Cara Membuat Situs WordPress Aman

Meluncurkan situs WordPress Anda sendiri akhir-akhir ini cukup mudah. Sayangnya, tidak butuh waktu lama bagi peretas untuk mulai menargetkan situs Anda.

Cara terbaik untuk membuat situs WordPress aman adalah dengan memahami setiap titik kerentanan yang berasal dari menjalankan situs WordPress . Kemudian instal keamanan yang sesuai untuk memblokir peretas di setiap titik tersebut.

Dalam artikel ini Anda akan mempelajari cara mengamankan domain dengan lebih baik, login WordPress , dan alat serta plugin yang tersedia untuk mengamankan situs WordPress Anda .

Buat Domain Pribadi

Sekarang ini terlalu mudah untuk menemukan domain yang tersedia(find an available domain) dan membelinya dengan harga yang sangat murah. Kebanyakan orang tidak pernah membeli add-on domain apa pun untuk domain mereka. Namun, satu add-on yang harus selalu Anda pertimbangkan adalah Perlindungan Privasi(Privacy Protection) .

Ada tiga tingkat dasar perlindungan privasi dengan GoDaddy , tetapi ini juga cocok dengan penawaran sebagian besar penyedia domain.

  • Dasar(Basic) : Sembunyikan nama dan info kontak Anda dari direktori WHOIS . Ini hanya tersedia jika pemerintah mengizinkan Anda menyembunyikan informasi kontak domain.
  • Penuh(Full) : Ganti informasi Anda sendiri dengan alamat email alternatif dan info kontak untuk menutupi identitas Anda yang sebenarnya.
  • Ultimate : Keamanan tambahan yang memblokir pemindaian domain berbahaya, dan mencakup pemantauan keamanan situs web untuk situs Anda yang sebenarnya.

Biasanya, memutakhirkan domain Anda ke salah satu tingkat keamanan ini hanya perlu memilih untuk meningkatkan dari menu tarik-turun di halaman daftar domain Anda.

Perlindungan domain dasar(Basic) cukup murah (biasanya sekitar $9,99/tahun), dan tingkat keamanan yang lebih tinggi tidak jauh lebih mahal.

Ini adalah cara terbaik untuk menghentikan spammer agar tidak mengambil informasi kontak Anda dari database WHOIS , atau orang lain dengan niat jahat yang ingin mendapatkan akses ke informasi kontak Anda.

Sembunyikan(Hide) File wp-config.php dan .htaccess

Saat pertama kali menginstal WordPress(install WordPress) , Anda harus menyertakan ID administratif dan kata sandi untuk database SQL WordPress(WordPress SQL) Anda di file wp-config.php. 

Data itu dienkripsi setelah instalasi, tetapi Anda juga ingin memblokir peretas agar tidak dapat mengedit file ini dan merusak situs web Anda. Untuk melakukannya, temukan dan edit file .htaccess di folder root situs Anda dan tambahkan kode berikut di bagian bawah file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Untuk mencegah perubahan pada .htaccess itu sendiri, tambahkan juga yang berikut ini ke bagian bawah file.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Simpan file dan keluar dari editor file.

Anda juga dapat mempertimbangkan untuk mengklik kanan setiap file dan mengubah izin untuk menghapus akses Tulis(Write) sepenuhnya untuk semua orang.

Saat melakukan ini pada file wp-config.php seharusnya tidak menyebabkan masalah, melakukannya di .htaccess dapat menyebabkan masalah. Terutama jika Anda menjalankan plugin WordPress keamanan apa pun yang mungkin perlu mengedit file .htaccess untuk Anda.

Jika Anda menerima kesalahan apa pun dari WordPress , Anda selalu dapat memperbarui izin untuk mengizinkan akses Tulis(Write) pada file .htaccess lagi.

Ubah URL Login WordPress Anda

Karena halaman login default untuk setiap situs WordPress adalah yourdomain/wp-admin.php, peretas akan menggunakan URL ini untuk mencoba dan meretas situs Anda.

Mereka akan melakukan ini melalui apa yang dikenal sebagai serangan “brute force” di mana mereka akan mengirimkan variasi nama pengguna dan kata sandi yang biasa digunakan banyak orang. Peretas berharap mereka akan beruntung dan mendapatkan kombinasi yang tepat.

Anda dapat menghentikan serangan ini sepenuhnya dengan mengubah URL login WordPress(WordPress login URL) Anda menjadi sesuatu yang tidak standar.

Ada banyak plugin WordPress untuk membantu Anda melakukan ini. (WordPress)Salah satu yang paling umum adalah WPS Hide Login .

Plugin ini menambahkan bagian ke tab Umum di bawah (General)Pengaturan(Settings) di WordPress.

Di sana, Anda dapat mengetikkan URL(URL) login apa pun yang Anda inginkan dan memilih Simpan Perubahan(Save Changes) untuk mengaktifkannya. Lain kali Anda ingin masuk ke situs WordPress Anda , gunakan URL baru ini .

Jika ada yang mencoba mengakses URL wp-admin lama Anda , mereka akan dialihkan ke halaman 404 situs Anda.

Catatan(Note) : Jika Anda menggunakan plugin cache, pastikan untuk menambahkan URL login baru Anda ke daftar situs yang tidak(not) akan di-cache. Kemudian pastikan untuk membersihkan cache sebelum Anda masuk kembali ke situs WordPress Anda lagi.

Instal Plugin Keamanan WordPress

Ada banyak plugin keamanan WordPress(WordPress security plugins) untuk dipilih. Dari semuanya, Wordfence adalah yang paling sering diunduh, untuk alasan yang bagus.

Versi gratis Wordfence menyertakan mesin pindai canggih yang mencari ancaman pintu belakang, kode berbahaya di plugin(malicious code in your plugins) atau situs Anda, ancaman injeksi MySQL , dan banyak lagi. (MySQL)Ini juga termasuk firewall untuk memblokir ancaman aktif seperti serangan  DDOS .

Ini juga akan memungkinkan Anda menghentikan serangan brute force dengan membatasi upaya login dan mengunci pengguna yang melakukan terlalu banyak upaya login yang salah.

Ada beberapa pengaturan yang tersedia dalam versi gratis. Lebih dari cukup untuk melindungi situs web kecil hingga menengah dari sebagian besar serangan.

Ada juga halaman dasbor yang berguna yang dapat Anda tinjau untuk memantau ancaman dan serangan terbaru yang telah diblokir.

Gunakan Generator Kata Sandi WordPress(WordPress Password Generator) dan 2FA

Hal terakhir yang Anda inginkan adalah agar peretas dapat dengan mudah menebak kata sandi Anda. Sayangnya, terlalu banyak orang menggunakan kata sandi yang sangat sederhana yang mudah ditebak. Beberapa contoh termasuk menggunakan nama situs web atau nama pengguna sendiri sebagai bagian dari kata sandi, atau tidak menggunakan karakter khusus apa pun.

Jika Anda telah meningkatkan ke versi terbaru WordPress , Anda memiliki akses ke alat keamanan kata sandi yang kuat untuk mengamankan situs WordPress Anda . 

Langkah pertama untuk meningkatkan keamanan kata sandi Anda adalah pergi ke setiap pengguna untuk situs Anda, gulir ke bawah ke bagian Manajemen Akun(Account Management) , dan pilih tombol Buat Kata Sandi(Generate Password) .

Ini akan menghasilkan kata sandi yang panjang dan sangat aman yang mencakup huruf, angka, dan karakter khusus. Simpan kata sandi ini di tempat yang aman, sebaiknya dalam dokumen di drive eksternal yang dapat Anda putuskan sambungannya dari komputer saat Anda online.

Pilih Log Out Everywhere Else untuk memastikan semua sesi aktif ditutup.

Terakhir, jika Anda telah menginstal plugin keamanan Wordfence , Anda akan melihat tombol (Wordfence)Activate 2FA . Pilih ini untuk mengaktifkan otentikasi dua faktor untuk login pengguna Anda.

Jika Anda tidak menggunakan Wordfence , Anda harus menginstal salah satu dari plugin 2FA populer ini.

Pertimbangan Keamanan Penting(Important Security Considerations) Lainnya

Ada beberapa hal lagi yang dapat Anda lakukan untuk mengamankan situs WordPress Anda sepenuhnya .

Baik plugin WordPress(WordPress plugins) dan versi WordPress itu sendiri harus diperbarui setiap saat. Peretas sering mencoba mengeksploitasi kerentanan dalam versi kode yang lebih lama di situs Anda. Jika Anda tidak memperbarui keduanya, Anda berisiko meninggalkan situs Anda.

1. Pilih Plugins and Installed Plugins secara teratur di panel admin WordPress Anda . Tinjau(Review) semua plugin untuk status yang menyatakan bahwa versi baru telah tersedia.

Jika Anda melihat yang kedaluwarsa, pilih perbarui sekarang(update now) . Anda juga dapat mempertimbangkan untuk memilih Aktifkan pembaruan otomatis untuk plugin Anda. 

Namun, beberapa orang berhati-hati dalam melakukan ini karena pembaruan plugin terkadang dapat merusak situs atau tema Anda. Jadi, selalu merupakan ide bagus untuk menguji pembaruan plugin di situs pengujian WordPress lokal(local WordPress test site) sebelum mengaktifkannya di situs langsung Anda.

2. Saat Anda masuk ke dasbor WordPress , Anda akan melihat pemberitahuan bahwa (WordPress)WordPress sudah kedaluwarsa jika Anda menjalankan versi yang lebih lama.

Sekali lagi, buat cadangan situs dan muat ke situs uji lokal di PC Anda sendiri untuk menguji bahwa pembaruan WordPress tidak merusak situs Anda sebelum Anda memperbaruinya di situs web langsung Anda.

3. Manfaatkan fitur keamanan gratis host web Anda. Kebanyakan web host menawarkan berbagai layanan keamanan gratis untuk situs yang Anda host di sana. Mereka melakukan ini karena tidak hanya melindungi situs Anda, tetapi juga menjaga keamanan seluruh server. Ini sangat penting ketika Anda menggunakan akun hosting bersama di mana klien lain memiliki situs web di server yang sama.

Ini sering kali mencakup pemasangan keamanan SSL gratis untuk situs Anda, (free SSL security)pencadangan gratis(free backups) , kemampuan untuk memblokir alamat IP berbahaya, dan bahkan pemindai situs gratis yang akan secara teratur memindai situs Anda untuk mencari kode atau kerentanan berbahaya.

Menjalankan situs web tidak pernah sesederhana menginstal WordPress dan hanya memposting konten. Sangat penting untuk membuat situs WordPress Anda seaman mungkin. Semua tips di atas dapat membantu Anda melakukannya tanpa terlalu banyak usaha.



Bakidin Situmorang

About the author

Saya seorang teknisi komputer dengan pengalaman lebih dari 10 tahun di industri hiburan. Saya tahu cara memperbaiki komputer dan tablet, meningkatkan kinerjanya, dan meningkatkan kegunaannya. Selain itu, saya juga dapat membantu kebutuhan hiburan Anda dengan memberikan tips tentang cara menonton TV atau mengunduh konten film di iPhone atau Mac Anda.


Related posts