Dibuat 17 November 2021
WordPress semakin berkembang menjadi Content Management System (CMS) blog dan website yang paling banyak diminati. Menurut Web Technology Surveys (W3Techs), 40% situs di internet menggunakan WordPress sebagai sarana untuk menerbitkan konten mereka.
Sayangnya, popularitas WordPress juga menarik penjahat dunia maya untuk mengeksploitasi kerentanan platform. Berdasarkan penelitian Sucuri, 94% dari 60.000+ website WordPress mengalami pelanggaran keamanan.
Sebelum Anda terburu-buru mencari CMS lain, perhatikan bahwa ini tidak berarti WordPress memiliki sistem keamanan yang buruk. Sebagian besar, pelanggaran keamanan WordPress terjadi karena kurangnya kesadaran keamanan pengguna.
Inilah mengapa memahami dan menerapkan beberapa langkah keamanan website sangat penting dilakukan. Artikel ini akan memberikan langkah praktis agar website WordPress Anda aman dari berbagai serangan.
Mengapa Anda Perlu Mengamankan WordPress?
Tentu saja untuk menahan atau menghindari berbagai serangan dunia maya. Menurut WPScan Vulnerability Database, berikut beberapa jenis serangan yang umum terjadi pada website WordPress:
- Cross-Site Request Forgery (CSRF). Memaksa pengguna untuk melakukan tindakan yang tidak diinginkan pada website.
- Distributed Denial-of-Service (DDoS) attack. Membanjiri koneksi yang tidak diinginkan pada website, sehingga website lumpuh dan tidak dapat diakses.
- Authentication bypass. Memungkinkan peretas mendapatkan akses ke sumber daya website tanpa melakukan verifikasi.
- SQL injection (SQLi). Memaksa sistem untuk mengeksekusi query SQL berbahaya dan memanipulasi data di dalam database.
- Cross-site scripting (XSS). Menyuntikkan kode berbahaya yang mengubah website menjadi pengangkut malware.
- Local File Inclusion (LFI). Memaksa website untuk memproses file berbahaya yang akan ditempatkan pada server.
9 Cara Mengamankan Website WordPress
Meningkatkan keamanan WordPress tidak selalu membutuhkan pengetahuan teknis tingkat lanjut. Langkah sederhana yang dapat dilakukan siapa saja akan membantu memperkuat keamanan website. Setidaknya terdapat 9 cara mengamankan website WordPress yang dapat Anda ikuti secara tidak berurutan:
1. Update WordPress
WordPress merilis pembaruan perangkat lunak secara reguler untuk meningkatkan kinerja dan keamanan. Pembaruan ini melindungi website Anda dari ancaman online baru. Ini merupakan cara sederhana namun penting untuk meningkatkan keamanan WordPress.
Niagahoster sangat mendukung gerakan ini dengan fitur Auto Update melalui WordPress Management pada Member Area. Dengan mengaktifkannya, Anda akan mendapatkan pembaruan WordPress secara rutin.
2. Hindari Penggunaan Username “admin”
Ketika memasang WordPress, Anda perlu memasukkan username sebagai Administrator. Jika Anda menuliskan “admin”, sebaiknya Anda harus segera mengubahnya. Hal ini tentu akan lebih memudahkan peretas untuk masuk. Dengan username “admin”, peretas hanya perlu melacak password Anda saja.
Namun, Anda tidak bisa mengubah username begitu saja, karena WordPress tidak mengizinkannya.
Untuk itu, Anda perlu menambahkan username baru sebagai Administrator. Silakan masuk ke dashboard WordPress. Kemudian, klik menu Users dan pilih submenu Add New. Tambahkan username baru sebagai Administrator.
Terakhir, silakan login dengan username baru Anda. Kemudian, Delete username lama Anda.
3. Batasi Upaya Login
WordPress mengizinkan pengguna untuk melakukan upaya login dalam jumlah tak terbatas. Tentu ini kesempatan sempurna bagi peretas. Dengan bantuan alat, mereka akan mencoba berbagai kombinasi kata sandi sampai menemukan yang tepat.
Itulah mengapa Anda perlu membatasi upaya login yang gagal. Hal ini akan membantu mengamankan website WordPress Anda. Salah satu cara untuk membatasi upaya login dengan menggunakan plugin Loginizer.
Anda bisa memasang plugin Loginizer melalui dashboard WordPress.
Silakan lakukan login, namun dengan username atau password yang salah. Anda akan menerima pesan peringatan “ERROR: Incorrect Username or Password 2 attempts(s) left”. Jadi, Anda hanya memiliki kesempatan 3 kali kesalahan ketika melakukan login.
4. Ubah URL Halaman Login
Semua website WordPress memiliki URL login default yang sama: namadomain.com/wp-admin. Menggunakan URL tersebut memudahkan peretas untuk menargetkan halaman login Anda.
Untuk melindungi website dari peretas, Anda bisa mengubah URL halaman login WordPress menggunakan plugin tambahan.
5. Gunakan Plugin dan Tema Terpercaya
Hingga kini beragam plugin dan tema WordPress terus bermunculan. Dengan demikian, pastikan plugin dan tema yang Anda gunakan jelas informasinya. Selalu hindari website yang menyediakan plugin dan tema bajakan.
Ketika Anda memasang tema dan plugin bajakan, keamanan WordPress Anda dapat terancam. Bisa saja tema dan plugin tersebut disusupi kode atau virus yang akan merusak website Anda.
Cara untuk mengetahui sebuah plugin atau tema terpercaya cukup mudah. Anda bisa membaca detail informasi seperti Active installations, Last updated, hingga Ratings dari plugin dan tema tersebut.
Temukan informasi tentang plugin Anda di sini: wordpress.org/plugins.
Temukan informasi tentang tema Anda di sini: wordpress.org/themes.
6. Update Plugin dan Tema
Plugin dan tema juga perlu Anda perbarui secara berkala. Adanya pembaruan tentu untuk memperbaiki kesalahan pada versi sebelumnya. Jika versi sebelumnya terdapat celah keamanan, maka pada versi terbaru celah tersebut telah diperbaiki oleh pengembang.
Untuk membantu Anda, Niagahoster juga menyediakan fitur Auto update WordPress Plugins dan Auto update WordPress Tema pada WordPress Management di Member Area. Sistem akan otomatis melakukan pembaruan pada plugin dan tema website Anda.
7. Backup Website Secara Berkala
Tentu Anda tidak ingin data website hilang begitu saja jika terjadi pelanggaran keamanan. Inilah manfaat melakukan backup, Anda dapat mencegah kehilangan data website dan memudahkan untuk memulihkan website tersebut.
Niagahoster juga menyediakan fitur Backup & Restore untuk website WordPress. Proses backup akan otomatis berjalan ketika sistem melakukan update WordPress (Core, Plugins, atau Theme). Untuk itu, aktifkan pengaturan Auto Update WordPress terlebih dahulu. Baca selengkapnya.
8. Gunakan Malware Protection
Malicious Software (Malware) merupakan perangkat lunak yang dibuat dengan tujuan masuk ke sebuah sistem seperti jaringan, komputer, atau server dan mampu merusak tanpa diketahui pemiliknya.
Website WordPress juga dapat disusupi oleh Malware. Ketika Malware berhasil menyusup, website Anda dalam bahaya. Seluruh data website dapat dirusak oleh Malware tersebut. Untuk itu, Anda memerlukan sebuah alat untuk mencegah serangan Malware.
Kabar baiknya, seluruh pengguna Layanan Hosting Niagahoster telah dilengkapi Malware Protection bernama Imunify360.
Di Member Area Niagahoster, silakan masuk ke halaman Pengaturan Hosting dan klik tab cPanel. Anda akan menemukan fitur Imunify360.
Selain itu, Server Administrator kami juga telah mengatur Imunify360 pada mode: Kill Mode. Mode dengan keamanan tertinggi yang akan menghentikan serangan Malware sedini mungkin. Demi keamanan, Anda tidak dapat mengubah pengaturan mode tersebut.
9. Pasang Sertifikat SSL
Secure Sockets Layer (SSL) merupakan protokol transfer data yang mengenkripsi data yang dipertukarkan antara website dan pengguna, sehingga lebih sulit bagi peretas untuk mencuri informasi penting.
Dengan sertifikat SSL yang terpasang, website WordPress akan menggunakan HTTPS, bukan HTTP, sehingga mudah untuk mengidentifikasinya.
Niagahoster menyediakan sertifikat SSL gratis di semua paket hosting. Selain itu, Niagahoster juga menawarkan opsi untuk meningkatkan ke sertifikat SSL berbayar dengan Comodo Positive SSL. Anda bisa mengetahui perbedaan SSL gratis dan berbayar di artikel ini.
Setelah Anda menginstal sertifikat SSL di akun hosting, Anda juga harus mengaktifkannya di website WordPress.
Di dashboard WordPress, silakan masuk ke menu Settings dan klik submenu General. Pada bagian WordPress Address (URL) dan Site Address (URL), Anda bisa ubah menjadi https.