Meningkatkan Keamanan Website Wordpress Anda


Wordpress adalah salah satu CMS yang script opensource. Wordpress bisa dengan mudah dan cepat serta powerfull dalam membangun sebuah website. Tapi, bisa sangat rentan terhadap serangan serangan Virus, Malware, dan Para Hacker yang tidak bertanggungjawab.

Untuk Meningkatkan keamanan website wordpress, kita bisa menggunakan tips & trik berikut ini:

  1. Selalu Update Wordpress ke versi terbarunya
  2. Selalu Update Plugins ke versi terbarunya
  3. Hapus Plugin yang tidak digunakan
    • Jangan hanya menonaktifkan plugin yang tidak perlu. Hapus plugin untuk menutup celah bagi para hacker untuk meretas website Anda. Selain itu, menghapus plugin yang tidak digunakan dapat meringankan kerja WordPress Anda.
  4. Selalu Update Themes / Tema yang digunakan
    • Jangan lupa untuk menghapus theme WordPress yang sudah tidak Anda gunakan.
  5. Jangan Gunakan Themes, Plugins, dan Scripts yang tidak resmi
    • Banyak yang menggratiskan tema/plugin/script untuk didownload, padahal script didalamnya adalah untuk membuat celah yang dapat meretas website kita.
  6. Ubah Link Login (***.com/wp-login.php)
    • kita bisa mengubah link login ke WordPress menggunakan plugin Hide My WP. Nantinya Anda juga dapat mengubah link logout, lost password dan lainnya.
  7. Ubah Default Username "Admin". Default username yang akan Anda dapatkan adalah setelah menginstall wordpress adalah "admin". Hal tersebut tentu mempermudah serangan brute force dari para hacker. Cara mengubahnya:
    • Login Admin > User >  Add new user
    • Silahkan Edit.
    • Logout
    • Login menggunakan user baru dan delete username lama pada menu user
  8. Gunakan Password yang sangat rumit untuk menghindari serangan brute force.
    • Gunakanlah kombinasi password, angka dan simbol. Berikan juga Huruf Besar kecilnya.
  9. Gunakan Captcha pada area login.
    • Cari dan install plugin captcha milik google recaptcha
  10. Sembunyikan Versi Wordpress 
    • Dengan menyembunyikan versi wordpress bisa membuat seorang yang mencoba untuk membobol website wordpress anda, karena mungkin hacker akan melihat dulu versi berapa wordpress yang anda gunakan, dan juga mungkin hacker tau bug wordpress di versi tertentu.
    • Silahkan buka link ini
  11. Backup selalu website dan database.
    • Buat jadwal untuk melakukan backup website dan database anda, karena dengan begitu anda tidak akan kehilangan file atau postingan yang sudah anda bangun jika terjadi sesuatu hal yang terjadi.
    • Backup wordpress bisa dengan menggunakan plugin UpdraftPlus. Tutorialnya silahkan lihat : https://youtu.be/UsXZMOX7HIc
  12. Blok akses direktori, plugin, dan lainnya.
    • Untuk melakukan blog akses direktori ini, buat file index.php atau index.html, tapi WordPress juga sudah membuatnya secara otomatis dalam file source nya. Dan dibawah ini adalah isi file yang perlu Anda masukkan untuk blok akses direktori plugin dan lainnya.
    • <?php // Silence is golden. ?>
  13. Mengaktifkan limit login.
    • Jadi, agar si hacker tidak bisa mencoba login terus menerus, maka kita harus membatasi limit login. Plugin Hide My WP dapat dipakai untuk menyetting limit login.
  14. Disable PHP Execution WordPress Anda
    • Copy dan paste teks dibawah ke notepad dan simpan dengan nama .htaccess kemudian upload file tersebut ke folder /wp-content/uploads/
    • # Forbidding PHP files execution
      <FilesMatch "\.(php|php\.)$">
      Order Allow,Deny
      Deny from all
      </FilesMatch>
    • Lakukan juga untuk direktori /wp-content /uploads dan wp-includes
  15. Pastikan Permissions untuk folder 755 dan untuk file 644
  16. Ubah Default Tabel Prefix (wp_)
    • Masuk ke cPanel hosting Anda dan langsug menuju File Manager
    • Temukan file wp-config.php dan ubah tabel prefix wp_ menjadi misalnya wp_a12345_ a
      Anda bisa mengubahnya dengan menambahkan angka ataupun huruf dan undescore (_)
    • Ubah database file default WordPress Anda yang mengandung unsur wp_
      Lakukan melalui PHP My Admin di cPanel Anda > SQL
  17. Mengaktifkan Passwod Login Directory. Meskipun di awal saat Anda akan mengkases cPanel dan masuk ke wp-admin directory sudah terdapat password. Anda dapat menambahkan lapisan keamanan  WordPress dengan memberikan login username dan password. Caranya:
    • Login ke cPanel Anda
    • Klik Password Protect Directory
    • Pilih wp-admin directory
    • Tambahkan permission dengan menginputkan username dan password
  18. Disable File Editing. Jika hacker berhasil masuk di admin area Anda, mereka dapat melakukan apapun. Untuk mencegahnya melakukan edit script, anda perlu melakukan disable file editing (tetapi anda masih bisa ubah script di cpanel). Caranya:
    • melalui cPanel. Pada file wp-config.php tambahkan script dibawah ini:
    • define( 'DISALLOW_FILE_EDIT', true );
  19. Nonaktifkan PHP Error Reporting. Pesan error memberikan informasi kelemahan website Anda yang dapat di manfaatkan para hacker. Anda dapat melakukannya melalui wp-config php dengan menambahkan script ini:
    • ini_set(‘log_errors’,‘On’);
      ini_set(‘display_errors’,‘Off’);
      ini_set(‘error_reporting’, E_ALL );
      define(‘WP_DEBUG’, false);
      define(‘WP_DEBUG_LOG’, true);
      define(‘WP_DEBUG_DISPLAY’, false);
  20. Amankan file konfigurasi wp-config.php. Batasi akses dengan menambahkan script ini pada file .htaccess yang berada satu ruangan dengan wp-config.php:
    • # securing wp-config.php
      <files wp-config.php>
      order allow,deny
      deny from all
      </files>
    • Pastikan permissions untuk wp-config.php (file konfigurasi) adalah 400 atau 440
  21. Lindung akses ke file .htaccess. Tambahkan baris ini ke file .htaccess Anda untuk melindunginya dari akses eksternal:
    • # securing .htaccess
      <Files .htaccess>
      order allow,deny
      deny from all
      </Files>
    • Mengaktifkan Otomatis Logout Bagi "Idle User"
    • Mengaktifkan Firewall.
      • Segera cek ke technical support penyedia layanan hosting Anda, pastikan setting firewall di server Anda telah aktif.
    • Instal Plugin Keamanan di WordPress. 
      • Plugin yang bisa Anda gunakan untuk keamanan WordPress Anda ialah wordfence. Anda harus melakukan scanning malware dan virus di website Anda. Selain itu percobaan IP yang berbahaya dapat otomatis diblokir oleh Wordfence.
    • Install antivirus di komputer anda.

    Did you find this article useful?