Kami berusaha menyediakan website yang berguna untuk pengetahuan para pembaca, panduan singkat dan sederhana ini semoga menjadi jalan bagi kalian yang mengalami kesulitan dalam membuat blog di dunia maya, kami mengambil sumber dari blog Panduan Blog Online.com seandainya kalian berkenan langsung mengunjungi website tersebut, selamat menikmati!
Mungkin sebagian dari Anda akan berpikir mengenai peretasan website, malware, maupun virus yang mengancam website Anda. Ya, semua yang Anda pikirkan memang benar.
Keamanan WordPress merupakan salah satu aspek penting selain dari sisi kecepatan dan SEO website. Anda tentu wajib mengamankannya dari berbagai macam ancaman, baik kerusakan akibat malware, serangan brute force hingga hacker yang tidak bertanggungjawab.
Berdasarkan penelitian yang dilakukan salah satu situs jasa keamanan securi.net, pada Q1 2016 sudah terdapat lebih dari 11.000+ website yang terinfeksi dan 75% dari angka tersebut menggunakan platform WordPress. Semakin populer dan semakin tinggi jumlah pengguna WordPress tentu memancing pihak-pihak pelaku kejahatan internet. Infeksi ke website WordPress Anda bisa melalui manapun, seperti plugin yang tidak terupdate, theme, brute force, hosting, file/script yang sudah tidak terpakai, hingga password dengan keamanan rendah.
Dalam ulasan kali ini, kami akan memberikan tips untuk mengamankan website WordPress, terlebih jika Anda baru saja mulai membuatnya. Anda dapat melakukannya sendiri di rumah, dimulai dari hal-hal sederhana seperti update plugin untuk mengantisipasi plugin vulnerability, theme, bahkan mengacak password Anda untuk menghindari serangan brute force.
Berikut adalah 19 cara yang bisa Anda lakukan dengan mudah untuk mengamankan website WordPress.
1. Pastikan versi WordPress Anda up to date.
2. Plugin WordPress Anda Update (Menggunakan Versi Terbaru)
3. Hapus Plugin yang Tidak Digunakan
4. Pastikan Tema yang Anda Gunakan Update
5. Gunakan Tema, Plugin, dan Script dari Website Resmi WordPress
6. Memilih Penyedia Layanan Hosting yang Terpercaya
7. Membuat Custom Link Login
8. Ubah default username “Admin”
9. Menggunakan Password yang Lebih Rumit
10. Mengaktifkan Limit Login
11. Disable PHP Execution
12. Mengubah Default Table Prefix
13. Mengaktifkan Passwod Login Directory
14.Disable File Editing
15. Menonaktifkan PHP Error Reporting
16. Mengaktifkan Otomatis Logout Bagi “Idle User”
17. Mengaktifkan Firewall
18.Instal Plugin Keamanan di WordPress Anda
19. Instal Anti Virus di Website dan Perangkat Anda[/ecko_alert]
Update versi WordPress terbaru diperlukan untuk mengatasi celah (bug system) versi sebelumnya. Anda bisa melakukannya secara langsung melalui halaman dashboard WordPress ketika terdapat versi terbaru. Pastikan Anda selalu update versi untuk mengurangi resiko keamanan WordPress yang ada.
Para pengembang plugin selalu berusaha untuk menutup bug dan hacker selalu mencari celah. Selalu update plugin Anda ke versi terbaru agar terhindar dari serangan hacker.
Jangan hanya menonaktifkan plugin yang tidak perlu. Hapus plugin untuk menutup celah bagi para hacker untuk meretas website Anda. Selain itu, menghapus plugin yang tidak digunakan dapat meringankan kerja WordPress Anda.
Tidak hanya plugin, celah yang sama tentu akan dimanfaatkan oleh para hacker. Silakan cek ketersediaan versi tema terbaru Anda melalui menu Appearance > Theme pada dashboard WordPress Anda. Jangan lupa untuk menghapus theme WordPress yang sudah tidak Anda gunakan.
Pastikan Anda download theme, script bahkan plugin dari website pengembang resmi. Anda perlu waspada terhadap website yang menyediakannya secara gratis dan, tentu saja, jangan menggunakan produk bajakan. Jika Anda menginginkan theme ataupun plugin gratis, Anda bisa memperolehnya melalui website resmi WordPress.
Melalui resource yang belum jelas sumbernya, Anda tentu tidak mengetahui script apa yang telah disisipkan oleh penjahat ataupun bahaya lainnya. WordPress.org, WordPress.com dan bahkan themeforest bisa Anda jadikan sumber terpercaya untuk mendapatkan tools website Anda.
Penyedia layanan web hosting untuk wordpress tentu memiliki peranan penting untuk keamanan website Anda. Pilih layanan hosting yang menyediakan layanan tambahan keamanan seperti SSL gratis ataupun Anti Spam dan bahkan fitur keamanan bitNinja yang dimiliki server Panduan Blog Online untuk melindungi website Anda dari serangan botnet, hacker dan malware.
/wp-login.php ialah link login yang otomatis digunakan setelah kita melakukan instalasi dan akan login WordPress. Tentunya para hecker mengetahuinya dan mempermudah mereka untuk menerobos ke akun Anda. Terlebih jika Anda menggunakan password yang sama di berbagai akun layanan lainnya. Untuk mencegahnya, kita bisa mengubah link login ke WordPress menggunakan plugin Custom Login URL Nantinya Anda juga dapat mengubah link logout, lost password dan lainnya.
Setelah Anda melakukan instalasi WordPress, default username yang akan Anda dapatkan adalah admin. Hal tersebut tentu mempermudah serangan brute force, brute force ialah salah satu metode yang digunakan para hacker untuk meretas akun dengan cara mencoba semua kemungkinan kombinasi. Jika username Anda saat ini masih menggunakan “admin” segeralah ubah dengan lainnya. Berikut cara-cara yang bisa Anda gunakan untuk mengubah username “Admin”
Setelah Anda instal plugin segeralah ubah username Anda melalui User > Username Changer
Untuk mendapatkan kombinasi password yang rumit, gunakanlah kombinasi password dan angka. Jangan menggunakan password seperti angka yang berurutan( 1, 2, 3, 4, 5), tanggal lahir, nama Anda ataupun sandi yang mudah ditebak lainnya. Sama dengan username, password yang mudah ditebak memudahkan serangan brute force.
Jika Anda tidak mengaktifkan limit login, pengguna dapat mencoba login berulangkali menggunakan username dan password. Hal ini tentu menimbulkan resiko dan memberikan kesempatan pada hacker untuk meretas website WordPress Anda dengan berbagai macam username dan password. Anda bisa mengatasi dengan mengaktifkan limit login ke admin WordPress. Plugin yang dapat Anda gunakan ialah, Login Lock Down
Cara kerjanya, Anda dapat membatasi pengguna ketika mencoba login dengan username dan password yang salah, apabila dalam beberapa kali gagal maka IP akan terblokir dan Anda juga dapat melakukan setting berapa lama IP tersebut akan terblokir.
(sumber: wp-guidance)
Jangan berikan celah kepada para hecker untuk menyentuh website WordPress Anda. Salah satu cara efektif yang bisa dilakukan adalah melakukan disable file php yang tidak diperlukan seperti pada wp-content/uploads/. Caranya seperti dibawah ini;
<Files *.php>
deny from all
</Files>
Copy dan paste teks diatas ke notepad dan simpan dengan nama .htaccess kemudian upload file tersebut ke folder /wp-content/uploads/ menggunakan FTP. Melakukan disable PHP execution dengan htaccess tidak akan menjamin website Anda tidak terhack, namun hal ini merupakan salah satu tips dan usaha untuk megamankan website WordPress Anda.
Database merupakan bagian penting di website WordPress. Untuk mencegah para spamer dan hacker menerobos keamanan WordPress melalui database maka Anda dapat melakukan perubahan pada tabel prefix. Pada umumnya, setelah Anda melakukan instalasi WordPress default tabel prefix Anda ialah wp_, mereka tentu sudah mengetahui hal ini dan tentu saja dengan mudah dapat menyusup melalui script-script SQL jika Anda tidak melakukan perubahan.
Berikut langkah-langkah untuk mengubahnya dan dapat Anda lakukan dengan mudah:
Waspadai serangan DDOS, minimalisir resiko ini dengan mengaktifkan password login directory. Meskipun di awal saat Anda akan mengkases cPanel dan masuk ke wp-admin directory sudah terdapat password. Anda dapat menambahkan lapisan keamanan WordPress dengan memberikan login username dan password.
Login ke cPanel Anda > Klik Password Protect Directory > Pilih wp-admin directory dan tambahkan permission dengan menginputkan username dan password seperti gambar diatas.
Pada dasarnya WordPress memiliki keleluasaan di file editor sehingga pengguna dapat mengembangkan dan menggunakannya sesuai kebutuhan, dapat mengubah file PHP dan bisa melakukan file editing tema ataupun plugin melalui admin editor. Buruknya, jika hacker/pihak yang tidak bertanggung jawab berhasil masuk admin area Anda, mereka dapat melakukan apapun. Mencegahnya, Anda lakukan disable file editing melalui cPanel. Pada file wp-config.php tambahkan
define( 'DISALLOW_FILE_EDIT', true );
Jika Anda menggunakan website WordPress tentu Anda pernah melihat pesan error seperti gambar berikut ataupun error lainnya.
sumber gambar: wpbeginner
Bila hal ini terjadi pada website yang telah online dan Anda tidak segera mengatasinya kemudian hacker melihat celah-celah error, tentu akan membahayakan keamanan WordPress, pada pesan error syntax WordPress seringkali menampilkan username WordPress Anda. Tentunya, pesan error memberikan informasi kelemahan website Anda yang dapat di manfaatkan para hacker. Anda dapat melakukannya melalui wp-config php.
Apapun dapat terjadi jika lalai dan menyepelekan keamanan WordPress. Saat Anda login di WordPress dan tidak terdapat aktivitas apapun, bahka jika user meninggalkan layar maka akan menimbulkan resiko keamanan. Plugin yang bisa Anda gunakan adalah Idle User Logout. Anda bisa melakukan setting untuk menentukan kapan admin WordPress Anda otomatis terlogout. Cara penggunannya pun mudah, Anda aktifkan plugin dan masuk pada setting plugin Idle User Logout.
Jangan lupakan keamanan jaringan Anda. Ibarat razia polisi lalu lintas, firewall akan menyaring lalu lintas jaringan yang aman dan resmi yang diperbolehkan untuk melwatinya. Firewall bermanfaat untuk menjaga arus lalu lintas agar informasi berharga tidak dicuri ataupun mencegah agar malware tidak masuk ke jaringan Anda. Firewall akan melakukan inspeksi melalui Alamat IP, Port, Protokol dan bahkan header yang terdapat dipaket tersebut. Oleh karena itu, segera cek ke technical support penyedia layanan hosting Anda, pastikan setting firewall di server Anda telah aktif.
Salah satu plugin yang bisa Anda gunakan untuk keamanan WordPress Anda ialah wordfence. Anda harus melakukan scanning malware dan virus di website Anda. Selain itu percobaan IP yang berbahaya dapat otomatis diblokir oleh Wordfence. Untuk mendapatkan plugin tersebut Anda dapat langsung download melalui wordpress.org. Jika Anda belum mengetahui cara instal plugin silakan ikuti panduan berikut ini.
Tidak hanya scan virus dan malware di website WordPress Anda, antivirus local juga perlu Anda instal di perangkat Anda. Seperti Smadav, Nod32, avira dll. Hal tersebut perlu Anda lakukan untuk mengantisipasi file-file terinfeksi dari perangkat ataupun dari website ke perangkat Anda saat upload/download data.
Poin-poin diatas merupakan hal yang perlu Anda perhatikan untuk mengamankan website WordPress Anda. Jika sebelumnya Anda tidak memperdulikan keamanan WordPress, berhati-hatilah, karena kejahatan tidak hanya terjadi di dunia nyata namun juga terjadi di dunia maya. Apabila Anda memiliki pengalaman terkait keamanan WordPress silakan berbagi di kolom kementar 🙂
[ecko_alert color=”gray”]Sebagai info, kejahatan di internet ada dan harus Anda waspadai, artikelnya pernah kita bahas di https://www.niagahoster.co.id/blog/stories/mengatasi-phishing/[/ecko_alert]
Semoga bermanfaat ?
Source:niagahoster.com
No comments:
Post a Comment