15 Cara Mengamankan Website WordPress dari Hacker

Suatu pagi, saya dikagetkan oleh banyaknya URL website WordPress kerjaan yang terindex Google tapi dengan terms dan url aneh, saya langsung paham bahwa website ini terkena hack atau malmware. Terlambat diamankan!

Ancaman virus, hacker & malmware selalu datang ke setiap bisnis dan pemilik website, jadi sudah sewajarnya kita harus tahu cara mengamankan website.

Pada kesempatan kali ini, saya akan berbagi pengalaman dalam mengamankan website WordPress dari hal yang tidak diinginkan dengan cara mudah.

serangan hacker dan virus website

Catatan, karena  banyak website di dunia berbasis WordPress, hingga 13 ribu kasus kemanan wordpress juga sering terjadi, maka topik saat ini seputar tips dan trik bagaimana menjaga website dengan CMS ini supaya tetap aman dari orang-orang jahat.

Jika Anda tidak memiliki banyak waktu, step atau cara paling penting dari tips ini adalah:

    • Update WordPress Core, Themes dan Plugin.
    • Update versi PHP di control panel.
    • Gunakan custom login URL yang unik dan user serta password unik (huruf, angka, karakter, etc)
    • Pasang plugin keamanan seperti WP Security Plugin.
    • BACKUP data base – PENTING untuk solusi cepat ketika website terkena masalah.

Berikut beberapa langkah keamanan untuk melindungi situs WordPress (+ rekomendasi plugin kemanan):

1. Update WordPress Core, Tema, dan Plugin

WordPress, tema dan pluginnya, sering merilis pembaruan atau update untuk mengatasi kerentanan keamanan. Perangkat lunak yang usang adalah salah satu titik masuk atau bisa dibilang celah yah yang paling umum bagi peretas.

Untuk itu, aktifkan pembaruan atau update otomatis untuk pembaruan kecil melalui dashboard WordPress Anda. Untuk update besar, jaga dan awasi situs Anda secara berkala dan lakukan pembaruan sesuai kebutuhan. Selalu lakukan backup situs Anda sebelum menerapkan pembaruan.

Gunakan salah satu plugin seperti Easy Updates Manager untuk memiliki lebih banyak kontrol atas pembaruan otomatis.

update plugi wordpress otomatis
click gambar untuk zoom

BACKUP WEBSITE SEKARANG, PENTING!: Jangan sampai telat dan terlambat. Saya pernah terlambat dan malas untuk update webiste wordpress milik saya, dan ketika hari kurang baik datang, semua sudah terlambat karena untuk membuat seperti semula sebelum terkena hack dan malmware itu melelalahkan.

2. Kata Sandi yang tidak Umum, Kuat dan Unik

Kata sandi atau password yang lemah sangat mudah ditebak atau diretas melalui beberapa metode seperti serangan brute-force. Kata sandi yang kuat dan unik harus dibuat untuk mencegah hal ini. Jangan pernah gunakan kata  username admin karena data ini sangat rawan di hack.

JANGAN GUNAKAN password seperti dibawah ini!:

Contoh top 25 Password yang sering digunakan.

1. 123456
2. password
3. 123456789
4. 12345
5. qwerty		16. iloveyou
17. 1234567
18. sunshine
19. princess
20. password
6. 12345678
7. 111111
8. abc123
9. 123123
10. admin		21. welcome
22. baseball
23. login
24. master
25. superman
11. letmein
12. football
13. 1234
14. monkey
15. dragon

Jika Anda menggunakan salah satu dari password diatas, sangat disarankan untuk segera menggantinya dengan kombinasi kata sandi yang lebih kuat, seperti yang menggabungkan huruf besar, kecil, angka, dan simbol. Ini akan meningkatkan keamanan akun Anda di WordPress atau platform lainnya.

Gunakan pengelola kata sandi seperti 1Password untuk membuat dan menyimpan kata sandi yang kompleks. Terapkan autentikasi dua faktor (2FA) untuk menambah lapisan keamanan.

Untuk memudahkan cara ini, bisa gunakan beberapa plugin tambahan, seperti plugin WP 2FA atau Google Authenticator yang merupakan plugin yang baik untuk menambahkan 2FA ke login WordPress.

3. Pasang Plugin Keamanan

Saya sangat suka plugin keamanan yang memudahkan menjaga website kita. Plugin ini menyediakan berbagai lapisan perlindungan, termasuk pemindaian malware, firewall, dan perlindungan login.

Instal dan konfigurasikan plugin keamanan yang banyak tersedia di market plugin wordpress, pilih yang terpercaya dan pastikan bisa memantau dan melindungi situs web Anda dengan baik.

Plugin yang bisa digunakan seperti Wordfence Security yang menyediakan firewall, pemindai malware, dan pemantauan lalu lintas secara langsung. iThemes Security menawarkan perlindungan brute force, deteksi perubahan file, dan penegakan kata sandi yang kuat.

Ada juga Sucuri Security yang menyediakan audit aktivitas keamanan, pemindaian malware, dan pemantauan daftar hitam.

Lihat plugin security WordPress disini.

4. Batasi Akses Percobaan saat Login ke Website

Serangan dengan cara brute-force melibatkan mencoba kombinasi kata sandi yang berbeda secara berulang, cepat dan terus menerus. Membatasi percobaan login ini akan membuat website kita lebih aman dan mengurangi peluang keberhasilan serangan tersebut.

Untuk itu, konfigurasikan situs Anda untuk membatasi jumlah percobaan login yang gagal sebelum sementara waktu mengunci pengguna tersebut. Plugin Limit Login Attempts Reloaded adalah plugin populer untuk tujuan ini.

5. Ubah URL Login Website

Ini salah satu bagian dan cara yang paling saya suka, dengan mengubah URL login bawaan WordPress yang biasanya ada di /wp-admin/. Cara ini akan membuat lebih sulit bagi hacker untuk menemukan halaman masuk ke website kita, ini poin utama atau WAJIB dalam menambahkan lapisan keamanan tambahan.

Plugin WPS Hide Login memungkinkan Anda dengan mudah mengubah URL halaman login website. Ubah saja sesuai keinginan Anda tapi kita masih ingat, contoh:

“https://ulikpc.com/wp-admin”  diganti menjadi > “https://ulikpc.com/prosesor-mau-masuk” 🙂

Hati-hati merubah alamat login URL ini karena Anda bisa terkunci!

6. Gunakan Enkripsi SSL (https)

Lapisan SSL mengenkripsi data yang dikirimkan antara pengguna dan situs Anda, SSL dapat melindungi informasi sensitif seperti kredensial login dan data keuangan. Dapatkan dan pasang sertifikat SSL yang biasanya banyak penyedia hosting menawarkan sertifikat SSL gratis melalui situs Let’s Encrypt.

Jika Anda perlu untuk yang lebih premium seperti untuk online store, pilih beberapa opsi paket dari Comodo SSL (hanya contoh salah satu penyedia SSL)

Selanjutnya, Anda bisa menggunakan Really Simple SSL sebagai plugin yang dapat membantu Anda menerapkan HTTPS di seluruh situs Anda.

7. Mematikan Fitur Pengeditan File

WordPress memungkinkan admin atau pemilik utama untuk mengedit file tema dan plugin langsung dari dashboard, yang bisa dieksploitasi jika peretas mendapatkan akses. Menonaktifkan fitur ini menambahkan lapisan keamanan ekstra.

Beberapa plugin seperti WP Security menyediakan opsi untuk mematikan fitur edit file php.

Jika mau cara manual, tambahkan baris berikut ke file ‘wp-config.php’ Anda:

define('DISALLOW_FILE_EDIT', true);

8. Backup Secara Teratur

Backup secara teratur memastikan bahwa kita dapat dengan cepat memulihkan situs jika terjadi peretasan atau masalah lainnya. Kita bisa atur backup otomatis yang mencakup aset gambar, database dan file.

Saat ini saya menggunakan UpdraftPlus untuk UlikPC.com. Plugin ini menawarkan backup terjadwal ke penyimpanan cloud seperti Google Drive dan Dropbox sehingga pemulihan akan sangat mudah dilakukan.

Ada juga BackupBuddy yang menyediakan backup lengkap situs, termasuk database, file, dan lainnya. Ada banyak plugin backup WordPress, pilih saja sesuai dengan keperluan Anda.

9. Terapkan Web Application Firewall (WAF)

WAF atau Web Application Firewall menyaring dan memantau permintaan HTTP, memblokir lalu lintas paket data internet berbahaya sebelum mencapai situs web.

Apakah Anda tahu Cloudflare? Nah, Cloudflare menyediakan WAF berbasis cloud, bersama dengan perlindungan DDoS dan layanan CDN.

Selain itu Sucuri yang kita bahas juga di poin pertama menawarkan WAF komprehensif dengan perlindungan yang sangat teruji.

10. Pantau Situs Web Anda

Pemantauan secara teratur membantu Anda mendeteksi aktivitas yang tidak biasa yang bisa menunjukkan pelanggaran keamanan. Gunakan alat pemantauan untuk melacak perubahan file dan peringatan di situs Anda. Wordfence Sucuri menawarkan fitur pemantauan situs.

11. Hapus Tema dan Plugin yang Tidak digunakan

Penyakit dan kebiasaan hampir seluruh pemilik website wordpress dimana banyak tema dan plugin dan tidak di urus.

Tema dan plugin yang tidak digunakan dapat mengandung celah tapi ini sering kita bahkan saya diabaikan. Menghapusnya dapat mengurangi kerentanan serangan terhadap situs website yang kita kelola. Nonaktifkan dan hapus tema dan plugin yang tidak digunakan sekarang juga.

12. Perkuat File wp-config.php

File ‘wp-config.php’ berisi informasi sensitif, seperti data info penting terkait database. Melindungi file ini dapat mencegah akses tidak sah. Pindahkan file ini ke direktori yang lebih tinggi dari root WordPress Anda dan batasi akses melalui .htaccess:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

13. Awasi Malware secara Khusus

Pemindaian secara teratur dapat mendeteksi malware sebelum menyebabkan kerusakan signifikan. Jalankan pemindaian secara rutin menggunakan plugin keamanan. Wordfence dan Sucuri keduanya menawarkan pemindaian.

14. Gunakan Hosting yang Aman

Ada banyak sekali hosting yang ada di internet? Tapi mana yang terbaik? Hmm, seperti saya dengan pengalaman yang tidak enak bersama Niagahoster, curhat sedikit dan intinya cari yang benar-benar terpercaya dan memiliki perlindungan konsumen yang menyenangkan.

Lanjut, lingkungan hosting yang aman sangat penting untuk melindungi situs Anda dari ancaman eksternal. Pilih penyedia hosting yang mengutamakan keamanan, menawarkan fitur seperti backup otomatis, perlindungan DDoS, dan pemindaian malware.

Dari sekian banyak, saya rekomendasikan SiteGround karena dikenal dengan keamanannya yang kuat. WP Engine juga termasuk yang bagus dan termasuk sangat ketat (saya pernah mengelola website startup yang menggunakan WP Engine).

Umumnya, WP Engine menawarkan hosting WordPress yang dikelola dengan fitur keamanan terbaik dari bawaannya.

15. Nonaktifkan XML-RPC Jika Tidak Diperlukan

XML-RPC dapat dieksploitasi untuk serangan DDoS dan brute-force. Jika tidak diperlukan, sebaiknya kita nonaktifkan saja.

Nonaktifkan XML-RPC melalui plugin atau dengan menambahkan aturan di file .htaccess Anda:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Plugin dari Disable XML-RPC adalah plugin sederhana yang menonaktifkan fitur ini. Plugin WP Security menawarkan seting ini, jadi guinakan saja plugin jika Anda malas untuk merubah file file di server.

TAMBAHAN PENTING: UPDATE versi PHP di Control Panel, ada di menu PHP manager. Dan Jangan gunakan plugin serta themes bajakan, para hacker kadang suka menyelipkan kode Malmware atau virus didalamnya.

pilih versi php terbaru untuk website

Nah, itulah beberapa cara yang menurut saya sudah sangat cukup sebagai tahapan awal menjada website kita supaya terhindar dari kejahatan siber.

Semoga bermanfaat, ajukan pertanyaan jika ada tambahan dan pertanyaan. Thank You!