15 Trik Keamanan WordPress untuk Mengamankan Situs WordPress Anda

Ada begitu banyak berita tentang situs WordPress yang diretas akhir-akhir ini. Dan, banyak orang mulai mempertanyakan keamanan WordPress karena serangan baru-baru ini.

Oleh karena itu, jika Anda memiliki situs web WordPress, Anda harus bertindak berdasarkan 15 teknik keamanan WordPress yang akan saya ajarkan kepada Anda dalam panduan ini.

Sebelum kita melompat ke dalamnya, izinkan saya memperingatkan Anda terlebih dahulu.

Saat Anda di sini sibuk membaca artikel ini, beberapa script kiddie mungkin mencoba meretas situs web Anda (WordPress atau tidak).

Dengan serius?

Ya.

“Mengapa beberapa pria membuang waktu mereka untukku? Ini tidak seperti saya bisnis besar. ”

Yah, saya tidak ingin menambah kekhawatiran Anda, tetapi peretas menyukai situs web kecil karena mereka adalah sasaran empuk.

Mengapa Keamanan Situs Web Sangat Repot?

Oke, seseorang mencoba membobol situs web saya, tetapi mengapa saya harus peduli? Terutama, karena saya memiliki cadangan semuanya. Saya bisa saja menghapus WordPress dan menginstalnya kembali.

Pertanyaan Anda valid. Namun, bagaimana jika peretas telah mendapatkan akses ke cadangan dan host web Anda?

Juga, ada risiko lain jika pembajak komputer mendapatkan kendali atas situs web Anda, beberapa di antaranya adalah…

1. Peretas mungkin mencuri informasi Anda dan pengunjung Anda, dan menggunakannya untuk tujuan ilegal.
2. Jika Anda baru mulai mendapatkan pengunjung, downtime akan mempengaruhi Anda dalam jangka panjang.
3. Orang-orang akan mulai mempertanyakan kualitas situs web Anda.
4. Penyerang mungkin memposting sesuatu yang menyinggung atau ilegal di situs web Anda, dan Anda mungkin harus menghadapi konsekuensinya (legal atau sebaliknya).

Tapi, mengapa ada orang yang berusaha keras hanya untuk memberikan masalah pada situs web kecil seperti saya?

1. Situs web kecil mudah diretas.
2. Peretas menguji alat mereka di situs web kecil untuk proyek yang lebih besar.
3. Mereka dapat menggunakan host web Anda untuk mengirim email spam.
4. Penyusup menggunakan sumber daya situs web kecil untuk menyerang "orang besar". Server web Anda dapat menjadi bagian dari botnet untuk serangan DDoS.
5. Peretas dapat menggunakan situs web Anda untuk menyebarkan malware. Ribuan situs web kecil adalah cara yang baik untuk menyebarkan malware karena pemilik situs web kecil tidak mampu membayar pakar keamanan untuk memeriksa keamanan.
6. Peretas dapat menggunakan situs web Anda untuk meningkatkan lalu lintas dan peringkat Google dari situs web mereka sendiri dengan memposting tautan balik.

Oleh karena itu, bahkan jika Anda baru mulai membuat situs web, Anda harus sangat berhati-hati dengan keamanannya. Ini bukan hanya tentang Anda. Kecerobohan Anda mungkin memengaruhi orang lain juga (serangan DDoS).

WordPress diretas, Haruskah Anda Mencari Platform Lain?

Pertama-tama, tidak ada sistem (situs web atau komputer pribadi) yang aman. Orang-orang bahkan telah menemukan cara untuk meretas sistem celah udara (komputer yang terisolasi).

Platform mana pun yang Anda pilih, peretas akan menemukan jalan ke dalamnya.

Alasan mengapa begitu banyak situs WordPress diretas adalah karena WordPress sangat populer. Sekitar 27% situs web menggunakan WordPress, dan terus berkembang. Jadi, WordPress telah menjadi tambang emas bagi peretas dan spammer.

Cyberpunks secara konsisten menyerang WordPress karena jika mereka berhasil menemukan kerentanan, mereka dapat menguasai 27% Internet.

Alasan lain mengapa situs WordPress diretas adalah karena ini adalah lingkungan terbuka. Pengguna dapat membuat kode dan memodifikasi situs web itu sendiri. Mereka dapat menambahkan plugin pihak ketiga.

Jadi, haruskah Anda mencari CMS lain untuk situs web Anda?

Tidak.

Masalahnya bukan pada kode inti WordPress, ini adalah plugin dan tema yang Anda instal. Tapi kemudian, seperti yang saya katakan sebelumnya, tidak ada sistem yang benar-benar aman.

Jika WordPress sendiri tidak aman, mengapa 27% web menggunakannya?

Banyak sukarelawan yang sangat berhati-hati dalam memelihara sistem inti dan repositori WordPress. Tema dan plugin yang tersedia di repositori WordPress diuji secara menyeluruh untuk keamanan dan keandalan.

Selain itu, tim WordPress menangani setiap masalah keamanan dengan sangat terampil. Mereka merilis pembaruan dengan patch keamanan terus-menerus. Jadi, Anda dapat mempercayai WordPress untuk situs web Anda.

Namun, Anda sebagai pemilik website juga harus ekstra hati-hati. Anda harus selalu memantau situs web Anda secara teratur.

Berikut adalah 15 langkah keamanan WordPress yang harus Anda ikuti untuk meminimalkan risiko situs web Anda diretas!

Kiat Pro: Selalu buat cadangan file WordPress Anda termasuk database sebelum membuat perubahan pada file Anda, dan menginstal plugin keamanan.

Catatan: Beberapa tautan dalam panduan ini adalah tautan afiliasi. Kami mendapatkan sejumlah komisi jika Anda membeli layanan/produk melalui tautan, tanpa biaya tambahan apa pun kepada Anda. Karena itu, kami tidak merekomendasikan produk yang tidak layak.

1. Gunakan Nama Pengguna dan Kata Sandi Unik

Saat Anda menginstal WordPress, WordPress secara otomatis membuat nama pengguna yang disebut "admin". Saya pikir ini adalah fitur hebat karena menyelamatkan saya dari tugas membosankan memasukkan nama pengguna saya sendiri. Saya bisa fokus pada hal-hal lain yang sangat penting. Terima kasih, WordPress!

Saya tahu saya tahu. Itu alasan yang bodoh. Tapi, apakah Anda mengubah nama pengguna "admin" default saat menginstal WordPress? Selamat Datang di klub!

Saat peretas mencoba masuk ke panel admin Anda, mereka pertama kali mencoba "admin" sebagai nama pengguna.

Apa masalah besar tentang nama pengguna ketika Anda memiliki kata sandi yang kuat?

Yah, saya tahu memiliki kata sandi yang kuat adalah hal yang baik. Namun, jika Anda masih menggunakan "admin" sebagai nama pengguna, Anda mengurangi upaya peretas hingga setengahnya. Permutasi dikurangi.

Peretas hanya dapat mencoba kombinasi kata sandi yang berbeda karena mereka sudah mengetahui nama pengguna Anda.

Tapi, sayangnya, Anda tidak dapat mengubah nama pengguna di WordPress!

Meskipun Anda dapat menginstal beberapa plugin untuk mengubah nama pengguna, saya tidak menyarankan menggunakan plugin untuk tugas-tugas sederhana.

Oleh karena itu, cukup buat pengguna baru dengan hak administratif, lalu hapus pengguna admin lama. Jangan khawatir, WordPress akan menanyakan apa yang ingin Anda lakukan dengan postingan yang dibuat pengguna.

Saat membuat pengguna baru, gunakan nama pengguna yang tidak terlalu jelas, seperti “namasaya” atau “namasitussaya”.

Untuk kata sandi, aturan sederhananya adalah kata sandi Anda harus rumit , panjang , dan unik .

Kompleks: Kata sandi Anda harus berisi setidaknya 1 angka, 1 huruf kapital, dan 1 karakter khusus.

Panjang: Kata sandi Anda harus setidaknya 10 karakter.

Unik: Kata sandi Anda tidak boleh mengandung kata atau frasa umum. Dan, Anda harus menggunakan kata sandi yang berbeda untuk setiap situs web.

Setelah Anda menerapkan aturan kata sandi di atas, kata sandi Anda akan terlihat seperti ini: LTwYgrsewDhw@ertzK9#M!K%

Itu kata sandi yang kuat. Tapi masalahnya adalah, kita adalah manusia, dan itu sulit untuk diingat.

Oleh karena itu, gunakan alat seperti LastPass dan KeePass. Mereka gratis, dan Anda dapat menggunakannya di banyak perangkat.

Jika Anda masih berpikir bahwa Anda dapat lolos dengan kata sandi sederhana karena Anda kreatif, saya harap ini mengubah pikiran Anda.

2. Gunakan Otentikasi Dua Faktor

Anda sekarang telah menggunakan nama pengguna yang unik dan kata sandi yang kuat untuk panel admin WordPress Anda.

Besar!

Itu adalah langkah menuju keamanan WordPress yang lebih baik.

Tapi, tidak peduli seberapa kuat, kata sandi bisa dibobol! Peretas menggunakan serangan brute force (kita akan membicarakannya nanti) untuk menembus situs web Anda. Serangan brute force yang kuat dapat memecahkan kata sandi apa pun.

Itu sebabnya Anda harus mulai menggunakan otentikasi dua faktor di situs web Anda. Ini akan meningkatkan keamanan.

Otentikasi dua faktor mengharuskan Anda memasukkan kode keamanan selain nama pengguna dan kata sandi untuk masuk. Setelah Anda mengaktifkan otentikasi dua faktor, Anda akan menerima beberapa kode (sekali pakai) di ponsel cerdas Anda. Anda akan dapat masuk hanya setelah Anda memasukkan kode.

Saya tahu, ini merepotkan, tapi, ingat, lebih baik aman daripada menyesal. Kecuali jika pakar keamanan menemukan beberapa opsi login DNA, dua faktor adalah metode keamanan terbaik di luar sana.

Sayangnya, WordPress tidak memiliki pengaturan bawaan untuk menambahkan otentikasi dua faktor. Anda harus menggunakan plugin bernama Google Authenticator.

Jika Anda tidak terbiasa dengan verifikasi 2 langkah Google, Evanto tuts+ memiliki tutorial hebat tentang menggunakan autentikator 2 faktor Google dengan WordPress.

3. Verifikasi Pengguna sebagai Manusia

Peretas menggunakan botnet untuk menyerang sistem dengan kekerasan. Dan, salah satu cara untuk benar-benar menyusahkan para peretas adalah dengan menggunakan formulir reCAPTCHA.

Umumnya, botnet tidak dapat memvalidasi reCAPTCHA, sehingga peretas harus mencoba memasukkan nama pengguna dan kata sandi secara manual. Itu, teman saya, adalah rasa sakit di ... Anda tahu di mana.

Namun, reCAPTCHA lama, yang menggunakan teks terdistorsi, tidak efisien. Kita semua pernah berada di sana ketika Anda harus membuat tebakan liar tentang beberapa huruf.

Untuk membuat pengalaman reCAPTCHA lebih ramah manusia dan anti bot, Google memperkenalkan “No CAPTCHA reCAPTCHA” yang baru. ReCAPTCHA baru yang tidak terlihat bahkan dapat mendeteksi manusia secara otomatis.

Anda dapat menambahkan reCAPTCHA di login WordPress, komentar, dan/atau formulir pendaftaran secara manual atau dengan menggunakan plugin reCAPTCHA Tanpa CAPTCHA.

Tetapi, pertama-tama, Anda perlu mendapatkan kunci reCAPTCHA dari Google. Setelah Anda mendapatkan kunci, masukkan dalam kode Anda jika Anda melakukannya secara manual, atau di pengaturan plugin jika Anda menggunakan plugin.

4. Perbarui WordPress

Anda harus selalu memperbarui WordPress. Pembaruan WordPress tidak hanya untuk menambahkan fitur. Pembaruan dirilis, yang paling penting, untuk memperbaiki bug dan lubang keamanan.

Namun, bagaimana jika saya mengalami masalah kompatibilitas dengan tema dan plugin saya setelah saya memperbarui WordPress? Biasanya, tema dan plugin yang bagus merilis pembaruan segera setelah inti WordPress diperbarui.

Jika plugin atau tema yang Anda gunakan belum diperbarui, maka inilah saatnya untuk mencari alternatif penggantinya.

Sebagian besar situs web yang diretas menggunakan WordPress atau plugin atau tema yang sudah ketinggalan zaman. Versi Plugin yang kedaluwarsa dapat membahayakan situs web Anda.

Jadi, perbarui tema dan plugin Anda secepatnya! Jika tidak ada pembaruan yang tersedia, ubahlah. Anda dapat menemukan banyak tema dan plugin terbaru di repositori WordPress.

Anda juga dapat mencoba tema WordPress kami. Kami memperbaruinya secara teratur sehingga Anda tidak perlu khawatir tentang masalah keamanan dari tema.

Cara Memperbarui WordPress

Memperbarui WordPress itu mudah. WordPress secara otomatis menampilkan notifikasi di Dashboard jika ada pembaruan untuk sistem inti, tema, atau plugin.

Buka Dasbor> Pembaruan dan klik tombol pembaruan.

Anda juga dapat mengaktifkan pembaruan otomatis sehingga WordPress, plugin, dan tema inti Anda secara otomatis memperbarui diri untuk rilis kecil. Anda akan mendapatkan email pemberitahuan ketika situs web Anda diperbarui secara otomatis.

5. Nonaktifkan Pengeditan File

Anda dapat dengan mudah menyesuaikan situs web Anda dengan editor kode bawaan di WordPress.

Namun, bayangkan, peretas entah bagaimana berhasil masuk ke situs web Anda. Sekarang, mereka juga dapat dengan mudah mengedit situs web Anda menggunakan editor. Oleh karena itu, ini adalah praktik yang aman untuk menonaktifkan pengeditan WordPress melalui editor.

Untuk menonaktifkan editor, buat cadangan WordPress Anda terlebih dahulu. Kemudian, cari file wp-config.php di bagian belakang situs web Anda. Anda dapat menemukan wp-config.php di folder root situs web Anda bersama dengan folder lain seperti wp-admin dan wp-content .

Anda dapat menggunakan klien FTP untuk terhubung ke bagian belakang situs web. Atau, jika Anda memiliki akses cPanel, Anda dapat menggunakan File manager yang tersedia di cPanel.

Sekarang, tambahkan baris kode berikut di file wp-config.php dan simpan file

Setelah file diperbarui, Anda tidak akan dapat mengedit template tema menggunakan dasbor WordPress. Anda masih dapat memodifikasi tema menggunakan FTP atau File Manager cPanel.

6. Batasi Upaya Masuk

Saat Anda menginstal WordPress, WordPress menanyakan apakah Anda akan menginstal plugin batas upaya login atau tidak.

Membatasi upaya login adalah cara yang bagus untuk melindungi situs web Anda dari serangan brute force.

Peretas akan mencoba masuk ke situs web Anda dengan kombinasi login yang berbeda. Namun, jika Anda mengaktifkan batasi upaya masuk, Anda mengizinkan pengguna untuk mencoba masuk hanya beberapa kali, setelah itu pengguna diblokir.

Jika Anda lupa mencentang opsi ini selama instalasi WordPress, jangan khawatir. Anda dapat menemukan plugin di repositori WordPress.

Buka Plugin> Add New dari menu dashboard WordPress Anda. Cari “Loginizer”, lalu instal dan aktifkan plugin.

Setelah mengaktifkan plugin, buka Loginizer Security> Brute Force dari menu admin WordPress untuk mengatur perlindungan login.

7. Perlindungan Serangan Brute Force

Peretas menggunakan serangan Brute Force untuk mendapatkan akses ke panel admin atau akun FTP situs web Anda. Pada dasarnya, serangan brute force adalah metode coba-coba. Ini seperti mencoba kombinasi tombol yang berbeda untuk membuka kunci. Penyusup dapat menggunakan botnet untuk mengotomatiskan serangan.

Untuk melindungi situs web Anda agar tidak menjadi target serangan brute force, ikuti petunjuk 1, 2, 3, dan 6.

Anda juga dapat mengubah URL login default (www.mywebsite.com/wp-admin/) sehingga peretas kesulitan menemukan formulir login.

Anda dapat membuat URL login khusus menggunakan plugin bernama All In One WordPress Security & Firewall. Setelah Anda menginstal plugin, buka bagian Brute Force untuk mengaktifkan URL login khusus. Plugin ini memiliki begitu banyak fitur sehingga Anda bahkan tidak memerlukan plugin keamanan WordPress lainnya jika Anda menginstal yang ini.

8. Perlindungan Serangan DDoS

Dengan begitu banyak perangkat yang mendukung Internet, frekuensi serangan DDoS telah meningkat.

DDoS adalah metode membanjiri situs web/layanan dengan lalu lintas palsu dengan tujuan menjatuhkan layanan. Peretas menggunakan sistem yang terinfeksi (yang memiliki malware) untuk melakukan serangan DDoS. Pada tahun 2016, peretas meremukkan DYN sehingga membuat banyak situs web terkenal seperti Twitter, Amazon, Reddit, dan Netflix offline.

Oleh karena itu, Anda harus selalu siap menghadapi serangan DDoS.

Dengan mengikuti langkah-langkah keamanan yang disebutkan di atas (1, 2, 3, 4, 6 dan 7), Anda sudah siap untuk serangan DDoS.

Selain itu, saya juga merekomendasikan menggunakan layanan cloud seperti CloudFlare atau MaxCDN. Mereka dapat membantu Anda mengurangi serangan DDoS.

Demikian pula, caching situs web Anda juga dapat membantu Anda melindungi situs web Anda dari kelebihan lalu lintas. Anda dapat men-cache situs web Anda menggunakan plugin seperti WP Super Cache.

9. Pindai Malware dan Hapus Mereka

Karena Anda membaca tips keamanan saya dengan sangat hati-hati (saya sangat berharap Anda melakukannya), izinkan saya memberi tahu Anda sesuatu yang lebih menakutkan, jika Anda belum panik!

Hacker itu licik! Mereka mungkin telah menempatkan beberapa malware di file web Anda.

Oleh karena itu, Anda perlu memindai server web Anda untuk mencari file berbahaya secepatnya! Dan, singkirkan mereka.

Bagaimana cara melakukannya?

Plug-in plugin keamanan. Sucuri Security adalah plugin gratis terbaik untuk mendeteksi dan menghapus malware di WordPress.

Jika Anda tidak suka menambahkan plugin atau ingin melakukan pemindaian sisi server lengkap, berlangganan Sucuri. Layanan ini dikenakan biaya.

Jika Anda tidak mampu membeli Sucuri (saya tahu itu mahal), ada jalan bebas hambatan. Karena saya telah berkhotbah kepada Anda tentang semua hal teknis ini, saya pikir Anda pantas mendapatkan hadiah.

Berikut cara memindai dan menghapus malware dari situs web Anda secara gratis!

Pertama, unduh folder public_html dari server Anda menggunakan klien FTP pilihan Anda. Kemudian, pindai folder yang diunduh menggunakan perangkat lunak antivirus (Norton, Kaspersky, atau yang lainnya) di komputer Anda. Pastikan program antivirus up-to-date.

Setelah itu, ganti file public_html yang lama dengan yang baru dibersihkan menggunakan FTP. Semudah itu!

10. Tuan Rumah yang Baik

Host web memainkan peran penting, sangat penting, dalam keamanan situs web.

Host web yang baik memberi Anda dukungan dan alat untuk mengatasi serangan DDoS, serangan Brute-Force, dan malware. Oleh karena itu, saya merekomendasikan hosting SiteGround karena mereka menjaga keamanan sebagai prioritas tinggi.

Umumnya, paket hosting bersama lebih rentan karena server dibagikan dengan situs web lain. Peretas dapat menggunakan situs web lain di server yang sama untuk menyerang situs web Anda di hosting bersama. Konsep ini disebut kontaminasi lintas situs.

Seringkali dianggap yang terbaik untuk mendapatkan hosting khusus atau hosting VPS, tetapi harganya mahal. Sebagai pemula, Anda mungkin tidak memiliki anggaran untuk itu.

Apakah itu berarti Anda mempertaruhkan diri Anda sendiri? Tidak. Bahkan shared hosting dapat dilindungi.

Perusahaan hosting web yang bagus seperti SiteGround memasang firewall seperti ModSecurity, bahkan dalam paket hosting bersama. Juga, mereka membatasi jumlah situs web di server, dan memindai server untuk malware secara teratur.

Demikian pula, jika host web Anda dapat memberi Anda Sucuri Security, itu adalah poin plus.

11. Pilih Plugin dan Tema dengan Bijak

Nah, pilihlah plugin dan tema dengan bijak. Itu saja yang perlu Anda ketahui tentang topik ini.

Opsi untuk memasang plugin dan tema pihak ketiga inilah yang membuat WordPress rentan terhadap peretas.

Plugin dan tema WordPress yang tersedia di repositori WordPress aman. Tetapi jika Anda perlu menambahkan beberapa plugin atau tema secara manual, selalu periksa malware, menggunakan perangkat lunak antivirus, sebelum Anda mengunggahnya di WordPress Anda.

Juga, sebelum memasang plugin atau tema, periksa ulasan dan tanggal pembaruan terakhir.

12. Hapus Tema dan Plugin yang Tidak Perlu / Kedaluwarsa

Selalu jaga kebersihan WordPress Anda.

Jika saat ini Anda tidak menggunakan plugin atau tema apa pun, dan plugin atau tema tersebut sudah usang, hapuslah. Mereka mungkin mengundang peretas.

Demikian pula, pergi ke bagian belakang WordPress, dan periksa apakah Anda memiliki file yang tidak perlu dengan membandingkannya dengan file WordPress default.

Atau, Anda bisa melakukan instalasi baru WordPress.

Pertama, backup database dan WordPress Anda. Kemudian, hapus WordPress. Dan, instal WordPress baru yang diperbarui.

Pastikan Anda memberi tahu pengunjung Anda selama pemeliharaan dengan menampilkan halaman pemeliharaan.

13. Amankan .htaccess dan wp-content.php

Hanya Yang Mahakuasa yang tahu apa yang dapat dilakukan peretas jika mereka mengakses file .htaccess atau wp-content.php Anda.

Jadi, Anda harus selalu menyembunyikan file .htaccess dan wp-content.php. Bahkan jika Anda tidak tahu cara membuat kode, Anda dapat dengan mudah mengamankan .htaccess dan wp-content.php dengan memasukkan beberapa kode ke dalam file .htaccess.

Harap simpan cadangan file .htaccess sebelum melakukan perubahan.

Temukan file .htaccess dari root situs web Anda, dan tambahkan baris kode berikut ke dalamnya.

Kode untuk menyembunyikan wp-config.php

Kode untuk menyembunyikan file .htaccess

14. Sembunyikan Informasi Sensitif

Pastikan Anda menghapus (atau setidaknya mengganti nama) file readme.html setelah Anda menginstal WordPress. File Readme akan memberi tahu peretas versi WordPress apa yang Anda gunakan.

Juga, jika Anda telah membuat file phpinfo.php atau i.php, saya sarankan Anda untuk menghapus atau mengganti namanya. File ini berisi semua informasi tentang server Anda.

Selanjutnya, nonaktifkan pengindeksan direktori. Penyerang dapat melihat struktur folder dan file Anda dengan penelusuran direktori. Anda tidak perlu menguasai teknologi untuk melakukannya. Cukup buka file .htaccess, dan tambahkan kode berikut di akhir file.

15. Tetap Terdepan dan Diperbarui

Peretas selalu selangkah lebih maju dari semua pakar keamanan. Sebenarnya, seorang ahli keamanan tidak akan tahu tentang lubang keamanan sampai seseorang membobol suatu sistem.

Oleh karena itu, selalu beri tahu diri Anda dan perbarui tentang berita dan masalah keamanan. Ikuti perusahaan keamanan di Twitter atau Facebook, atau bahkan berlangganan buletin mereka.

Kerbsonsecurity adalah blog yang bagus untuk terus memperbarui diri Anda tentang masalah keamanan.

Kesimpulan

Buat permainan menebak sulit bagi peretas!

Anda tidak dapat menghentikan peretas dari peretasan. Yang bisa Anda lakukan hanyalah bersiap untuk serangan.

Orang-orang baik bekerja keras untuk melindungi WordPress dari peretas, tetapi kesalahan terjadi.

Selalu simpan cadangan situs web Anda, untuk berjaga-jaga jika peretas mengambil alih situs web Anda. Simpan cadangan di tempat yang aman (beberapa tempat jika memungkinkan).

Terakhir, ikuti semua 15 tips yang disebutkan di atas untuk mengamankan situs WordPress. Dan perbarui diri Anda, tema, plugin, dan WordPress!

Semoga kekuatan menyertai Anda.