19 Cara Mengamankan Situs Web (7 Are Key!)

Khawatir tentang keamanan WordPress?

Anda harus! Tapi jangan terlalu khawatir – jika Anda menerapkan beberapa praktik terbaik keamanan situs WordPress di situs Anda, Anda dapat merasa yakin bahwa situs Anda tidak akan mengalami masalah.

WordPress aman . Tetapi tindakan yang dilakukan pengguna (dan plugin yang dipasang pengguna) dapat menyebabkan semua jenis kerentanan WordPress.

Untuk menghindari kesalahan tersebut, yang perlu Anda lakukan adalah mengikuti tips dalam posting ini.

Untuk membuat posting ini dapat ditindaklanjuti, kami akan membagi tip keamanan WordPress kami menjadi dua kategori:

Tujuh Praktik Terbaik Keamanan WordPress yang HARUS DIIKUTI

Jika Anda tidak mengambil apa pun dari posting ini, saya sarankan Anda menerapkan setidaknya tujuh praktik terbaik keamanan WordPress ini di situs Anda.

Jika Anda tidak melakukan tujuh hal ini, Anda membuka situs Anda untuk kerentanan besar.

1. Terapkan Pembaruan Inti dan Plugin ASAP

Salah satu hal terbaik mutlak yang dapat Anda lakukan untuk menjaga keamanan WordPress adalah selalu segera menerapkan pembaruan ke inti, plugin, dan tema WordPress.

Tidak peduli seberapa hebat perangkat lunak itu, wajar jika kerentanan baru ditemukan. Namun, dengan tim pengembangan yang berkualitas, kerentanan ini akan diperbaiki sebelum dapat dieksploitasi oleh aktor jahat… selama Anda segera menerapkan pembaruan!

Begitu banyak eksploitasi WordPress yang tersebar luas baru-baru ini dapat dihindari jika orang-orang memperbarui situs mereka .

Untuk mengetahui pembaruan baru, perhatikan Dasbor → Area pembaruan di admin WP Anda.

Jika Anda khawatir tentang masalah kompatibilitas, Anda dapat menguji pembaruan di situs pementasan sebelum menerapkannya ke situs langsung Anda. Anda juga ingin mengambil cadangan sebelum menerapkan pembaruan – lebih lanjut tentang itu nanti.

Catatan – satu-satunya pengecualian untuk aturan ini adalah pembaruan besar, yang hanya berfokus pada penambahan fitur baru dan tidak menyertakan perbaikan keamanan apa pun. Anda dapat dengan aman menunggu beberapa minggu untuk menerapkan pembaruan besar ini.

• Rilis utama (fitur) – 5.0, 5.1, 6.0, dll. – Anda dapat menunggu untuk menerapkan pembaruan ini.
• Rilis kecil (perbaikan keamanan/bug ) – 5.0.1, 5.1.2, 6.0.4, dll. – Anda SELALU perlu menerapkan ini secepatnya.

2. Hanya Gunakan Plugin dan Tema dari Pengembang Terkemuka (dan Tidak Ada Plugin Nulled)

Meskipun perangkat lunak inti WordPress aman, hal yang sama tidak dapat dikatakan untuk setiap plugin dan tema di luar sana ( kebanyakan plugin ).

Dengan menambahkan kode baru dan memodifikasi fungsionalitas situs Anda, plugin dapat memperkenalkan segala macam kerentanan.

Pada saat yang sama, tidak menggunakan plugin sebenarnya bukan pilihan karena plugin merupakan bagian integral dari setiap situs WordPress.

Akibatnya, penting untuk fokus hanya menggunakan plugin dan tema dari pengembang terkemuka dengan rekam jejak kualitas kode yang baik dan pemeliharaan yang cepat.

Artinya, berhati-hatilah dengan plugin mana yang Anda pasang di situs Anda .

Berikut adalah beberapa tip untuk membantu Anda hanya menggunakan plugin dan tema berkualitas tinggi:

• Baca ulasannya . Ulasan yang buruk mungkin menunjukkan kualitas kode yang buruk.
• Periksa jumlah penginstalan yang aktif . Meskipun ini bukan aturan yang sulit, plugin populer umumnya lebih cenderung mendapat perhatian.
• Periksa pembaruan terkini . Memiliki pengembang aktif penting untuk menambal setiap kerentanan yang baru ditemukan.
• Jangan menginstal plugin yang tidak perlu . Karena setiap plugin yang Anda instal berpotensi menjadi vektor serangan, Anda hanya boleh menginstal plugin yang penting untuk situs Anda.

Kami juga memiliki panduan lengkap dalam memilih plugin WordPress.

Terakhir, Anda juga ingin menghindari plugin nulled karena Anda tidak tahu kode apa yang telah ditambahkan ke plugin.

3. Gunakan Hosting WordPress yang Aman

Memilih penyedia hosting WordPress yang berkualitas dapat membantu memastikan keamanan situs Anda.

Pertama, penyedia hosting WordPress yang berkualitas akan memastikan bahwa lingkungan Anda dioptimalkan untuk keamanan WordPress, seperti izin file yang tepat dan file wp-config.php yang aman.

Banyak host WordPress juga akan membangun perlindungan yang lebih proaktif, seperti firewall bawaan atau pemindaian malware.

Beberapa host WordPress yang dikelola bahkan akan membersihkan situs Anda secara gratis jika terjadi sesuatu padanya.

Pada dasarnya, dengan host berkualitas (terutama host WordPress yang dikelola), mereka akan menangani banyak praktik terbaik ini sehingga Anda dapat fokus mengembangkan situs Anda.

Untuk menemukan beberapa opsi kualitas, lihat posting kami dengan hosting WordPress terkelola terbaik dan hosting WordPress terbaik secara umum.

Jika Anda mampu membelinya, pertimbangkan opsi seperti Roda Gila (apa yang kami gunakan untuk WPKube – ulasan Roda Gila kami) atau Kinsta (ulasan Kinsta kami).

4. Kunci Halaman Login dan Akses Akun Anda

Semua tip keamanan WordPress di dunia tidak dapat membantu Anda jika aktor jahat dapat memperoleh akses ke salah satu akun pengguna WordPress Anda yang sah ( terutama akun admin ).

Pikirkan tentang hal ini di dunia nyata – Anda dapat memiliki sistem keamanan rumah terbaik mutlak di dunia, tetapi itu tidak akan melakukan apa-apa jika perampok memiliki kunci rumah dan kode keamanan Anda.

Itu berarti Anda harus menemukan cara untuk melindungi proses login dan akun pengguna situs WordPress Anda.

Untuk memulai, Anda akan ingin menggunakan kredensial akun yang kuat:

• Nama pengguna – jangan pernah menggunakan “admin” sebagai nama pengguna. Sebaliknya, pilih nama pengguna unik yang tidak Anda gunakan di tempat lain.
• Kata Sandi – gunakan kata sandi yang kuat dan unik. Untuk hasil terbaik, gunakan pengelola kata sandi seperti LastPass atau Bitwarden untuk menghasilkan kata sandi unik untuk setiap situs.

Selain itu, Anda juga dapat menggunakan taktik untuk melindungi halaman login WordPress:

• Ubah URL login – ini juga mengurangi banyak lalu lintas bot. Bagaimana? Gunakan plugin WPS Hide Login gratis.
• Batasi upaya login – memblokir sementara alamat IP jika terlalu banyak upaya login yang salah (seperti yang dilakukan bank). Bagaimana? Gunakan plugin Limit Login Attempts Reloaded gratis.
• Memerlukan otentikasi dua faktor (2FA) – membuat orang memasukkan kode dari aplikasi autentikator, SMS, atau email selain kredensial mereka. Bagaimana? Gunakan plugin gratis seperti WP 2FA atau Two-Factor.

Semua situs harus mengubah URL login dan membatasi upaya login, tetapi menggunakan otentikasi dua faktor WordPress benar-benar hanya diperlukan untuk situs yang sangat penting.

5. Instal Sertifikat SSL dan Gunakan HTTPS

Sertifikat SSL memungkinkan Anda menggunakan HTTPS di situs Anda, bukan HTTP.

Dengan HTTPS, semua data yang lewat antara browser dan server Anda akan dienkripsi. Selain bagus untuk privasi, ini penting untuk melindungi data penting seperti nama pengguna dan kata sandi Anda.

Tanpa HTTPS, aktor jahat di jaringan internet Anda dapat melihat semua data yang lewat antara browser dan situs Anda. Misalnya, jika Anda masuk ke situs Anda di kedai kopi lokal menggunakan HTTP, seseorang di jaringan itu akan dapat melihat nama pengguna dan kata sandi Anda dalam teks biasa.

Namun, saat Anda menggunakan HTTPS, nama pengguna dan kata sandi Anda (bersama dengan semua data lainnya) dienkripsi dengan aman, yang berarti bahwa pelaku kejahatan hanya akan melihat sekumpulan karakter acak.

Saat ini, sebagian besar penyedia hosting WordPress berkualitas menawarkan sertifikat SSL gratis.

Setelah Anda menginstal sertifikat SSL melalui dasbor hosting, Anda dapat mengonfigurasi situs Anda untuk menggunakan HTTPS. Jika Anda memerlukan bantuan untuk memindahkan situs Anda ke HTTPS, plugin SSL Really Simple gratis menawarkan pengaturan satu klik.

Ikuti panduan HTTPS WordPress kami untuk detail lebih lanjut.

6. Gunakan Versi PHP yang Didukung

WordPress ditulis dalam bahasa pemrograman PHP. Namun, ada berbagai versi PHP yang dapat Anda gunakan di akun hosting Anda.

Versi PHP yang lebih lama tidak lagi menerima pemeliharaan, yang berarti mereka dapat memiliki masalah keamanan yang belum ditambal.

Pada tahun 2022, versi PHP tertua yang menerima pembaruan keamanan adalah PHP 7.4. Namun, mulai tahun 2023, Anda harus menggunakan minimal PHP 8.0.

Anda dapat memeriksa dukungan versi PHP saat ini di halaman ini.

Sebagai bonus tambahan, versi PHP yang lebih baru juga menawarkan peningkatan kinerja yang besar, yang berarti situs Anda akan dimuat lebih cepat selain lebih aman.

Jika Anda tidak yakin bagaimana cara memperbarui PHP, Anda dapat meminta dukungan host Anda. Kami juga memiliki panduan tentang cara memperbarui PHP di host WordPress populer.

7. Cadangkan Situs Anda Secara Teratur

Mencadangkan situs Anda tidak akan mencegah terjadinya masalah keamanan di situs Anda. Namun, itu akan mencegah masalah keamanan berubah menjadi masalah yang lebih besar.

Tanpa cadangan, insiden keamanan apa pun di situs Anda bisa sangat merusak. Anda mungkin kehilangan data, memiliki banyak waktu henti, dan sebagainya.

Namun, dengan cadangan terbaru, kasus terburuk dari insiden keamanan biasanya Anda hanya perlu memulihkan cadangan bersih situs Anda. Masih mengganggu - tetapi jauh lebih sedikit bencana.

Jika host Anda belum menawarkan pencadangan otomatis yang aman, alat berbayar seperti Jetpack Backup atau BlogVault menawarkan cara termudah untuk mengaktifkan pencadangan di luar situs yang aman.

Jika Anda tidak memiliki anggaran untuk membayar alat, UpdraftPlus juga merupakan opsi gratis yang bagus – pastikan untuk menghubungkannya ke penyedia penyimpanan di luar lokasi seperti Google Drive atau Amazon S3.

Inilah posting lengkap kami tentang plugin cadangan WordPress terbaik.

Dua Belas Tips Pengerasan Keamanan WordPress Tambahan

Jika Anda dengan setia menerapkan praktik terbaik keamanan situs web WordPress yang harus diikuti di atas, Anda akan menghindari 99% masalah di situs Anda.

Namun, jika Anda ingin meningkatkannya lebih jauh, ada beberapa tip pengerasan tambahan yang dapat Anda terapkan untuk lebih melindungi situs Anda.

8. Siapkan Firewall

Firewall dapat secara proaktif melindungi situs Anda dari ancaman dengan memblokir lalu lintas atau tindakan berbahaya sebelum dapat memengaruhi situs atau server Anda.

Banyak host sudah menerapkan firewall mereka sendiri, itulah sebabnya ini mungkin tidak harus dimiliki situs jika Anda menggunakan hosting WordPress berkualitas ( lihat di atas ).

Jika host Anda tidak (atau jika Anda menginginkan perlindungan lebih), Anda dapat menambahkan firewall di tingkat aplikasi dengan plugin seperti Wordfence atau di tingkat DNS dengan layanan seperti Cloudflare atau Sucuri.

9. Gunakan Plugin Keamanan WordPress

Anda dapat membuat situs WordPress yang aman tanpa plugin keamanan khusus, jadi plugin keamanan jelas tidak diperlukan untuk membuat situs yang aman.

Dengan itu, plugin keamanan masih berguna karena beberapa alasan:

1. Plugin keamanan dapat menawarkan firewall waktu nyata untuk melindungi dari ancaman yang muncul.
2. Plugin keamanan yang berkualitas akan memudahkan penerapan banyak tip pengerasan lainnya dalam daftar ini, yang dapat menyederhanakan banyak hal untuk Anda dan menghemat waktu Anda.

Jika ragu, plugin Wordfence adalah pilihan yang bagus untuk memulai. Anda dapat menemukan lebih banyak opsi di koleksi lengkap plugin keamanan WordPress terbaik kami.

10. Sembunyikan Versi WordPress

Menyembunyikan nomor versi WordPress menambahkan jumlah "keamanan oleh ketidakjelasan" yang dapat diabaikan dengan mempersulit pelaku jahat untuk mendeteksi nomor versi situs Anda.

Untuk menyembunyikannya, Anda dapat menambahkan kode berikut ke file functions.php tema anak Anda atau plugin seperti Cuplikan Kode.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Jika Anda ingin melangkah lebih jauh, kami memiliki panduan tentang cara menyembunyikan situs Anda menggunakan WordPress.

11. Periksa Izin File

Jika Anda menggunakan host berkualitas, izin file situs Anda seharusnya sudah benar. Namun, mungkin perlu diperiksa ulang karena memiliki izin file yang benar itu penting.

Untuk mempelajari lebih lanjut, lihat panduan lengkap kami untuk izin file WordPress.

12. Hanya Gunakan Koneksi Aman untuk FTP

Setiap kali Anda terhubung ke situs Anda melalui FTP atau teknologi lainnya, pastikan Anda menggunakan protokol yang aman seperti SFTP.

Sama seperti HTTPS melindungi data yang berpindah antara browser dan situs web Anda, SFTP melindungi koneksi antara klien FTP dan server Anda.

Anda juga harus menghindari menyimpan kata sandi FTP Anda di klien FTP Anda, kecuali kata sandi itu dienkripsi dengan aman.

13. Mengatur Pencatatan Aktivitas

Pencatatan aktivitas memungkinkan Anda melacak apa yang dilakukan pengguna di dasbor Anda, yang dapat membantu Anda menangkap aktivitas yang mencurigakan (terutama jika Anda memberikan akses dasbor kepada pengguna lain).

Untuk mengatur ini, Anda dapat menggunakan plugin seperti WP Activity Log. Kami memiliki tutorial tentang cara mengatur pencatatan aktivitas, serta kupon Log Aktivitas WP eksklusif untuk menghemat uang Anda.

14. Jalankan Pemindaian Malware/Keamanan Reguler

Meskipun situs Anda seharusnya tidak mengalami masalah apa pun jika Anda telah menerapkan praktik terbaik di atas, menjalankan pemindaian malware/keamanan di situs Anda tetap merupakan praktik yang baik.

Untuk memeriksa masalah apa pun di bagian depan situs Anda, Anda dapat menggunakan alat Sucuri SiteCheck gratis.

Untuk menjalankan pemindaian penuh file server Anda, Anda dapat mempertimbangkan alat seperti MalCare atau Wordfence.

Host WordPress Anda mungkin juga menjalankan pemindaian malware hariannya sendiri, yang mungkin membuat alat ini menjadi mubazir.

15. Nonaktifkan XML-RPC

XML-RPC membantu alat eksternal terhubung ke situs WordPress Anda, seperti aplikasi WordPress desktop.

Namun, jika Anda tidak menggunakan alat ini, itu hanya menambahkan vektor serangan yang tidak perlu ke situs Anda. Untuk menonaktifkannya sepenuhnya, Anda dapat menggunakan plugin Nonaktifkan XML-RPC gratis.

16. Blokir Hotlinking

Hotlinking adalah ketika seseorang menyematkan konten dari server Anda di situs mereka (misalnya gambar). Ini dapat memengaruhi keamanan situs Anda dengan menguras sumber daya server Anda tanpa izin Anda.

Untuk memblokir hotlinking, Anda dapat menambahkan beberapa kode ke file .htaccess situs Anda.

Untuk menghasilkan kode .htaccess yang diperlukan untuk memblokir hotlinking, Anda dapat menggunakan alat gratis ini. Ini akan memungkinkan Anda membuat daftar aman penyedia hotlinking tertentu (seperti Pencarian Gambar Google), sambil memblokir yang lain.

17. Ubah Awalan Basis Data WordPress

Mengubah awalan database WordPress menambahkan sejumlah kecil "keamanan dengan ketidakjelasan", meskipun beberapa ahli (termasuk Wordfence) mengatakan bahwa manfaat keamanannya cukup sepele.

Jika Anda memiliki situs WordPress yang sudah ada, saya tidak menyarankan melakukan ini karena risiko merusak situs Anda lebih besar daripada potensi manfaat keamanannya.

Namun, jika Anda menyiapkan situs WordPress baru, Anda mungkin juga menggunakan awalan basis data khusus, meskipun itu tidak memiliki efek yang besar.

18. Nonaktifkan Eksekusi File PHP di Folder wp-content/uploads

Anda dapat memblokir beberapa serangan kasus tepi dengan menonaktifkan eksekusi file PHP di folder wp-content/uploads Anda.

Berikut caranya:

1. Gunakan Notepad untuk membuat file .htaccess baru.
2. Tambahkan cuplikan kode di bawah ini.
3. Unggah file itu ke folder wp-content/uploads .

 <Files *.php> deny from all </Files>

19. Nonaktifkan Pengeditan Kode Dalam Dasbor

Secara default, WordPress memungkinkan Anda mengedit file tema dan plugin dari dasbor WordPress, yang memungkinkan penyerang menambahkan kode berbahaya jika mereka pernah mendapatkan akses ke akun Admin.

Untuk mencegahnya, Anda dapat menonaktifkan pengeditan file dengan menambahkan cuplikan ini ke file wp-config.php Anda:

define( 'DISALLOW_FILE_EDIT', true );

FAQ Keamanan Situs Web WordPress

Untuk menyelesaikannya, berikut adalah beberapa pertanyaan umum tentang keamanan WordPress.

Apakah WordPress memiliki masalah keamanan?

WordPress sendiri tidak memiliki masalah keamanan, tetapi menginstal plugin di situs Anda dapat menyebabkan kerentanan keamanan, terutama dalam hal kode dan/atau plugin yang tidak dikelola dengan baik.

Apakah WordPress mudah diretas?

Sebagian besar situs WordPress diretas karena kesalahan pengguna, bukan karena perangkat lunak itu sendiri. Mengikuti beberapa praktik terbaik keamanan penting akan membuat situs Anda sangat sulit untuk diretas.

Bisakah Anda membuat WordPress aman?

Ya, tentu saja. Selama Anda mengikuti praktik terbaik, WordPress bisa sangat aman. Ada alasan mengapa begitu banyak merek besar mempercayai WordPress.

Apakah Anda memerlukan plugin keamanan WordPress?

Anda dapat membuat situs WordPress yang aman tanpa plugin keamanan yang komprehensif. Namun, plugin ini dapat menyederhanakan proses penerapan praktik terbaik pengerasan keamanan dan memberi Anda akses ke fitur berguna seperti firewall dan pemindaian keamanan.

Terapkan Praktik Terbaik Keamanan WordPress Ini Sekarang

Jika Anda tidak mengambil hal lain dari posting ini, saya harap Anda menerapkan setidaknya tujuh tips keamanan WordPress yang harus diikuti dari atas.

Jika Anda hanya melakukan tujuh hal itu, Anda dapat yakin bahwa Anda akan menghindari 99,9% masalah keamanan di situs Anda.

Jika Anda menginginkan perlindungan yang lebih baik, Anda dapat melanjutkan dan menerapkan semua 19 tips dalam daftar ini.

Apakah Anda masih memiliki pertanyaan tentang keamanan WordPress? Beri tahu kami di komentar!