12 Cara Penting untuk Meningkatkan Keamanan WordPress

WordPress adalah salah satu pembuat situs web paling populer di dunia. Ini digunakan oleh jutaan orang, termasuk beberapa merek dan organisasi terbesar di dunia.

Namun, tanggung jawab besar datang dengan kekuatan besar, termasuk memastikan situs WordPress Anda seaman mungkin. Beberapa situs WordPress profil tinggi telah diretas dalam beberapa tahun terakhir, jadi penting untuk mengambil langkah-langkah untuk melindungi situs Anda.

Sebuah studi oleh Sucuri menemukan bahwa 43% situs WordPress rentan terhadap serangan.

Berikut adalah beberapa cara untuk meningkatkan keamanan WordPress.

Tetap Perbarui WordPress

Salah satu hal terpenting yang dapat Anda lakukan untuk meningkatkan keamanan WordPress adalah selalu memperbarui situs WordPress Anda.

Itu berarti memperbarui WordPress itu sendiri, serta tema dan plugin apa pun yang telah Anda instal. Versi baru WordPress dirilis secara berkala, dan setiap versi baru menyertakan perbaikan keamanan untuk kerentanan yang telah ditemukan.

Untuk memperbarui WordPress, buka halaman Dasbor > Pembaruan dan klik tombol “Perbarui Sekarang”.

Penting juga untuk memperbarui tema dan plugin Anda. Sebagian besar pengembang tema dan plugin merilis pembaruan secara teratur untuk memperbaiki kerentanan keamanan.

Anda dapat memperbarui tema dan plugin Anda dari halaman Dasbor > Pembaruan atau menginstal plugin WP Updates Notifier, yang akan mengirim email kepada Anda saat pembaruan tersedia.

Sembunyikan Nomor Versi WordPress

Karena WordPress menjadi lebih populer, peretas semakin menargetkannya.

Salah satu hal yang mereka cari adalah nomor versi WordPress, yang ditampilkan dalam kode sumber setiap situs WordPress. Peretas dapat menargetkan kerentanan tertentu dengan mengetahui versi WordPress yang Anda jalankan. Selain itu, beberapa plugin keamanan WordPress hanya akan berfungsi dengan versi WordPress tertentu.

Jadi, penting untuk menyembunyikan nomor versi WordPress Anda. Sebagian besar tema WordPress memiliki opsi untuk melakukan ini, atau Anda dapat menginstal plugin seperti WP-Hardening Plugin.

Anda juga dapat menyembunyikannya secara manual dengan menempelkan kode ini di file functions.php Anda:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Gunakan Kata Sandi yang Kuat

Cara penting lainnya untuk meningkatkan keamanan WordPress adalah dengan menggunakan kata sandi yang kuat.

Kata sandi yang kuat harus setidaknya delapan karakter dan mencakup campuran huruf besar dan kecil, angka, dan simbol. Menggunakan kata sandi yang berbeda untuk setiap situs web yang Anda kunjungi juga penting. Dengan begitu, akun Anda yang lain akan aman jika salah satu situs diretas. Anda dapat menggunakan pengelola kata sandi seperti LastPass atau KeePass untuk membantu Anda membuat dan mengingat kata sandi yang kuat.

Sebuah studi penelitian oleh Imperva menemukan bahwa menggunakan kata sandi yang kuat adalah cara paling efektif untuk mencegah serangan brute force, peretasan WordPress yang umum.

Gunakan situs pembuat kata sandi untuk menghasilkan kata sandi yang sangat kuat. Berikut adalah beberapa pembuat kata sandi terbaik:

• pas terakhir
• Norton
• 1Kata Sandi

Gunakan Otentikasi Dua Faktor

Otentikasi dua faktor (juga dikenal sebagai verifikasi dua langkah) adalah lapisan keamanan tambahan yang dapat membantu melindungi situs WordPress Anda.

Dengan autentikasi dua faktor, Anda harus memasukkan kata sandi dan kode kedua, biasanya dibuat oleh aplikasi di ponsel cerdas Anda. Dengan begitu, bahkan jika seseorang berhasil menebak kata sandi Anda, mereka tidak akan dapat masuk kecuali mereka juga memiliki ponsel cerdas Anda.

WordPress tidak menyertakan otentikasi dua faktor secara default, tetapi Anda dapat menginstal plugin seperti Google Authenticator atau Duo Security.

Namun, ingat, autentikasi dua faktor tidak akan berfungsi jika Anda kehilangan ponsel cerdas, jadi penting untuk memiliki metode pencadangan, seperti alamat email atau nomor telepon alternatif.

Batasi Upaya Masuk

Cara lain untuk meningkatkan keamanan WordPress adalah dengan membatasi upaya login.

Secara default, WordPress mengizinkan upaya login dalam jumlah tidak terbatas, yang memberi banyak peluang bagi peretas untuk menebak kata sandi Anda. Dengan membatasi upaya login, Anda dapat membantu mencegah serangan brute force. Beberapa plugin memungkinkan Anda melakukan ini, seperti Batasi Upaya Masuk dan Penguncian Masuk.

Penelitian oleh Wordfence menunjukkan bahwa membatasi upaya login dapat memblokir 99,99% serangan brute force.

Juga, pilih plugin yang tidak mengunci pengguna yang sah, seperti Anda sendiri, jika Anda lupa kata sandi Anda.

Gunakan SSL

SSL (Secure Sockets Layer) adalah protokol yang mengenkripsi data yang dikirimkan antara situs web dan browser web pengguna. Itu berarti jika seseorang mencoba untuk mencegat data, mereka tidak akan dapat membacanya. Di masa lalu, situs web eCommerce terutama menggunakan SSL untuk melindungi informasi kartu kredit.

Namun saat ini, semakin banyak situs WordPress yang menggunakan SSL untuk melindungi data sensitif, seperti kredensial login dan pengiriman formulir kontak. Anda dapat menambahkan SSL ke situs WordPress Anda dengan beberapa cara berbeda. Misalnya, beberapa perusahaan web hosting menawarkan sertifikat SSL gratis, atau Anda dapat membeli sertifikat dari perusahaan seperti Symantec atau Comodo. Setelah Anda memiliki sertifikat SSL, Anda harus menginstal dan mengaktifkan plugin WordPress SSL.

Batasi Akses ke Direktori Plugin Anda

Direktori plugin WordPress adalah folder di server Anda yang berisi semua plugin yang telah Anda instal di situs Anda.

Secara default, siapa pun dapat mengakses folder ini dan melihat plugin mana yang mereka gunakan. Dan jika peretas mengetahui plugin mana yang Anda gunakan, mereka dapat menargetkan kerentanan apa pun di plugin tersebut. Jadi, sangat penting untuk membatasi akses ke direktori plugin Anda. Anda dapat melakukannya dengan menambahkan baris kode sederhana ke file .htaccess Anda.

Jika Anda tidak nyaman mengedit file di server Anda, Anda dapat menginstal plugin seperti iThemes Security, yang akan menambahkan kode untuk Anda. Jika Anda mengedit file .htaccess Anda, pastikan untuk membuat cadangan sebelum Anda membuat perubahan apa pun.

Ubah Nama Pengguna Admin

Saat Anda menginstal WordPress, nama pengguna admin default adalah “admin.” Itu tidak terlalu aman karena mudah ditebak oleh peretas.

Jadi, salah satu hal pertama yang harus Anda lakukan setelah menginstal WordPress adalah mengubah nama pengguna admin. Anda dapat membuat pengguna baru dengan hak administrator dan kemudian menghapus pengguna "admin" lama. Atau, Anda dapat menginstal plugin seperti WP Security Scan, yang akan memindai situs Anda dari pengaturan yang tidak aman, termasuk nama pengguna admin default.

Setelah mengubah nama pengguna admin, keluar dari akun WordPress Anda dan masuk kembali dengan nama pengguna baru. Banyak orang lupa melakukan ini dan bertanya-tanya mengapa mereka tidak dapat mengakses situs WordPress mereka.

Gunakan CAPTCHA atau reCAPTCHA di Layar Login Anda

CAPTCHA (Tes Turing Publik Sepenuhnya Otomatis untuk Membedakan Komputer dan Manusia) adalah tes tantangan-tanggapan yang digunakan untuk memastikan bahwa hanya manusia yang dapat mengakses situs web atau melakukan tindakan tertentu. reCAPTCHA adalah versi CAPTCHA yang dimiliki Google. Ini lebih aman daripada CAPTCHA tradisional karena menggunakan teknik analisis risiko tingkat lanjut untuk menjaga perangkat lunak otomatis agar tidak terlibat dalam aktivitas penyalahgunaan di situs web Anda. Untuk menambahkan CAPTCHA atau reCAPTCHA ke layar login WordPress Anda, Anda dapat menginstal plugin seperti WP-reCAPTCHA.

Setelah plugin diinstal dan diaktifkan, Anda harus mendaftar untuk mendapatkan akun gratis dengan reCAPTCHA. Anda kemudian akan diberikan Kunci Situs dan Kunci Rahasia, yang harus Anda masukkan dalam pengaturan plugin.

Secara Otomatis Keluar Pengguna Idle

Saat Anda masuk ke situs WordPress Anda, Anda dapat tetap masuk tanpa batas waktu, bahkan jika Anda menutup jendela browser atau meninggalkan komputer Anda. Itu tidak terlalu aman karena itu berarti siapa pun yang memiliki akses ke komputer Anda juga dapat mengakses situs WordPress Anda.

Anda dapat menginstal plugin seperti Idle User Logout untuk mengatasi masalah ini. Plugin ini akan secara otomatis logout pengguna yang tidak aktif selama jangka waktu tertentu.

Misalnya, Anda dapat mengaturnya untuk logout pengguna yang belum aktif selama 15 menit. Dengan begitu, meskipun seseorang memiliki akses ke komputer Anda, mereka tidak akan dapat tetap masuk ke situs WordPress Anda. Plugin sangat penting jika Anda memiliki komputer bersama atau menggunakan Wi-Fi publik.

Gunakan SFTP untuk Terhubung ke Server Anda

Saat Anda terhubung ke situs WordPress Anda, Anda terhubung ke server Anda.

Secara default, kebanyakan orang terhubung ke server mereka menggunakan FTP (File Transfer Protocol). Tetapi FTP adalah protokol yang tidak aman karena tidak mengenkripsi data Anda. Itu berarti siapa pun yang memantau koneksi dapat melihat nama pengguna dan kata sandi Anda.

Jadi, menggunakan SFTP (Secure File Transfer Protocol) sangat penting. SFTP adalah protokol aman yang mengenkripsi data Anda, jadi jauh lebih sulit bagi seseorang untuk mencegat koneksi Anda dan mencuri kredensial Anda. Untuk menggunakan SFTP, Anda harus membuat pasangan kunci SSH dan menambahkan kunci publik ke server Anda. Sebagian besar penyedia hosting memiliki petunjuk tentang cara melakukan ini.

Memantau Malware

Malware adalah perangkat lunak berbahaya yang dapat menginfeksi situs WordPress Anda dan menyebabkan banyak masalah.

Misalnya, malware dapat mengarahkan pengunjung Anda ke situs web lain, atau dapat menampilkan iklan di situs Anda tanpa izin Anda. Malware juga dapat mencuri informasi sensitif seperti kata sandi dan nomor kartu kredit. Jadi, penting untuk secara teratur memindai situs WordPress Anda dari malware dan menghapus semua yang Anda temukan. Ada beberapa cara berbeda untuk melakukan ini. Misalnya, Anda dapat menggunakan plugin seperti Wordfence Security, yang akan memindai situs Anda dari malware dan secara otomatis menghapus semua yang ditemukannya.

Atau, Anda dapat menggunakan layanan seperti Sucuri SiteCheck, yang akan memindai situs Anda dan kemudian memberi Anda laporan tentang malware apa pun yang ditemukannya.

Kesimpulan

Ini hanyalah beberapa dari banyak cara Anda dapat meningkatkan keamanan WordPress. Dengan mengambil langkah-langkah ini, Anda dapat membantu melindungi situs WordPress Anda dari peretas dan pengguna jahat lainnya. Banyak dari tips ini mudah diterapkan, jadi tidak ada alasan untuk tidak mengambil tindakan. Ingat, situs WordPress Anda hanya seaman yang Anda buat. Jadi, jangan menunggu sampai terlambat untuk mulai memikirkan keamanan. Ambil tindakan sekarang dan bantu menjaga situs WordPress Anda tetap aman.