Kembali pada tahun 2003 ketika WordPress dikembangkan oleh Matt Mullenweg untuk menjadi platform yang mudah digunakan bagi blogger untuk berbagi pemikiran mereka melalui internet. Tetapi interface yang mudah digunakan dan skalabilitas ekstrem dari program ini mendapat perhatian banyak webmaster di seluruh dunia dan hanya dalam beberapa tahun peluncurannya, WordPress menjadi CMS paling populer di dunia.
Sekarang WordPress yang kita gunakan sebenarnya jauh lebih maju daripada sebelumnya. Pada kenyataannya CMS WordPress masih terdapat kerentanan, tetapi jangan khwatir kalian bisa menggunakan 10 Tips ini untuk mengamankan Situs WordPress kalian.
Baca Juga: 5 Plugin Terbaik Untuk Keamanan WordPress (Free)
DAFTAR ISI
Mengamankan Situs WordPress
1. Dapatkan Hosting Yang Cepat & Aman
Ketika datang ke hosting orang selalu mencari akun rencana unlimited dengan ruang tak terbatas, bandwidth unlimited, dan domain unlimited karena mereka pikir itu akan lebih murah seperti itu. Tetapi apa yang tidak pernah mereka pahami adalah bahwa mereka terjebak dalam perangkap. Singkatnya tidak ada yang unlimited di dunia ini. Bahkan sinar matahari pun akan habis sutu saat nanti.
Perusahaan merek besar menggunakan tag “UNLIMITED” untuk memikat pengguna pemula agar dapat online dan setelah itu memberikan layanan yang menyedihkan sehingga mereka hampir akan merasa terpaksa untuk meningkatkan ke server VPS yang lebih mahal.
2. Jangan Pernah Menggunakan Username “admin” Default
Sekarang ketika kalian menginstal WordPress di server apa pun menjadi sangat mudah sehingga kebanyakan orang mengabaikan hal-hal kecil ini pada proses instalasi. Tidak masalah apakah kalian menggunakan default WordPress installer atau penginstal satu klik yang datang dengan panel kontrol server kalian, pastikan kalian mengubah nama pengguna admin utama menjadi pun dari “admin” default. Ini sangat penting.
Alasan yang paling penting adalah karena sebagian besar peretas menggunakan alat Brute Force Attack untuk menebak secara acak nama pengguna dan kata sandi kalian agar berhasil masuk. Sekarang jika nama pengguna admin kalian sebenarnya adalah “admin” maka kalian telah membuat kehidupan peretas sangat mudah karena sekarang mereka hanya perlu memecahkan kata sandi kalian.
3. Selalu Gunakan Password Yang Sangat Kuat
Admin tahu ini adalah hal yang sangat mendasar dan semua orang di internet sudah mengetahui hal ini, tetapi percayalah tidak semua orang menggunakan ini saat dibutuhkan. Pastikan kata sandi admin WordPress kalian berisi kombinasi Huruf Besar, Huruf Kecil, Alfanumerik (mis. @, #,?), Nomor dan panjangnya minimal 9 karakter. Dengan cara ini kalian dapat memberikan peretas rasa sakit yang nyata untuk benar-benar mendekripsi password kalian.
4. Selalu Update Core, Tema & Plugin WordPress
Percayalah ini adalah salah satu hal paling umum yang ditemukan di hampir setiap situs WordPress. Meskipun benar bahwa memperbarui core WordPress, tema atau plugin dapat merusak situs kalian kadang-kadang tetapi itu hanya terjadi untuk 0,001% dari situs web yang menggunakan tema dan plugin dengan kode yang buruk.
Alasan ini menjadi rusak setelah pembaruan adalah karena kadang-kadang pengembang tema yang kalian gunakan atau beberapa plugin di situs kalian telah berhenti mendukung dan memperbarui kodenya. Jadi, ketika WordPress menghentikan fungsi apa pun, tema / plugin tersebut masih mencoba mengaksesnya dan akhirnya mengalami banyak kesalahan PHP.
Apa pun masalahnya, selalu update situs kalian dengan WordPress versi terbaru, tema dan plugin yang dipasang. Pengembang merilis patch setiap hari untuk memperbaiki vulnerabilities dalam perangkat lunak mereka segera setelah mereka mengetahui atau diberitahukan.
5. Hapus Tema & Plugin Yang Tidak Digunakan
Banyak situs WordPress yang penuh dengan tema dan plugin terpasang dan bahkan tidak mereka gunakan di situs mereka. Mereka hanya membiarkan hal-hal ini dinonaktifkan dan mengira mereka tidak akan sulit juga karena mereka dinonaktifkan. Ini benar-benar ide yang salah. Jauh lebih mudah bagi peretas mana pun untuk menargetkan tema / plugin lama atau hal-hal yang diinstal tetapi dinonaktifkan agar dapat melewati keamanan situs web kalian dengan menargetkan kerentanan dalam tema dan plugin tersebut.
Karena hal-hal ini sudah dinonaktifkan di situs kalian, maka kalian tidak akan melihat adanya perubahan halus pada kode tema / plugin dan peretas menggunakan ini sebagai keuntungan mereka. Ketika kalian berkali-kali memasang plugin di situs kalian dan kemudian menonaktifkannya, pengembang yang sebenarnya dari plugin itu berhenti memperbarui plugin itu dan peretas menggunakan kerentanan di dalam tema / plugin lama itu untuk meretas situs kalian.
Jadi, selalu simpan hal-hal yang benar-benar kalian gunakan di situs kalian, jika ada daftar plugin dan tema yang diinstal di situs WordPress kalian tetapi kalian tidak menggunakannya, DELETE saja. Apakah itu tema atau plugin yang dilengkapi dengan instalasi default WordPress atau sesuatu yang telah kalian instal sebelumnya. Aturan yang sama berlaku untuk semuanya. Simpan saja barang-barang yang kalian butuhkan dan singkirkan sisanya.
6. Perketat Area Admin
Ketika terjadi perketarea admin, kalian harus mengubah URL admin default dan membatasi jumlah upaya login gagal sebelum pengguna dikunci dari situs kalian. Secara default, URL admin untuk situs web kalian akan terlihat seperti ini: namadomain.com/wp-admin . Peretas mengetahui hal ini dan akan mencoba mengakses URL ini secara langsung sehingga mereka dapat memperoleh akses ke situs kalian. Kalian dapat mengubah URL ini dengan sebuah plugin seperti WPS Hide Login.
Selanjutnya kalian batasi jumlah upaya login yang gagal. dengan menambahkan fitur penguncian untuk upaya login yang gagal dapat memecahkan masalah besar upaya brute force berkelanjutan. Setiap kali ada upaya peretasan dengan kata sandi yang salah berulang, situs terkunci, dan kalian diberitahu tentang kegiatan yang tidak sah ini. Kalian dapat menggunakan plugin LockDown.
7. Gunakan HTTPS Dan SSL
Internet telah penuh dengan posting blog dan artikel tentang pentingnya protokol HTTPS dan menambahkan sertifikat keamanan SSL ke situs kalian. HTTPS adalah singkatan dari Hypertext Transfer Protocol Secure, sedangkan SSL adalah Secure Socket Layers. Singkatnya, HTTPS memungkinkan peramban pengunjung untuk membuat koneksi aman dengan server hosting kalian. Protokol HTTPS diamankan melalui SSL. Bersama-sama, HTTPS dan SSL memastikan bahwa semua informasi antara browser pengunjung dan situs kaliandienkripsi.
Menggunakan keduanya di situs kalian tidak hanya akan meningkatkan keamanan situs kalian, tetapi juga akan menguntungkan peringkat mesin pencari kalian, membangun kepercayaan pada pengunjung kalian. Bicaralah dengan penyedia hosting kalian dan tanyakan tentang kemungkinan mendapatkan sertifikat SSL atau kalian bisa mencoba menggunakan layanan CloudFlare yang gratis, daripada tidak memakainya sama sekali.
8. Hanya Install Tema Dan Plugin Tepercaya
Jangan pernah memasang tema atau plugin dari beberapa video pemasaran atau situs web pemasaran palsu karena dalam sebagian besar kasus meskipun menyediakan situs web gratis yang sepenuhnya dibangun, ada kemungkinan besar bahwa tema dan plugin tersebut memiliki kode jahat yang dapat membahayakan keamanan situs web kalian. Jika kalian memasang tema atau plugin gratis, pasang saja melalui WordPress plugin installer atau download dari repositori pengaya WordPress. Beli atau download tema dan plugin hanya dari situs web tepercaya seperti themeforest, codecanyon dll.
9. Nonaktifkan Daftar Direktori
Pada kebanyakan kasus daftar direktori webservers telah diaktifkan secara default karena berbagai alasan, tetapi setelah pengembangan situs web kalian selesai, buka saja .htaccess
file yang ada di direktori root atau di bawah public_html
direktori server kalian dan tambahkan kode berikut di bagian atas yang sudah ada kode htaccess Options -Indexes
Ini akan menonaktifkan fitur daftar direktori dari server kalian dan siapa saja yang mencoba untuk mengakses direktori server yang tidak memiliki index.html
atau index.php
file yang akan mengembalikan 403 error Terlarang. Kode di atas akan berfungsi untuk Apache dan juga server Lightspeed tetapi jika kalian memiliki server nGinx, hubungi admin server kalian untuk mengaktifkannya di situs web kalian.
Ini sangat penting karena jika kalian tidak menonaktifkan fitur ini di peretas situs web kalian dapat dengan mudah mengikuti struktur direktori kalian dan mencari tahu file persis apa yang kalian miliki di server kalian dan bagaimana mereka diatur. Ini memberi mereka keuntungan mengetahui situs kalian dengan sempurna.
10. Tetapkan Izin Yang Sesuai Untuk File Dan Folder
Jika kalian memiliki akses masuk cPanel ke manajer file kalian dan pastikan semua file situs kalian memiliki izin yang ditetapkan ke 644 dan semua direktori memiliki izin yang ditetapkan ke 755, kecuali beberapa plugin secara khusus meminta kalian untuk mengatur beberapa izin khusus ke beberapa folder khusus . Seperti beberapa plugin cache meminta pengguna untuk mengatur izin ke /wp-contents/cache/
folder ke 777. Ini adalah kasus luar biasa, tetapi untuk sisa file ikuti struktur izin di atas. Jadi pastikan untuk menetapkan izin yang sesuai untuk mengamankan situs WordPress kalian.
Kesimpulan
WordPress adalah CMS yang kuat dan populer yang memudahkan siapa pun untuk membuat situs web. Tetapi karena sangat populer, itu juga menjadi target favorit para peretas. Untungnya, ada sejumlah langkah yang dapat kalian ambil untuk mengamankan situs WordPress kalian dan jika kalian mengikuti tips dalam artikel ini, kalian akan berada di jalur yang tepat untuk memiliki situs web WordPress yang aman.
Sekian artikel 10 Tips Untuk Mengamankan Situs WordPress. Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih.