WordPress adalah Sistem Manajemen Konten (CMS) paling populer dan mendukung lebih dari 30% situs web. Namun seiring pertumbuhannya, peretas telah memperhatikan dan mulai secara khusus menargetkan situs WordPress. Apa pun jenis konten yang disediakan situs Anda, Anda tidak terkecuali. Jika Anda tidak melakukan tindakan pencegahan tertentu, Anda bisa diretas. Seperti semua yang terkait dengan teknologi, Anda perlu memeriksa keamanan situs web Anda.
Dalam tutorial ini, kami akan membagikan 10 Tips Terbaik kami untuk menjaga keamanan situs WordPress Anda.
1. Pilih Perusahaan Hosting yang Baik
Cara paling sederhana untuk menjaga situs Anda aman adalah pergi dengan penyedia hosting yang yang menyediakan beberapa lapisan keamanan.
Tampaknya tergoda untuk menggunakan penyedia hosting murah, setelah semua menghemat uang di hosting situs web Anda berarti Anda dapat membelanjakannya di tempat lain dalam organisasi Anda. Namun, jangan tergiur dengan jalur ini. Itu bisa, dan sering memang menyebabkan mimpi buruk di jalan. Data Anda dapat sepenuhnya terhapus dan url Anda dapat mulai dialihkan ke tempat lain.
Membayar sedikit lebih banyak untuk perusahaan hosting berkualitas berarti lapisan keamanan tambahan secara otomatis dikaitkan ke situs web Anda. Manfaat tambahan, dengan menggunakan hosting WordPress yang bagus, Anda dapat mempercepat situs WordPress Anda secara signifikan .
Meskipun ada banyak perusahaan hosting di luar sana, kami merekomendasikan WPEngine . Mereka menyediakan banyak fitur keamanan, termasuk pemindaian malware harian dan akses ke dukungan 24/7, 365 hari setahun. Untuk menambahkan icing pada kue harganya juga masuk akal.
2. Jangan Gunakan Tema Nulled
Tema premium WordPress terlihat lebih profesional dan memiliki lebih banyak opsi yang dapat disesuaikan daripada tema gratis. Tapi orang bisa membantah Anda mendapatkan apa yang Anda bayar. Tema premium dikodekan oleh pengembang yang sangat terampil dan diuji untuk lulus beberapa pemeriksaan WordPress langsung dari kotak. Tidak ada batasan dalam menyesuaikan tema Anda, dan Anda akan mendapatkan dukungan penuh jika ada yang tidak beres di situs Anda. Yang terpenting, Anda akan mendapatkan pembaruan tema secara teratur.
Namun, ada beberapa situs yang menyediakan tema nulled atau cracked. Tema nulled atau crack adalah versi hack dari tema premium, tersedia melalui cara ilegal. Mereka juga sangat berbahaya untuk situs Anda. Tema tersebut berisi kode berbahaya tersembunyi, yang dapat merusak situs web dan database Anda atau mencatat kredensial admin Anda.
Meskipun mungkin tergoda untuk menghemat beberapa dolar, selalu hindari tema null.
3. Pasang Plugin Keamanan WordPress
Ini merupakan pekerjaan yang memakan waktu untuk secara teratur memeriksa keamanan situs web Anda dari malware dan kecuali Anda secara teratur memperbarui pengetahuan Anda tentang praktik pengkodean, Anda bahkan mungkin tidak menyadari bahwa Anda sedang melihat sepotong malware yang tertulis ke dalam kode. Untungnya, orang lain telah menyadari bahwa tidak semua orang adalah pengembang dan telah menggunakan plugin keamanan WordPress untuk membantu. Plugin keamanan menjaga keamanan situs Anda, memindai malware, dan memantau situs Anda 24/7 untuk memeriksa secara teratur apa yang terjadi di situs Anda.
Sucuri.net adalah plugin keamanan WordPress yang hebat. Mereka menawarkan audit aktivitas keamanan, pemantauan integritas file, pemindaian malware jarak jauh, pemantauan daftar hitam, pengerasan keamanan yang efektif, tindakan keamanan pasca-peretasan, pemberitahuan keamanan, dan bahkan firewall situs web (dengan harga premium)
4. Gunakan Kata Sandi yang Kuat
Kata sandi adalah bagian yang sangat penting dari keamanan situs web dan sayangnya sering diabaikan. Jika Anda menggunakan kata sandi biasa yaitu ‘123456, abc123, kata sandi’, Anda harus segera mengubah kata sandi Anda. Meskipun kata sandi ini mudah diingat, namun juga sangat mudah ditebak. Pengguna mahir dapat dengan mudah memecahkan kata sandi Anda dan masuk tanpa banyak kesulitan.
Anda harus menggunakan kata sandi yang rumit, atau lebih baik lagi, kata sandi yang dibuat secara otomatis dengan berbagai angka, kombinasi huruf yang tidak masuk akal, dan karakter khusus seperti% atau ^.
5. Nonaktifkan Pengeditan File
Saat Anda menyiapkan situs WordPress Anda, ada fungsi editor kode di dasbor Anda yang memungkinkan Anda untuk mengedit tema dan plugin Anda. Ini dapat diakses dengan membuka Appearance> Editor. Cara lain untuk menemukan editor plugin adalah dengan masuk ke Plugins> Editor.
Setelah situs Anda aktif, kami menyarankan Anda untuk menonaktifkan fitur ini. Jika ada peretas yang mendapatkan akses ke panel admin WordPress Anda, mereka dapat memasukkan kode halus dan berbahaya ke tema dan plugin Anda. Seringkali kode akan sangat halus sehingga Anda mungkin tidak melihat ada yang salah sampai terlambat.
Untuk menonaktifkan kemampuan mengedit plugin dan file tema, cukup tempel kode berikut di file wp-config.php Anda .
definisikan (‘DISALLOW_FILE_EDIT’, benar);
6. Pasang Sertifikat SSL
Saat ini Single Sockets Layer, SSL, bermanfaat untuk semua jenis situs web. Awalnya SSL diperlukan untuk membuat situs aman untuk transaksi tertentu, seperti memproses pembayaran. Namun, saat ini, Google telah menyadari pentingnya dan memberi situs sertifikat SSL tempat yang lebih berbobot dalam hasil pencariannya.
SSL wajib untuk situs apa pun yang memproses informasi sensitif, misalnya kata sandi, atau detail kartu kredit. Tanpa sertifikat SSL semua data antara browser web pengguna dan server web Anda dikirim dalam teks biasa. Ini bisa dibaca oleh peretas. Dengan menggunakan SSL, informasi sensitif dienkripsi sebelum ditransfer antara browser mereka dan server Anda, membuatnya lebih sulit untuk dibaca dan membuat situs Anda lebih aman.
Untuk situs web yang menerima informasi sensitif, harga SSL rata-rata adalah sekitar $ 70- $ 199 per tahun. Jika Anda tidak menerima informasi sensitif apa pun, Anda tidak perlu membayar untuk sertifikat SSL. Hampir setiap perusahaan hosting menawarkan sertifikat Let’s Encrypt SSL gratis yang dapat Anda instal di situs Anda.
7. Ubah URL login WP Anda
Secara default, untuk login ke WordPress, alamatnya adalah “yoursite.com/wp-admin”. Dengan membiarkannya sebagai default Anda mungkin menjadi sasaran serangan brute force untuk memecahkan kombinasi nama pengguna / kata sandi Anda. Jika Anda menerima pengguna untuk mendaftar akun langganan, Anda juga mungkin mendapatkan banyak pendaftaran spam. Untuk mencegah hal ini, Anda dapat mengubah URL login admin atau menambahkan pertanyaan keamanan ke halaman pendaftaran dan login.
Tip Pro: Anda selanjutnya dapat melindungi halaman login Anda dengan menambahkan plugin otentikasi 2 faktor ke WordPress Anda. Saat Anda mencoba masuk, Anda perlu memberikan otentikasi tambahan untuk mendapatkan akses ke situs Anda – misalnya, dapat berupa kata sandi dan email (atau teks). Ini adalah fitur keamanan yang ditingkatkan untuk mencegah peretas mengakses situs Anda.
Pro Tip 2: Anda juga dapat memeriksa IP mana yang memiliki upaya login paling gagal, lalu Anda dapat memblokir alamat IP tersebut.
8. Batasi Upaya Login
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Meskipun ini dapat membantu jika Anda sering lupa huruf besar apa, itu juga membuka Anda untuk serangan brute force.
Dengan membatasi jumlah upaya login, pengguna dapat mencoba beberapa kali hingga diblokir sementara. Batasi peluang Anda untuk melakukan upaya brute force saat peretas terkunci sebelum mereka dapat menyelesaikan serangan mereka.
Anda dapat mengaktifkan ini dengan mudah dengan plugin upaya batas login WordPress . Setelah Anda menginstal plugin, Anda dapat mengubah jumlah upaya login melalui Pengaturan> Upaya Batas Login. Jika Anda ingin mengaktifkan upaya login tanpa plugin, Anda juga dapat melakukannya. Tutorial lengkapnya ada di sini.
9. Sembunyikan file wp-config.php dan .htaccess
Meskipun ini adalah proses lanjutan untuk meningkatkan keamanan situs Anda, jika Anda serius dengan keamanan Anda, sebaiknya sembunyikan file .htaccess dan wp-config.php situs Anda untuk mencegah peretas mengaksesnya.
Kami sangat menyarankan opsi ini untuk diterapkan oleh pengembang berpengalaman, karena sangat penting untuk membuat cadangan situs Anda terlebih dahulu dan kemudian melanjutkan dengan hati-hati. Kesalahan apa pun dapat membuat situs Anda tidak dapat diakses.
Untuk menyembunyikan file, setelah Anda melakukan backup, ada dua hal yang perlu Anda lakukan:
Pertama, buka file wp-config.php Anda dan tambahkan kode berikut,
<Files wp-config.php>
order allow,
deny dari semua
</Files>
Dengan metode serupa, Anda akan menambahkan kode berikut ke file .htaccess Anda,
<Files .htaccess>
order allow,
deny dari semua
</Files>
Meskipun prosesnya sendiri sangat mudah, penting untuk memastikan Anda memiliki cadangan sebelum memulai jika terjadi kesalahan dalam prosesnya.
10. Perbarui versi WordPress Anda
Menjaga WordPress Anda tetap mutakhir adalah praktik yang baik untuk menjaga keamanan situs web Anda. Dengan setiap pembaruan, pengembang membuat beberapa perubahan, sering kali termasuk pembaruan pada fitur keamanan. Dengan tetap diperbarui dengan versi terbaru, Anda membantu melindungi diri agar tidak menjadi target celah dan eksploitasi yang telah diidentifikasi sebelumnya yang dapat digunakan peretas untuk mendapatkan akses ke situs Anda.
Penting juga untuk memperbarui plugin dan tema Anda untuk alasan yang sama.
Secara default, WordPress secara otomatis mengunduh pembaruan kecil. Namun, untuk pembaruan besar, Anda perlu memperbaruinya langsung dari dasbor admin WordPress Anda.
Kesimpulan
Keamanan WordPress adalah salah satu bagian penting dari sebuah situs web. Jika Anda tidak menjaga keamanan WordPress, peretas dapat dengan mudah menyerang situs Anda. Menjaga keamanan situs web Anda tidaklah sulit dan dapat dilakukan tanpa mengeluarkan uang sepeser pun.