Keamanan WordPress: Panduan Utama untuk Mengamankan Situs WordPress

Diterbitkan: 2019-05-24

Kejahatan dunia maya berada pada titik tertinggi sepanjang masa dengan peretas dan malware yang mengamuk di seluruh lanskap online yang luas. Google memasukkan lebih dari 20.000 situs web ke daftar hitam karena memiliki malware dan lebih dari 50.000 situs web sebagai situs web phishing potensial – setiap minggu! Biarkan angka-angka itu meresap sejenak. Jadi, untuk tujuan membaca ini, kami telah menyusun panduan komprehensif untuk membantu Anda meningkatkan keamanan WordPress Anda.

Anda lihat, jika situs web Anda gagal mematuhi praktik keamanan terbaik, maka Anda akan meninggalkan situs Anda dan semua kontennya untuk diretas. Tapi bukan hanya konten Anda yang dipertaruhkan, karena situs web yang tidak aman juga dihukum oleh algoritme pencarian Google.

Peretas dan malware tidak hanya berbahaya bagi konten situs web Anda, tetapi juga mengancam orang-orang yang mengunjungi situs web Anda. Jadi, jika Anda gagal mematuhi pedoman keamanan dasar – yang sangat mudah dilakukan – Google akan menurunkan Anda di SERP (Halaman Hasil Mesin Pencari).

Untungnya, pengguna WordPress memiliki akses ke plugin khusus dan antarmuka ultra-intuitif yang dapat membantu meningkatkan keamanan WordPress Anda dengan margin yang signifikan. Jadi tanpa membuat Anda menunggu lebih lama lagi, berikut adalah 10+ Cara Terbaik Kami Untuk Meningkatkan Keamanan WordPress Anda:

10+ Cara Teratas untuk Meningkatkan Keamanan WordPress Anda

1. Instal Plugin Cadangan

Plugin cadangan WPvivid

Konsepnya di sini cukup sederhana – lebih baik aman sekarang, daripada menyesal nanti!

Dengan mencadangkan konten dan basis data online Anda, semuanya tetap aman dan terlindungi bahkan di bawah peristiwa malang yang menjadi mangsa peretas dan malware. Ini menjadikan pemasangan plugin cadangan sebagai bab pertama keamanan WordPress 101 dan menempatkannya di bagian atas daftar prioritas.

Plugin cadangan seperti Plugin Cadangan WPvivid kami dapat mengambil cadangan rutin otomatis dari seluruh situs web WordPress Anda termasuk database. Anda dapat mengonfigurasinya untuk menjadwalkan pencadangan menjadi mingguan atau harian. Data yang dicadangkan umumnya disimpan di platform penyimpanan cloud terpisah – baik yang disediakan oleh plugin itu sendiri, atau di antara berbagai platform yang sudah ada seperti Google Drive, Amazon S3, Dropbox, dan sebagainya.

Sekarang, jika di kemudian hari, situs Anda rusak karena malware atau peretas, semua data Anda akan tetap dapat diakses dan Anda dapat memulihkan cadangan ke situs web Anda untuk mengembalikannya ke kondisi kerja sebelumnya. Ingatlah untuk menutupi kerentanan keamanan yang digunakan peretas atau malware untuk masuk ke situs web Anda sehingga hal itu tidak terjadi lagi.

Dengan semua ini dikatakan, jika Anda mencari beberapa rekomendasi tentang plugin cadangan mana selain Plugin Cadangan WPvivid kami untuk digunakan untuk meningkatkan keamanan WordPress Anda, maka berikut adalah beberapa opsi:

  • UpDraftPlus
  • KembaliWPup

2. Instal Plugin Firewall Untuk Memantau Situs WordPress Anda

Instal plugin firewall WordPress

Mirip dengan perangkat lunak firewall yang telah Anda siapkan di desktop/laptop Anda, plugin firewall akan memantau lalu lintas masuk dan memblokir ancaman keamanan umum agar tidak mencapai situs WordPress Anda.

Plugin umumnya merujuk ke database yang terdiri dari tanda tangan berbahaya dan alamat IP yang masuk daftar hitam untuk memindai potensi ancaman yang datang ke situs web Anda, dan langsung memblokirnya.

Seperti yang Anda lihat, ini semudah menginstal plugin WordPress tetapi meningkatkan keamanan WordPress Anda dengan mencegah peretas, malware, worm, dan virus memasuki situs web Anda.

3. Tetapkan Kata Sandi yang Kuat untuk Login Admin

Setel kata sandi admin WordPress yang kuat

Ketika Anda memikirkannya, mendapatkan akses ke dasbor backend WordPress Anda bukanlah masalah besar. Sudah menjadi rahasia umum bahwa menambahkan “/wp-admin” di akhir URL situs WordPress membawa pengguna ke halaman login admin. Di sini satu-satunya hal yang membatasi akses ke backend situs web hanyalah menebak nama pengguna dan kata sandi.

Sekarang, karena nama pengguna “admin,” hampir selalu dikaitkan dengan situs web WordPress, satu-satunya hal yang perlu dilakukan peretas adalah menebak kata sandi dan kemudian mereka akan memiliki akses langsung ke semua konten dan data situs web Anda. Suatu hal yang menakutkan untuk dibayangkan bukan?

Dengan semua pertimbangan ini, peningkatan keamanan WordPress yang paling jelas yang dapat Anda gunakan adalah membuat kata sandi Anda sangat rumit dan sulit diuraikan bahkan dengan kekerasan. Ini termasuk membuat kata sandi yang lebih panjang dengan setidaknya 10-12 karakter. Ingatlah juga untuk menggunakan huruf kapital, huruf kecil, angka, dan karakter khusus dalam kata sandi Anda.

Dan agar Anda tidak melupakannya sendiri, tulislah di suatu tempat di mana Anda tahu itu akan aman dan terjamin.

4. Sesuaikan Nama Pengguna Admin

Sesuaikan Nama Pengguna Admin

Mirip dengan mengubah kata sandi login admin WordPress Anda, Anda juga harus mempertimbangkan untuk mengubah nama pengguna default yang mudah diprediksi – admin. Jadi sekarang peretas perlu menguraikan kata sandi bersama dengan nama pengguna yang benar untuk masuk ke backend situs Anda, yang secara eksponensial meningkatkan keamanan WordPress Anda.

Tetapi dengan itu, mengubah nama pengguna admin default agak sulit. Pertama, Anda harus masuk ke backend WordPress > Pengguna > Tambah Pengguna Baru , lalu buat pengguna baru (dengan nama pengguna baru) dengan Peran Pengguna diatur ke – Administrator . Setelah selesai, masuk dengan akun pengguna baru dan hapus akun pengguna "admin" default, memaksa peretas untuk tidak hanya menguraikan kata sandi yang benar tetapi juga nama pengguna baru Anda. Alternatifnya, Anda dapat mengelola dan mengedit peran pengguna menggunakan plugin editor peran pengguna.

5. Sesuaikan URL Masuk

Sampai sekarang kami berbicara tentang bagaimana mempersulit peretas untuk menebak kredensial login backend WordPress Anda. Tapi, taktik keamanan WordPress yang lebih baik akan menolak akses peretas ke layar login Anda sama sekali.

Seperti disebutkan sebelumnya, URL default untuk halaman login backend situs web Anda melibatkan URL situs web Anda diikuti oleh “/ wp-admin.” Namun, tahukah Anda bahwa Anda dapat menyesuaikan bagian terakhir dari URL login situs web Anda ke string alfanumerik yang berbeda yang dapat Anda bayangkan, seperti – “/zero-hackers-allowed.”

Namun, perhatikan bahwa ini bukan fitur default dari CMS (Content Management System), dan Anda perlu menginstal plugin WordPress seperti WPS Hide Login untuk membantu Anda. Setelah diinstal dan diaktifkan, plugin akan memungkinkan Anda untuk mengubah URL login sehingga peretas tidak dapat dengan mudah mengakses halaman wp-login.php dan direktori wp-admin.

Saat ini, kami tidak hanya mempersulit peretas untuk menebak kombinasi kata sandi dan nama pengguna yang tepat untuk mengakses situs kami, tetapi kami juga secara efektif menyembunyikan halaman login dari pengintaian. Seperti yang dapat Anda bayangkan, ini secara drastis meningkatkan keamanan WordPress Anda dan membuat serangan brute force hampir tidak mungkin dilakukan.

6. Tetapkan Kata Sandi Kuat Untuk Pengguna Basis Data

Tetapkan kata sandi yang kuat untuk pengguna basis data

Jika situs web Anda memiliki banyak pengguna dengan beberapa di antaranya memiliki akses langsung ke database Anda atau informasi sensitif lainnya, maka pastikan mereka menetapkan kata sandi yang kuat untuk akun mereka. Peretas cenderung mencoba dan masuk ke situs web Anda dengan mengeksploitasi pengguna lain di situs web Anda. Dengan pemikiran ini, setiap ujung yang longgar adalah potensi kerentanan dan ancaman keamanan.

Anda dapat mewajibkan pengguna untuk menetapkan kata sandi yang kuat dengan akun mereka dengan mengikuti langkah-langkah yang disebutkan sebelumnya. Atau, Anda dapat menggunakan plugin pihak ketiga untuk memaksa pengguna membuat kata sandi yang kuat untuk menyelesaikan proses pembuatan akun mereka.

7. Aktifkan SSL (HTTP ke HTTPS)

SSL, kependekan dari Secure Sockets Layer adalah protokol keamanan standar di internet yang menciptakan koneksi terenkripsi antara klien dan server. Setelah diaktifkan, Anda akan melihat bahwa teks HTTP di awal URL Anda diganti dengan HTTPS atau HTTP aman. Dengan mengaktifkan sertifikat SSL, Anda mempersulit peretas untuk menyedot data saat sedang dikirim antara server dan klien.

Google juga menanggapi sertifikasi SSL dengan sangat serius. Misalnya, situs web yang masih menggunakan HTTP ditampilkan sebagai "tidak aman" di browser Google Chrome. Selain itu, mereka juga dihukum oleh algoritma mesin pencari mereka. Sementara di sisi lain, HTTPS situs web bersertifikat SSL diberikan oleh mesin pencari. Oleh karena itu, kami telah memasang SSL sebagai langkah pertama untuk seo blog WordPress baru.

Kedua poin ini seharusnya menjadi alasan yang cukup bagi Anda untuk memasang sertifikat SSL di situs web Anda – terutama jika Anda menganggapnya tidak terlalu merepotkan. Pertama-tama, sebagian besar semua layanan hosting web populer menyertakan sertifikat SSL gratis. Dan jika Anda tidak mendapatkannya secara gratis, Anda dapat melakukannya dengan mudah menggunakan Let's Encrypt .

Anda bahkan memiliki akses ke plugin SSL WordPress khusus – SSL Sangat Sederhana untuk mengubah HTTP menjadi HTTPS dan meningkatkan keamanan WordPress Anda.

8. Pindahkan wp-config Ke Tingkat Yang Lebih Tinggi Dari Direktori Root

Pindahkan wp config keluar direktori root

Secara default, wp-config.php terletak di dalam folder yang sama dengan blog/situs web WordPress Anda. Ini bisa menjadi mimpi buruk keamanan karena file tersebut berisi nama pengguna database MySQL Anda, kata sandi, kunci otentikasi WordPress, dan data sensitif lainnya.

Jika seseorang memegang file ini, maka pada dasarnya mereka memiliki kontrol penuh atas setiap seluk beluk situs web Anda. Inilah sebabnya mengapa bahkan codex WordPress merekomendasikan bahwa pengguna harus memindahkan wp-config.php dari direktori root default ke folder tingkat yang lebih tinggi yang tidak memiliki akses publik.

Ini dapat dengan mudah dicapai dengan memasukkan potongan kode berikut di folder .htaccess:

 <file wp-config.php>

perintah izinkan, tolak

tolak dari semua

</file>

Seperti yang Anda lihat, ini melibatkan bermain-main dengan file inti situs web WordPress Anda, jadi disarankan agar Anda membuat cadangan sebelum melanjutkan dengan langkah ini.

9. Cegah Daftar Direktori dengan .htaccess Ketika Folder Tidak Memiliki File index.php

Cegah untuk membuat daftar direktori dengan htaccess.png

Daftar direktori, juga dikenal sebagai penjelajahan direktori, memungkinkan setiap pengguna untuk melihat konten folder individual (direktori) di situs web Anda. Seperti yang dapat Anda bayangkan, ini membutuhkan masalah keamanan yang besar karena peretas dapat dengan mudah menjelajahi semua file Anda yang berbeda dan menemukan potensi kerentanan untuk masuk ke situs web Anda.

Sekarang, untuk mempertahankan CMS WordPress, direktori tertentu memang berisi file index.php yang langsung dijalankan/dimuat oleh server ketika seseorang memasuki folder tersebut. Ini mencegah penonton menjelajahi direktori Anda dan mendapatkan akses ke struktur situs Anda.

Tapi bagaimana jika file index.php tidak ada?

Meski begitu, masalah dapat dengan mudah diselesaikan dengan melakukan sedikit perubahan pada file .htaccess. Yang harus Anda lakukan hanyalah menambahkan baris berikut di akhir .htaccess dan menyimpannya.

 Opsi Semua -Indeks

Setelah selesai, jika pengguna mencoba mengakses direktori Anda yang tidak memiliki file index.php, itu akan menampilkan kesalahan 403 akses terlarang atau 404 halaman tidak ditemukan kepada pengguna.

10. Perbarui WordPress Secara Teratur

WordPress sangat populer, mendukung lebih dari 30% dari semua situs web di World Wide Web. Hal ini membuat CMS menjadi target utama para peretas dan pelaku kejahatan. Mereka selalu sibuk menemukan kerentanan keamanan dan celah dalam kode yang dapat mereka manfaatkan untuk mendapatkan akses ke data situs Anda.

Demikian juga, tim pengembangan WordPress juga secara aktif mencari bug dan kelemahan keamanan, sehingga mereka dapat menambalnya sebelum peretas mengeksploitasinya. Oleh karena itu, meningkatkan ke versi terbaru WordPress, bukan hanya tentang mengakses fitur dan fungsi baru, tetapi juga memastikan bahwa kode tersebut tidak memiliki kekurangan yang dapat dieksploitasi oleh peretas.

Sekarang, setelah pembaruan WordPress baru dirilis, seluruh dunia, termasuk para peretas, dapat mempelajari tentang kerentanan keamanan yang ada di versi sebelumnya. Jika Anda menunda-nunda untuk meningkatkan situs Anda dengan cepat ke iterasi terbaru, maka peretas dapat memanfaatkan kerentanan keamanan yang sekarang diketahui di situs Anda membuat keamanan WordPress Anda jauh lebih lemah dari sebelumnya. Selain itu, karena WordPress dibuat dengan PHP, penting juga untuk mengupgrade situs WordPress Anda ke versi PHP terbaru untuk meningkatkan kinerja dan keamanan situs web Anda. Ingatlah untuk membuat cadangan penuh situs Anda sebelum melakukan pembaruan apa pun!

11. Hapus Nomor Versi WordPress

Meskipun Anda harus selalu memutakhirkan situs WordPress Anda segera setelah pembaruan CMS baru dirilis, tetapi terkadang, itu bukan keputusan terbaik yang dapat Anda ambil. Beberapa kemungkinan alasan untuk menunda pemutakhiran situs mungkin karena pembaruan kereta, masalah kompatibilitas dengan plugin dan tema Anda saat ini, dan sebagainya.

Namun, seperti yang baru saja kita bahas, menunda pemutakhiran memang membuka Anda terhadap sejumlah besar ancaman keamanan dan upaya peretasan. Tetapi ini dapat dihindari jika Anda dapat menghapus nomor versi WordPress dari situs web Anda. Itu sebabnya peretas tidak akan segera tahu bahwa situs Anda berjalan pada versi lama yang mengurangi peluang Anda untuk dieksploitasi oleh kelemahan keamanan yang baru ditemukan.

Sekarang, untuk menghapus nomor versi WordPress dari situs web Anda, Anda harus membuka file functions.php dan memasukkan potongan kode berikut:

 fungsi hapus_wordpress_version() {
kembali '';
}
add_filter('the_generator', 'remove_wordpress_version');

Ini akan menghapus nomor versi WordPress dari file kepala Anda dan umpan RSS memastikan tidak ada cara bagi peretas untuk menebak versi WordPress mana yang Anda gunakan.

Kesimpulannya

Jadi ini adalah beberapa tip dan trik yang kami rekomendasikan untuk meningkatkan keamanan WordPress Anda. Kami harap Anda menganggap bacaan ini bermanfaat dan merupakan sumber yang berguna untuk membuat situs Anda lebih aman dan terlindungi.

Seperti yang Anda lihat, banyak peningkatan dapat dilakukan hanya dengan mengikuti beberapa langkah dasar satu atau dua dan menginstal beberapa plugin keamanan. Sekarang ada beberapa aspek teknis yang harus Anda perhatikan juga. Namun, Anda tidak perlu terlalu khawatir jika Anda baru memulai dengan blog/situs web WordPress Anda.

Namun seiring dengan pertumbuhan situs Anda, sadarilah bahwa peretas akan berusaha lebih keras untuk masuk dan menyebabkan masalah. Karena itu, selalu ikuti perkembangan tren keamanan terbaru, belum lagi mencakup semua langkah teknis yang dibahas di atas seperti memindahkan file wp-config dan kata sandi yang melindungi database Anda.

Dengan semua ini dalam konteksnya, pengguna yang berpengalaman didorong untuk mengikuti percakapan dan menambahkan taktik pribadi mereka untuk memastikan situs mereka bebas dari peretas dan malware. Rekan pembaca Anda akan sangat diuntungkan oleh wawasan Anda, dan mungkin membantu mereka melindungi situs mereka dari potensi ancaman dunia maya.

Jika Anda juga tertarik, berikut adalah panduan lengkap kami tentang cara memonetisasi blog.