Daftar Periksa Keamanan WordPress – 17 Cara untuk Melindungi Situs Anda

Diterbitkan: 2023-02-06

Apakah Anda mencari daftar periksa keamanan WordPress untuk mengamankan situs Anda? Apakah Anda ingin tahu cara meningkatkan keamanan WordPress?

Jika jawaban Anda untuk pertanyaan di atas adalah ya, artikel ini hanya untuk Anda.

WordPress tidak diragukan lagi adalah salah satu sistem manajemen konten (CMS) terbaik. Tapi itu juga fakta bahwa sejumlah besar situs WordPress menghadapi masalah keamanan.

Oleh karena itu, dalam artikel ini, kami telah membuat daftar periksa keamanan WordPress yang dapat Anda terapkan di situs Anda untuk mencegah masalah tersebut.

Ayo mulai!

Daftar isi

Mengapa Anda Harus Memprioritaskan Keamanan WordPress?
17 Cara Meningkatkan Keamanan WordPress – Daftar Periksa Utama
- Amankan Halaman Login WordPress Anda
  - 1. Gunakan Kata Sandi yang Kuat
  - 2. Aktifkan Otentikasi Dua Faktor
  - 3. Batasi Upaya Login
  - 4. Ubah URL Login Default
  - 5. Ubah Nama Pengguna Default – admin
- Amankan Tema dan Plugin Terinstal Anda
  - 6. Unduh Tema dan Plugin dari Sumber Tepercaya
  - 7. Perbarui Tema dan Plugin
  - 8. Gunakan Plugin Keamanan WordPress
  - 9. Hapus Tema dan Plugin yang Tidak Digunakan
- Amankan Panel Administratif Anda
  - 10. Perbarui Perangkat Lunak Inti WordPress Secara Teratur
  - 11. Buat Backup Secara Teratur
  - 12. Aktifkan Firewall Aplikasi Web
  - 13. Sembunyikan File wp-config
  - 14. Berikan Akses sesuai Peran Pengguna
  - 15. Scan Website Secara Teratur
- Dapatkan Keamanan Melalui Hosting
  - 16. Pilih Layanan Hosting WordPress yang Aman
  - 17. Instal sertifikat SSL
Masalah Keamanan WordPress Umum
- Serangan membabi buta
- Injeksi SQL
- Serangan DDoS
- Pembuatan Skrip Lintas Situs (XSS)
Membungkusnya!

Mengapa Anda Harus Memprioritaskan Keamanan WordPress?

WordPress adalah CMS sumber terbuka yang memungkinkan siapa saja untuk menggunakan, memodifikasi, dan mendistribusikannya. Siapa pun dapat menggunakan platform dan mengintegrasikan fitur atau fungsi pihak ketiga seperti tema dan plugin.

Namun kebebasan ini membuat platform ini rentan terhadap berbagai ancaman keamanan.

Bukan berarti WordPress tidak bagus untuk membuat website. Tidak diragukan lagi ini adalah CMS terbaik yang bisa digunakan.

Namun, saat Anda membuat situs WordPress, ada banyak hal yang harus Anda perhatikan. Dan keamanan harus menjadi prioritas utama Anda.

Berikut adalah beberapa alasan mengapa keamanan WordPress itu penting:

Untuk mencegah penyerang: Menerapkan langkah-langkah keamanan yang sangat mudah di situs Anda akan mencegah penyerang. Itu karena menargetkan situs yang rentan lebih mudah bagi mereka daripada situs dengan keamanan yang sangat terjaga.
Untuk melindungi informasi sensitif: Memprioritaskan keamanan WordPress membantu Anda melindungi informasi sensitif seperti data pribadi pengguna, detail pembayaran, dll.
Untuk menjaga reputasi merek: Serangan keamanan seperti pelanggaran data menyebabkan downtime dan menurunkan lalu lintas. Ini pada akhirnya merusak reputasi merek Anda.
Untuk mencegah kerugian finansial: Serangan keamanan dapat mengakibatkan kerugian finansial karena Anda mungkin perlu menyisihkan biaya untuk memulihkan situs dan biaya hukum.

Tetapi melindungi situs Anda dari serangan dunia maya juga mudah.

Anda tidak memerlukan pengkodean yang luas atau pengetahuan teknis. Anda hanya perlu mengetahui apa yang dapat Anda lakukan dan menerapkan pengetahuan itu di situs Anda.

Jadi, mari kita masuk ke panduan keamanan WordPress yang membantu meningkatkan keamanan situs Anda.

17 Cara Meningkatkan Keamanan WordPress – Daftar Periksa Utama

Berikut adalah 17 tips yang dapat Anda terapkan untuk mengamankan halaman login Anda, menginstal tema dan plugin, panel admin, dan lainnya.

Amankan Halaman Login WordPress Anda

1. Gunakan Kata Sandi yang Kuat

Untuk mengamankan halaman login WordPress Anda, Anda harus selalu menggunakan kata sandi yang tidak dapat ditebak oleh siapa pun. Lebih baik lagi, pola kata sandinya harus unik.

Sesuai data dari NordPass, kata sandi yang paling umum adalah "kata sandi". Kata sandi semacam itu mudah ditebak dan membuat situs web Anda rentan terhadap penyerang.

Jadi, gunakan kata sandi dengan setidaknya 12 karakter. Selain itu, kata sandi Anda harus menyertakan campuran huruf besar dan kecil, beberapa angka, dan karakter khusus.

Anda juga dapat menggunakan pembuat kata sandi seperti Delinea untuk membuat kata sandi yang kuat untuk Anda.

Sementara itu, itu juga akan membantu jika Anda secara teratur mengubah kata sandi Anda.

2. Aktifkan Otentikasi Dua Faktor

Mengaktifkan autentikasi dua faktor seperti menambahkan lapisan keamanan ekstra.

Otentikasi pertama adalah nama pengguna dan kata sandi Anda, sedangkan yang kedua menggunakan aplikasi atau perangkat terpisah.

Misalnya, Anda dapat mengatur email atau nomor telepon untuk autentikasi kedua. Ini kemudian akan mengautentikasi pengguna saat masuk dengan mengirimkan kode keamanan ke ponsel atau email.

Pengguna hanya dapat masuk jika mereka memasukkan kode yang sama. Untuk melakukannya, Anda harus menginstal dan mengaktifkan plugin yang menambahkan fungsi autentikasi dua faktor.

Beberapa contoh plugin tersebut adalah Two-Factor, Two Factor Authentication, dan sebagainya.

3. Batasi Upaya Login

Saat Anda menetapkan batas untuk upaya masuk, penyerang dilarang masuk ke situs WordPress Anda setelah melewati batas.

Mereka tidak bisa lagi memasukkan username dan password dengan cara menebak berkali-kali. Itu juga mencegah serangan brute force, salah satu cara termudah untuk menyerang situs web apa pun.

Kami akan berbicara lebih banyak tentang serangan brute-force di bagian selanjutnya.

Ketika peretas atau penyerang gagal masuk dengan mencoba berkali-kali, mereka akan pindah ke situs rentan lainnya. Juga, mereka akan diblokir setelah gagal memasukkan kata sandi yang benar.

Untuk membatasi upaya login, Anda dapat menggunakan plugin seperti Limit Login Attempts Reloaded, yang menawarkan fungsionalitasnya.

4. Ubah URL Login Default

Salah satu cara termudah bagi penyerang untuk menyerang situs WordPress Anda adalah melalui URL login. Sangat mudah untuk menemukan URL login WordPress default jika Anda belum mengubahnya.

URL login default untuk situs web WordPress apa pun adalah domain-name/wp-login atau domain-name/wp-admin .

Misalnya, URL login situs web example.com adalah www.example.com/wp-admin .

Dengan demikian, Anda harus mengubah URL halaman login Anda dan menggunakan URL login kustom. URL login yang unik sulit ditemukan oleh penyerang.

Anda dapat menggunakan plugin Registrasi Pengguna untuk mengubah URL login default.

5. Ubah Nama Pengguna Default – admin

Nama pengguna seperti admin dan administrator bersifat umum dan mudah ditebak. Karena itu, Anda harus mengubah nama pengguna dari admin menjadi sesuatu yang unik agar tidak ada yang bisa memecahkannya.

Menggunakan alamat email untuk masuk bahkan lebih baik daripada nama pengguna.

WordPress tidak mengizinkan pengubahan nama pengguna secara default. Tetapi Anda dapat mengubah nama pengguna dengan membuat admin baru dan menghapus yang lama.

Anda dapat membuat pengguna baru dengan membuka Users >> Add New dan memberikan peran Administrator .

Anda juga dapat menggunakan plugin pengubah nama pengguna seperti Easy Username Updater atau memperbarui nama pengguna dari phpMyAdmin.

Amankan Tema dan Plugin Terinstal Anda

6. Unduh Tema dan Plugin dari Sumber Tepercaya

WordPress menawarkan banyak plugin dan tema luar biasa untuk menambahkan fungsionalitas ekstra ke situs Anda. Namun alangkah baiknya jika Anda sangat berhati-hati dalam memilih tema dan plugin tersebut.

Untuk menggunakan tema dan plugin gratis, selalu unduh dari repositori WordPress. Juga, pilih tema atau plugin dengan melihat ulasan pengguna mereka.

Dan untuk tema dan plugin premium, Anda harus membelinya dari situs resmi tema dan plugin masing-masing.

Misalnya, Anda dapat membeli versi premium dari tema WordPress – Zakra, dari situs resminya, zakratheme.com.

Atau Anda juga dapat membeli tema dari pasar terkenal seperti ThemeForest Envato.

Selain itu, Anda juga dapat menyembunyikan detail tema yang Anda gunakan di situs WordPress Anda untuk keamanan lebih lanjut.

7. Perbarui Tema dan Plugin

Karena WordPress secara teratur memperbarui intinya, tema dan plugin pihak ketiga juga sering merilis pembaruan.

Karena itu, Anda harus memperbaruinya segera setelah Anda mendapatkan pemberitahuan versi baru. Dengan setiap versi baru, tema dan plugin memperbaiki bug dan celah keamanannya.

Selain itu, mereka dibuat kompatibel agar sesuai dengan versi WordPress yang baru dirilis.

Untuk memeriksa apakah Anda memiliki versi tema dan plugin terbaru, Anda dapat membuka Pembaruan di dasbor Anda.

Selain itu, tema dan plugin yang tidak diperbarui terlalu lama menimbulkan risiko keamanan bagi situs Anda. Jadi, segera ganti tema dan plugin jika sudah tidak update lagi.

Anda juga dapat membaca artikel kami tentang memperbarui WordPress, tema, dan plugin ke versi terbaru.

8. Gunakan Plugin Keamanan WordPress

Hal penting lain yang harus Anda lakukan untuk menjaga keamanan situs Anda adalah dengan menggunakan plugin keamanan.

Ada banyak plugin keamanan yang dibuat untuk menjaga keamanan situs WordPress. Jadi, temukan plugin keamanan tepercaya dan instal di situs web Anda.

Sementara itu, Anda harus memilih plugin keamanan terbaru, terverifikasi, dan aman seperti Sucuri Security yang dapat mencegah kemungkinan serangan WordPress.

Kami juga memiliki daftar beberapa plugin keamanan luar biasa yang dapat Anda rujuk.

9. Hapus Tema dan Plugin yang Tidak Digunakan

Setelah menjalankan situs web WordPress selama bertahun-tahun atau berbulan-bulan, Anda mungkin telah mencoba dan menguji banyak tema dan plugin.

Dan ada juga kemungkinan besar Anda tidak menghapus tema dan plugin yang tidak terpakai seperti yang ditunjukkan pada gambar di bawah ini. Semua tema kecuali Zakra adalah tema tidak aktif.

Tetapi Anda harus tahu bahwa tema dan plugin Anda yang tidak terpakai rentan terhadap ancaman keamanan.

Karena mereka tetap berada di situs Anda tanpa pembaruan apa pun, mereka dapat mengundang malware lain ke situs Anda. Jadi, pastikan Anda menghapus tema dan plugin yang tidak aktif dari situs web Anda.

Berikut panduan lengkap menghapus tema tidak terpakai yang bisa Anda ikuti.

Amankan Panel Administratif Anda

10. Perbarui Perangkat Lunak Inti WordPress Secara Teratur

WordPress membawa banyak perbaikan pada bug dan masalah terkait keamanan dengan setiap pembaruan. Gagal memperbarui WordPress inti Anda berarti mengundang penyerang.

Tapi jangan khawatir! Sangat mudah untuk memperbarui inti WordPress dengan satu klik. Demi kenyamanan Anda, WordPress memberi tahu Anda tentang setiap pembaruan besar langsung di dasbor Anda.

Jadi, selalu perbarui WordPress Anda untuk mencegah serangan apa pun. Namun, harap buat cadangan situs web sebelum memperbarui inti WordPress.

11. Buat Backup Secara Teratur

Membuat cadangan seluruh situs web membantu memulihkan situs web Anda jika terjadi serangan keamanan. Dengan cara ini, Anda tidak kehilangan data penting karena pelanggaran keamanan.

Selain itu, ini bisa menjadi keuntungan besar nantinya jika Anda salah membuat beberapa perubahan pada situs web Anda.

Selain situs web, Anda juga harus membuat cadangan database Anda.

Kabar baiknya adalah tidak perlu waktu lama untuk mencadangkan situs Anda. Anda cukup menginstal plugin cadangan seperti UpdraftPlus, yang menangani sisanya.

Berikut daftar lengkap plugin cadangan yang dapat Anda pilih.

12. Aktifkan Firewall Aplikasi Web

Firewall aplikasi web (WAF) dapat memblokir semua lalu lintas web berbahaya sebelum mencapai situs web Anda.

Ini memonitor dan memfilter lalu lintas masuk dan keluar antara Internet dan aplikasi web. WAF hanya mengizinkan pengiriman lalu lintas asli ke server web Anda.

Dengan demikian, ini melindungi aplikasi web dari serangan seperti skrip lintas situs (XSS), injeksi SQL, dll.

Untuk mengaktifkan WAF, Anda dapat menginstal plugin WordPress keamanan yang bagus seperti Wordfence, Sucuri Security, dan Cloudflare.

13. Sembunyikan File wp-config

File wp-config terdiri dari semua informasi yang berkaitan dengan konfigurasi situs WordPress.

Ini memiliki parameter yang terhubung ke database, kunci keamanan, kata sandi, dan banyak lagi. Jika penyerang mengakses file ini dari situs web Anda, ini dapat menyebabkan masalah serius.

Oleh karena itu, Anda harus menyembunyikan file wp-config dari penyerang.

Secara default, file wp-config terletak di folder public_html. Dengan demikian, Anda cukup mengubah lokasi file.

14. Berikan Akses sesuai Peran Pengguna

WordPress memiliki fitur menetapkan peran pengguna. Secara default, ada 5 peran pengguna di WordPress dengan hak khusus.

Dengan demikian, Anda harus memberikan akses pengguna ke situs web Anda sesuai peran mereka.

Misalnya, jika Anda memiliki tim blog, beri mereka peran sebagai penulis atau editor untuk menerbitkan, mengedit, dan memperbarui artikel saja. Mereka tidak memerlukan hak administrator.

Administrasi adalah salah satu peran terpenting, dan Anda harus mendistribusikannya hanya kepada mereka yang membutuhkannya.

15. Scan Website Secara Teratur

Seperti yang Anda ketahui, mencegah lebih baik daripada mengobati. Oleh karena itu, Anda harus secara teratur memindai situs web Anda. Ini memastikan situs Anda aman dari malware.

Pilih dari daftar plugin keamanan terbaik kami dan instal salah satu plugin di situs Anda. Meskipun mendeteksi beberapa malware, Anda dapat menghapusnya tepat waktu.

Plugin seperti Jetpack dapat secara otomatis mendeteksi perubahan pada file Anda, menemukan perilaku jahat, dan melindungi situs Anda.

Mereka juga memberi tahu Anda tentang masalah kritis, memantau waktu henti, dan memperbaiki ancaman umum secara otomatis.

Dapatkan Keamanan Melalui Hosting

16. Pilih Layanan Hosting WordPress yang Aman

Layanan hosting yang Anda beli adalah rumah dari situs web Anda. Oleh karena itu, Anda harus sangat berhati-hati saat memilih layanan hosting.

Mereka harus memberikan keamanan yang ketat dan, pada saat yang sama, mendukung HTTPS, menyediakan sertifikat SSL, dan mengelola pencadangan.

Banyak penyedia hosting web, seperti Bluehost dan Hostinger, menyediakan solusi lengkap untuk menghosting situs WordPress Anda.

17. Instal sertifikat SSL

SSL (Secure Sockets Layer), atau TLS (Transport Layer Security), adalah protokol untuk membuat tautan terenkripsi dan terotentikasi antara jaringan komputer.

Ini memastikan transfer aman penting di seluruh situs dan browser Anda. Sertifikat SSL menyediakan pasangan kunci kriptografi yang terdiri dari kunci publik dan pribadi.

Kunci publik memungkinkan browser web untuk memulai komunikasi terenkripsi dengan server web.

Di sisi lain, kunci privat disimpan di server dan digunakan untuk menandatangani halaman web dan dokumen lainnya secara digital.

Penyedia layanan hosting untuk WordPress menawarkan sertifikat SSL, yang menangani proses penyiapan untuk Anda.

Atau Anda juga bisa menambahkan sertifikat SSL dari otoritas sertifikat seperti Cloudflare dan GoDaddy.

Masalah Keamanan WordPress Umum

Serangan membabi buta

Serangan brute force adalah salah satu masalah keamanan WordPress yang paling umum. Dalam kasus serangan brute force, penyerang mencoba login berkali-kali dengan menebak kata sandi.

Penyerang biasanya menargetkan halaman login situs web dan berusaha mendapatkan akses tidak sah. Mereka mencoba masuk sampai tebakan nama pengguna dan kata sandi mereka benar.

Oleh karena itu, Anda harus menggunakan kata sandi yang kuat, membatasi upaya login, menggunakan autentikasi dua faktor, dan mengubah URL login dan nama pengguna default.

Injeksi SQL

Injeksi SQL menargetkan database situs WordPress Anda. Penyerang mencoba menyuntikkan kueri SQL berbahaya ke dalam database untuk mengakses informasi yang tidak sah.

Saat skrip tersebut dijalankan, penyerang dapat memanipulasi atau menghapus baris tabel database.

Dalam kasus WordPress, melalui injeksi SQL, penyerang juga dapat menyerang plugin dan tema yang berinteraksi dengan database situs web.

Dengan demikian, memperbarui plugin dan tema secara rutin, menggunakan firewall, dan membuat cadangan situs web dapat mengurangi risiko serangan injeksi SQL di situs WordPress Anda.

Serangan DDoS

Serangan DDoS (Distributed Denial of Service) membebani situs web atau server dengan volume lalu lintas yang luar biasa besar. Akibatnya, pengguna tidak dapat mengakses situs web.

Penyerang melakukan serangan dengan membuat bot komputer untuk mengirim lalu lintas dalam jumlah besar ke situs web target pada saat yang bersamaan

Untuk mencegah serangan tersebut, gunakan jaringan pengiriman konten (CDN) seperti Cloudflare untuk mendistribusikan lalu lintas masuk dan firewall aplikasi web.

Anda juga dapat memantau lalu lintas jaringan situs Anda secara teratur dan menggunakan layanan hosting yang aman.

Pembuatan Skrip Lintas Situs (XSS)

Cross-Site Scripting (XSS) adalah jenis lain dari serangan dunia maya di mana penyerang mencoba menyuntikkan kode atau skrip berbahaya yang dapat dieksekusi ke situs web.

Penyerang dapat melakukan serangan XSS melalui konten buatan pengguna seperti komentar, formulir kontak, atau pengiriman formulir pendaftaran pengguna.

Oleh karena itu, Anda harus selalu memvalidasi input pengguna dan menggunakan plugin formulir kontak aman seperti Formulir Everest dan plugin pendaftaran pengguna seperti Pendaftaran Pengguna.

Selain itu, Anda juga harus mengikuti langkah-langkah keamanan lainnya.

Membungkusnya!

Jadi, itu saja dari kami di daftar periksa keamanan WordPress. Kami harap Anda benar-benar menikmati membaca artikel ini dan memahami cara meningkatkan keamanan WordPress.

Singkatnya, keamanan situs WordPress Anda harus selalu menjadi prioritas Anda. Itu dapat melindungi data dan informasi Anda dan menjaga integritas situs Anda.

Dengan demikian, mengikuti daftar periksa keamanan WordPress kami, Anda dapat mengurangi risiko situs Anda diserang. Kami juga menyarankan Anda untuk menggunakan produk pihak ketiga lainnya dengan hati-hati.

Jika Anda masih punya waktu, Anda dapat menjelajahi halaman blog kami. Kami memiliki artikel luar biasa yang memandu Anda untuk menghapus nama tema dari footer, mengubah warna tautan, dll.

Juga, ikuti kami di Twitter dan Facebook untuk mendapatkan update terbaru.

Penafian: Beberapa tautan di pos mungkin merupakan tautan afiliasi. Jadi jika Anda membeli sesuatu menggunakan tautan tersebut, kami akan mendapatkan komisi afiliasi.