15 Cara Mudah Mengamankan Website WordPress
WordPress merupakan Content Management System(CMS) yang saat ini paling banyak digunakan karena fitur dan kemudahan dari sisi penggunaannya. Selain itu, wordpress bersifat sumber terbuka (open source) dan gratis digunakan oleh siapapun. Berikut ini adalah 15 cara mudah mengamankan website wordpress dari serangan hacker.
1. Tambahkan firewall CDN
Website wordpress biasanya rentan terhadap serangan dari bot atau hacker. Serangan melalui Denial of Service(DDoS) dapat membebani server dengan permintaan yang cukup besar, menyebabkan website lambat dan membuat website anda menjadi sulit diakses.
Firewall CDN menambahkan lapisan keamanan tambahan dengan mengidentifikasi dan mem-filter lalu lintas yang mencurigakan sebelum mencapai server. Ini dapat membantu melindungi situs Anda dari DDoS dan serangan bot lainnya.
Selain itu, firewall CDN juga dapat meningkatkan kinerja situs web Anda dengan menyimpan konten statis ke dalam cache dan mengirimkannya lebih cepat ke pengunjung. Akibatnya, menambahkan firewall CDN adalah cara yang efektif untuk mengamankan situs web Anda dan meningkatkan kinerjanya.
2. Ubah URL halaman login Anda secara berkala
Mengubah URL login Anda secara teratur mungkin tampak seperti langkah keamanan kecil, tetapi sebenarnya dapat mencegah peretas menemukan akses mudah ke situs web Anda.
Dengan terus-menerus mengubah URL login Anda, Anda dapat mempersulit peretas untuk menebak atau memaksa masuk ke situs Anda.
Ada cara untuk mengubah URL secara manual, tetapi sebagian besar penyedia hosting merekomendasikan penggunaan plugin untuk mengelolanya.
3. Tambahkan JavaScript ke halaman login Anda
Menambahkan JavaScript (JS) ke halaman login Anda akan membantu memastikan bahwa hanya pengguna resmi, bukan bot, yang dapat mengakses situs Anda.
4. Batasi upaya login
Sangat penting untuk membatasi jumlah login untuk mencegah peretas menggunakan metode Bruteforce dan mendapatkan akses ke akun untuk login. Hal tersebut dapat mempersulit peretas untuk menebak kata sandi Anda dan mencegah mereka mengakses akun Anda meskipun mereka memiliki nama pengguna atau user.
Selain itu, membatasi upaya masuk membantu melindungi akun Anda agar tidak terkunci jika orang lain mencoba menebak kata sandi Anda.
5. Amankan semua kata sandi dan aktifkan autentikasi dua faktor
Cara lain untuk membuat situs WordPress Anda lebih aman adalah dengan meningkatkan keamanan kata sandi Anda dan mengaktifkan autentikasi dua faktor.
Kata sandi merupakan pertahanan pertama melawan peretas, jadi penting untuk memilih kata sandi yang sulit ditebak. Kata sandi yang baik harus memiliki panjang minimal delapan karakter dan menyertakan campuran huruf (huruf besar dan kecil), angka, dan simbol. Hindari penggunaan kata yang mudah ditebak seperti “sandi” atau tanggal lahir Anda.
Autentikasi dua faktor (2FA) menambahkan lapisan keamanan ekstra dengan meminta bentuk identifikasi kedua, seperti kode yang dikirimkan ke ponsel, alamat email, atau aplikasi autentikator Anda sebelum Anda dapat masuk. Hal ini mempersulit peretas untuk mendapatkan akses ke situs Anda meskipun mereka mengetahui kata sandi Anda.
6. Hapus XML-RPC.php
Langkah sederhana untuk mengamankan situs WordPress Anda adalah menghapus file XML-RPC.php. File ini memungkinkan siapa saja untuk mengakses situs WordPress Anda dari jarak jauh, yang dapat memberi peretas kemampuan untuk memasukkan kode berbahaya atau mengambil alih situs Anda sepenuhnya.
Selain itu, penyerang dapat melakukan upaya login secara paksa melalui file ini, jadi meskipun Anda mengamankan halaman login Anda, penyerang dapat memperoleh akses melalui file ini.
Untungnya, menghapus file XML-RPC adalah proses yang relatif mudah. Cukup sambungkan ke situs Anda melalui FTP dan hapus file dari server Anda. Setelah Anda melakukannya, pastikan untuk memperbarui file .htaccess Anda untuk mencegah akses lebih lanjut ke file tersebut.
7. Hapus versi WP dan plugin
Peretas selalu menemukan cara baru untuk mengeksploitasi kerentanan dan membobol situs web. Salahsatunya adalah dengan melihat versi WordPress dan plugin yang Anda gunakan.
Jika Anda menjalankan versi yang kedaluwarsa, mungkin ada masalah keamanan yang diketahui yang dapat dengan mudah dieksploitasi. Itu sebabnya Anda harus selalu memperbarui instalasi WordPress dan semua plugin.
8. Nonaktifkan komentar
Bagian komentar adalah salah satu bagian paling rentan dari situs web mana pun. Karena bagian ini sering tidak dimoderasi, mudah bagi peretas untuk memasukkan kode berbahaya ke dalam komentar yang tampak tidak berbahaya.
Akibatnya, pemilik situs web harus waspada dalam memoderasi bagian komentar dan memastikan hanya konten aman yang diizinkan.
9. Kurangi plugin
Memiliki terlalu banyak plugin – atau lebih buruk lagi, plugin yang tidak terpakai dan duplikat – sebenarnya dapat membahayakan keamanan situs WordPress. Itu karena setiap plugin mewakili titik masuk potensial bagi peretas.
Dengan mengurangi jumlah plugin di situs WordPress, pemilik dapat membantu mengurangi risiko keamanan. Ini juga dapat membantu meningkatkan kinerja situs dengan mengurangi jumlah permintaan yang harus diproses oleh server.
10. Siapkan pembaruan otomatis pada plugin
Menggunakan fitur pembaruan otomatis asli WordPress adalah cara langsung untuk memastikan bahwa semua plugin dan tema yang diinstal selalu diperbarui.
Ini sangat penting untuk plugin dan tema yang menangani data sensitif, seperti informasi kartu kredit atau catatan pribadi. Selain manfaat keamanan, pembaruan otomatis juga memastikan bahwa semua perangkat lunak yang terinstal kompatibel dengan versi terbaru WordPress untuk meningkatkan stabilitas situs Anda.
11. Periksa port terbuka di server
Sementara port terbuka di server web mungkin menawarkan beberapa keuntungan, mereka juga menciptakan kerentanan keamanan yang dapat dieksploitasi oleh peretas.
Untuk menentukan apakah ada port yang rentan di server Anda, jalankan pemindaian Nmap. Jika Anda menemukan port yang terbuka, hubungi penyedia hosting web Anda untuk menutup atau memfilternya.
Opsi yang lebih aman adalah bekerja dengan penyedia hosting yang dikelola WP terkenal yang mengunci port mereka.
12. Pastikan SSL diatur dengan benar
Sertifikat SSL adalah bagian penting dari keamanan situs web. Mereka mengenkripsi komunikasi antara situs web dan pengunjungnya, sehingga mempersulit peretas untuk manipulasi data website.
Namun, sertifikat SSL dapat menjadi kerentanan tersendiri jika tidak dikonfigurasi dengan benar. Sertifikat SSL yang kedaluwarsa atau belum ditambal dapat dieksploitasi oleh peretas, memungkinkan mereka memperoleh akses ke informasi sensitif. Memperbarui sertifikat SSL secara teratur memastikan bahwa sertifikat tersebut mutakhir dan kecil kemungkinannya untuk dieksploitasi.
Selain itu, menyiapkan sertifikat SSL dengan benar sejak awal dapat mencegah potensi kerentanan. Misalnya, memastikan bahwa hanya rangkaian sandi yang kuat yang digunakan untuk mempersulit peretas dalam memecahkan enkripsi.
13. Menambahkan security header
Security header mencegah injeksi kode berbahaya dan mengurangi risiko serangan skrip melalui website. Menambahkannya juga membantu memblokir serangan berbasis payload dan mengurangi kemungkinan situs Anda disusupi oleh malware.
Beberapa jenis security header yang kami sarankan untuk ditambahkan ke situs web Anda meliputi:
Kebijakan perujuk.
- Referrer policies
- HTTP Strict-Transport-Security (HSTS)
- A content security policy
- X-Frame Options
- X-Content-Type-Options
- Cross-site scripting (XSS) protection
14. Siapkan pencadangan harian
Setiap pemilik situs web tahu bahwa selalu ada risiko kehilangan data karena peretasan, pemadaman listrik, atau kejadian tak terduga lainnya. Di situlah cadangan harian berguna. Jika situs Anda disusupi, Anda akan memiliki opsi fallback yang dapat digunakan untuk memulihkan situs Anda.
Ada banyak cara berbeda untuk membuat cadangan, tetapi metode yang populer adalah menggunakan plugin WordPress. Namun, saya sarankan membuat cadangan harian secara otomatis dari web hosting.
15. Jalankan uji keamanan akhir
Jalankan pemindaian keamanan akhir untuk memeriksa kerentanan yang mungkin terlewatkan.
Ada banyak pemindaian keamanan berbeda yang tersedia, baik gratis maupun berbayar. Yang mana yang Anda pilih terserah Anda, tetapi penting untuk memastikan pemindaian yang Anda pilih komprehensif.
Setelah pemindaian selesai, perhatikan hasilnya. Jika ada kerentanan yang ditemukan, segera ambil langkah untuk memperbaikinya.