Google Authenticator ke kotak yang disediakan. Lalu, klik Verify and Save.
   
   
5. Selamat, 2FA sudah diaktifkan di WordPress Anda! Dengan begitu, saat login, Anda akan diminta memasukkan kode OTP sesuai aplikasi Google Authenticator.

12. Berikan Pertanyaan Keamanan saat Login

Selain password unik dan 2FA, cara lain untuk mengamankan login WordPress adalah dengan menambahkan pertanyaan keamanan saat login. Alhasil, jika password Anda bocor, hacker masih harus mengetahui jawaban dari pertanyaan keamanan ini sebelum bisa login. 

Untuk menambahkan fitur cara mengamankan login WordPress ini, Anda cukup melakukan instalasi plugin sebagai berikut:

1. Install plugin WP Security Question.
   
2. Setelah plugin diaktifkan, masuk Plugins dan pilih Settings pada WP Security Question.
   
3. Anda bisa menyiapkan daftar pertanyaan pada menu Setup Questions dan menghapus pertanyaan yang tidak diinginkan dengan klik Remove.
   
4. Scroll ke bawah dan berikan centang pada Login Screen. Lalu, klik Save Setting untuk menyimpan pengaturan.
   
5. Selanjutnya, pengguna perlu memilih pertanyaan yang akan digunakan setiap kali login.
   
6. Jika ingin mengganti pertanyaan keamanan, Anda bisa menuju ke User > Profile > My Security Questions. Pilih pertanyaan yang Anda inginkan dan isi jawaban pada kolom Your Answer. Kemudian, klik Update Profile untuk menyimpan pengaturan.
   

13. Batasi Percobaan Login

Secara default, WordPress tak membatasi percobaan login Anda. Efeknya, hacker bisa bebas melakukan percobaan login dengan password berbeda-beda sampai menemukan kombinasinya. 

Lalu, bagaimana cara mengamankan login WordPress dengan membatasi percobaan login? Ini dia langkahnya:

1. Install plugin Limit Login Attempts Reloaded
   
2. Klik menu Settings > Limit Login Attempts untuk masuk ke Dashboard plugin. Lalu, pilih tab Settings.
   
   Ada beberapa hal yang perlu Anda tentukan, yaitu:
   
   –allowed retries mengatur berapa banyak percobaan login yang diizinkan;
   –minutes lockout yang melarang pengguna login beberapa menit saat semua percobaan gagal;
   –lockouts increase lockout times untuk mencegah pengguna login beberapa jam setelah gagal minutes lockout dalam jumlah tertentu;
   –hours until retries are reset mengatur berapa jam percobaan login direset lagi dari awal.
   
   Kemudian, klik Save Settings untuk menyimpan pengaturan Anda.
   
   
3. Anda juga bisa mengecualikan (Safelist) atau memblokir (Blocklist) IP address tertentu pada tab Logs. Lalu, klik Save Settings untuk menyimpan pengaturannya.
   

14. Terapkan Logout Otomatis

Keamanan website Anda juga bisa terancam jika Anda sering meninggalkan komputer dalam keadaan sedang login. Sebab, siapapun bisa menggunakan komputer tersebut dan mengotak-atik WordPress Anda.

Maka dari itu, sebaiknya Anda menerapkan logout otomatis jika tak ada aktivitas dalam durasi tertentu. Berikut caranya:

1. Install plugin Inactive Logout
   
2. Klik menu Settings > Inactive Logout. Lalu, atur berapa menit akun akan logout otomatis pada opsi Idle Timeout.
   
3. Pada opsi Idle Message Content Anda bisa mengatur pesan yang dimunculkan saat logout otomatis terjadi. Sehingga pengguna lain tak kaget saat akunnya tiba-tiba logout.
   
4. Scroll ke bawah dan klik Save Changes untuk menyimpan pengaturan Anda.

15. Cegah Hotlinking

Hotlinking adalah tindakan pencurian aset sebuah website. Jadi, ada website lain menggunakan aset gambar atau video Anda di website mereka melalui link dari server hosting Anda. Artinya, gambar yang ditampilkan di website mereka berasal dari server Anda dan menggunakan bandwidth Anda juga.

Singkatnya, hotlinking ini bisa menguras bandwidth Anda dan kalau terus terjadi akan menyebabkan Anda mengalami error 509 bandwidth limit exceeded. Efeknya, website Anda tidak bisa diakses.

Untuk mengatasinya, Anda bisa mengikuti cara mencegah hotlinking berikut ini:

1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih Hotlink Protection pada menu Security.
   
2. Klik Enable untuk menyalakan perlindungan hotlink. Selamat, aset website Anda berhasil dilindungi!
   
   
   Anda juga bisa memasukkan jenis file tambahan yang dilindungi pada kolom block direct access for the following extensions. Misalnya, MP3, MKV, dan sebagainya. Lalu, klik Submit untuk menyimpan pengaturannya.

16. Berikan Password untuk Halaman Login

Kami tebak Anda login ke WordPress dengan URL websiteanda.com/wp-admin, kan? Tak perlu terkejut, itulah URL default dari WordPress yang umum digunakan. 

Nah, Anda bisa melindungi halaman login dengan password supaya hacker kesulitan melakukan peretasan. Berikut cara mengamankan login WordPress dengan memberikan password:

1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih Directory Privacy.
   
2. Klik direktori public_html. Lalu, klik Edit pada direktori wp-admin
   
   
3. Klik centang pada Password protect this directory. Lalu, masukkan nama sesuka hati Anda pada kolom di bawahnya. Nama ini nanti akan ditampilkan saat Anda harus memasukkan password. Kemudian, klik Save.
   
   
4. 4. Di bawahnya akan muncul kolom baru Create User. Ingat, masukkan username dan password yang rumit. Atau Anda juga bisa menggunakan Password Generator yang sudah disediakan. Kemudian, klik Save untuk menyimpan pengaturan.
   
   

17. Mengubah URL Halaman Login

Cara mengamankan website WordPress selanjutnya adalah dengan mengubah URL halaman login. Terutama, bila Anda merasa memberikan password pada halaman login masih kurang, Anda bisa mengganti URL halaman login tersebut.

Nah, seperti yang sudah disebutkan, /wp-login.php merupakan URL login default di semua WordPress. Jadi, hacker pun sudah hafal.

Dengan mengganti URL halaman login, keamanan website Anda akan lebih baik karena bisa menyulitkan hacker membobolnya. Lalu, bagaimana caranya? Gampang! Anda cukup pasang plugin custom login seperti LoginPress, Login Designer, atau Login Customizer.

18. Sembunyikan Versi WordPress Anda

Ternyata, menyembunyikan versi WordPress juga bisa menjadi cara mengamankan WordPress yang ampuh, lho. Kenapa demikian? Sebab, jika WordPress Anda belum update ke versi terbaru, hacker bisa mengetahuinya dan memanfaatkan celah keamanan di versi tersebut. 

Berikut cara mudah menyembunyikan versi WordPress Anda:

1. Pasang plugin WP Hardening. Lalu, pilih Security Fixers pada menu WP Hardening di dashboard WordPress Anda.
   
2. Klik Details pada tab Disable Information Disclosure & Remove Meta information. Lalu, klik Hide WordPress Version Number agar tombol berubah menjadi warna hijau.
   
3. Selesai! Sekarang, versi WordPress Anda tak akan bisa dilihat oleh siapapun.

19. Proteksi Serangan DDoS

DDos atau Distributed Denial of Service adalah serangan cyber crime dengan cara membanjiri lalu lintas jaringan. Alhasil, server akan overload dan website Anda tak bisa diakses sama sekali. Seram juga, ya?

Untungnya, Anda bisa menggunakan Cloudflare yang mampu memblokir lalu lintas berbahaya sebelum diarahkan ke website Anda. Dengan begitu, serangan DDoS ke website Anda bisa dicegah. 

Jika Anda menggunakan hosting Niagahoster, integrasi Cloudflare sudah sepenuhnya didukung. Jadi, Anda hanya tinggal register akun di website Cloudflare, lalu mengaktifkannya melalui cPanel.

Setelah aktif, Anda harus mengupdate DNS Cloudflare ke nameserver website Anda. Anda bisa melakukannya melalui Member Area Niagahoster seperti ini:

Untuk panduan lengkap menggunakan Cloudflare, Anda bisa mengikuti langkah-langkahnya di → Cara Setting CloudFlare di WordPress

20. Nonaktifkan Fitur Edit Tema dan Plugin

Tahukah Anda kalau secara default, Anda bisa mengedit file tema dan plugin langsung dari dashboard WordPress?  Meskipun fitur ini memudahkan, tapi ada risiko keamanan yang perlu Anda perhatikan.

Jika digunakan oleh orang yang salah, fitur ini bisa untuk menjalankan script berbahaya, mengakses database, mengedit tema sehingga tidak kompatibel dengan browser pengunjung, dan masih banyak lainnya. 

Maka dari itu, kami menyarankan Anda untuk menonaktifkannya. Bagaimana caranya?

1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
   
2. Masuk ke folder public_html, lalu klik kanan file wp-config.php dan pilih Edit
   
3. Ketikkan kode ini tepat di bawah define( ‘WP_DEBUG’, false );
   
   // Disallow file edit
   define( ‘DISALLOW_FILE_EDIT’, true );
   
   
4. Klik Save Changes di kanan atas untuk menyimpan perubahan. Sekarang, opsi edit tema dan plugin sudah hilang dari dashboard Anda.
   

21. Nonaktifkan Eksekusi File PHP di Direktori Tertentu

Selain menonaktifkan edit tema dan plugin, Anda juga harus menonaktifkan eksekusi file PHP di direktori yang sekiranya tidak perlu. Misalnya, direktori /wp-includes/ dan /wp-content/uploads/. Alasannya, hacker bisa menyalahgunakan fitur eksekusi file untuk menjalankan malware atau script berisi perintah tertentu. 

Berikut cara menonaktifkan eksekusi file PHP di direktori tertentu:

1. Buka aplikasi Notepad di komputer Anda. Lalu, masukkan kode di bawah ini:
   
   <Files *.php>
   deny from all
   </Files>
   
   
2. Klik File dan pilih Save As
   
   
3. Pada kolom Save as type pilih All Files. Lalu, pada File name ketikkan .htaccess. Kemudian, klik Save.
   
   
4. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
   
   
5. Buka direktori public_html, lalu masuk ke direktori wp-includes. Kemudian, klik Upload.
   
   
6. Klik Select File dan pilih file .htaccess yang barusan Anda buat.
   
   
7. Jika upload sudah selesai, klik Go Back to…
   
8. Ulangi langkah nomor lima hingga tujuh pada direktori uploads yang berada di dalam wp-content. Selesai! Anda berhasil menonaktifkan eksekusi file PHP pada direktori  /wp-includes/ dan /wp-content/uploads/
   
   

22. Nonaktifkan Directory Browsing

Directory browsing adalah aktivitas membuka direktori website menggunakan URL, misalnya, websiteanda.com/wp-includes/. Efeknya, orang lain bisa tahu semua file dan folder Anda di direktori tersebut.

Directory browsing ini juga memungkinkan orang lain mengetahui versi tema dan plugin yang Anda pakai dan hacker bisa memanfaatkan celah pada file tersebut untuk menyerang website Anda. 

Untungnya, Anda bisa menonaktifkan directory browsing dengan cara yang cukup mudah, yaitu:

1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
   
2. Masuk ke direktori public_html, lalu klik kanan file .htaccess dan pilih Edit.
   
   
3. Masukkan kode berikut tepat di atas # END WordPress.
   
   Options – Indexes
   
   
4. Klik Save Changes di kanan atas untuk menyimpan pengaturan Anda. Sekarang, directory browsing website Anda sudah dinonaktifkan dan akan menampilkan halaman error 404.

23. Amankan File wp-config.php

File wp-config.php merupakan file yang menghubungkan website dengan database WordPress Anda. Jadi, salah satu cara terbaik untuk mengamankan WordPress Anda adalah dengan mengamankan file wp-config.php. Karena di dalamnya terdapat detail login database Anda dan informasi penting lainnya.

Berikut beberapa cara mengamankan file wp-config.php:

Pindahkan File wp-config.php

1. Login ke cPanel Anda di http://domainanda.com/cpanel. Lalu, pilih File Manager.
   
   
2. Masuk ke folder public_html, lalu klik kanan pada file wp-config.php dan pilih Copy.
   
   
3. Ketikkan nama folder tujuan file wp-config.php. Misalnya, folder /etc.
   
   
4. Edit file wp-config.php asli Anda dengan cara klik kanan dan pilih Edit. Lalu, masukkan kode berikut ini tepat di bawah <?php
   
   include(‘/home/usernamecpanelanda/etc/wp-config.php’);
   
   Jangan lupa mengganti usernamecpanelanda di atas dengan username cPanel Anda.
   
   

Update Kunci Keamanan WordPress

Kunci keamanan WordPress merupakan variabel acak di file wp-config.php untuk meningkatkan enkripsi dari informasi yang disimpan pada cookie pengunjung website Anda. Saat ini ada empat kunci berbeda yaitu: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, dan NONCE_KEY.

Anda bisa memperbarui kunci keamanan tersebut dengan mengedit file wp-config.php. Lalu, menyalin kode pada Secret Key Generator ke file wp-config Anda.

Ubah Hak Akses

Secara default, permission file pada direktori WordPress adalah 644. Artinya, file tersebut dapat dibaca dan diedit oleh pemilik file dan juga dapat diakses oleh user lain dalam server yang sama. 

Nah, supaya hanya Anda yang bisa mengaksesnya, Anda harus mengganti permission menjadi 440. Caranya, klik kanan pada file wp-config dan pilih Change Permissions. Lalu, atur menjadi 440 seperti ini:

24. Ganti Database Prefix

Database berisi berbagai data penting dari WordPress Anda sehingga menjadi sasaran empuk hacker. Sayangnya, secara default semua prefix database WordPress berawalan wp_. Sehingga hacker tak kesulitan menebaknya dan bisa melancarkan aksinya.

Lalu, apakah prefix database WordPress bisa diganti? Tentu bisa! Berikut caranya:

1. Install plugin Brozzme DB Prefix & Tools Add-ons
   
2. Masuk ke menu Tools dan pilih DB PREFIX.
   
   
3. Masukkan nama prefix baru pada kolom New Prefix. Pastikan nama prefix Anda tidak menggunakan karakter selain huruf, angka, dan garis bawah ( _ ). Terakhir, klik Change DB Prefix untuk menyimpan pengaturannya.
   
   
   

25. Menonaktifkan PHP Error Reporting

Apakah Anda pernah melihat pesan error seperti gambar di bawah ini?

Tahukah Anda kalau error di atas bisa membahayakan website Anda? Sebab, hacker bisa tahu bagian mana yang error pada website Anda, sehingga bisa langsung memanfaatkan celah tersebut.

Maka dari itu, sebaiknya Anda menonaktifkan PHP Error Reporting sebagai cara mengamankan WordPress dari hacker. Caranya, Anda bisa menambahkan barisan kode di bawah ini pada file wp-config.php:

ini_set(‘log_errors’,‘On’);
ini_set(‘display_errors’,‘Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_LOG’, true);
define(‘WP_DEBUG_DISPLAY’, false);

26. Nonaktifkan XML-RPC

XML-RPC merupakan protokol yang memungkinkan beberapa sistem untuk saling terhubung menggunakan jaringan internet. Alhasil, Anda bisa mengakses WordPress melalui berbagai perangkat, hingga menjalankan trackback atau pingback.

Sebenarnya, XML-RPC sudah tidak terlalu dibutuhkan. Tapi, justru banyak celah keamanan untuk serangan DDoS dan brute force. Maka dari itu, kalau Anda memang tak membutuhkannya, sebaiknya Anda menonaktifkan XML-RPC agar WordPress lebih aman. Bagaimana caranya? 

Anda hanya tinggal install dan aktifkan plugin Disable XML-RPC-API. Setelah itu, XML-RPC akan otomatis dinonaktifkan. Sangat mudah, bukan?

27. Pasang Antivirus di Perangkat Anda

Cara mengamankan WordPress dari hacker yang terakhir adalah menginstall antivirus di perangkat Anda. Tujuannya, agar bisamencegah file-file berbahaya tak sengaja diupload ke website Anda. Misalnya, file yang terinfeksi virus, file malware, dan sebagainya. Jadi, semua file yang Anda upload akan aman dan bebas dari virus.

Nah, rekomendasi antivirus terbaik kami adalah Bitdefender Antivirus Plus, Kaspersky Total Security, atau ESET Smart Security Premium. Untuk rekomendasi lengkapnya, Anda bisa cek di artikel → 8+ Antivirus Terbaik Untuk Amankan File Website

Manakah Cara Mengamankan WordPress yang Sudah Anda Terapkan?

Keamanan website WordPress Anda harus diutamakan. Karena hal ini dapat mempengaruhi reputasi hingga jumlah pengunjung website Anda. Untungnya ada banyak cara mengamankan WordPress yang bisa Anda terapkan.

Di atas, kami sudah memberikan rekomendasi untuk menjamin keamanan website Anda, mulai dari menggunakan username password unik hingga melakukan backup rutin. 

Namun, yang paling penting dari semua langkah tersebut adalah menggunakan layanan hosting terbaik yang menyediakan fitur keamanan yang lengkap seperti Niagahoster. Ada banyak layanan hosting Niagahoster, seperti: shared hosting, cloud hosting, VPS murah, WordPress Hosting Murah Beli hosting di Niagahoster untuk fitur keamanan yang lebih baik.

Nah, meskipun artikel ini cukup menjadi bekal Anda untuk melindungi website dari hacker, kami juga memiliki panduan keamanan WordPress yang lebih lengkap dalam bentuk ebook lho. Tenang, Anda bisa mendownloadnya gratis kok.

Tapi kalau Anda sudah mantap memilih website WordPress, silakan pertimbangkan paket web hosting murah gratis domain dari Niagahoster.

Sebab, Niagahoster telah membekali hostingnya dengan berbagai fitur yang mampu menggenjot performa situs Anda. Mulai dari optimasi kecepatan, jaminan keamanan, hingga customer service yang siap 24/7. Sehingga, website WordPress Anda pasti lebih optimal.

Akhir kata, semoga artikel ini bermanfaat meningkatkan keamanan website Anda. Jika Anda ada pertanyaan, jangan ragu untuk menyampaikannya di kolom komentar di bawah, ya! Sampai jumpa di artikel selanjutnya!