Halo temen-temen semua, apa kabar? semoga dalam keadaan sehat ya. Dan semoga artikel ini bisa menjadi panduan awal untuk kita bisa mengamankan website wordpress kita.
Keamanan website adalah aspek krusial yang tidak boleh diabaikan. Dengan serangan siber yang semakin canggih, memperkuat pertahanan website WordPress kita menjadi kebutuhan yang tidak dapat ditawar lagi. Berikut adalah cara yang bisa kita terapkan untuk mengamankan website WordPress kita.
1. Mengubah URL Login
Mengubah URL login pada WordPress adalah langkah pertama yang efektif untuk mengurangi risiko serangan brute force. Berikut adalah cara teknis untuk melakukan perubahan ini:
Menggunakan Plugin:
- Install Plugin seperti WPS Hide Login atau iThemes Security:
- Buka dashboard WordPress Anda.
- Pergi ke Plugins > Add New.
- Cari “WPS Hide Login” atau “iThemes Security”.
- Install dan aktifkan plugin tersebut.
- Setelah aktif, pergi ke pengaturan plugin (biasanya terletak di bawah Settings atau dalam menu plugin itu sendiri).
- Masukkan URL login baru yang Anda inginkan di pengaturan plugin dan simpan perubahan.
Tanpa Plugin (Menggunakan .htaccess):
File .htaccess merupakan konfigurasi penting yang terletak pada direktori root website WordPress Anda. Untuk mengedit file ini, Anda bisa mengaksesnya melalui FTP atau menggunakan File Manager yang tersedia di cPanel hosting Anda.
Buka file .htaccess dan cari baris yang bertuliskan # BEGIN WordPress. Tambahkan baris kode berikut tepat di bawahnya:
RewriteRule ^login$ http://yourdomain.com/wp-login.php [NC,L]
Dalam baris kode tersebut, ganti kata “login” dengan endpoint yang Anda inginkan sebagai pengganti dari standar wp-login.php, yang membuat URL login Anda menjadi lebih unik dan kurang dikenali oleh bot otomatis yang umumnya menargetkan URL login standar. Pastikan juga untuk mengganti “yourdomain.com” dengan nama domain aktual Anda.
Setelah penambahan dan penyesuaian ini, simpan perubahan pada file .htaccess dan tutup editor. Perubahan ini akan membantu mengurangi risiko serangan brute force dengan menyembunyikan URL login default WordPress Anda.
Catatan Keamanan:
- Pastikan URL baru yang Anda pilih tidak mudah ditebak.
- Ingat URL baru Anda untuk menghindari kehilangan akses.
- Pertimbangkan untuk membatasi akses login hanya dari IP tertentu melalui pengaturan .htaccess atau firewall jika diperlukan.
Mengubah URL login adalah langkah pertama yang sederhana namun efektif dalam meningkatkan keamanan website WordPress Anda dari serangan otomatis yang menargetkan URL login default.
2. Menonaktifkan Pendaftaran dan Fitur Lupa Password
Jika tidak diperlukan, nonaktifkan pendaftaran pengguna baru dan fitur lupa password untuk menghindari eksploitasi oleh penyerang.
3. Menonaktifkan XML-RPC
XML-RPC adalah protokol yang memungkinkan komunikasi dari jarak jauh antara WordPress dan aplikasi lain, seperti aplikasi mobile dan sistem pengelolaan konten lainnya. Meskipun fungsional, XML-RPC sering kali dieksploitasi oleh peretas untuk melakukan serangan brute force. Jika Anda tidak memerlukan konektivitas jarak jauh untuk aplikasi eksternal, sangat disarankan untuk menonaktifkan XML-RPC.
Menggunakan .htaccess:
Untuk menonaktifkan XML-RPC menggunakan file .htaccess, akses file ini yang terletak di direktori root WordPress Anda melalui FTP atau File Manager di cPanel. Tambahkan baris kode berikut untuk menghentikan semua akses ke file xmlrpc.php, yang merupakan endpoint XML-RPC:
<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>
Menggunakan Plugin Keamanan:
Alternatif lain, Anda dapat menggunakan plugin keamanan yang menyediakan opsi untuk menonaktifkan XML-RPC. Plugin populer seperti Jetpack, iThemes Security, dan Wordfence, serta plugin khusus seperti Disable XML-RPC-API dan Disable XML-RPC, menawarkan cara mudah untuk menonaktifkan fitur ini.
Cukup aktifkan pengaturan terkait di dalam menu konfigurasi plugin untuk menonaktifkan XML-RPC secara efektif.
4. Instalasi Plugin Keamanan
Plugin keamanan merupakan salah satu lapisan pertahanan utama untuk website WordPress. Dengan menginstal plugin seperti Wordfence atau iThemes Security, Anda bisa menambahkan fitur keamanan tambahan yang tidak tersedia secara default di WordPress.
Plugin-plugin ini membantu mengamankan situs Anda dari serangan malware, mengeblok hacking attempts, dan memastikan aktivitas mencurigakan dapat terdeteksi dan dicegah. Mereka juga sering menyediakan firewall, pemindaian malware, dan kemampuan untuk memblokir alamat IP yang mencurigakan.
Plugin keamanan seperti Wordfence menyediakan firewall, scan malware, dan fungsi keamanan lainnya yang penting untuk melindungi website.
5. Penerapan Anti Brute Force
Serangan brute force terjadi ketika seseorang mencoba memasukkan kombinasi username dan password secara berulang dengan harapan bisa masuk ke dalam sistem. Untuk mengatasi ini, Anda dapat mengimplementasikan fitur pembatasan upaya login yang gagal dan memperkuat kebijakan pembuatan password.
Fitur anti brute force dapat memblokir pengguna setelah beberapa upaya login yang gagal, mengurangi risiko akun Anda dibajak. Beberapa plugin keamanan juga menyediakan opsi untuk mengganti URL halaman login agar lebih sulit diakses oleh bot otomatis.
Gunakan plugin yang secara khusus dirancang untuk melindungi website dari serangan brute force dengan membatasi percobaan login yang gagal.
6. Backup Berkala
Lakukan backup data secara berkala ke multiple lokasi (internal dan eksternal) untuk memastikan keamanan data saat terjadi serangan atau kegagalan sistem.
Melakukan backup secara berkala sangat penting untuk pemulihan data setelah insiden keamanan.
Menggunakan Plugin:
- Install Plugin Backup seperti UpdraftPlus atau WPVivid:
- Pergi ke Plugins > Add New dan cari plugin backup.
- Install dan aktifkan.
- Atur jadwal backup dan tujuan penyimpanan backup (seperti Dropbox, Google Drive, atau penyimpanan lokal).
Backup Manual:
- Backup Database melalui phpMyAdmin:
- Login ke cPanel atau panel hosting Anda.
- Pilih phpMyAdmin dan akses database WordPress Anda.
- Pilih opsi Export dan simpan file SQL yang dihasilkan.
7. Pembaruan Tema dan Plugin
Pastikan semua tema dan plugin yang digunakan selalu diperbarui ke versi terbaru untuk menghindari eksploitasi celah keamanan yang diketahui.
Menjaga tema dan plugin terbaru sangat penting untuk keamanan.
Via Dashboard:
- Update secara Rutin:
- Buka dashboard WordPress Anda.
- Pergi ke Dashboard > Updates.
- Periksa dan install pembaruan untuk tema dan plugin yang tersedia.
Menggunakan WP-CLI:
- Command Line Updates:
- Jika Anda memiliki akses shell ke server, WP-CLI adalah alat yang sangat kuat untuk mengelola WordPress.
- Gunakan perintah berikut untuk memperbarui semua tema dan plugin:
- wp plugin update –all
- wp theme update –all
Dengan menerapkan langkah-langkah teknis ini, Anda dapat meningkatkan keamanan website WordPress Anda dan melindungi data dari berbagai ancaman.
8. Memantau Keamanan Plugin dan Tema
Memantau dan memperbarui plugin serta tema secara berkala sangat penting untuk memastikan keamanan website WordPress Anda. Plugin dan tema yang usang seringkali memiliki celah keamanan yang bisa dimanfaatkan oleh hacker.
Pastikan untuk menginstal update terbaru segera setelah tersedia. Anda juga bisa menggunakan plugin keamanan yang memiliki fitur pemindaian kode untuk mendeteksi kode yang berpotensi berbahaya atau mencurigakan di plugin dan tema yang Anda gunakan.
9. Pembaruan WordPress
WordPress secara berkala merilis pembaruan yang tidak hanya menambahkan fitur baru tetapi juga memperbaiki bug dan celah keamanan. Melakukan pembaruan WordPress ke versi terbaru adalah langkah kritis untuk menjaga keamanan situs.
Selain itu, pastikan juga untuk memperbarui PHP ke versi yang didukung dan aman. Pembaruan ini harus dilakukan dengan hati-hati, idealnya di lingkungan staging sebelum diterapkan pada website live untuk menghindari masalah kompatibilitas dengan tema atau plugin yang sudah ada.
Langkah Keamanan Server
- Perbaruan Kontrol Panel dan Sistem Server: Selalu perbarui sistem operasi server dan kontrol panel dengan patch keamanan terbaru.
- Implementasi Mod Security dan CSF: Alat keamanan ini membantu dalam memantau dan membatasi akses yang tidak sah ke server.
Tips Keamanan untuk Admin
- Instalasi Antivirus: Gunakan antivirus terkini pada perangkat yang digunakan untuk mengelola website.
- Kewaspadaan terhadap Phishing: Berhati-hatilah terhadap upaya phishing yang mencoba mencuri informasi sensitif.
- Pembaruan Browser: Gunakan browser yang selalu terbaru untuk memanfaatkan perlindungan keamanan terkini.
- Menghindari Situs Mencurigakan: Hindari mengunjungi situs-situs berisiko tinggi yang mungkin mengandung malware.
- Penggunaan Browser Khusus: Dedikasikan satu browser khusus untuk mengelola kegiatan penting seperti pengelolaan website dan transaksi online.
Dengan menerapkan lebih dari 16 cara ini, kita bisa meningkatkan keamanan website WordPress secara signifikan. Pastikan untuk terus belajar dan mengikuti praktik terbaik dalam keamanan siber untuk menjaga keamanan website kita dari ancaman yang terus berkembang.