9 Cara Mengamankan Website WordPress

You are currently viewing 9 Cara Mengamankan Website WordPress

Berbeda dengan pemilik blog gratis wordpress.com dan Blogger, pemilik website WordPress hosted harus rajin melakukan maintenace, termasuk urusan web security. Lalu apa saja cara mengamankan website WordPress yang bisa kamu lakukan? Simak terus artikel ini yah!

Keamanan website adalah salah satu masalah yang harus dihadapi pemilik situs WordPress. Dengan predikat sebagai CMS yang paling banyak digunakan, wajar jika WordPress juga menjadi CMS yang paling banyak diretas.

Berdasarkan data laporan keamanan dari SUCURI pada tahun 2017, WordPress adalah situs yang paling banyak diincar hacker dan terinfeksi malware. Dengan persentase pengguna WordPress yang selalu meningkat, bukan tidak mungkin jumlahnya akan semakin meningkat juga setiap tahunnya.

Persentase CMS yang paling banyak diretas dan terinfeksi malware (Sumber: SUCURI)

Namun hal ini bukan berarti WordPress tidak aman. Tingkat popularitas WordPress yang sangat tinggi membuatnya menjadi lahan yang menggiurkan bagi para hacker untuk memulai aksinya.

WordPress sendiri sebenarnya diklaim cukup aman. Kodenya yang bersifat open source bisa dilihat semua orang, termasuk pengguna WordPress yang berpengalaman yang bisa memberikan input mengenai celah keamanan yang ada pada WordPress. Dengan begitu bug yang ada bisa diselesaikan dengan cepat.

Namun bicara keamanan WordPress tidak hanya masalah pada sofware WordPress itu sendiri saja. Ada banyak faktor yang mempengaruhi tingkat keamanan sebuah website, termasuk faktor human error. Bila kamu peduli dengan masalah keamanan website WordPress, beberapa langkah berikut ini mungkin bisa kamu coba sendiri.

9 Tips Untuk Mengamankan Website WordPress

1. Menggunakan Hosting yang Bagus

Langkah pertama yang harus kamu lakukan untuk mengamankan website WordPress adalah memilih hosting yang baik. Hosting yang baik ibarat rumah kokoh yang akan lebih sulit dibobol oleh pencuri. Selain itu rumah tersebut juga punya sistem keamanan yang canggih dan selalu berjaga 24 jam nonstop.

Dari data yang saya peroleh dari wpwhitesecurity, 41% situs WordPress diretas melalui celah keamanan yang ada pada platform hosting. Jadi bayangkan, hanya dengan memilih hosting yang baik kita akan mengurangi potensi masalah keamanan hingga hampir setengahnya.

Persentase celah keamanan pada website WordPress (Gambar: bisablog.com)

Tidak hanya memberikan server yang stabil, handal, dan aman, hosting yang baik juga akan membantu kita dalam hal perawatan dan memberi solusi yang baik setiap kali situs kita mengalami masalah.

Jadi jangan hanya tergiur dengan harga sewa yang murah meriah. Dengan kontrak yang biasanya berjangka waktu lama, kamu tentu tidak ingin tinggal di rumah yang bermasalah bukan?

2. Ganti Username Admin dan gunakan Password yang Kuat

Setiap akun WordPress akan memiliki area login yang hanya bisa dimasuki user yang terdaftar saja. Dengan begitu orang lain tidak akan bisa secara bebas masuk meski mereka bisa mencobanya.

Dengan menggunakan brute force, orang lain yang berniat jahat bisa saja mencoba beragam kombinasi username dan password sampai mereka berhasil masuk ke dalam area admin WordPress. Bila hal itu sampai terjadi, maka siap-siap saja kehilangan kontrol atas website WordPress kamu.

Untuk mempersulit langkah hacker yang mencoba menyusup, kamu bisa menggunakan password yang sulit ditebak. Password semacam ini umumnya menggunakan beragam kombinasi huruf besar, huruf kecil, angka, dan simbol. Bila kamu kesulitan membuat dan mengingatnya, kamu bisa menggunakan aplikasi pengingat password seperti LastPass atau Dashlane.

Selain memakai password yang kuat, jangan lupa juga untuk mengganti nama username Admin yang biasanya menjadi username default pada setiap instalasi WordPress.

3. Rutin Melakukan Update

Meski jarang mengalami maslah serius, WordPress selalu rajin melakukan update. Updatenya sendiri dibagi menjadi dua jenis, yaitu minor update dan major update. Update minor umumnya berisi perbaikan terhadap bug dan penambalan celah keamanan. Update major sendiri biasanya berisi penambahan fitur baru atau perubahan besar pada core Wordpress

Agar lebih aman, sangat disarankan untuk segera mengupdate WordPress yang kamu gunakan, terutama bila ada minor update yang tersedia. Untuk major update sendiri kamu harus lebih berhati-hati karena biasanya ada perubahan besar yang bisa saja belum diadopsi oleh plugin atau tema yang kamu gunakan.

Untuk melakukan update secara otomatis, kita bisa menambahkan beberapa kode ke dalam file wp-config.php. Bila kamu tidak mau repot dengan cara manual ini, kamu juga bisa melakukan update otomatis dengan bantuan plugin seperti Easy Update Manager.

4. Pasang Plugin Anti-SPAM

Bila kamu mengaktifkan kolom komentar, kamu harus mewaspadai setiap komen yang masuk. Kolom komentar seringkali dijadikan area spamming yang bisa ikut memperburuk reputasi situs kamu. Komen spam sendiri mudah dikenali dengan ciri-ciri semacam ini:

  • Ditulis dalam bahasa asing
  • Menyematkan banyak link
  • Komentar umum yang kadang tidak nyambung dengan isi konten
  • Komentar yang diposting berkali-kali dalam satu artikel

Berdasarkan pengalaman saya, komen spam dalam waktu singkat bahkan bisa menyerang situs-situs baru. Di satu sisi saya mengagumi cara kerja mereka yang cepat namun di satu sisi ini membuat saya waspada.

Memoderasi komen adalah salah satu hal yang harus dilakukan agar semua komen spam dapat tersaring. Namun melakukannya satu-persatu pada setiap komen yang masuk bisa sangat menguras waktu dan tenaga. Karena itulah ada baiknya kamu memasang plugin anti SPAM seperti Akismet yang sudah secara otomatis ada pada hampir semua instalasi default WordPress.

Sebagai alternatif, kamu juga bisa menggunakan plugin anti SPAM lain seperti Anti Spam Bee, WPBruiser, atau Spam Destroyer.

5. Pasang Plugin Keamanan

Untuk mempertebal tembok keamanan WordPress, kamu bisa menggunakan plugin keamanan. Plugin seperti SUCURI, Wordfence, atau All-in-One WP Security & Firewall ini umumnya dilengkapi beragam tools yang bisa membantu kamu mengamankan website WordPress seperti,

  • Firewall
  • Malware scanner
  • Membatasi jumlah login untuk mencegah brute force attack
  • Memperbaiki file WordPress yang rusak/hilang karena serangan malware
  • Blok IP mencurigakan

Tidak hanya itu, plugin keamanan juga memiliki fitur yang bisa memeriksa keamanan situs kamu dan memberi rekomendasi yang harus kamu lakukan untuk memperbaiki celah keamanan teresebut.

6. Mengaktifkan HTTPS

HTTP HTTPS adalah dua protokol yang memungkinkan komunikasi terjadi antara server dan client (browser). Perbedaan utama di antara keduanya ada pada SSL Certificate yang membuat koneksi HTTPS menjadi lebih aman dibanding HTTP.

SSL sendiri mengamankan website WordPress dengan cara melakukan autentikasi dan enkripsi. Autentikasi dilakukan untuk memastikan kita sedang bicara dengan lawan yang sedang kita tuju. Sementara enkripsi dilakukan untuk mengacak pesan yang dikirim sehingga tidak akan bisa dibaca pihak ketiga.

Selain untuk alasan keamanan, migrasi ke HTTPS juga memiliki beragam keuntungan lain seperti meningkatkan nilai SEO blog, memperbaiki tingkat kepercayaan pengunjung terhadap blog kita, hingga peningkatan performa WordPress.

Perbedaan utama http https ada pada SSL

7. Hindari Nulled Theme

Nulled theme adalah tema premium yang sudah di-hack agar bisa digunakan tanpa harus membayarnya, istilah umumnya “tema bajakan.” Saya sendiri pernah menulis beberapa alasan kenapa kamu harus menghindari nulled theme.

Selain tidak etis dan merugikan developer tema tersebut, penggunaan nulled theme juga beresiko tinggi pada masalah keamanan website WordPress. Kita sendiri tidak bisa memastikan bukan kode apa saja yang ditambahkan pada tema tersebut? Lagipula sebagus apapun langkah pencegahan yang kamu lakukan, website WordPress akan tetap dengan mudah dijebol bila kamu mengizikan si pencuri masuk.

8. Backup Secara Berkala

Backup secara berkala adalah hal yang harus dilakukan secara rutin, terutama bila kamu sering melakukan perubahan seperti penambahan pos atau sebelum mengubah settingan WordPress. Backup sendiri bisa dilakukan dengan beragam cara meski saya sendiri menyarankan backup dengan UpdraftPlus untuk mempermudah prosesnya. Sebagai alternatif, kamu juga bisa menggunakan plugin backup lain seperti BackWPUp, Backup Buddy, Duplicator, hingga Vault Press (JetPack).

Agar lebih aman, kita juga bisa melakukan backup di remote storage seperti Google Drive atau Dropbox. Dengan begitu ketika kamu kehilangan akses hosting, kamu masih bisa mengambil backup dari tempat lain.

9. Hindari Human Error

Last but not least, hindari tindakan yang bisa mengancam keamanan webstite WordPress terutama jika kamu sering mengakses situs kamu dari tempat umum. Human error sendiri seringkali menjadi biang keladi kenapa kita memiliki masalah dengan keamanan website WordPress kita. Tidak sembarangan mengklik link dan jangan melakukan kebiasaan browsing yang berpotensi mengandung malware bisa menjadi dua contoh yang bisa kamu lakukan.

Dan dari pengalaman saya sendiri, usahakan untuk memiliki anti keylogger setiap kali kamu menggunakan komputer di tempat umum seperti warnet. Bisa jadi kamu akan cukup terkejut melihat cukup banyak orang iseng yang berusaha mendapatkan data-data pribadi orang lain.

Penutup

Saya harap 9 tips di atas bisa membantu kamu mencegah masalah keamanan website pada website WordPress. Bila kamu memiliki pengalaman seputar keamanan website atau punya tips lain selain di atas, jangan segan untuk menulis komentar kamu di bawah ini yah!

This Post Has 2 Comments

  1. Bumi Anoa

    saya sering pusing menggunakan Wordfence Security, tiap saya mau login ke dshboard WP saya jadi diblock sendiri.. kenapa bisa yaa ??? ada tutor khusus gak..??

    1. Syafiq Salman

      Coba cari opsi whitelist aja trus masukin alamat IP kita supaya gak terus-terusan di blok.

Leave a Reply