Cara Mengamankan WordPress

Cara Mengamankan WordPressWordPress adalah sebuah aplikasi sumber terbuka (open source) yang sangat populer digunakan sebagai mesin blog (blog engine). WordPress dibangun dengan bahasa pemrograman PHP dan basis data (database) MySQL. PHP dan MySQL, keduanya merupakan perangkat lunak sumber terbuka (open source software). Selain sebagai blog, WordPress juga mulai digunakan sebagai sebuah CMS (Content Management System) karena kemampuannya untuk dimodifikasi dan disesuaikan dengan kebutuhan penggunanya.
WordPress saat ini menjadi platform content management system (CMS) bagi beberapa situs web ternama seperti CNN, Reuters, The New York Times, TechCrunch, dan lainnya
Sayangnya, popularitas WordPress juga tidak lepas dari pro dan kontra. Menurut laporan perusahaan spesialist dalam bidang website security, WordPress adalah salah satu CMS yang paling banyak dibobol di dunia.
Namun, sebenarnya cukup mudah untuk mengamankan WordPress dari serangan Hacker.
Anda cukup mengikuti panduan dan mengimplementasikan beberapa tutorial dibawah ini.

Requirements

  • Login ke halaman Administrator WordPress anda
  • Login ke webhosting / VPS etc.

A. Pastikan WordPress Anda Selalu Update ke Versi Terbaru

Ini adalah tips pertama dan yang paling utama. Jika Anda ingin memiliki website yang bersih dan bebas malware, Anda wajib menjaga agar WordPress Anda selalu ter-update ke versi yang paling terbaru.

WordPress telah menerapkan sistem update otomatis mulai versi 3.7, meskipun begitu, update ini hanya bekerja untuk update keamanan yang sifatnya kecil (minor) saja. Sehingga, update inti total harus dilakukan secara manual.

B. Aktifkan metode Two Step Authentication

Two Factor Authentication atau verifikasi dua langkah adalah sebuah fitur opsional keamanan, dimana fungsinya untuk lebih mengamankan akun anda dari berbagai kejahatan digital, salah satunya adalah peretasan. Verifikasi dua langkah sendiri sudah digunakan oleh banyak pengembang di dunia untuk mengamankan data-data milik penggunanya, bahkan Facebook salah satu jejaring sosial ternamaan pun menggunakan fitur ini, begitu juga Google, WhatsApp, dan masih banyak lainnya.

Teknologi pengamanan ini memang terbukti ampuh untuk meminimalisir pencurian privasi berbasis digital milik seseorang. Hal yang berkaitan privasi memang baiknya dirahasiakan serahasia mungkin, sebab jikalau disalahgunakan pihak yang tidak bertanggung jawab maka akan fatal akibatnya. Bukan saja nama baik yang tercemar, bisa saja privasi anda digunakan untuk melakukan perbuatan yang melanggar hukum. Misalnya untuk kegiatan tipu menipu dan sejenisnya. Oleh sebab itu untuk mencegah terjadinya hal tersebut, maka verifikasi dua langkah hadir untuk lebih mengamankan akun jejaring sosial, email, internet payment, penyimpanan cloud, dan lain-lain yang memang menjadi milik anda.

Meskipun cara ini terkesan cukup sulit, namun sebenarnya 2 step verification ini sangat mudah diterapkan pada blog WordPress. Hal yang Anda butuhkan hanyalah menginstall aplikasi tambahan 2 step verification dan konfigurasi app tersebut pada WordPress Anda. Anda bisa menemukan panduan lengkap bagaimana cara membuat 2 step verification di WordPress.
Untuk melakukan hal tersebut, Anda bisa membaca panduan yang disediakan oleh WordPress disini

C. Hindari menggunakan theme dan plugin WordPress bajakan

Jangan menggunakan theme dan plugin sembarangan untuk theme website Anda agar tidak terjadi hal yang tidak diinginkan, pastikan Anda mendownlaod theme dan plugin dari website yang terpercaya, jangan mendownload theme dari website yang menyediakan file ilegal, jangan juga menggunakan theme bajakan, karena banyak kasus theme bajakan disusupi oleh script yang tidak aman yang bisa digunakan untuk mengakses website Anda.

Tentunya tidak ingin Worpress kita disusupi oleh script berbahaya. Ada ribuan theme dan plugin bajakan di Internet. Pengguna dapat mendownloadnya dari berbagai sumber secara gratis. Mereka tidak mengetahui bahwa kebanyakan plugin & theme tersebut sudah diinfeksi malware atau link SEO black hat.

D. Cek keamanan WordPress

Hacker biasanya menggunakan banyak celah di theme/plugin untuk menginfeksi WordPress dengan malware. Oleh karena itu, sangat penting untuk sering melakukan scanning terhadap WordPress Anda. Ada banyak plugin di repository wordpress yang bisa anda gunakan.

Plugin untuk mengamankan WordPress yang populer:

  • BulletProof Security – plugin ini akan melindungi Anda dengan firewall, keamanan database, dll. Kerennya, plugin ini bisa langsung diinstall & dikonfigurasi hanya dengan beberapa klik saja.
  • Sucuri Security – plugin ini akan melindungi Anda dari serangan DOS. Plugin ini akan menyimpan data blacklist, melakukan scan malware pada website dan akan mengatur kinerja firewall Anda. Jika plugin ini mendeteksi sesuatu yang mencurigakan, plugin akan mengirimkan Anda email pemberitahuan. Google, Norton, McAfee – Semua blacklist dari teknologi ini juga disertakan dalam plugin Sucuri Security.

E. Gunakan web hosting yang terpercaya

Pemilihan web hosting merupakan salah satu hal paling penting bagi keamanan website Anda. statistik menunjukkan bahwa lebih dari 40% website WordPress diretas hanya karena celah keamanan di akun hosting. apalagi jika Anda menggunakan shared hosting, walaupun script website yang kita buat sudah sangat baik dan dirasa aman, namun penyebab website dihack bisa jadi karena lemahnya keamanan website orang lain yang juga dihosting pada tempat yang sama dengan website kita, itulah salah satu kekurangan menggunakan shared hosting. jadi pastikan Anda memilih web hosting yang bagus untuk website Anda, cari referensi, baca testimoni orang tentang sebuah web hosting.

Beberapa hal yang harus Anda pertimbangkan saat memilih layanan hosting yang baru, antara lain:

  • Jika Anda memilih shared hosting, pastikan akun Anda terpisah dari pengguna lain dan ada resiko 1 website bisa menginfeksi website lainnya dalam server.
  • Memiliki fitur backup
  • Memiliki firewall di sisi server & fitur scanning virus

F. Gunakan .htaccess untuk Keamanan

file .htaccess diperlukan agar WordPress bisa bekerja dengan benar.
Tidak banyak pengguna yang tahu bahwa .htaccess juga dapat digunakan untuk meningkatkan keamanan WordPress. Misalnya, dengan htaccess Anda dapat memblokir akses atau menonaktifkan eksekusi PHP pada folder tertentu.
Berikut beberapa code untuk mengamankan WordPress anda.

Menghalangi akses ke halaman administrator
Code yang akan membuat halaman administrator WordPress Anda hanya dapat diakses dari IP tertentu saja.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Pada kode tersebut, Anda harus mengganti xx.xx.xx.xxx menjadi alamat IP Anda.
Jika Anda menggunakan lebih dari 1 koneksi untuk mengatur WordPress Anda, pastikan Anda tidak lupa untuk turut menyertakan alamat IP koneksi lainnya (jumlahnya bebas sesuai dengan kebutuhan Anda). Kode ini tidak direkomendasikan bila Anda menggunakan alamat IP dinamis.

Menonaktifkan eksekusi PHP di folder tertentu
Peretas suka meng-upload script backdoor ke folder upload pada WordPress. Secara normal, folder ini biasanya digunakan untuk meng-upload file media saja. Oleh karena itu, folder ini tidak boleh berisi file PHP. Anda bisa dengan mudah menonaktifkan eksekusi PHP dengan cara membuat file .htaccess baru di direktori /wp-content/uploads dengan script berikut:

<Files *.php>
deny from all
</Files>

Melindungi file wp-config
File wp-config berisi file inti dari setting WordPress dan detail database MySQL. Sehingga, ini merupakan file WordPress yang paling penting. Oleh karena itu, file ini sering menjadi target utama para hacker dalam melakukan serangan. Namun bagaimanapun, Anda bisa dengan mudah melindungi file ini dengan script rule (peraturan) di .htaccess sebagai berikut:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

G. Matikan Fitur File Editing

Seperti yang Anda ketahui, WordPress memiliki file editor bawaan yang akan memungkinkan Anda mengedit file PHP langsung. Walaupun fitur ini sangat berguna, namun sebenarnya menyimpan potensi bahaya juga. Jika penyerang mendapatkan akses ke halaman administrator Anda, hal pertama yang ia akan dicari adalah file editor. Sebagian pengguna WordPress lebih memilih untuk menonaktifkan fitur ini. Caranya cukup dengan mengedit file wp-config.php dan menambahkan baris kode berikut:

define( 'DISALLOW_FILE_EDIT', true );

H. Lakukan backup sesering mungkin

Lakukan backup terhadap website Anda secara rutin, tujuannya tentu untuk menghindari kehilangan data jika terjadi sesuatu pada website. Anda bisa backup melalui fitur yang ada di CPANEL atau menggunakan FTP, atau jika Anda paham bisa juga menggunakan terminal dan command prompt atau Anda bisa download secara manual file WordPress dan meng-export database. Anda juga bisa mengunakan fitur backup yang telah disediakan hosting Anda. Cara lain adalah menggunakan plugin untuk mengamankan WordPress khusus backup, seperti:

Bahkan, Anda juga bisa membuat backup WordPress tersebut secara otomatis tersimpan langsung ke Dropbox Anda.

Kesimpulan

Walaupun WordPress adalah salah satu CMS yang paling banyak di-hack di dunia, ternyata bukanlah hal yang sulit untuk meningkatkan keamanannya.

Leave a Reply

Your email address will not be published. Required fields are marked *