Cara Mengamankan Situs WordPress, Panduan Langkah Ke Langkah Untuk Mengamankan Situs WordPress Anda
Diterbitkan: 2020-09-08Orang cenderung memiliki kesalahpahaman yang salah bahwa segala sesuatu yang gratis dan open source kurang aman. Tetapi kenyataannya adalah komunitas open source seperti yang ada di belakang WordPress sangat besar dan pastikan untuk terus memperbarui WordPress dari semua praktik keamanan dan pemeriksaan kualitas terbaru. Anda hanya perlu mengikuti praktik terbaik dan mengambil tindakan pencegahan yang diperlukan. Anda harus memiliki pengetahuan yang jelas tentang Cara Mengamankan Situs WordPress untuk melindungi situs web Anda.
Mari kita mulai dengan panduan langkah demi langkah tentang Cara mengamankan Situs WordPress, dan kemudian Anda dapat membaca terus untuk tips tambahan lainnya untuk memastikan situs web yang aman.
Panduan Cara Mengamankan Situs WordPress
Sebelum Anda mulai mempelajari pengetahuan Cara mengamankan Situs WordPress, pahami terlebih dahulu mengapa itu diperlukan. Seperti setiap aktivitas terkait situs web, keamanan membutuhkan waktu, tenaga, dan sumber daya Anda. Mengambilnya dengan serius dan mengalokasikan sumber daya yang dibutuhkan benar-benar bermanfaat karena gagal melakukannya akan menyebabkan beberapa kerusakan pada reputasi merek dan pertumbuhan bisnis Anda.
Menurut sebuah laporan, lebih dari 70% instalasi WordPress rentan terhadap serangan dari 40.000+ situs WordPress yang terdaftar di 1 juta teratas dalam peringkat Alexa.
Situs web yang diserang dapat menyebabkan kesepakatan bisnis yang terlewatkan, hilangnya privasi, hilangnya waktu komputer, dan dapat menyebabkan kerugian finansial yang besar. Pertimbangkan serangan ransomware baru-baru ini yang menyebabkan banyak perusahaan harus membayar dari piket mereka untuk mendapatkan kembali data mereka dari peretas.
Inilah sebabnya mengapa tujuan utama dari langkah-langkah keamanan harus pencegahan daripada reaksi. Anda harus menggunakan alat dan praktik yang tepat sehingga tidak ada ruang bagi malware dan serangan siber untuk memanfaatkan Anda.
Langkah 1: Tetap perbarui WordPress Anda.
WordPress didukung oleh komunitas pengembangan yang terus berkembang yang memastikan untuk terus menyediakan patch keamanan dan solusi untuk menutupi kerentanan yang ditemukan. Anda bisa mendapatkan pembaruan ini ketika Anda terus memperbarui WordPress Anda secara teratur.
Untuk sebagian besar pembaruan kecil, Anda dapat mengatur pengaturan WordPress untuk mengaktifkan pembaruan otomatis. Pastikan untuk memperbarui versi WordPress Anda ke rilis terbaru segera setelah rilis baru diluncurkan.
Rilis terbaru tidak hanya memberi Anda keamanan yang diperbarui; mereka juga memberi Anda fitur dan peningkatan terbaru dari fitur yang ada. Pembaruan WordPress sangat penting untuk kelancaran pengoperasian situs dan sangat penting untuk keamanan dan stabilitas situs Anda.
Kiat pro: WordPress 5.5 sudah keluar, perbarui situs web Anda ke versi terbaru sekarang.
Langkah 2: Perbarui plugin dan tema
Selain WordPress inti, Anda juga perlu memperbarui semua plugin dan tema yang Anda gunakan secara teratur.
Anda mungkin menggunakan sejumlah plugin dan tema pihak ketiga, beberapa di antaranya mungkin memiliki pemeliharaan yang buruk. Cobalah untuk mengganti plugin ini dengan alternatif yang lebih baik yang memastikan pembaruan rutin dan fitur keamanan. Plugin yang kedaluwarsa dapat membawa kerentanan yang mungkin tidak Anda sadari. Jika situs Anda menjalankan plugin apa pun yang saat ini tidak Anda gunakan, nonaktifkan.
Lakukan audit bulanan untuk semua plugin yang tersedia dan pilih untuk hanya menyimpan yang diperlukan.
Langkah 3: Gunakan kata sandi yang kuat
Ada beberapa akun pengguna seperti akun penghentian, akun admin WordPress, akun FTP, akun basis data, dan banyak lagi yang akan Anda tangani saat menjalankan situs WordPress. Masing-masing akun ini akan memerlukan id email dan kata sandi yang kuat untuk mengamankan penggunaan resmi.
Jadi pilihlah alamat email khusus untuk tujuan ini dan gunakan kata sandi yang kuat. Mungkin sulit untuk mengingat semua kata sandi, tetapi ini adalah tindakan yang diperlukan untuk memastikan keamanan. Anda dapat mencoba menggunakan pengelola kata sandi untuk membantu mengelola semua kata sandi Anda.
Langkah 4: Tetapkan tingkat akses yang tepat
Saat Anda menjalankan situs WordPress sebagai tim atau memiliki berbagai penulis tamu yang menulis di situs Anda, pastikan untuk menetapkan peran dan kemampuan pengguna yang tepat untuk setiap pengguna.
Pahami peran yang tersedia di WordPress dan buat akun pengguna sesuai dengan peran yang ditetapkan saja.
Langkah 5: Pilih platform hosting yang aman
Ini mungkin adalah bagian terpenting dari keamanan WordPress. Mitra hosting yang baik harus dapat memberikan langkah-langkah keamanan yang tepat untuk menghindari kebocoran data dan serangan cyber. Berikut adalah beberapa kualitas platform hosting yang baik yang harus Anda periksa saat memilihnya.
- Kemampuan pemantauan jaringan berkelanjutan untuk mendeteksi aktivitas yang mencurigakan.
- Alat untuk memblokir serangan DDOS
- Menyediakan server cadangan jika terjadi pemadaman listrik atau serangan cyber yang sedang berlangsung.
- Perangkat keras dan perangkat lunak terkini untuk memperbaiki kerentanan yang diketahui
- Pemulihan bencana yang tepat dan rencana kontinjensi untuk melindungi data jika terjadi kecelakaan atau kecelakaan.
Paket hosting bersama lebih berisiko daripada server hosting khusus karena Anda akan berbagi sumber daya server dengan pelanggan lain. Ini dapat menempatkan Anda dalam keadaan rentan terhadap kontaminasi lintas situs di mana situs tetangga dapat digunakan untuk meretas situs Anda.
Sesuatu yang perlu diingat, ada beberapa penyedia hosting web yang menawarkan tambahan perlindungan server dasar mereka, tambahan keamanan berbayar seperti Sitelock.
Secara keseluruhan, untuk keamanan yang lebih baik, cobalah untuk memilih paket hosting WordPress yang dikelola.
Langkah 6. Siapkan solusi cadangan
Selalu simpan cadangan yang diperbarui untuk membantu Anda jika terjadi serangan atau kecelakaan besar. Pencadangan memungkinkan pemulihan situs WordPress Anda lebih cepat dan mengembalikan ke keadaan yang tepat. Ada banyak plugin WordPress versi gratis dan berbayar yang memungkinkan Anda mengambil cadangan dan menyimpannya dengan aman di lokasi yang jauh.
Menyimpan di lokasi yang jauh jauh lebih aman dibandingkan dengan cadangan yang dibuat di akun hosting Anda. Anda dapat menggunakan layanan penyimpanan cloud seperti Amazon, dan Dropbox.
Cadangkan situs Anda sekali sehari dan atur ke pencadangan otomatis. Anda dapat menambah atau mengurangi frekuensi pencadangan tergantung pada frekuensi pembaruan Anda.
Langkah 7. Manfaatkan plugin keamanan WordPress
Instal plugin keamanan yang baik yang akan membantu Anda mengaudit dan memantau aktivitas situs Anda. Plugin keamanan juga dapat membantu Anda melacak setiap interaksi yang dilakukan situs Anda dengan saluran pihak ketiga dan mendeteksi aktivitas mencurigakan atau upaya meretas situs Anda.
Misalnya, aktivitas seperti upaya login yang gagal dan serangan bot dapat dipantau dan diblokir pada waktu yang tepat menggunakan plugin keamanan. Anda juga dapat melakukan pemindaian malware, pemeriksaan integritas file, dan tugas terkait keamanan lainnya menggunakan plugin keamanan. Lakukan riset tentang plugin keamanan terbaik yang tersedia yang sesuai dengan kebutuhan Anda dan mulailah menggunakannya.
Kiat pro: Beberapa plugin keamanan yang dapat Anda gunakan adalah Sucuri, Wordfence Security, Defender, dan VaultPress.
Langkah 8. Aktifkan firewall aplikasi web
Firewall membantu Anda menyediakan sistem pertahanan untuk memblokir lalu lintas berbahaya agar tidak mengakses situs Anda. Ada dua tingkat firewall yang perlu Anda gunakan.
- Firewall situs web Tingkat DNS
Firewall ini akan merutekan permintaan web Anda melalui server proxy cloud dan hanya mengizinkan lalu lintas yang sah untuk mencapai situs Anda.
- Firewall tingkat aplikasi
Firewall ini akan memeriksa permintaan di sisi server dan akan membiarkan skrip Anda berjalan hanya jika ternyata itu adalah permintaan asli. Tetapi jenis firewall ini dapat meningkatkan beban server.
Langkah 9. Beralih ke https
Situs HTTP jauh lebih aman daripada situs HTTP biasa karena mereka hanya menerima koneksi aman berbasis enkripsi. Lapisan soket SSL mengenkripsi setiap transfer data antara situs web Anda dan browser sehingga menyulitkan peretas untuk mendapatkan akses ke situs web Anda.
Sertifikat SSL yang dikeluarkan oleh otoritas swasta harga mulai dari $80 per tahun. Anda juga dapat memilih sertifikat gratis yang diberikan di bawah program Let's Encrypt.
Tips Cara Mengamankan Situs WordPress
Apa pun yang dibahas di atas adalah hal yang paling mendasar, Anda harus menjaga keamanannya. Berikut adalah beberapa saran dan tip tambahan untuk membuat situs web yang aman.
Gunakan ID pengguna khusus.
Singkirkan nama pengguna admin yang biasa untuk sesuatu yang lebih pribadi dan sulit ditebak oleh peretas. Untungnya, WordPress sekarang mengharuskan Anda untuk memilih dari nama pengguna khusus untuk akun Anda. Tetapi ketika Anda melakukan instalasi satu klik, nama pengguna default diatur ke admin, dan karenanya Anda harus menginstal WordPress untuk mengatur nama pengguna kustom yang tepat secara manual. Jika Anda telah mengatur admin sebagai nama pengguna Anda, buat nama pengguna admin baru dan hapus yang lama. Anda dapat menggunakan plugin atau halaman phpMyAdmin untuk tugas ini.
Nonaktifkan pengeditan file
Untuk menonaktifkan editor kode bawaan di WordPress, Anda harus mengubah file wp-config.php. Setel 'DISALLOW_FILE_EDIT' ke true. Fitur ini juga dapat diaktifkan dengan mengeraskan akun WordPress Anda melalui plugin keamanan.
Ketika skrip tidak diperlukan untuk dijalankan dari direktori tertentu, aman untuk menonaktifkannya di sana. Misalnya, Anda dapat menonaktifkan eksekusi file PHP dengan menambahkan entri yang relevan ke file htaccess
Batasi upaya masuk
Ini dapat diatur dengan menggunakan plugin keamanan yang dapat memantau upaya login yang gagal dari akun dan memblokirnya untuk jangka waktu tertentu. Ini membantu mencegah serangan brute force.
Jadikan login Anda lebih kuat dengan menggunakan otentikasi dua faktor. Otentikasi dua faktor memerlukan proses login dua langkah di mana selain kata sandi, pesan verifikasi satu kali atau kata sandi dikirim ke ponsel atau alamat email pengguna. Anda juga harus memikirkan keamanan halaman login Anda. URL login WordPress Anda adalah salah satu tempat yang paling rentan.
Anda juga dapat menggunakan aplikasi autentikator untuk memberikan lapisan perlindungan yang kuat untuk setiap upaya login.
Sesuaikan konvensi penamaan database.
Secara default, tabel database di WordPress dimulai dengan awalan wp_, yang memungkinkan peretas menebak nama tabel. Coba ubah awalan ini ke penamaan yang lebih khusus yang akan menawarkan perlindungan ekstra
Tambahkan perlindungan kata sandi tambahan pada tingkat sisi server untuk mengekang setiap upaya serangan DOS.
Nonaktifkan pengindeksan dan penelusuran direktori.
Ketika peretas dapat menelusuri direktori dan file Anda, mereka mungkin mengidentifikasi kerentanan apa pun dan mencoba memanfaatkannya. Pengaturan ini dapat dilakukan dengan memodifikasi file htaccess.
Nonaktifkan XML-RPC. XML RPC telah ditambahkan dari WordPress 3.5 sebagai cara untuk mengoptimalkan penanganan permintaan. Tetapi ini dapat bertindak sebagai pintu belakang untuk memfasilitasi serangan brute force oleh peretas. Jadi, jika Anda tidak menggunakan XML-RPC di situs Anda, pastikan untuk menonaktifkannya dengan memodifikasi file htaccess atau menggunakan firewall.
Logout pengguna idle setelah periode waktu idle.
Anda dapat menggunakan plugin logout tidak aktif untuk secara otomatis mengeluarkan pengguna yang tidak aktif.
Tambahkan pertanyaan keamanan ke layar login Anda untuk menambahkan tingkat otentikasi.
Jalankan pemindaian
Jalankan pemindaian malware secara teratur, dan jika ada malware atau file sampah yang ditemukan, pastikan untuk membersihkannya. Memperbaiki situs web yang diretas bisa menjadi bisnis yang rumit. Lebih baik untuk menyewa seorang profesional keamanan atau webmaster berpengalaman untuk mengurusnya. Jika Anda mencoba melakukannya sendiri, pastikan untuk meneliti dengan baik, mencadangkan file penting, dan mulai memperbaiki situs Anda.
Pilih perusahaan hosting bagus yang memiliki keamanan berlapis.
Saat Anda menjalankan situs web yang melibatkan data sensitif pelanggan, Anda perlu berinvestasi untuk menjaga keamanan data. Jadi, jangan tergoda untuk memilih paket hosting murah yang tidak memiliki langkah keamanan. Jadikan keamanan sebagai perhatian utama saat memilih platform hosting Anda.
Dapatkan tema dan plugin Anda dari sumber terverifikasi. Tema dan plugin gratis mungkin terdengar menggoda, tetapi tanpa pemeliharaan dan dukungan yang tepat, plugin atau tema usang ini dapat membawa blok kode yang rentan yang dapat membahayakan keamanan situs Anda.
Selain itu, sembunyikan file inti WordPress seperti htaccess dan wp-config.
Membungkus
Ingatlah prinsip-prinsip utama untuk mengamankan perangkat lunak apa pun – batasi akses dan atur tingkat otorisasi yang tepat. Selain itu, berisi dan melindungi komponen penting dalam database. Pastikan untuk memperbarui sistem Anda secara teratur dan memelihara cadangan di lokasi terpencil yang aman. Dan selalu gunakan plugin dan tema hanya dari sumber terpercaya.
Gunakan kata sandi yang kuat, jangan bagikan kata sandi Anda, batasi hak pengguna, dan pantau aktivitas situs secara teratur. Gunakan alat keamanan untuk membantu Anda memantau dan mengambil tindakan proaktif untuk mengamankan situs Anda.
Dan terakhir, ingatlah untuk melaporkan masalah keamanan apa pun dan mencari bantuan dari dukungan teknis untuk penyelidikan lebih lanjut. Jangan ragu untuk menyewa ahli untuk menangani masalah keamanan.
Jadi ya itu saja dari saya semoga anda mengerti Cara Mengamankan Situs WordPress.