10 Tips Ampuh Membuat Blog Wordpres Aman!

blog wordpress

Mendapati website yang rusak atau di hack memang menjadi sebuah mimpi buruk. Bahkan, penelitian menunjukkan bahwa ada sekitar 37000 website yang di hack setiap harinya, dan sebanyak 25,4% terjadi pada platform WordPress. Itu cukup membuktikan bahwa banyak dari blog WordPress yang diretas seitap harinya.

Keamanan pada WordPress adalah sesuatu yang berbeda; jika kamu memiliki blog WordPress, kiat-kiat seperti menggunakan username dan password yang sulit ditebak tidaklah cukup. Sebuah tema yang tidak jelas darimana sumbernya, plugin yang salah, atau file yang tidak terlindungi dengan benar bisa menyebabkan blogmu di hack dengan mudah.

Apakah kamu telah berpengalaman dengan WordPress, atau telah menggunakan WordPress sejak pertama kali? Nah, pada artikel ini kami akan memberikan 10 cara yang efektif dan praktis untuk mengamankan blog WordPress.

1. Nonaktifkan WordPress Theme dan Plugin Editor

WordPress dikenal memiliki fitur berguna yang memberikan banyak fleksibilitas bagi pemilik situs yang memungkinkan mereka untuk menyesuaikan dan mengedit tema dan plugin langsung dari dashboard WordPress, tapi fitur ini bisa membawa kehancuran untuk blog.

Dengan fitur ini, sedikit saja kesalahan bisa menyebabkan crash dan terkunci keluar dari situsmu sendiri. Hacker juga bisa dengan mudah menyisipkan kode berbahaya ke dalam tema yang kamu gunakan dan memberikan mereka akses backdoor ke situsmu, atau bahkan mengambil alih situs sepenuhnya, dengan mendapatkan kontrol dari akun yang memiliki hak akses untuk menggunakan theme dan plugin editor.

Untuk menonaktifkannya, tambahkan kode dibawah ini ke dalam file wp-config.php

define( ‘DISALLOW_FILE_EDIT’, true );

2. Aktifkan Two-Factor Authentication

Two-Factor Authentication atau otentifikasi dua arah merupakan salah satu cara yang paling dapat diandalkan untuk melindungi akun online Anda, dan kebanyakan website yang terpercaya akan mengaktifkan fitur ini untuk pengguna.

Sementara itu WordPress tidak memiliki two-factor authentication yang dibangun didalamnya, kamu bisa mengaktifkan two-factor authentication pada dengan menginstal plugin berikut:

  • Google Authenticator
  • Authy
  • Clef
  • Rublon

3. Batasi berapa kali kesalahan login

Ada banyak cara yang digunakan hacker untuk mendapatkan akses situs, dan salah satu teknik yang palig umum digunakan adalah brute force attack, yaitu sebuah serangan yang dilakukan menggunakan percobaan login dengan kombinasi username dan password sebanyak-banyak, sampai berhasil mendapatkan akses ke situsmu.

Secara default, WordPress tidak dilindungi terhadap serangan ini. Tetapi, kamu bisa menginstal plugin yang dapat membatasi berapa kali kesalah login dari IP tertentu, hal ini bisa membuat hacker sulit untuk memperoleh akses ke blogmu. Plugin seperti Jetpack Protect Module dapat melindungi dari serangan brute force.

4. Lakukan scan blog secara berkala

Tema, plugin, links, dan unsur-unsur lainnya yang tampaknya tidak berbahaya bisa saja digunakan hacker untuk mendapatkan akses ke blogmu. Jadi, jangan menunggu sampai situsmu terinfeksi kode jahat baru mengambil tindakan. Sebaliknya, instal plugin scanning keamanan yang secara berkala melakukan scanning pada situs blogmu dan memberitahu jika ada perubahan file.

Salah satu contoh plugin scanning yang bagus adalah Wordfence. Selain memberikan pilihan untuk melakukan scan manual/otomatis blog WordPress, plugin ini juga akan memberitahu ketika ada aktivitas mencurigakan yang terjadi di blogmu.

Selain itu, plugin ini juga mengirimkan informasi berupa komentar yang berpotensi bahaya, dan membandingkan tema dan plugin dengan repositori WordPress untuk memberitahu pemilik situs jika versi plugin atau tema telah dimodifikasi dan berpotensi telah disisipi backdoor untuk mendapatkan akses ke blogmu.

Beberapa plugin scanning keamanan lainnya yang mungkin bisa kamu coba antara lain:

  • Sucuri Security Scanner
  • Acunetix WP Security
  • iThemes Security (formerly known as “Better WP Security”)

5. Gunakan hosting yang terpercaya

Mungkin ini terdengar seperti saran yang sederhana, tapi sebenarnya memiliki pengaruh yang cukup besar. Penelitian menunjukkan bahwa 41% dari situs WordPress yang di hack adalah melalui kerentanan sistem keamanan pada platform hosting yang digunakan. Ini jauh lebih besar dari faktor lain, termasuk memiliki password yang lemah.

Hosting yang kamu gunakan bisa memainkan peran utama apakah akan di hack atau tidak. Jadi, pastikan untuk selalu memilih web hosting yang telah terbukti handal dan terpercaya dalam industri hosting.

6. Sembunyikan versi WordPress yang digunakan

Secara default, WordPress akan menampilkan versi WordPress yang sedang digunakan; hal ini bertujuan untuk memudahkan pihak WordPress melacak berapa banyak blog WordPress yang aktif di seluruh dunia. Namun, hal ini juga bisa menjadi sumber masalah, hacker dan bot bisa melakukan scan untuk menemukan situs web yang menggunakan versi WordPress dengan kerentanan yang telah diketahui, itu membuat blogmu menjadi sasaran empuk hacker.

Kamu bisa mengatasi masalah ini dengan menyembunyikan versi WordPress yang digunakan. Untuk menyembunyikan versi WordPress, tambahkan kode berikut ke file functions.php

add_filter( ‘the_generator’, ‘__return_null’ );

7. Nonaktifkan PHP Error report

Ketika sebuah plugin atau tema tidak bekerja dengan baik pada blog WordPress, PHP error report dapat membantu pemilik situs menunjukkan pesan yang menjadi penyebab error. Namun, selalu ada kekurangan disetiap kelebihan: ketika PHP error menampilkan report, itu juga termasuk full server path dari error, ini berarti berisi informasi penting yang bisa digunakan hacker untuk menyerang situsmu.

Kamu bisa melindungi diri dengan menonaktifkan fitur PHP error report. Tambahkan kode dibawha ini ke dalam file wp-config.php.

error_reporting(0);
@ini_set(‘display_errors’, 0);

8. Batasi hak akses file WordPress

Jika kamu ingin mencegah blog WordPressmu dari eksploitasi keamanan, pastikan bahwa hak akses file telah diatur dengan tepat. Hal ini tentu akan menyulitkan bagi seorang hacker untuk memanipulasi plugin, tema, atau file pada server untuk mengambil alih website.

Pastikan bahwa folder permission WordPress diatur ke 755 atau 750, file permission 640 atau 644, dan wp-config permission 600.

9. Pastikan selalu melakukan backup

Penting! Ini adalah salah satu hal yang harus dan wajib dilakukan. Bahkan situs-situs besar dengan tim ahli keamanan yang tinggi tetap masih bisa diretas, jadi pastikan kamu selalu melakukan backup untuk menghindari hal-hal yang tidak diinginkan terjadi.

Sistem keamanan WordPress terbaik untuk melawan hacker adalah dengan backup yang baik. Pastikan kamu membuat backup secara rutin, jika memungkinkan adalah setiap hari. Dengan cara ini, jika situsmu di hack kamu bisa dengan segera mengembalikannya seperti semula.

Berikut adalah beberapa plugin backup terbaik untuk WordPress:

  • BackUpWordPress
  • Ready! Backup
  • VaultPress
  • BackupBuddy

10. Batasi akses login

Sebuah cara yang sangat handal untuk melindungi blog dari upaya hack adalah dengan memblokir akses ke halaman wp-admin dan wp-login.

Ini hanya direkomendasikan jika kamu menggunakan satu alamat IP yang tidak berubah-ubah. Kamu masih bisa menggunakan cara ini meskipun menggunakan alamat IP lebih dari satu, yaitu dengan melacak IP tersebut.

Untuk membatasi akses ke halaman login blog, tambahkan kode berikut ke dalam file .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^Your IP address 1$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>

Pastikan edit alamat IP 1 sampai 5 dengan alamat IP yang berbeda yang ingin diberikan hak akses, kamu juga bisa menambahkan atau menghapus baris untuk mengijinkan atau mencegah banyak IP mengakses situsmu.

Leave a Reply

Your email address will not be published. Required fields are marked *