“Keamanan bukan tentang sistem aman dan sempurna. Hal seperti itu mungkin juga tidak praktis, atau tidak mungkin untuk ditemukan dan / atau mempertahankannya. Ini tentang mempekerjakan semua kontrol yang tepat dan tersedia untuk Anda, dalam alasan, yang memungkinkan Anda untuk memperbaiki postur tubuh Anda secara keseluruhan mengurangi kemungkinan membuat diri Anda menjadi sebuah target, kemudian di Hack oleh seseorang” – codex.wordpress.org

Keamanan sebuah situs sering menjadi perhatian utama bagi para pemilik Situs WordPress ataupun calon blogger. Sementara 26 persen dari semua situs di internet didukung oleh WordPress, karena popularitasnya CMS-nya maka sering dijadikan target oleh hacker. Namun, itu tidak berarti bahwa situs Anda akan menjadi korban perilaku berbahaya.

Sementara ini belum ada sistem yang 100 persen anti-hacker, tetapi ada langkah-langkah tertentu yang dapat Anda ambil untuk mencegah situs WordPress Anda di hack oleh oran-orang tidak bertanggung jawab. Untuk mengurangi kemungkinan Anda terkena oleh brute-force atau serangan DDoS, silahkan untuk dibaca di bawah ini untuk tugas-tugas keamanan WordPress yang paling penting Anda harus terapkan pada Situs Anda, untuk menjadi lebih proaktif terhadap ancaman potensial.

13 tips keamanan WordPress

  1. Menjaga Core WordPress, tema, dan plugin selalu terupdate

Permasalahan paling umum dari situs WordPress terkena hack adalah karena komponen-komponen yang usang. Plugin, tema dan Core yang usang membuka pintu keamanan Situs Anda untuk berpotensi diretas.Bahkan, dalam salah satu penelitian menyatakan, 54 persen orang melaporkan kerentanan keamanan WordPress dikarenakan mereka tidak pernah melakukan Update dari plugin WordPress mereka (37 persen lainnya dikarenakan karena Core WordPress yang tidak pernah ter-update dan tema yang usang menyumbang 11 persen dari kerentanan).Memastikan situs WordPress Anda selalu ter-update adalah sangat sederhana. Bila Anda melihat pemberitahuan oranye di dashboard WordPress Anda ataupun plugin, tema, atau pemberitahuan untuk meng-upgrade WordPress, Anda wajib untuk memperbaharui secepatnya.

Wordpress Update

Bagaimana mengkonfigurasi pembaruan otomatis

Jika Anda lebih memilih untuk melakukannya update secara otomastis, Anda dapat melakukan konfigurasi Update Otomatis dengan memasukkan kode ini ke dalam file wp-config.php Anda:

define( 'WP_AUTO_UPDATE_CORE', true );

Untuk plugins, gunakan:

add_filter( 'auto_update_plugin', '__return_true' );

Untuk tema, gunakan:

add_filter( 'auto_update_theme', '__return_true' );
  1. Hanya menginstal plugin dan tema WordPress yang terpercaya

Hanya Menggunakan Plugin yang Terpercaya

Pada WordPress.org selalu pilih “Popular” dan “Featured” pada bagian dari direktori plugin, karena itu adalah tempat yang baik untuk memulai ketika mencari plugin yang aman dan terpercaya.Untuk mendeteksi jika tema atau plugin dapat dipercaya atau tidak, pertama, membaca review-nya. Di sana Anda dapat menemukan petunjuk apakah telah terjadi pelanggaran keamanan atau masalah di masa lalu, seperti update.

Anda juga akan ingin memeriksa untuk melihat kapan sebuah plugin / theme terakhir diperbarui. Jika sebuah plugin atau tema belum menerima update dalam beberapa waktu (bahkan tahunan), maka kami menyarankan Anda mencari plugin / tema lainnya.Selain itu, menganalisa sebuah plugin atau popularitas dari tema, ini adalah cara lain untuk lebih memastikan Anda tidak menginstal kode-kode berbahaya ke situs WordPress Anda.

  1. Menghapus Plugin atau Tema yang tidak digunakan

Hapus Tema yang tidak digunakan

Seiring waktu, situs WordPress Anda akan membutuhkan beberapa pekerjaan rumah tangga.Saat Anda mulai menumpuk tema dan plugin, Anda harus memeriksa dan membuang tema dan plugin yang Anda tidak gunakan lagi. Menyingkirkan kekacauan yang tidak perlu membuat situs Anda berjalan lebih cepat, serta menghapus kerentanan keamanan dari stagnan atau add-ons yang usang.

  1. Menginstal plugin keamanan WordPress

Mengistall plugin keamanan WordPress pada Situs Anda adalah untuk meningkatkan keamanan situs Anda seniri. Untuk menjadi lebih proaktif terhadap ancaman keamanan, coba untuk menginstal plugin seperti salah satu dibawah ini untuk meminimalkan kerentanan keamanan.

Sucuri Security
Sucuri WordPress Plugin

iThemes Security
iThemes WordPress Plugin

  1. Backup Situs WordPress Anda secara teratur

Bahkan jika Anda telah melakukan tindakan pencegahan keamanan seperti yang saya tulis di atas (atapun yang setelah ini) Anda tetap harus selalu mem-backup situs WordPress Anda.Backup situs WordPress Anda cukup mudah untuk dilakukan, seperti yang diberikan petunjuk oleh WordPress. Atau Anda dapat mencoba plugin seperti Backup & Restore Dropbox.

  1. Menggunakan Username dan Kata Sandi yang kuat

Gunakan Kata Sandi yang Kuat

Kita semua bersalah karena menggunakan password yang mudah diingat. Tetapi menggunakan sandi yang mudah, contoh seperti yang berisi tahun kelahiran Anda, membuat lebih mudah lagi bagi para hacker untuk memecahkan kode menggunakan brute-force script otomats, yang terus menerus mencoba untuk menebak password dan username secara berulang.Untuk memastikan password Anda kuat dan cukup aman, menggunakan alat seperti Strong Password Generator atau Strong Random Password Generator. Anda juga harus memaksa pengguna lain di situs Anda untuk menggunakan sandi yang kuat. Anda dapat menggunakan plugin WordPress seperti Force Strong Password untuk menegakkan password yang kuat.

  1. Gunakan two-factor authentication (2FA)

Mengaktifkan 2FA pada Situs WordPress Anda, menambahkan lapisan keamanan ekstra untuk login ke Situs Anda. 2FA bekerja dengan mengharuskan Anda memasukkan faktor kode otentikasi kedua yang hanya dapat Anda berikan, seperti kode yang dikirimkan ke telepon Anda untuk memverifikasi aktivitas Anda di komputer tertentu. Dengan cara itu lebih sulit bagi penyusup untuk mencuri informasi Anda jika mereka masuk melalui perangkat yang berbeda. Berikut adalah beberapa plugin WordPress dapat Anda gunakan untuk 2FA:

• Google Authenticator
• Duo Two-Factor Authentication
• Two Factor Authentication
• Clef
• Authy
• Rublon 2FA

  1. Mengubah atau menghilangkan username “admin”

Jangan gunkan nama user admin

Secara default, WordPress memberikan akun domain utama menggunakan username “admin”. Penggunaan username “admin” merupakan ancaman keamanan terbesar terhadap situs Anda. Jika penyerang ingin memecahkan kode, setengah dari teka-teki tersebut sudah terselesaikan dikarenakan Hacker sudah mengetahui Username Anda dan semua yang tersisa hanya untuk menebak password Anda.Menghapus atau mengubah username “admin” adalah langkah berikutnya untuk meningkatkan keamanan situs WordPress Anda. Untuk melakukannya, cukup pergi ke “pengguna” dari panel admin WordPress dan mengubah nama atau menghapus “admin” akun atau nama pengguna.

  1. Upaya Pembatasan atau Limitasi Login

WordPress tidak memiliki batasan untuk berapa kali seseorang dapat menebak password untuk login. Ini menjadikan masalah karena hacker dapat dengan terus berupaya mengakses Website Anda menggunakan brute-force system dan tidak akan menyerah sampai mereka mendapatkan akses ke Situs WordPress Anda.Untuk mengatasi masalah ini, Anda harus membatasi usaha login. Berikut adalah beberapa plugin dibangun untuk melimitasi sebuah login:

• Login Lockdown
• Limit Login Attempts
• Jetpack Protect

Untuk mencegah pelanggan yang pelupa atau karyawan Anda dari terlimitasi untuk login ke Website Anda dikarenakan kesahalan memasukkan Kata Sandi secara berulang, hal ini bisa diatas dengan memasukkan alamat IP tertentu ke White-List (Jetpack Protect sangat bagus untuk ini).

  1. Memantau Serangan masuk

Ini sangat penting untuk selalau melakukan pendataan atas serangan keamanan yang masuk sehingga Anda dapat menyadari apa yang terjadi di dalam instalasi WP Anda dari perspektif sejarah. Berikut adalah beberapa alat yang dapat membantu Anda dengan pemantauan malware:

• Sucuri Security
• WP Security Audit Log

Mendapatkan informasi tentang apa yang sedang terjadi di instalasi WordPress Anda melalui alat scan adalah ide yang baik untuk keamanan yang ketat dan untuk diagnosis yang lebih mudah dari masalah yang mungkin akan timbul dikemudian hari.

  1. Sembunyikan versi WordPress Anda

Jika Anda tidak melakukan update WordPress secara reguler, Anda harus mempertimbangkan menyembunyikan versi WordPress karena meninggalkan jejak kaki, menceritakan hacker informasi yang berguna tentang situs Anda.Ada tiga daerah di mana nomor versi WordPress Anda akan disembunyikan:

1. Generator meta tag di header:

<meta name="generator" content="WordPress 4.0" />

2. Query strings pada scripts dan styles:

subscriptions.css?ver=4.0

3. Generator tag di RSS feeds:

http://wordpress.org/?v=4.0

Untuk menyingkirkan versi WordPress di semua tiga wilayah, tambahkan kode ini ke file functions.php Anda:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );
/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return '';
}
add_filter('the_generator', 'wpmudev_remove_version');

Selain itu, Anda juga harus memastikan berkas readme.html Anda dihapus dari Anda menginstal, karena hal ini mengekspos nomor versi Anda.

  1. Pindahkan atau rubah nama halaman login

Untuk membuat situs Anda lebih “antipeluru”, relokasi halaman login Anda adalah usaha yang sangat layak Anda lakukan. Tidak hanya menyembunyikan fakta bahwa Anda berada di WordPress, tetapi membatasi serangan brute-force pada halaman login Anda.Jika seseorang mencoba untuk menyerang situs WordPress Anda dan menemukan kesalahan 404 saat memasuki halaman login Anda, contoh www.mysite.com/wp-login.php, mereka akan kemungkinan besar akan terhalang dari melakukan penyerangan tersebut.Coba gunakan plugin seperti Rename wp-login.php, Move Login, atau iThemes Security untuk membantu dalam mengubah nama halaman login Anda. Tapi sebelum Anda mengambil tindakan ini, pastikan untuk berbicara dengan perusahaan Web Hosting Anda atau Web Developer untuk memastikan langkah-langkah yang dipakai sudah benar.

  1. Amankan File WP-CONFIG

File wp-config berisi rincian konfigurasi dasar website Anda, seperti informasi koneksi database. Untuk melindungi file wp-config.php Anda dari penyerangan, tambahkan kode berikut ke file .htaccess Anda untuk menolak akses ke orang berselancar ke file tersebut:

<files wp-config.php>
order allow,deny
deny from all
</files

Sekarang Anda tahu tentang beberapa cara bagaimana membuat situs Anda lebih aman, tetapi jika Anda menemukan kerentanan pada Situs WordPress Anda, pastikan untuk membagikannya kembali kepada WordPress Community melalui forum atau dengan melaporkan hal itu. Anda dapat mengirim email secara rinci untuk [email protected], atau jika ada keamanan Plugin, email [email protected].