Annisa Fauziyyah Customer Support Group Niagahoster. Sangat menyukai bisnis online dan saat ini sedang mendalami Internet Marketing.

19 Tips Agar Website WordPress Anda Lebih Aman

6 min read

Apa yang terlintas dalam pikiran ketika mendengar kata ‘Keamanan Website’?

Mungkin sebagian dari Anda akan berpikir mengenai peretasan website, malware, maupun virus yang mengancam website Anda. Ya, semua yang Anda pikirkan memang benar.

Keamanan WordPress merupakan salah satu aspek penting selain dari sisi kecepatan dan SEO website. Anda tentu wajib mengamankannya dari berbagai macam ancaman, baik kerusakan akibat malware, serangan brute force hingga hacker yang tidak bertanggungjawab.

Keamanan Website WordPress

Berdasarkan penelitian yang dilakukan salah satu situs jasa keamanan securi.net, pada Q1 2016 sudah terdapat lebih dari 11.000+ website yang terinfeksi dan 75% dari angka tersebut menggunakan platform WordPress. Semakin populer dan semakin tinggi jumlah pengguna WordPress tentu memancing pihak-pihak pelaku kejahatan internet. Infeksi ke website WordPress Anda bisa melalui manapun, seperti plugin yang tidak terupdate, theme, brute force, hosting, file/script yang sudah tidak terpakai, hingga password dengan keamanan rendah.

19 Tips Mengamankan Website WordPress Anda

Dalam ulasan kali ini, kami akan memberikan tips untuk mengamankan website WordPress, terlebih jika Anda baru saja mulai membuatnya. Anda dapat melakukannya sendiri di rumah, dimulai dari hal-hal sederhana seperti update plugin untuk mengantisipasi plugin vulnerability, theme, bahkan mengacak password Anda untuk menghindari serangan brute force.  

1. Pastikan Versi WordPress Anda up-to-date

Update versi WordPress terbaru diperlukan untuk mengatasi celah (bug system) versi sebelumnya. Anda bisa melakukannya secara langsung melalui halaman dashboard WordPress ketika terdapat versi terbaru. Pastikan Anda selalu update versi untuk mengurangi resiko keamanan WordPress yang ada.

2. Plugin WordPress Anda Update (Menggunakan Versi Terbaru)

Para pengembang plugin selalu berusaha untuk menutup bug dan hacker selalu mencari celah. Selalu update plugin Anda ke versi terbaru agar terhindar dari serangan hacker. 

3. Hapus Plugin yang Tidak Digunakan

Jangan hanya menonaktifkan plugin yang tidak perlu. Hapus plugin untuk menutup celah bagi para hacker untuk meretas website Anda. Selain itu, menghapus plugin yang tidak digunakan dapat meringankan kerja WordPress Anda.

4. Pastikan Tema yang Anda Gunakan Update

Tidak hanya plugin, celah yang sama tentu akan dimanfaatkan oleh para hacker. Silakan cek  ketersediaan versi tema terbaru Anda melalui  menu Appearance > Theme pada dashboard WordPress Anda. Jangan lupa untuk menghapus theme WordPress yang sudah tidak Anda gunakan.

5. Gunakan Tema, Plugin, dan Script dari Website Resmi

Pastikan Anda download theme, script bahkan plugin dari website pengembang resmi. Anda perlu waspada terhadap website yang menyediakannya secara gratis dan, tentu saja, jangan menggunakan produk bajakan. Jika Anda menginginkan theme ataupun plugin gratis, Anda bisa memperolehnya melalui website resmi WordPress.

Melalui resource yang belum jelas sumbernya, Anda tentu tidak mengetahui script apa yang telah disisipkan oleh penjahat ataupun bahaya lainnya.  WordPress.org, WordPress.com dan bahkan themeforest bisa Anda jadikan sumber terpercaya untuk mendapatkan tools website Anda.

6. Memilih Penyedia Layanan Hosting yang Terpercaya

Penyedia layanan webhosting tentu memiliki peranan penting untuk keamanan website Anda. Pilih layanan hosting yang menyediakan layanan tambahan keamanan seperti SSL gratis ataupun Anti Spam dan bahkan fitur keamanan bitNinja yang dimiliki server Niagahoster untuk melindungi website Anda dari serangan botnet, hacker dan malware.

7. Membuat Custom Link Login

/wp-login.php ialah link login yang otomatis digunakan setelah kita melakukan instalasi dan akan login WordPress. Tentunya para hecker mengetahuinya dan mempermudah mereka untuk menerobos ke akun Anda. Terlebih jika Anda menggunakan password yang sama di berbagai akun layanan lainnya. Untuk mencegahnya, kita bisa mengubah link login ke WordPress menggunakan plugin Custom Login URL Nantinya Anda juga dapat mengubah link logout, lost password dan lainnya.

8. Ubah Default Username “Admin”

Setelah Anda melakukan instalasi WordPress, default username yang akan Anda dapatkan adalah admin. Hal tersebut tentu mempermudah serangan brute force, brute force ialah salah satu metode yang digunakan para hacker untuk meretas akun dengan cara mencoba semua kemungkinan kombinasi. Jika username Anda saat ini masih menggunakan “admin” segeralah ubah dengan lainnya.  Berikut cara-cara yang bisa Anda gunakan untuk mengubah username “Admin”

  • Anda bisa mengubahnya dengan membuat username baru dan kemudian Anda delete username lama.
    1. Login Admin > User >  Add new user
    2. Logout
    3. Login menggunakan user baru dan delete username lama pada menu user
  • Menggunakan plugin Username Changer, Anda bisa mendapatkannya langsung melalui wordpress.org

 

 

 

 

Setelah Anda instal plugin segeralah ubah username Anda melalui User > Username Changer

  • Melalui PHP My Admin.
    Metode mengubah username melalui database ini lebih sulit dilakukan. Ada dapat melakukannya melalui PHP MyAdmin.
    cPanel > PHP MyAdmin > wp_users

9. Menggunakan Password yang Lebih Rumit

Untuk mendapatkan kombinasi password yang rumit, gunakanlah kombinasi password dan angka. Jangan menggunakan password seperti angka yang berurutan( 1, 2, 3, 4, 5), tanggal lahir, nama Anda ataupun sandi yang mudah ditebak lainnya. Sama dengan username, password yang mudah ditebak memudahkan serangan brute force.

10. Mengaktifkan Limit Login

Jika Anda tidak mengaktifkan limit login, pengguna dapat mencoba login berulangkali menggunakan username dan password. Hal ini tentu menimbulkan resiko dan memberikan kesempatan pada hacker untuk meretas website WordPress Anda dengan berbagai macam username dan password. Anda bisa mengatasi dengan mengaktifkan limit login ke admin WordPress. Plugin yang dapat Anda gunakan ialah, Login Lock Down 

Cara kerjanya, Anda dapat membatasi pengguna ketika  mencoba login dengan username dan password yang salah, apabila dalam beberapa kali gagal maka IP akan terblokir dan Anda juga dapat melakukan setting berapa lama IP tersebut akan terblokir.

   (sumber: wp-guidance)

11. Disable PHP Execution WordPress Anda

Jangan berikan celah kepada para hecker untuk menyentuh website WordPress Anda. Salah satu cara efektif yang bisa dilakukan adalah melakukan disable file php yang tidak diperlukan seperti pada wp-content/uploads/. Caranya seperti dibawah ini;

<Files *.php>
deny from all
</Files>

Copy dan paste teks diatas ke notepad dan simpan dengan nama .htaccess kemudian upload file tersebut ke folder /wp-content/uploads/  menggunakan FTP. Melakukan disable PHP execution dengan htaccess tidak akan menjamin website Anda tidak terhack, namun hal ini merupakan salah satu tips dan usaha untuk megamankan website WordPress Anda.

12. Menguah Default Tabel Prefix

Database merupakan bagian penting di website WordPress. Untuk mencegah  para spamer dan hacker menerobos keamanan WordPress melalui database maka Anda dapat melakukan perubahan pada tabel prefix. Pada umumnya, setelah Anda melakukan instalasi WordPress default tabel prefix Anda ialah wp_,  mereka tentu sudah mengetahui hal ini dan tentu saja dengan mudah dapat menyusup melalui script-script SQL  jika Anda tidak melakukan perubahan.

Berikut  langkah-langkah untuk mengubahnya dan dapat Anda lakukan dengan mudah:

  1. Masuk ke cPanel hosting Anda dan langsug menuju File Manager
  2. Temukan file wp-config.php dan ubah tabel prefix wp_ menjadi misalnya wp_a12345_ a
    Anda bisa mengubahnya dengan menambahkan angka ataupun huruf dan undescore (_)
  3. Ubah database file default WordPress Anda yang mengandung unsur wp_
    Lakukan melalui PHP My Admin di cPanel Anda > SQL

13. Mengaktifkan Passwod Login Directory

Waspadai serangan DDOS, minimalisir resiko ini dengan mengaktifkan password login directory.  Meskipun di awal saat Anda akan mengkases cPanel dan masuk ke wp-admin directory sudah terdapat password. Anda dapat menambahkan lapisan keamanan  WordPress dengan memberikan login username dan password.

Login ke cPanel Anda > Klik Password Protect Directory > Pilih wp-admin directory dan tambahkan permission dengan menginputkan username dan password seperti gambar diatas.

14. Disable File Editing

Pada dasarnya WordPress memiliki keleluasaan di file editor sehingga pengguna dapat mengembangkan dan menggunakannya sesuai kebutuhan, dapat mengubah file PHP dan bisa melakukan file editing tema ataupun plugin melalui admin editor. Buruknya, jika hacker/pihak yang tidak bertanggung jawab berhasil masuk admin area Anda, mereka dapat melakukan apapun. Mencegahnya, Anda lakukan disable file editing melalui cPanel. Pada file wp-config.php tambahkan

define( 'DISALLOW_FILE_EDIT', true );

15. Menonaktifkan PHP Error Reporting

Jika Anda menggunakan website WordPress tentu Anda pernah melihat pesan error seperti gambar berikut ataupun error lainnya.

           sumber gambar: wpbeginner

Bila hal ini terjadi pada website yang telah online dan Anda tidak segera mengatasinya kemudian hacker melihat celah-celah error, tentu akan membahayakan keamanan WordPress, pada pesan error syntax WordPress seringkali menampilkan username WordPress Anda. Tentunya, pesan error memberikan informasi kelemahan website Anda yang dapat di manfaatkan para hacker. Anda dapat melakukannya melalui wp-config php.

ini_set(‘log_errors’,‘On’);
ini_set(‘display_errors’,‘Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_LOG’, true);
define(‘WP_DEBUG_DISPLAY’, false);

16. Mengaktifkan Otomatis Logout Bagi “Idle User”

Apapun dapat terjadi jika  lalai dan menyepelekan keamanan WordPress.  Saat Anda login di WordPress dan tidak terdapat aktivitas apapun, bahka jika user meninggalkan layar maka akan menimbulkan resiko keamanan. Plugin yang bisa Anda gunakan adalah Idle User LogoutAnda bisa melakukan setting untuk menentukan kapan admin WordPress Anda otomatis terlogout. Cara penggunannya pun mudah, Anda aktifkan plugin dan masuk pada setting plugin Idle User Logout.

17. Mengaktifkan Firewall

Jangan lupakan keamanan jaringan Anda. Ibarat razia polisi lalu lintas, firewall akan menyaring lalu lintas jaringan yang aman dan resmi yang diperbolehkan untuk melwatinya.  Firewall bermanfaat untuk menjaga arus lalu lintas agar informasi berharga tidak dicuri ataupun mencegah agar malware tidak masuk ke jaringan Anda. Firewall akan melakukan inspeksi melalui Alamat IP, Port, Protokol dan bahkan header yang terdapat dipaket tersebut. Oleh karena itu, segera cek ke technical support penyedia layanan hosting Anda, pastikan setting firewall di server Anda telah aktif.

18. Instal Plugin Keamanan di WordPress

Salah satu plugin yang bisa Anda gunakan untuk keamanan WordPress Anda ialah wordfence. Anda harus melakukan scanning malware dan virus di website Anda. Selain itu percobaan IP yang berbahaya dapat otomatis diblokir oleh Wordfence. Untuk mendapatkan plugin tersebut Anda dapat langsung download melalui wordpress.org. Jika Anda belum mengetahui cara instal plugin silakan ikuti panduan berikut ini.

19. Instal Antivirus di WordPress dan Perangkat Anda

Tidak hanya scan virus dan malware di website WordPress Anda, antivirus local juga perlu Anda instal di perangkat Anda. Seperti Smadav, Nod32, avira dll. Hal tersebut perlu Anda lakukan untuk mengantisipasi file-file terinfeksi dari perangkat ataupun dari website ke perangkat Anda saat upload/download data.

Poin-poin diatas merupakan hal yang perlu Anda perhatikan untuk mengamankan website WordPress Anda. Jika sebelumnya Anda tidak memperdulikan keamanan WordPress, berhati-hatilah, karena kejahatan tidak hanya terjadi di dunia nyata namun juga terjadi di dunia maya. Apabila Anda memiliki pengalaman terkait keamanan WordPress silakan berbagi di kolom kementar 🙂

Sebagai info, kejahatan di internet ada dan harus Anda waspadai, artikelnya pernah kita bahas di https://www.niagahoster.co.id/blog/stories/mengatasi-phishing/

Semoga bermanfaat 😊

wordpress aman

1
Annisa Fauziyyah Customer Support Group Niagahoster. Sangat menyukai bisnis online dan saat ini sedang mendalami Internet Marketing.

24 Replies to “19 Tips Agar Website WordPress Anda Lebih Aman”

  1. Admin Niaga Hoster,
    Thanks infonya yang sangat bermanfaat.
    Pada Point 11 – Disable PHP Execution, itu kan kalo pakai Wprdpress
    Nah apa kita bisa pakai script
    <Files *.php>
    deny from all
    </Files>
    itu di htaccess selain template wordpress?
    Mohon infonya
    Thanks

  2. anu, maaf, sepertinya untuk custom login url dan limit login bisa menggunakan 1 plugin saja agar simple sekaligus jadi satu sama firewall.

  3. Website saya bulan kemarin kena hack. Tapi bisa terselamatkan karena backup, jadi data tidak hilang.
    Sebagian dari ilmu disini sudah saya terapkan untuk menambah keamanan website saya.
    Terimakasih banyak sudah berbagi 🙂

    sebagian sudah saya terapkan

Leave a Reply

Your email address will not be published. Required fields are marked *

19 − thirteen =