Panduan Keamanan WordPress Untuk Menjaga Situs Anda Tetap Aman, Para peretas ada di luar sana. Ikuti panduan keamanan WordPress ini dengan delapan langkah mudah untuk menjaga situs web Anda tetap aman.

Ancaman keamanan tidak hanya terjadi pada WordPress.

Setiap platform, baik itu privat maupun open source, diserang 24/7.

Untungnya, komunitas WordPress menyediakan banyak solusi untuk mempermudah pekerjaan.

Berikut ini adalah beberapa langkah penting yang harus diambil untuk melindungi situs WordPress dari ancaman keamanan.

Cara Melindungi Situs WordPress

Ada delapan tindakan mendasar yang harus dipertimbangkan oleh semua penerbit WordPress untuk mengurangi aktivitas dan kerentanan berbahaya.

Mengikuti praktik terbaik ini akan membantu memastikan bahwa situs WordPress siap menghadapi serangan peretas yang menyelidiki situs web setiap hari:

Gunakan HTTPS.

Jangan gunakan kata “admin” sebagai nama pengguna admin Anda.

Terapkan penggunaan kata sandi yang kuat.

Perbarui plugin dan tema.

Rencana pencadangan situs web.

Minimalkan penggunaan plugin.

Otentikasi dua faktor.

Instal Firewall WordPress dan Pemindai Kerentanan.

Mari kita bahas masing-masing secara lebih detail.

1. Tambahkan HTTPS/SSL

Saat ini, sebagian besar situs menggunakan HTTPS. Tetapi jika situs Anda tidak menggunakan HTTPS, tanyakan pada host web Anda tentang menambahkan sertifikat SSL gratis.

Cukup atur alamat WordPress dan alamat situs menggunakan https://. Hal ini dapat dilakukan pada tab Pengaturan Umum.

Jika situs Anda meningkatkan dari keadaan tidak aman ke keadaan aman, maka plugin Really Simple SSL (digunakan oleh lebih dari 5 juta situs web) layak untuk dipertimbangkan, karena plugin ini benar-benar menyederhanakan konversi ke HTTPS dengan menangani pengalihan dan tugas-tugas terkait lainnya.

Really Simple SSL juga membantu mengurangi ancaman keamanan seperti pembajakan klik dan serangan pemalsuan lintas situs dengan menyediakan opsi untuk menambahkan header keamanan.

Saat ini, memasang sertifikat SSL adalah tugas yang mudah.

Banyak host web menawarkan sertifikat SSL gratis – ditambah lagi, ini adalah faktor peringkat yang dikenal di Google.

Setelah mengonversi ke HTTPS, ada baiknya Anda memeriksa bahwa tidak ada halaman yang meminta tautan atau konten HTTP.

Memeriksa konten campuran adalah suatu keharusan.

Konten campuran adalah ketika aset situs web yang tidak aman (skrip, gambar, video, dll.) ditautkan dari halaman HTTPS.

Jelajahi situs Anda dengan Missing Padlock untuk mengidentifikasi dengan cepat contoh-contoh konten campuran, lalu perbaiki kesalahan dengan menautkan ke aset HTTPS.

Panduan Keamanan WordPress Untuk Menjaga Situs Anda Tetap Aman

2. Gunakan Nama Pengguna Admin yang Aman

Banyak sekali serangan keamanan terhadap layar login WordPress yang dilakukan dengan nama pengguna “Admin”.

Ada dua jenis serangan utama yang mencoba memecahkan kata sandi login:

Serangan dengan kekerasan (brute force).

Serangan kamus.

Serangan brute force adalah ketika perangkat lunak peretasan otomatis mencoba menebak kata sandi admin dengan menggunakan kombinasi kata, huruf, dan angka yang berbeda.

Serangan kamus adalah ketika perangkat lunak peretasan menggunakan kata sandi umum untuk mencoba menebak login admin.

Dalam banyak kasus, nama pengguna admin yang digunakan perangkat lunak ini adalah “Admin”.

Tidak menggunakan kata “Admin” sebagai nama pengguna adalah langkah sederhana yang akan membantu mengamankan situs WordPress.

Untuk mengambil langkah lebih jauh, Anda dapat membuat aturan firewall dengan plugin keamanan Wordfence untuk secara otomatis memblokir setiap manusia atau bot yang mencoba masuk dengan nama pengguna Admin.

3. Terapkan Kata Sandi yang Kuat

Jangan izinkan siapa pun, terutama pengguna dengan hak istimewa tingkat admin, untuk membuat kata sandi yang tidak kuat.

Bahkan pengguna dengan hak istimewa situs web yang rendah, seperti tingkat pelanggan, dapat menjadi vektor serangan. Jadi, penting untuk menerapkan kata sandi yang kuat kepada semua orang yang dapat masuk ke situs WordPress.

Plugin WordPress iThemes Security yang populer, dengan lebih dari 1 juta pengguna, menawarkan penegakan kekuatan kata sandi login, serta autentikasi dua faktor.

Kebijakan keamanan kata sandi yang memberlakukan kata sandi yang kuat juga dapat diaktifkan menggunakan plugin keamanan WordPress Wordfence.

4. Perbarui Plugin dan Tema

Beberapa pembaruan pada plugin, tema, dan instalasi inti WordPress itu sendiri adalah untuk memperbaiki (menambal) kerentanan.

Kegagalan memperbarui perangkat lunak dapat menyebabkan situs menjadi rentan.

Sebagian besar pembaruan berfungsi dengan baik. Pada kesempatan yang jarang terjadi, pembaruan dapat mengubah sesuatu dalam perangkat lunak yang mulai berbenturan dengan plugin atau tema lain, menyebabkan situs mengalami kerusakan.

Jika hal itu terjadi, mudah untuk mengembalikan situs ke kondisi sebelumnya jika situs telah dicadangkan.

Cara terbaik untuk memperbarui pengaya dan tema adalah dengan melakukan pemaparan situs dan memeriksa apakah situs berfungsi sebagaimana mestinya dengan perangkat lunak yang telah diperbarui.

Tetapi jika Anda tidak melakukan pemanggangan situs, opsi kedua adalah mencadangkan situs dan kemudian memperbaruinya.

Uji situs untuk memastikan semuanya berfungsi. Jika situs tidak berfungsi, kembalikan dengan cadangan.

Opsi ketiga adalah mengatur semua pengaya untuk pembaruan otomatis sehingga Anda tidak perlu memikirkannya. Jika ada yang rusak, kembalikan ke kondisi sebelumnya.

5. Backup Situs Web WordPress Anda

Mencadangkan situs web setiap hari sangatlah penting.

Ada banyak hal yang bisa salah, dan cadangan akan menyelamatkan Anda ketika sesuatu yang buruk terjadi pada situs.

Plugin Pencadangan WordPress UpdraftPlus, dengan lebih dari 3 juta pengguna, adalah solusi yang populer dan tepercaya.

Saya menggunakannya di semua situs web saya dan dapat merekomendasikannya dengan penuh keyakinan.

Plugin ini telah menyelamatkan saya pada saat mendesain ulang situs web yang tidak berjalan dengan baik, memungkinkan saya untuk dengan mudah mengembalikan situs ke versi sebelumnya.

Solusi populer lainnya disebut WP Rollback.

WP Rollback memiliki lebih dari 200.000 instalasi, dan orang-orang yang membuat perangkat lunak ini adalah para pengembang WordPress yang tepercaya dan ahli.

Ini bekerja dengan baik dengan tema dan plugin yang diunduh dari WordPress.org.

6. Minimalkan Penggunaan Plugin

Setiap plugin yang diinstal meningkatkan kemungkinan salah satunya akan mengekspos situs ke kerentanan.

Selain alasan keamanan, menggunakan terlalu banyak plugin dapat memengaruhi kinerja situs, serta meningkatkan kemungkinan kode antara dua atau lebih plugin akan mengalami konflik dan merusak situs.

Rencanakan terlebih dahulu plugin mana yang ingin Anda gunakan untuk mencapai apa yang Anda butuhkan.

Beberapa plugin dapat melakukan banyak tugas, sehingga Anda tidak perlu menginstal plugin mandiri untuk menyelesaikan satu tugas.

7. Menerapkan Autentikasi Dua Faktor

Disebut otentikasi dua faktor karena dibutuhkan dua bentuk identifikasi untuk masuk ke situs WordPress dengan mengaktifkan fitur ini.

Faktor pertama adalah nama pengguna dan kata sandi.

Faktor kedua adalah bentuk otentikasi kedua, biasanya dengan aplikasi seperti Authy atau Google Authenticator yang ada di ponsel pengguna.

Jadi, meskipun peretas mendapatkan akses ke nama pengguna dan kata sandi, mereka tidak akan bisa masuk tanpa autentikasi kedua.

Ada banyak plugin WordPress yang dapat dipilih untuk menambahkan fitur ini, termasuk:

WP 2FA

WP 2FA merupakan pilihan populer untuk menambahkan autentikasi dua faktor.

Plugin ini mendukung beberapa metode autentikasi dua faktor, termasuk Google Authenticator, Authy, tautan email, OTP email, dan notifikasi push.

Ada metode tambahan seperti autentikasi suara dan WhatsApp yang tersedia pada versi Pro.

Keamanan Login Wordfence

Wordfence merupakan merek yang dapat dipercaya. plugin autentikasi dua faktornya yang mandiri mendukung Authenticator, Authy, 1Password, dan FreeOTP.

Selain itu, pengaya keamanan seperti Wordfence dan iThemes Security juga memiliki opsi untuk mengaktifkan autentikasi dua faktor.

8. Pasang Plugin Keamanan WordPress

Plugin keamanan sangat berguna karena mereka dapat menutup celah keamanan dan memblokir para peretas yang mencoba memanfaatkan kerentanan tersebut.

Ada dua jenis plugin keamanan WordPress:

Pengerasan dan pemindaian keamanan.

Firewall.

Berikut adalah beberapa alat yang saya rekomendasikan.

Sucuri Security

Sucuri merupakan pilihan tepercaya untuk sebuah pengaya keamanan. Plugin ini dimiliki oleh GoDaddy.

Sucuri memindai situs untuk mencari malware dan menawarkan opsi untuk mengeraskan situs terhadap eksploitasi.

Memilih Sucuri itu mudah karena plugin ini melengkapi plugin firewall, seperti Wordfence.

Versi berbayarnya juga menyertakan firewall.

Jetpack Protect

Jetpack Protect dibuat oleh Automattic, perusahaan di balik WordPress.com, Akismet, WPScan, dan WooCommerce.

Jetpack Protect melakukan pemindaian malware harian pada inti, pengaya, dan tema WordPress.

Plugin gratis ini relatif baru – ini dipisahkan menjadi plugin mandiri pada tahun 2022.

Wordfence Security – Firewall, Pemindaian Malware, dan Keamanan Login

Wordfence adalah pilihan populer untuk keamanan WordPress. Ada lebih dari 4 juta instalasi aktif.

Wordfence bertindak sebagai firewall untuk melindungi situs web dari serangan peretasan dan dapat melarang bot peretasan otomatis dan peretas yang sebenarnya secara real time jika aktivitasnya sesuai dengan pola peretas.

Pengguna dapat mengonfigurasi firewall Wordfence dengan aturan yang dapat langsung memblokir peretas.

Wordfence juga membantu memperkuat situs dari peretasan dengan menyediakan otentikasi dua faktor dan menonaktifkan eksekusi PHP pada folder-folder di mana PHP tidak boleh dijalankan.

Manfaat lain dari Wordfence adalah plugin ini mengirimkan pengingat email ketika sebuah plugin membutuhkan pembaruan.

Versi berbayar dari Wordfence menerima aturan firewall untuk melindungi dari eksploitasi terbaru segera setelah Wordfence mengetahuinya.

iThemes Security

iThemes Security merupakan sebuah pengaya lengkap yang memindai dan mengeraskan situs web serta memblokir bot jahat sebagai firewall. Ada lebih dari satu juta instalasi aktif.

iThemes menangani banyak aktivitas yang berhubungan dengan keamanan, yang menjadikannya pilihan populer bagi mereka yang lebih memilih satu plugin untuk melakukan semuanya.

Lakukan Langkah-langkah Keamanan WordPress Tambahan

Ini adalah langkah-langkah tambahan untuk menciptakan postur keamanan yang kuat.

Periksa Versi PHP Anda

PHP adalah perangkat lunak yang digunakan WordPress.

Versi PHP yang kedaluwarsa dapat mengekspos situs pada kerentanan keamanan.

Pastikan versi PHP yang digunakan belum mencapai status akhir masa pakai (EOL).

Memindai Kerentanan Online

Berikut ini tiga alat online yang memindai kerentanan, atau mengetahui apakah sebuah situs telah diretas:

Sucuri Malware and Security Checker: Memindai situs web untuk memeriksa kerentanan.

Status Situs Penjelajahan Aman Google: Menunjukkan apakah Google telah menemukan kerentanan pada sebuah situs web.

Pemindai Kerentanan JavaScript: Menguji apakah sebuah situs menggunakan JavaScript yang rentan.

Masa Depan Keamanan WordPress

Para peretas menyerang semua situs, apa pun sistem manajemen konten (CMS) yang digunakan.

WordPress adalah CMS paling populer di dunia, yang membuatnya menjadi target populer para peretas.

Untungnya, WordPress memiliki komunitas besar yang bekerja untuk menjaganya tetap aman, yang merupakan keuntungan yang tidak dimiliki platform lain.

Semua pemilik situs web WordPress harus mempertimbangkan untuk meluangkan waktu untuk memastikan bahwa langkah-langkah yang ada untuk menjaga situs WordPress mereka sepenuhnya aman