Cara mengamankan WordPress dengan Wordfence Security

Mengelola situs WordPress berarti melalui emosi yang berbeda. Terkadang, ada kegembiraan, seperti saat Anda melihat peringkat konten Anda perlahan di Google.

Terkadang ada kemarahan, saat situs Anda mogok setelah pembaruan. Dan terkadang, Anda bahkan merasa takut . Saat itulah situs Anda diretas, ketidaknyamanan yang tidak hanya terjadi pada orang lain.

Untuk menghindari keringat dingin di masa mendatang, dan untuk melindungi situs Anda, gunakan plugin keamanan.

Yang paling terkenal di direktori resmi disebut Wordfence Security . Karena sulit untuk diabaikan, kami mengujinya agar Anda mengetahui apa yang ada di lengan bajunya.

Di akhir artikel ini, Anda akan mengetahui cara menyiapkan dan menggunakannya.

Proyek WordPress terbaik Anda membutuhkan host terbaik!

WPMarmite merekomendasikan Bluehost: kinerja hebat, dukungan hebat. Semua yang Anda butuhkan untuk awal yang baik.

Coba Bluehost

Apa itu Keamanan Wordfence?

Wordfence Security adalah plugin untuk memperkuat keamanan situs WordPress Anda. Ini menawarkan beberapa fitur untuk melindungi instalasi Anda, termasuk firewall aplikasi, pemindai malware, otentikasi dua faktor, dan perlindungan terhadap serangan brute force.

Dengan instalasi aktif 4M+ , ini adalah plugin keamanan paling populer di direktori plugin resmi, di atas iThemes Security ( 1M+ instalasi aktif), All in One Security ( 1M+ instalasi aktif), dan instalasi aktif Sucuri 800K+ ).

Plugin Wordfence Security, juga disebut "Wordfence Free", tidak dikenai biaya. Namun, Wordfence juga menawarkan beberapa opsi berbayar:

• Wordfence Premium : versi yang bahkan lebih lengkap daripada plugin gratis, dengan dukungan disertakan.
• Wordfence Care : tim alat keamanan menginstal Wordfence, mengonfigurasinya, mengoptimalkannya, dan memantau situs Anda untuk Anda. Jika terjadi masalah terkait keamanan, tim khusus akan turun tangan.
• Wordfence Response , layanan yang didedikasikan untuk situs WordPress di mana downtime memiliki dampak finansial. Layanan ini terutama ditujukan untuk situs besar dengan banyak lalu lintas dan untuk toko e-commerce.
• Wordfence Intelligence : terutama didedikasikan untuk host web yang ingin mengumpulkan data tentang keamanan secara umum.

Perhatikan bahwa tim WordFence juga menawarkan dua plugin gratis lainnya di direktori resmi. Wordfence Assistant adalah sebuah plugin yang akan berguna jika Wordfence aktif di situs Anda tetapi Anda tidak dapat lagi mengakses dashboard Anda. Wordfence Login Security berisi beberapa fitur yang sudah termasuk dalam plugin gratis: autentikasi dua faktor, proteksi XML-RPC, dan CAPTCHA pada halaman login. Tidak perlu mengaktifkannya jika Anda sudah menggunakan Wordfence Security.

Apa saja fitur utama Keamanan Wordfence?

Wordfence Security adalah solusi keamanan komprehensif yang bekerja di beberapa level. Untuk memanfaatkannya, pengguna mendapat manfaat dari beberapa opsi utama:

• Firewall aplikasi web (WAF) yang mengidentifikasi dan memblokir lalu lintas berbahaya dari server web Anda (dan bukan di cloud, seperti yang ditawarkan oleh pesaingnya Sucuri, misalnya)
• Pemindai malware yang memblokir permintaan yang menyertakan kode atau konten berbahaya
• Perlindungan terhadap serangan brute force dengan membatasi jumlah upaya koneksi ke halaman login administrasi Anda
• Otentikasi dua faktor , untuk menambahkan lapisan keamanan ekstra untuk masuk ke situs WordPress Anda
• reCAPTCHA di halaman login Anda untuk mencegah bot masuk dan membatasi spam
• Peringatan email saat masalah keamanan terdeteksi
• Sebuah platform bernama Wordfence Central untuk mengelola keamanan beberapa situs di satu tempat. Ia bekerja dengan prinsip yang sama dengan ManageWP, yang memungkinkan Anda memelihara situs WordPress Anda.

Mengapa Anda harus menggunakan plugin keamanan seperti WordFence?

Seperti yang mungkin sudah Anda ketahui, WordPress adalah CMS (Sistem Manajemen Konten) yang paling banyak digunakan di planet ini, dengan 63,7% pangsa pasar.

Di luar itu, ini mendukung hampir satu dari setiap dua situs di seluruh dunia (di antara jutaan situs yang menerima lalu lintas terbanyak).

Posisi dominan ini membangkitkan selera para peretas manusia, dan terutama bot jahat yang bekerja secara otomatis, seperti:

• Bot spam
• Robot yang mengikis (mengekstrak) konten Anda
• Bot yang meluncurkan serangan penolakan layanan (DoS) atau penolakan layanan terdistribusi (DDoS).

Secara total, 90% serangan yang dilakukan terhadap CMS memengaruhi WordPress. Dan 2.800 serangan per detik menargetkan instalasi WordPress secara khusus, di seluruh dunia!

Yakinlah: untungnya, WordPress bukan saringan. Menurut laporan yang diterbitkan pada tahun 2021 oleh pakar keamanan Patchstack, hanya 0,58% kelemahan keamanan berasal dari WordPress Core .

Penyebab utamanya adalah plugin Anda, yang merupakan 92,81% kerentanan (dibandingkan dengan 6,61% untuk tema).

Beberapa temuan studi Patchstack berbicara banyak dan menyerukan untuk menangani masalah keamanan dengan sangat serius:

• Rata-rata, 42% situs WordPress memasang setidaknya satu komponen rentan (plugin atau tema).
• Kerentanan telah meningkat sebesar 150% antara tahun 2020 dan 2021
• 29% plugin WordPress yang mengandung kerentanan kritis belum ditambal

Jadi, Anda mengerti maksud saya: sangat penting bahwa situs WordPress Anda dilindungi untuk memperkuat keamanannya.

Untuk ini, plugin seperti Wordfence dapat melakukan tugasnya. Saya akan menunjukkan cara menginstalnya di bawah ini.

Cara menginstal Wordfence dalam tiga langkah

Langkah 1: Aktifkan plugin di dasbor WordPress Anda

Langkah pertama adalah menginstal plugin dari antarmuka admin WordPress Anda.

Buka menu Plugins > Add New dan ketik “Wordfence” di bilah pencarian:

Klik tombol "Instal Sekarang" di sebelah "Keamanan Wordfence - Pemindaian Firewall & Malware", lalu aktifkan plugin.

Langkah 2: Dapatkan kunci lisensi Wordfence

Setelah plugin diaktifkan, sebuah jendela akan muncul meminta Anda untuk mendapatkan lisensi Wordfence. Ini adalah prasyarat yang diperlukan untuk memanfaatkan semua opsi plugin gratis .

Klik tombol "Dapatkan lisensi Wordfence Anda":

Anda akan diarahkan ke halaman harga Wordfence di situs web resmi. Klik tombol "Dapatkan lisensi gratis" untuk mendapatkan kunci versi gratis plugin:

Jendela baru terbuka di layar Anda. Wordfence menanyakan apakah Anda yakin ingin menggunakan versi gratisnya, dan menjelaskan keuntungan utama dari versi premiumnya: segera setelah tim plugin menerapkan tindakan perlindungan pada pemindai firewall atau malware-nya, itu diperbarui secara waktu nyata di versi premium (dibandingkan dengan 30 hari kemudian pada versi gratis).

Karena saya hanya ingin menggunakan plugin gratis, saya mengklik "Saya baik-baik saja menunggu 30 hari untuk perlindungan dari ancaman baru":

Di jendela berikutnya, masukkan alamat email Anda, centang kotak, dan klik "Daftar":

Langkah 3: Instal lisensi Anda di WordPress

Sekarang buka kotak masuk email Anda. Anda seharusnya sudah menerima email dari Wordfence.

Di dalamnya, Anda akan menemukan kunci lisensi Anda sehingga Anda dapat mengaktifkannya secara manual. Untuk bergerak lebih cepat, Wordfence juga menawarkan untuk mengaktifkannya secara otomatis untuk Anda . Untuk melakukan ini, klik tombol "Instal Lisensi Saya Secara Otomatis":

Anda akan diarahkan ke dasbor WordPress Anda, dengan bidang "Email" dan "Kunci lisensi" sudah diisi. Selesaikan dengan mengklik "Instal Lisensi":

Kerja bagus: plugin sekarang aktif dan berjalan. Di bilah sisi kiri, di antarmuka administrasi Anda, kini Anda memiliki menu baru bernama "Wordfence", yang berisi semua pengaturan yang ditawarkan oleh plugin:

Mari kita lihat sekarang, hanya untuk melihat apa yang ada di balik tudung plugin.

Cara mengatur plugin Wordfence Security

Bagaimana cara kerja dasbor Wordfence Security?

Inti dari plugin adalah dasbornya.

Ini menawarkan pintasan cepat untuk mengakses berbagai opsi yang ditawarkan oleh plugin , yang juga dapat Anda temukan di menu yang terletak di sidebar kiri Anda.

Dengan satu klik, Anda dapat memanfaatkan:

• Firewall aplikasi
• Pemindai malware
• Wordfence Central. Untuk memanfaatkan layanan ini, yang memungkinkan Anda memperbarui keamanan situs Anda dari dasbor yang sama, Anda harus membuat akun gratis. Ini berguna jika Anda perlu mengelola keamanan beberapa situs secara bersamaan. Untuk penggunaan individu, lewati saja.
• Opsi umum untuk menyiapkan peringatan email, firewall, dan setelan pemindai
• Akses ke dokumentasi plugin
• Log pemberitahuan
• Ringkasan serangan yang diblokir di situs WordPress Anda
• Grafik yang menunjukkan jumlah total serangan yang diblokir di seluruh jaringan Wordfence

Dasbornya jelas dan dapat dimengerti; mudah untuk menemukan jalan Anda melalui opsi yang berbeda.

Cara menggunakan aplikasi firewall

Perlindungan terhadap beberapa serangan

Salah satu fitur utama Wordfence adalah firewall aplikasinya.

Itu dapat mengidentifikasi lalu lintas jahat dan memblokir peretas dan bot jahat lainnya sebelum mereka dapat mengakses situs Anda.

Firewall dapat diakses melalui Wordfence > Firewall . Ini melindungi situs Anda dari serangan berikut:

• Suntikan SQL , yaitu serangan pada database Anda
• Skrip lintas situs (XSS): kode berbahaya disuntikkan ke dalam konten halaman Anda
• Pengunduhan file berbahaya
• Serangan traversal direktori
• Kerentanan Inklusi File Lokal (LFI), di mana file jarak jauh ditambahkan ke server web Anda

Secara default, firewall berada dalam Mode Pembelajaran selama satu minggu, mulai dari saat Anda memasang plugin.

“Ini memungkinkan Wordfence mengenal situs Anda untuk memahami cara melindunginya dan cara mengizinkan pengunjung normal melalui firewall,” kata Wordfence. “ Kami menyarankan Anda membiarkan Wordfence dalam mode belajar selama seminggu sebelum mengaktifkan firewall.”

Jika Anda ingin mengesampingkan rekomendasi ini, klik "Aktifkan dan Lindungi" di menu tarik-turun di bawah:

Seperti disebutkan sebelumnya, hanya plugin versi premium yang mendapatkan pembaruan firewall waktu nyata setiap kali ancaman baru terdeteksi oleh tim Wordfence (secara global, tidak harus serangan yang ditujukan untuk menargetkan situs Anda). Versi gratis firewall diperbarui 30 hari setelah ancaman terdeteksi.

Bergabunglah dengan pelanggan WPMarmite

Dapatkan postingan WPMarmite terakhir (dan juga sumber daya eksklusif).

BERLANGGANAN SEKARANG

Cara kerja firewall Keamanan Wordfence

Secara default, plugin telah mengonfigurasi pengaturan dasar untuk memperkuat keamanan situs Anda. Tetapi Anda masih dapat menyesuaikan sedikit lebih banyak pengaturan teknis dengan memanfaatkan opsi tambahan:

Diantaranya adalah:

• Daftar putih alamat IP tertentu
• Memasukkan alamat IP untuk diabaikan oleh firewall
• Konfigurasi perlindungan dari serangan brute force . Misalnya, Anda dapat menentukan berapa banyak upaya login yang gagal diperlukan untuk mencegah akses ke halaman login Anda (dan untuk berapa lama).
  Ini menghemat penggunaan plugin tambahan seperti Limit Login Attempts Reloaded.
  

Saat firewall berfungsi dengan baik, lingkaran menunjukkan tingkat perlindungan Anda (dalam persentase). Saat lingkaran berwarna abu-abu, firewall dalam mode belajar.

Tujuannya adalah untuk mencapai skor 100% (warna hijau). Anda dapat melakukannya dengan mengikuti rekomendasi yang diberikan, dengan mengarahkan mouse ke setiap lingkaran:

Namun, skor 100% tidak selalu dapat dicapai dengan plugin versi gratis.

Untuk mencapai ini, Anda harus menggunakan opsi premium, seperti pemblokiran alamat IP secara waktu nyata.

Tab Pemblokiran Firewall Aplikasi

Selain aturan firewall yang melindungi dari berbagai serangan, Wordfence juga memiliki fitur khusus untuk pemblokiran tambahan. Ini dapat diakses melalui tab "Blocking":

Anda dapat membuat aturan pemblokiran berdasarkan:

• alamat IP
• Sebuah wilayah geografis
• Satu set kriteria (Custom Pattern) seperti jaringan alamat IP atau web browser

Untuk info lebih lanjut tentang ini, tonton video ini:

Cara menggunakan pemindai malware

Mari beralih ke pemindai yang ditawarkan oleh plugin, dapat diakses melalui Wordfence > Scan .

Alat pindai memindai situs Anda (file inti, tema, dan plugin) untuk hal-hal berikut: malware, URL buruk, pintu belakang, akses jarak jauh ke situs Anda, spam SEO, pengalihan berbahaya, dan injeksi kode lainnya.

Selama pemindaiannya, plugin “membandingkan file inti, tema, dan plugin Anda dengan apa yang ada di direktori WordPress.org,” detail Wordfence Security. “Itu memeriksa integritas mereka dan memberi tahu Anda tentang setiap perubahan.”

Awalnya, pemindaian berfokus pada pemeriksaan spam dan alamat IP yang masuk daftar hitam (hanya untuk versi premium). Kemudian beralih ke pemindaian file situs Anda dan memberikan hasil.

Dalam kasus saya, plugin memperingatkan saya bahwa saya menggunakan login administrator ("admin") yang terlalu tidak aman. Saya kemudian dapat mengatasi masalah ini dengan mengklik "Edit", atau abaikan saja:

Untuk firewall, lingkaran menunjukkan kepada saya elemen yang akan dioptimalkan untuk mencapai skor 100%.

Dengan mengeklik "Opsi Pemindaian dan Penjadwalan", Anda juga dapat mengedit pengaturan yang lebih spesifik.

Untuk mengoptimalkan performa, Anda dapat, misalnya:

• Pilih untuk menjalankan pemindai secara terbatas , untuk menghemat bandwidth (ingat bahwa Wordfence berjalan di server web Anda, sehingga menggunakan sumber daya)
• Batasi jumlah item yang akan dipindai secara manual

Cara mengaktifkan autentikasi dua faktor

Setelah firewall dan pemindai situs, WordFence Security menyarankan penggunanya untuk mengaktifkan autentikasi dua faktor (Wordfence 2FA).

Otentikasi dua faktor menambahkan langkah keamanan tambahan untuk masuk ke situs WordPress Anda .

Setelah memasukkan nama pengguna dan kata sandi, Anda akan diminta untuk menggunakan perangkat, sering kali ponsel cerdas atau tablet Anda, untuk memvalidasi proses login.

Ini adalah metode yang sudah digunakan oleh lembaga perbankan saat Anda melakukan pembayaran online. Ini sangat efektif dalam melindungi Anda dari serangan brute force.

Untuk menggunakannya, buka menu Wordfence > Login Security . Singkatnya, Anda perlu:

• Instal aplikasi di ponsel cerdas Anda untuk mengautentikasi diri sendiri , seperti Google Authenticator, Sophos Mobile Security, atau FreeOTP Authenticator.
• Pindai kode QR yang ditawarkan oleh Wordfence di aplikasi otentikasi yang dipilih (1).
• Masukkan kode 6 digit yang ditampilkan setelah pemindaian kode QR untuk mengotorisasi koneksi antara situs WordPress Anda dan aplikasi (2).

Jika Anda ingin melihat proses aktivasi ini secara visual, lihat sumber daya ini:

Autentikasi dua faktor dapat diatur untuk semua peran pengguna, dari administrator hingga pelanggan, melalui tab Pengaturan:

Masih di tab “Pengaturan” pada menu “Keamanan Login”, Anda juga dapat mengaktifkan Google reCAPTCHA versi 3, untuk melindungi dari spam di halaman login admin. Agar berfungsi, layanan ini memerlukan kunci lisensi gratis dari Google.

Alat lain yang ditawarkan oleh Wordfence Security

Tur pemilik Keamanan WordFence sangat maju. Untuk menyelesaikannya, mari selami dua menu terakhir yang ditawarkan oleh plugin keamanan WordPress.

Menu Alat

Menu Alat terdiri dari empat tab:

• "Lalu Lintas Langsung" menunjukkan kepada Anda apa yang terjadi di situs Anda secara waktu nyata, termasuk login pengguna, upaya peretasan, dan permintaan yang telah diblokir oleh firewall Wordfence. Kode warna (hijau, abu-abu, kuning, dan merah) memberi tahu Anda siapa yang mencoba mengakses situs Anda (manusia atau bot) dan statusnya (peringatan atau pemblokiran):

• “Whois Lookup” untuk mengetahui siapa pemilik alamat IP atau nama domain yang mengunjungi situs Anda atau terlibat dalam aktivitas berbahaya di halaman Anda
• “Opsi Impor/Ekspor” untuk mengekspor atau mengimpor opsi Wordfence Anda ke situs WordPress lain
• “Diagnostik” memberikan informasi yang dapat digunakan untuk menyelesaikan konflik, konfigurasi, atau masalah kompatibilitas dengan plugin, tema, atau lingkungan server lain.

Menu Semua Pilihan

Menu “All Options” berisi semua pilihan yang tersebar di menu lain (seperti firewall, scanner, atau connection options) pada halaman yang sama.

Keuntungannya adalah Anda dapat menemukan semuanya di tempat yang sama . Saya tidak akan membahas semua opsi, karena Anda telah melihat yang utama.

Namun, menarik untuk dicatat bahwa di sinilah Anda dapat mengatur preferensi peringatan email Anda. Anda memiliki selusin kotak centang yang memungkinkan Anda, misalnya, diberi tahu (atau tidak):

• Ketika alamat IP diblokir
• Ketika seseorang dilarang dari halaman login Anda
• Ketika sejumlah besar serangan terdeteksi di situs WordPress Anda

Itu saja untuk tur lengkap fitur Wordfence Security ini. Sekarang mari kita lihat lebih dekat harga alat ini.

Berapa biaya Wordfence?

Wordfence Security awalnya tersedia secara gratis di direktori resmi WordPress. Tentu saja, seperti versi gratis lainnya, ini tidak menyertakan semua opsi yang ditawarkan di plugin versi berbayar.

Wordfence Premium dihargai $119/tahun. Terlepas dari dukungan prioritas, perbedaan utama dengan penawaran gratis ini adalah frekuensi pembaruan alat yang ditawarkan oleh Wordfence .

Dengan premium, segera setelah server Wordfence mendeteksi ancaman secara real time, mereka akan memperbarui aturan firewall Anda, deteksi malware, dan daftar pemblokiran IP dalam sekejap.

Dengan plugin gratis, Anda harus menunggu 30 hari setelah aktif untuk mendapatkan manfaat dari pembaruan.

Di luar itu, Wordfence juga menawarkan dua lisensi di mana tim khusus akan memasang, mengonfigurasi, dan mengelola Wordfence untuk Anda:

• Perawatan Wordfence : $490/tahun
• Tanggapan Wordfence: $950/tahun. Lisensi ini memberi Anda akses ke opsi yang sama dengan Wordfence Care, tetapi Anda juga memiliki jaminan waktu respons maksimal satu jam dan respons tersedia tujuh hari seminggu.

Dua penawaran terakhir ini terutama untuk situs besar dan orang yang tidak memiliki waktu untuk menjaga keamanan situs mereka (dan yang memiliki anggaran untuk mendelegasikan tugas ini).

Untuk situs web atau blog pribadi Anda, plugin Wordfence gratis atau premium sudah cukup.

Pendapat terakhir kami tentang plugin Wordfence

Sebagai kesimpulan, mari rekap apa yang telah kita lihat sejak awal artikel ini, dengan ringkasan kekuatan dan kelemahan dari plugin keamanan ini.

Keuntungan dari plugin Wordfence Security

• Antarmuka yang menyenangkan dan jelas, yang membuatnya mudah dipelajari
• Ini secara otomatis menerapkan pengaturan keamanan dasar untuk Anda
• Banyak fitur yang ditawarkan dalam versi gratis, termasuk aplikasi firewall
• Otentikasi dua faktor
• Pemindai keamanan
• Lansiran email untuk memberi tahu Anda saat ada masalah

Kekurangan plugin

• Beberapa pengaturan terlalu rumit untuk pemula, tetapi ini juga terjadi pada plugin keamanan lainnya
• Fakta bahwa pembaruan terbaru dari ancaman yang terdeteksi hanya diterapkan 30 hari setelah dirilis
• Menggunakan Wordfence dapat menyebabkan pelambatan pada halaman Anda karena menghabiskan banyak sumber daya server. Jika host web Anda tidak mengejar kinerja situs Anda dapat terpengaruh.

Haruskah Anda menggunakannya?

Secara keseluruhan, Wordfence adalah plugin keamanan yang sangat bagus . Karena sebagian besar opsinya bekerja secara otomatis, ini cocok untuk pemula.

Pengguna yang lebih mahir akan menghargai kemampuan untuk mengedit pengaturan yang lebih teknis dan lanjutan.

Berkat plugin gratisnya, Anda akan memiliki perisai berharga untuk memblokir sebagian besar serangan jahat, terutama melalui firewall aplikasinya. Yang terakhir sudah efektif dalam memberikan tingkat keamanan pertama untuk situs Anda.

Ini perlu diperhatikan karena plugin pesaing lainnya (mis. Sucuri) tidak menawarkan firewall dalam versi gratisnya. Namun ini merupakan perlindungan dasar yang harus dimiliki untuk situs mana pun.

Dan jika Anda juga ingin melindungi diri dari ancaman terbaru yang terdeteksi oleh tim Wordfence (selalu lebih baik), beralihlah ke paket premium jika anggaran Anda memungkinkan.

Terakhir, jangan lupa bahwa menggunakan plugin keamanan bukanlah segalanya. Pertama, karena tidak ada situs yang sempurna. Kedua, karena Anda perlu menerapkan praktik yang baik setiap hari. Misalnya, ingatlah untuk memperbarui dan mencadangkan situs Anda secara teratur.

Jadi, apa pendapat Anda tentang Wordfence? Beri saya pendapat Anda di komentar.