Cara Mengamankan Situs WordPress

Tahukah Anda bahwa mengamankan situs WordPress kini menjadi lebih penting karena meningkatnya frekuensi dan kompleksitas serangan siber? Ini adalah kenyataan pahit yang tidak dapat diabaikan oleh bisnis online mana pun.

Faktanya, menurut laporan Colorlib, lebih dari 13.000 situs WordPress diretas setiap hari pada tahun 2023.

Itu angka yang mengejutkan, dan itu berarti Anda harus ekstra waspada dalam mengamankan kehadiran online Anda.

Namun tidak perlu panik.

Dalam postingan kali ini, kami akan membahas langkah-langkah yang dapat Anda ambil untuk menjaga situs web Anda tetap aman dan terlindungi dari ancaman dunia maya sehingga Anda dapat fokus mengembangkan bisnis tanpa rasa khawatir.

Jadi, jika Anda siap meningkatkan keamanan situs web Anda ke tingkat berikutnya, mari selami!

1 Mengapa Mengamankan Situs WordPress?

Situs web Anda berfungsi sebagai rumah online Anda, dan WordPress adalah platform di baliknya. Namun, seperti rumah fisik, situs WordPress Anda memerlukan tembok yang kuat untuk menahan potensi ancaman.

Inilah mengapa penting untuk mengamankan situs web Anda:

Mengamankan Situs Web Anda dan Privasi Pengunjung

Menurut data, rata-rata 69% situs WordPress yang diretas menjadi korban perangkat lunak yang ketinggalan jaman dan kata sandi yang lemah. Ini seperti membiarkan pintu depan Anda terbuka dengan keset selamat datang bagi pencuri dunia maya.

Kerugian akibat kejahatan dunia maya bagi bisnis mencapai triliunan setiap tahunnya, dan WordPress sering menjadi sasarannya.

Oleh karena itu, menjaga data sensitif seperti kata sandi, email, dan detail keuangan sangatlah penting. Situs web yang aman menumbuhkan kepercayaan dan keterlibatan pengguna, dan pengguna cenderung kembali ke situs yang aman, sehingga meningkatkan loyalitas dan konversi pengunjung.

Mencegah Pelanggaran Data dan Suntikan Malware

Pelanggaran data dapat menyebabkan kerusakan reputasi, masalah hukum, dan hilangnya kepercayaan pelanggan, sehingga bisnis harus menanggung biaya pemulihan rata-rata $9,44 juta di AS.

Selain itu, suntikan malware di situs WordPress yang diretas dapat mengarahkan pengunjung ke situs berbahaya, sehingga merusak peringkat SEO dan pengalaman pengguna Anda. Jadi, Anda perlu menjaga keamanan situs web Anda untuk mencegah situasi seperti itu.

Tingkatkan Kinerja SEO Situs Web Anda

Google memprioritaskan keamanan, dan situs web yang aman sering kali menikmati peringkat SEO yang lebih baik. Mengamankan situs WordPress Anda dapat meningkatkan peringkat mesin pencari, menarik lebih banyak lalu lintas organik.

Selain itu, skrip dan plugin berbahaya dapat menghambat situs web Anda, memperlambat waktu pemuatan halaman, dan membuat pengguna frustrasi. Situs web yang aman berjalan dengan lancar, membuat pengunjung Anda senang dan terlibat.

Kepatuhan terhadap Peraturan Privasi Data

Peraturan privasi data memerlukan langkah-langkah keamanan situs web yang kuat untuk melindungi data pengguna. GDPR dan CCPA adalah beberapa peraturan yang harus dipatuhi oleh bisnis.

Oleh karena itu, mengamankan situs WordPress Anda sangat penting untuk menghindari denda yang besar dan komplikasi hukum.

Ingat, keamanan situs web bukanlah investasi satu kali namun merupakan proses yang berkelanjutan.

Dengan mengambil tindakan proaktif, Anda dapat mengubah situs WordPress Anda dari target yang rentan menjadi benteng yang aman, menjaga data, reputasi, dan kesuksesan online Anda.

2 Metode Mengamankan Situs WordPress

Sekarang mari kita bahas berbagai metode untuk mengamankan situs WordPress.

2.1 Tindakan Keamanan Dasar yang Penting

Sekarang mari kita bahas praktik keamanan penting untuk melindungi situs WordPress Anda dari potensi risiko.

Selalu Perbarui Segalanya

Melindungi situs WordPress Anda sangatlah mudah—terus perbarui. Ini termasuk WordPress dan file intinya, seperti tema dan plugin.

Pembaruan rutin sangat penting karena sering kali menyertakan patch keamanan untuk kerentanan yang ditemukan di versi sebelumnya.

Selain keamanan, pembaruan juga memperkenalkan fitur dan penyempurnaan baru pada situs web Anda.

Untuk meninjau dan memperbarui situs WordPress Anda dan file intinya, masuk ke dasbor Anda dan buka Dashboard → Updates .

Jika pembaruan tersedia, klik tombol Perbarui ke versi . Untuk tema dan plugin, buka bagian Tema atau Plugin , pilih tema dan plugin yang memerlukan pembaruan, dan klik tombol perbarui di samping masing-masing tema.

Untuk keamanan tambahan, pertimbangkan untuk mengaktifkan pembaruan otomatis untuk WordPress, plugin, dan tema. Hal ini memastikan situs Anda tetap aman, bahkan saat Anda tidak memantaunya secara aktif.

Sebelum mengaktifkan pembaruan otomatis, pastikan untuk membuat cadangan situs web Anda secara teratur. Tindakan pencegahan ini memastikan Anda dapat dengan mudah memulihkan situs Anda jika terjadi kesalahan selama atau setelah pembaruan.

Gunakan Kata Sandi yang Kuat dan Unik

Anda juga dapat mengamankan situs WordPress Anda dengan menggunakan kata sandi yang kuat dan unik. Kata sandi yang lemah dan mudah ditebak memudahkan peretas mendapatkan akses tidak sah ke situs Anda.

Untuk membuat kata sandi yang kuat dan aman, ikuti tips berikut:

• Pilih minimal 12 karakter atau lebih.
• Campurkan huruf besar dan kecil, angka, dan karakter khusus.
• Hindari penggunaan nomor urut, karakter berulang, atau kata sandi umum seperti “password123”.
• Gunakan kata sandi yang berbeda untuk setiap akun online, termasuk situs WordPress Anda.
• Pertimbangkan untuk menggunakan alat pengelola kata sandi yang andal untuk membuat dan menyimpan kata sandi Anda dengan aman.
• Jika memungkinkan, hindari kata sandi yang menyertakan nama pengguna atau nama situs web Anda.

Ingat, saat memasang situs WordPress baru, selalu ganti contoh kata sandi default dengan yang lebih kuat.

Namun jika situs WordPress Anda sudah diatur, ubah kata sandi Anda dengan membuka Pengguna → Profil , gulir ke bawah, dan klik tombol Tetapkan Kata Sandi Baru untuk mendapatkan kata sandi yang kuat dan acak.

Selain itu, ubah kata sandi Anda secara teratur dengan kata sandi yang kuat setiap saat.

Instal Sertifikat SSL

Saat mengamankan situs WordPress Anda, memasang sertifikat SSL adalah hal yang penting. Sertifikat ini memastikan bahwa data yang dipertukarkan antara situs web Anda dan pengunjung dienkripsi, memberikan perlindungan terhadap akses tidak sah.

Memperoleh sertifikat SSL dapat dilakukan dengan membelinya dari penyedia terkemuka atau mendapatkan sertifikat gratis melalui penyedia hosting Anda.

Namun, jika Anda sudah menginstal sertifikat SSL untuk situs WordPress Anda tetapi tidak muncul di URL situs Anda, ada cara untuk mengaktifkannya.

Cukup buka Pengaturan → Umum di dasbor WordPress Anda dan ubah “Alamat WordPress (URL)” dan “Alamat Situs (URL)” dengan menambahkan 'https://' di awal, bukan 'http://'.

Namun jika Anda mengalami masalah terkait SSL di situs web Anda, Anda dapat menggunakan plugin seperti SSL Benar-benar Sederhana atau Pemecah Konten Tidak Aman SSL untuk mengatasinya.

Pilih Hosting Aman

Untuk meningkatkan keamanan, pilih penyedia hosting terkemuka yang terkenal dengan langkah-langkah keamanan dan keandalannya. Cari fitur seperti firewall, pemindaian malware, dan perlindungan DDoS.

Pastikan mereka menawarkan pencadangan rutin, mendukung protokol aman seperti SFTP atau SSH, dan terus memperbarui infrastruktur dan perangkat lunaknya. Penyedia hosting yang aman membentuk fondasi yang kuat untuk keamanan situs WordPress Anda.

Untuk menerapkan hal ini, teliti penyedia hosting, baca ulasan, dan pilih penyedia dengan reputasi keamanan yang baik.

Periksa fitur, dukungan, dan opsi cadangannya. Jika Anda memprioritaskan lingkungan hosting yang aman, ini akan membantu melindungi situs web dan data Anda.

2.2 Amankan Situs WordPress Anda

Sekarang mari kita bahas beberapa cara paling efektif untuk mengamankan situs WordPress Anda, termasuk cara mencegah akses tidak sah, melindungi data Anda, dan mengurangi risiko serangan cyber.

Gunakan Tema dan Plugin Aman

Saat memilih tema dan plugin untuk situs WordPress Anda, penting untuk memilihnya dari sumber terpercaya seperti repositori resmi WordPress atau MyThemeShop.

Sumber-sumber ini melakukan pemeriksaan keamanan menyeluruh dan secara konsisten memberikan pembaruan untuk memastikan keamanan produk mereka.

Namun, penting untuk menghindari penggunaan tema atau plugin dari sumber yang tidak dikenal atau tidak dapat diandalkan, terutama tema atau plugin nulled. Ini mungkin menyimpan kerentanan atau kode berbahaya yang dapat membahayakan keamanan situs Anda.

Sebelum memasang tema atau plugin, luangkan waktu untuk meninjau peringkatnya, membaca umpan balik pengguna, dan menilai frekuensi pembaruan untuk memastikan tema atau plugin tersebut dapat dipercaya dan dipelihara secara aktif.

Ini memastikan situs web Anda tetap aman dan terkini dengan langkah-langkah keamanan terbaru.

Cadangkan Situs WordPress Anda Secara Teratur

Mencadangkan data situs web Anda secara teratur sangat penting untuk melindunginya dari insiden keamanan, kehilangan data, dan masalah situs web. Dengan pencadangan terkini, Anda dapat memulihkan situs dengan cepat jika terjadi serangan siber dan meminimalkan waktu henti.

Membuat cadangan setiap hari umumnya disarankan, terutama untuk situs web dengan banyak konten dan lalu lintas tinggi.

Selain itu, penting untuk menguji cadangan Anda secara berkala untuk memastikan keandalannya. Salah satu cara untuk menyederhanakan proses pencadangan adalah dengan menggunakan plugin yang menawarkan fitur seperti pencadangan terjadwal dan opsi penyimpanan jarak jauh.

Anda dapat merujuk ke posting terperinci kami tentang mencadangkan situs WordPress Anda.

Batasi Upaya Masuk

Cara lain untuk mengamankan situs web Anda adalah dengan membatasi upaya login di situs web Anda, yang membatasi jumlah upaya login yang gagal dari satu alamat IP.

Hal ini mempersulit peretas untuk mendapatkan akses tidak sah dengan menebak kredensial login Anda.

Saat Anda membatasi upaya login, Anda dapat menambahkan lapisan perlindungan terhadap serangan brute force di situs WordPress Anda.

Inilah cara Anda dapat membatasi upaya login situs Anda:

• Instal dan aktifkan plugin seperti Limit Login Attempts Reloaded dari Direktori Plugin WordPress Anda. Untuk lebih jelasnya, lihat panduan langkah demi langkah kami tentang cara menginstal plugin WordPress.
• Setelah aktivasi, navigasikan ke halaman pengaturannya. Kemudian, gulir ke bagian 'Pengaturan Aplikasi'.
• Pada opsi Lockout , konfigurasikan jumlah maksimum upaya login yang diperbolehkan sebelum memblokir alamat IP.

• Tetapkan durasi periode penguncian untuk alamat IP yang diblokir.
• Secara opsional, aktifkan pemberitahuan email untuk menerima peringatan tentang penguncian atau upaya masuk yang mencurigakan. Anda dapat melihat opsi ini di Pengaturan Umum.

Setelah pengaturan yang benar, upaya login situs Anda akan dibatasi, dan alamat IP apa pun yang melebihi jumlah upaya login gagal yang Anda tentukan akan diblokir sementara agar tidak dapat mengakses halaman login.

Aktifkan 2FA (Otentikasi Dua Faktor)

Mengaktifkan Otentikasi Dua Faktor (2FA) menambahkan lapisan keamanan tambahan ke situs WordPress Anda dengan mengharuskan pengguna memberikan dua bentuk verifikasi untuk masuk.

Mirip dengan Google, Facebook, dan Twitter, Anda dapat membentengi situs WordPress Anda dengan fitur ini, sehingga secara signifikan menurunkan risiko akses tidak sah, bahkan jika kata sandi Anda dibobol.

Begini caranya:

• Instal dan aktifkan plugin “Keamanan Login Wordfence”. Setelah diaktifkan, masuk ke menu 'Keamanan Login'.
• Temukan kode QR dan masukkan di tab 'Otentikasi Dua Faktor'. Jadi, Anda perlu memindainya untuk mengaktifkan autentikator di situs web Anda.

• Selanjutnya, unduh dan instal aplikasi Google Authenticator di ponsel Anda; Anda dapat menggunakannya untuk memindai kode QR untuk aktivasi di situs web Anda.
• Buka aplikasi dan pilih 'Pindai kode QR' untuk memindai kode, atau masukkan kunci pengaturan secara manual.
• Setelah aplikasi memverifikasi kode, aplikasi memberikan kode unik. Salin kode ini ke bidang yang ditentukan di bawah bagian kode pemulihan.
• Klik tombol AKTIFKAN untuk menyelesaikan pengaturan.

Jangan lupa untuk mendownload kelima kode pemulihan tersebut menggunakan tombol DOWNLOAD . Kode-kode ini sangat penting jika Anda kehilangan ponsel, memastikan akses berkelanjutan ke situs web Anda.

Gunakan Solusi Anti-Spam yang Kuat

Spam dapat mengganggu dan menimbulkan risiko keamanan, membahayakan pengalaman pengguna, dan berdampak negatif pada kinerja situs Anda.

Jadi, untuk mencegah spam secara efektif di website Anda, Anda dapat menggunakan plugin WordPress “Akismet Anti-spam”.

Akismet adalah plugin pemfilteran spam yang dikembangkan oleh Automattic, perusahaan di balik WordPress. Biasanya sudah diinstal sebelumnya dengan WordPress, dan Anda hanya perlu mengaktifkannya dan mendapatkan kunci API.

Untuk mendapatkan kunci API, Anda harus mendaftar di situs Akismet dan kemudian memasukkannya ke kolom Kunci API di halaman plugin di dashboard WordPress Anda.

Setelah Anda berhasil menghubungkan Kunci API, plugin Akismet akan menggunakan algoritme canggih untuk menganalisis komentar dan mengirimkan formulir di situs web Anda secara otomatis, sehingga secara efektif menyaring spam.

Alternatifnya, Anda dapat memilih plugin “Antispam Bee”, yang memiliki tujuan serupa.

Ubah Nama Pengguna Admin Default

Selama instalasi situs WordPress, nama pengguna default biasanya ditetapkan sebagai 'admin'. Namun, ada kalanya pengguna secara keliru membiarkan nama pengguna ini tidak diubah.

Peretas sering kali menargetkan nama pengguna “admin” karena nama tersebut dikenal luas, sehingga memfasilitasi upaya jahat mereka. Untuk meningkatkan keamanan situs Anda, penting untuk mengubah nama pengguna admin, sehingga lebih sulit bagi penyerang untuk menebak dan mendapatkan akses tidak sah.

Sayangnya, WordPress tidak menawarkan opsi langsung untuk mengubah nama pengguna setelah instalasi selesai.

Jadi untuk melewati ini, Anda harus menginstal dan mengaktifkan plugin “Ubah Nama Pengguna”. Setelah diaktifkan, buka Pengguna → Semua Pengguna , pilih pengguna dengan nama pengguna “admin”, dan klik “Edit.”

Di halaman Profil, cari opsi 'Nama Pengguna', dan klik Ubah . Kemudian, pilih nama pengguna baru untuk akun admin, sebaiknya nama pengguna yang unik dan tidak ada hubungannya dengan nama situs Anda.

Terakhir, gulir ke bagian bawah halaman, dan klik tombol Perbarui Profil untuk menyimpan perubahan. WordPress akan secara otomatis memperbarui nama pengguna admin.

Mengubah nama pengguna admin tidak akan memengaruhi konten atau pengaturan situs web Anda. Satu-satunya perubahan adalah nama pengguna untuk mengakses dasbor admin.

Ubah URL default “wp-login”.

Semua orang tahu bahwa URL login default situs web yang didukung WordPress biasanya diakhiri dengan “wp-login.”

Namun, Anda perlu mengubah pola URL ini agar lebih sulit bagi orang lain untuk mengakses URL login Anda, apalagi mencoba menggunakan detail login Anda.

Untuk mengubah URL default “wp-login”, ikuti langkah-langkah berikut:

• Instal dan aktifkan plugin “WPS Hide Login” dari Direktori Plugin WordPress.
• Setelah aktivasi, navigasikan ke Pengaturan → WPS Sembunyikan Login, dan itu akan membawa Anda ke bagian bawah pengaturan umum situs WordPress Anda.
• Selanjutnya tambahkan custom login URL yang unik dan tidak mudah ditebak.

• Kemudian, simpan perubahannya, dan plugin akan secara otomatis memperbarui URL login.

Setelah URL login khusus disetel, Anda perlu mengakses URL baru untuk masuk ke dasbor admin WordPress. URL default “wp-login” tidak lagi dapat diakses.

Disarankan untuk memilih URL login khusus agar mudah Anda ingat tetapi sulit ditebak orang lain.

Pindai Situs Web Anda Secara Teratur

Untuk menjaga keamanan situs WordPress Anda, penting untuk memindai potensi ancaman keamanan, malware, atau aktivitas mencurigakan secara berkala. Tindakan proaktif ini membantu menjaga integritas situs web Anda.

Instal dan aktifkan plugin keamanan seperti Sucuri Security dari Direktori Plugin WordPress untuk melakukan pemindaian rutin.

Setelah aktivasi, navigasikan ke Sucuri Security → Dashboard , tempat Anda dapat memulai pemindaian. Plugin ini melakukan pemindaian harian secara default, tetapi Anda dapat menyesuaikan frekuensinya di pengaturan.

Setelah setiap pemindaian, tinjau hasil yang diberikan oleh plugin dan ambil tindakan yang diperlukan berdasarkan temuan tersebut. Pemantauan rutin ini memastikan keamanan berkelanjutan situs WordPress Anda.

Beberapa hasil pemindaian mungkin melibatkan penghapusan malware, memperbarui plugin atau tema, atau mengatasi kerentanan yang teridentifikasi.

Selalu Periksa Situs dan Aktivitas Pengguna

Memantau situs dan aktivitas pengguna sangat penting untuk memastikan keamanan situs WordPress Anda.

Dengan melacak tindakan yang diambil di situs Anda, Anda dapat segera mendeteksi aktivitas mencurigakan atau tidak sah dan mengambil tindakan yang diperlukan untuk mengatasinya secara efektif.

Untuk memantau aktivitas situs, Anda dapat memanfaatkan fitur Audit Logs pada plugin Sucuri. Akses dasbor Sucuri dan gulir ke bawah hingga Anda menemukan tab Log Audit .

Log ini akan menampilkan detail seperti upaya login, modifikasi file, instalasi plugin, dan banyak lagi.

Selain itu, Anda dapat menavigasi ke bagian Login Terakhir untuk memeriksa dan melacak aktivitas login situs web Anda, termasuk upaya yang berhasil dan gagal.

Jika Anda mendeteksi aktivitas mencurigakan, segera ambil tindakan untuk menyelidiki dan memitigasi potensi risiko keamanan.

Pilihan lainnya adalah dengan menggunakan plugin mandiri yang disebut 'Simple History' untuk memantau log aktivitas situs web Anda. Alat ini memberikan wawasan berharga tentang tindakan pengguna dan membantu menjaga lingkungan WordPress yang aman.

Siapkan Sistem untuk Peringatan Keamanan

Menyiapkan sistem peringatan keamanan memastikan Anda menerima pemberitahuan tepat waktu tentang potensi masalah keamanan atau perubahan di situs WordPress Anda.

Dengan segera menerima peringatan, Anda dapat segera mengatasi segala ancaman atau kerentanan.

Anda dapat menggunakan fitur Peringatan di plugin Sucuri untuk menerima peringatan aktivitas situs web Anda. Arahkan ke bagian Pengaturan dan pilih tab Peringatan .

Di tab Peringatan , tambahkan email untuk menerima peringatan, atur frekuensi, dan tentukan jenis peringatan keamanan.

Verifikasi bahwa rincian kontak yang diberikan untuk pemberitahuan peringatan akurat dan terkini. Fitur ini juga biasa ditemukan pada plugin keamanan lainnya.

2.3 Tindakan Keamanan Tingkat Lanjut

Sekarang mari kita jelajahi beberapa langkah keamanan tingkat lanjut yang dapat Anda ambil untuk meningkatkan keamanan situs WordPress Anda.

Atur Pemblokiran Geo untuk Memblokir IP

Menerapkan pemblokiran GEO di situs WordPress memungkinkan Anda membatasi akses dari negara atau wilayah tertentu dengan memblokir alamat IP yang terkait dengan lokasi tersebut.

Hal ini dapat membantu meningkatkan keamanan situs Anda dengan mencegah akses dari pihak yang berpotensi jahat atau wilayah berisiko tinggi.

Anda dapat memblokir IP melalui dashboard WordPress, cPanel, plugin WordPress, file .htaccess, dan config.php.

Pemblokiran GEO dapat secara efektif memblokir akses dari wilayah tertentu, namun mungkin tidak selalu berhasil.

Beberapa alamat IP mungkin ditetapkan secara dinamis atau mudah dipalsukan, jadi sebaiknya gunakan pemblokiran GEO dengan tindakan keamanan lainnya.

Aktifkan Perlindungan Firewall Aplikasi Web

Firewall Aplikasi Web (WAF) bertindak sebagai penghalang pelindung antara situs Anda dan potensi ancaman dengan menyaring lalu lintas berbahaya dan memblokir pola serangan yang diketahui.

Anda dapat mengaktifkan opsi perlindungan WAF secara gratis menggunakan plugin Wordfence Security. Jadi, Anda perlu menginstal dan mengaktifkan plugin di situs wordpress Anda.

Setelah aktivasi, navigasikan ke Wordfence → Firewall dan aktifkan Wordfence Firewall. Kemudian, kelola pengaturan firewall sesuai preferensi Anda, seperti mengaktifkan aturan WAF dan opsi firewall lanjutan.

Setelah itu, simpan pengaturannya, dan plugin Wordfence akan mulai memberikan perlindungan WAF untuk situs web Anda.

Dengan mengaktifkan Wordfence WAF, situs web Anda akan terlindungi dari ancaman keamanan umum, seperti injeksi SQL, serangan skrip lintas situs (XSS), dan upaya login brute force.

WAF terus memantau dan memfilter lalu lintas masuk untuk memblokir permintaan berbahaya sebelum mencapai situs web Anda.

Nonaktifkan Trackback dan Pingback

Trackback dan pingback adalah metode yang digunakan WordPress untuk memberi tahu situs lain ketika situs Anda tertaut ke konten mereka. Namun, mereka dapat disalahgunakan oleh pengirim spam untuk tujuan jahat.

Untuk menonaktifkan trackback dan pingback, ikuti langkah-langkah berikut:

• Masuk ke dasbor admin WordPress Anda.
• Arahkan ke bagian “Pengaturan” dan klik “Diskusi”.
• Di bagian “Pengaturan postingan default”, hapus centang pada kotak di samping “Izinkan pemberitahuan tautan dari blog lain (pingback dan trackback) pada postingan baru”.

• Gulir ke bawah dan klik tombol Simpan Perubahan .

Menonaktifkan trackback dan pingback akan mencegah situs WordPress Anda mengirim atau menerima notifikasi ini.

Hal ini membantu mengurangi beban server yang tidak perlu dan potensi risiko keamanan yang terkait dengan spam atau permintaan trackback/pingback yang berbahaya.

Siapkan Izin File yang Akurat

Izin File menentukan tingkat akses dan kontrol yang dimiliki pengguna atau proses berbeda terhadap file dan direktori situs Anda.

Ketika izin file dikonfigurasi dengan benar, Anda dapat membatasi akses tidak sah dan mencegah potensi pelanggaran keamanan.

Untuk mengatur izin file yang akurat untuk situs WordPress Anda, ikuti panduan umum berikut:

• Gunakan klien FTP atau panel kontrol hosting untuk mengakses file situs Anda.
• Identifikasi direktori dan file utama yang memerlukan penyesuaian izin, seperti direktori wp-content, file wp-config.php, dan file .htaccess.
• Setel izin 'direktori' ke 755, yang memungkinkan pemilik membaca, menulis, dan mengeksekusi file sambil membatasi orang lain untuk membaca dan mengeksekusi saja.

• Setel izin 'file' ke 644, yang memungkinkan pemilik membaca dan menulis file sambil membatasi orang lain menjadi hanya-baca.
• Untuk file yang lebih sensitif, seperti file wp-config.php, atur izin ke 600, yang hanya memberikan akses baca dan tulis kepada pemiliknya.

Ini hanyalah pengaturan umum, jadi hubungi dukungan penyedia hosting Anda untuk mendapatkan panduan khusus, karena izin file yang disarankan mungkin berbeda di lingkungan hosting yang berbeda.

Nonaktifkan Pelaporan Kesalahan

Menonaktifkan pelaporan kesalahan adalah praktik keamanan penting yang membantu melindungi situs WordPress Anda dengan mencegah potensi paparan informasi sensitif kepada penyerang.

Log kesalahan dapat secara tidak sengaja mengungkapkan detail tentang konfigurasi situs Anda atau kode yang mendasarinya, yang dapat dieksploitasi oleh individu jahat.

Untuk menonaktifkan pelaporan kesalahan, ikuti langkah-langkah berikut:

• Akses direktori root situs web Anda melalui klien FTP atau cPanel.
• Di direktori root atau public_html, temukan file wp-config.php.
• Unduh salinan cadangan file wp-config.php untuk keamanan.
• Klik kanan pada file wp-config.php dan pilih 'Edit' untuk membukanya.
• Temukan baris yang bertuliskan define('WP_DEBUG', true);
• Ganti 'true' dengan 'false', sehingga menjadi define('WP_DEBUG,' false); seperti yang ditunjukkan di bawah ini.

• Pastikan Anda menyimpan perubahan setelah memodifikasi file wp-config.php.

Menonaktifkan pelaporan log kesalahan mencegah potensi pesan kesalahan atau peringatan ditampilkan kepada pengguna, termasuk informasi sensitif yang mungkin berguna bagi penyerang.

Namun, menonaktifkan pelaporan kesalahan tidak berarti Anda harus mengabaikan kesalahan sepenuhnya. Anda tetap harus memantau situs Anda untuk setiap masalah dan segera mengatasinya.

Amankan File wp-config.php Anda

File wp-config.php adalah komponen penting dari instalasi WordPress Anda karena berisi informasi sensitif, seperti kredensial database dan kunci keamanan.

Mengambil langkah-langkah untuk mengamankan file ini penting untuk melindungi situs WordPress Anda dari potensi pelanggaran keamanan.

Berikut adalah beberapa langkah yang disarankan untuk mengamankan file wp-config.php Anda:

1. Pertimbangkan untuk memindahkan file wp-config.php ke direktori di luar folder root web. Hal ini mencegah akses langsung ke file dari internet, sehingga lebih sulit bagi penyerang untuk mengeksploitasi kerentanan apa pun.
2. Pastikan izin file untuk wp-config.php dikonfigurasi dengan benar menggunakan izin yang disarankan yang telah dibahas sebelumnya.
3. Saat menyiapkan situs WordPress Anda, gunakan kredensial database yang kuat, unik, dan kompleks. Ini termasuk menggunakan nama pengguna dan kata sandi basis data yang kuat.
4. Tambahkan lebih banyak perlindungan pada file wp-config.php dengan menambahkan aturan berikut ke file .htaccess situs Anda.

 <files wp-config.php> order allow,deny deny from all </files>

Aturan-aturan ini dapat menolak akses ke file untuk semua alamat IP.

Nonaktifkan Eksekusi File PHP di Direktori WordPress Tertentu

Anda juga dapat meningkatkan keamanan situs WordPress Anda dengan menonaktifkan eksekusi file PHP di direktori tertentu. Ini membantu mencegah file PHP dalam direktori tersebut dieksekusi atau dijalankan di situs web Anda.

Untuk menonaktifkan eksekusi file PHP, ubah file .htaccess di direktori target, sering kali merupakan tempat konten buatan pengguna berada, seperti direktori wp-content/uploads .

Anda dapat melakukannya dengan membuka file .htaccess di editor teks dan menambahkan baris berikut:

 <Files *.php> deny from all </Files>

Selanjutnya, simpan file ini sebagai .htaccess dan unggah ke folder /wp-content/uploads/ di situs web Anda menggunakan klien FTP atau Manajer File.

Baris-baris ini menginstruksikan server untuk menolak akses ke file apa pun dengan ekstensi .php dalam direktori yang ditentukan.

Alternatifnya, Anda dapat melakukannya dengan 1-klik menggunakan fitur Hardening di plugin Sucuri yang disebutkan di atas.

2.4 Tindakan Keamanan Tambahan

Mari kita bahas lebih lanjut langkah-langkah keamanan tambahan yang dapat Anda ambil untuk mengamankan situs WordPress.

Secara Otomatis Keluar dari Pengguna Menganggur di WordPress

Ketika pengguna tetap masuk tetapi tidak aktif selama jangka waktu tertentu, hal ini menimbulkan risiko akses tidak sah atau gangguan akun.

Jadi, Anda harus keluar dari pengguna yang menganggur untuk mengurangi kerentanan keamanan ini.

Untuk melakukan ini, Anda perlu menginstal dan mengaktifkan plugin Inactive Logout. Setelah aktivasi, buka Pengaturan → Keluar Tidak Aktif untuk mengonfigurasi pengaturan plugin.

Dengan mengeluarkan pengguna yang menganggur secara otomatis, Anda mengurangi risiko sesi mereka dibajak atau perubahan tidak sah dilakukan pada akun mereka.

Hal ini sangat penting terutama untuk situs web yang menangani informasi sensitif atau memiliki akun pengguna dengan hak administratif.

Sembunyikan Versi WordPress

Menampilkan versi WordPress secara publik dapat memudahkan penyerang menargetkan kerentanan yang terkait dengan versi WordPress tertentu.

Untuk menyembunyikan versi WordPress, ubah file function.php tema Anda atau gunakan plugin keamanan.

Ada beberapa metode berbeda yang tersedia, tetapi kami menyarankan untuk merujuk pada panduan kami tentang cara menyembunyikan versi WordPress untuk instruksi terperinci.

Sembunyikan Nama Tema Situs WordPress Anda

Ketika penyerang dapat dengan mudah mengidentifikasi tema WordPress yang Anda gunakan di situs web Anda, akan lebih mudah bagi mereka untuk mengeksploitasi kerentanan yang diketahui terkait dengan tema tersebut.

Dengan menyembunyikan nama tema, Anda mempersulit penyerang untuk mengumpulkan informasi tentang pengaturan situs Anda dan berpotensi mengeksploitasi kelemahan apa pun. Ini menambahkan lapisan keamanan ekstra ke situs WordPress Anda.

Untuk menyembunyikan nama tema situs Anda, ikuti panduan langkah demi langkah kami tentang cara menyembunyikan nama tema WordPress.

Nonaktifkan Pengeditan File di Dashboard WordPress

WordPress memiliki editor kode bawaan yang memungkinkan Anda mengedit file tema dan plugin dari area admin WordPress Anda.

Jika peretas mendapatkan akses tidak sah ke dasbor WordPress Anda, mereka mungkin mencoba mengubah file tertentu dengan memasukkan kode berbahaya.

Jadi, kami menyarankan untuk menonaktifkan fitur tersebut karena dapat menimbulkan ancaman keamanan. Untuk melakukan ini, Anda perlu menambahkan kode berikut ke file wp-config.php situs Anda.

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Setelah perubahan ini diterapkan, pengguna dengan akses administrator tidak dapat lagi mengakses editor tema dan plugin di panel admin WordPress Anda.

Namun bahkan setelah menonaktifkan pengeditan file ini, Anda masih dapat membuat perubahan pada file tema dan plugin dengan mengaksesnya melalui FTP atau File Manager.

Ubah Awalan Tabel Database Default Anda

Secara default, WordPress menggunakan awalan “wp_” untuk tabel databasenya, yang dapat memudahkan penyerang mengidentifikasi dan menargetkan situs Anda.

Untuk meningkatkan keamanan, pertimbangkan untuk mengubah awalan tabel, sehingga lebih menantang potensi eksploitasi.

Menyesuaikan awalan melibatkan modifikasi file wp-config.php dan phpMyAdmin. Proses manual ini berisiko merusak situs web Anda jika tidak dikonfigurasi dengan benar.

Oleh karena itu, kami merekomendasikan penggunaan metode plugin.

Jadi, Instal dan aktifkan plugin Brozzme DB Prefix & Tools Addons. Setelah aktivasi, navigasikan ke Alat → DB PREFIX.

Ubah awalan tabel database dalam plugin menjadi kombinasi huruf, angka, dan garis bawah yang unik dan kurang dapat diprediksi. Hindari karakter atau spasi khusus.

Sebelum melakukan perubahan, buat cadangan database situs web Anda. Pastikan wp-config.php dapat ditulis di server Anda, dan verifikasi bahwa hak MySQL ALTER diaktifkan untuk menghindari potensi masalah.

Pendekatan hati-hati ini memastikan transisi yang lebih lancar dengan risiko minimal terhadap fungsi situs Anda.

Setelah melakukan penyesuaian yang diperlukan, simpan perubahan Anda dengan mengklik tombol Ubah Awalan DB .

Nonaktifkan XML-RPC di WordPress

XML-RPC adalah fitur WordPress yang memfasilitasi konektivitas antara situs Anda dan web atau aplikasi seluler. Itu diaktifkan secara otomatis mulai dari WordPress 3.5.

Namun, ini juga dapat berfungsi sebagai alat potensial untuk memperkuat serangan brute force atau DDoS di situs web Anda.

Dengan mengaktifkan XML-RPC, peretas dapat menggunakan satu fungsi untuk melakukan beberapa upaya login dengan ribuan kata sandi, tidak seperti tanpa itu, yang memerlukan upaya terpisah untuk setiap kata sandi. Hal ini menimbulkan risiko keamanan yang signifikan.

Untuk menghindari risiko ini, disarankan untuk menonaktifkan XML-RPC jika Anda tidak menggunakannya secara aktif dengan menambahkan kode ke file .htaccess situs Anda.

Akses file situs web Anda menggunakan klien FTP atau panel kontrol hosting Anda, cari file .htaccess di direktori root, dan tambahkan kode berikut:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Namun jika Anda memilih untuk tidak menggunakan cara ini, Anda bisa menggunakan plugin keamanan WordPress seperti Simple Disable XML-RPC.

Instal dan aktifkan plugin, navigasikan ke Simple Disable XML-RPC setelah aktivasi, centang opsi Disable XML-RPC , dan simpan perubahan Anda.

Jika Anda menggunakan firewall aplikasi web yang disebutkan sebelumnya, maka firewall dapat menangani hal ini.

Nonaktifkan Tautan Panas

Menonaktifkan hotlinking adalah tindakan keamanan yang membantu melindungi bandwidth situs web Anda dan mencegah orang lain menautkan langsung ke gambar situs Anda dan file media lainnya.

Hotlinking mengacu pada penggunaan URL gambar atau media yang dihosting di situs web Anda di situs web lain, menggunakan sumber daya server Anda tanpa izin Anda.

Untuk menonaktifkan hotlinking dengan mudah, instal dan aktifkan plugin WordPress All-In-One Security (AIOS).

Setelah diaktifkan, buka WP Security → Filesystem Security , dan pilih tab File Protection . Gulir ke bawah dan aktifkan bagian Cegah hotlinking gambar , seperti yang ditunjukkan di bawah ini.

Ingatlah untuk menyimpan pengaturan Anda.

Nonaktifkan Pengindeksan dan Penjelajahan Direktori

Menonaktifkan pengindeksan dan penelusuran direktori adalah tindakan keamanan penting yang mencegah akses tidak sah ke konten direktori situs web Anda.

Secara default, beberapa server web mengizinkan pengindeksan direktori, yang berarti jika tidak ada file indeks (seperti indeks.html atau indeks.php) ada di direktori, server akan menampilkan daftar file dan folder di direktori tersebut.

Hal ini dapat mengungkap informasi sensitif dan memudahkan penyerang mengidentifikasi kerentanan.

Untuk mencegah akses tidak sah ke file Anda, penyalinan gambar, dan mengungkap struktur direktori Anda, sangat disarankan untuk menonaktifkan pengindeksan dan penjelajahan direktori.

Akses file situs web Anda melalui klien FTP atau panel kontrol hosting. Di direktori root instalasi WordPress Anda, cari file .htaccess.

Buka file .htaccess di editor teks dan tambahkan kode berikut di akhir:

 # Disable Directory Indexing and Browsing Options -Indexes

Simpan perubahan pada file .htaccess dan unggah kembali ke server Anda, ganti file yang ada jika perlu.

Gunakan Header Keamanan

Header keamanan menginstruksikan browser untuk menangani aspek tertentu dari situs web Anda, memberikan perlindungan tambahan terhadap kerentanan keamanan umum.

Berikut adalah beberapa header keamanan umum dan manfaatnya:

• Header X-XSS-Protection memblokir suntikan skrip berbahaya untuk mencegah serangan skrip lintas situs (XSS).
• Header opsi-tipe-konten X-Content mencegah kerentanan keamanan yang disebabkan oleh sniffing tipe MIME.
• Header ketat-transport-keamanan (HSTS) memastikan koneksi yang aman dengan menegakkan HTTPS.
• Header konten-keamanan-kebijakan (CSP) memungkinkan menetapkan kebijakan keamanan untuk melindungi terhadap berbagai serangan.

Jadi, untuk mengimplementasikan header keamanan ini di situs web WordPress Anda, Anda harus menginstal dan mengaktifkan plugin generator header keamanan.

Setelah instalasi, arahkan ke bagian header keamanan . Di sana Anda dapat membuat waktu dan mengkonfigurasi plugin sesuai preferensi Anda.

Saat menerapkan header keamanan, penting untuk menguji situs web Anda secara menyeluruh untuk memastikan bahwa mereka tidak bertentangan dengan fungsionalitas yang ada, karena mereka cenderung merusak situs web.

Juga, Anda dapat menggunakan alat online seperti SecurityHeaders.com untuk memeriksa efektivitas dan mengoreksi implementasi header keamanan Anda.

Jika Anda menggunakan plugin keamanan seperti "All-in-One Security (AIOS)" atau "Wordfence," Anda dapat mengonfigurasi header keamanan situs Anda dengan mudah menggunakan opsi mereka, menghilangkan kebutuhan untuk plugin sebelumnya.

3 Kesimpulan

Mengamankan situs web WordPress Anda sangat penting untuk melindunginya dari potensi ancaman dan kerentanan.

Dengan demikian, memasang plugin keamanan yang kuat seperti "All-in-One Security (AIOS)" dapat membantu karena menawarkan berbagai fitur yang mencakup sebagian besar langkah-langkah keamanan yang dibahas dalam posting ini.

Namun, hanya memasang plugin keamanan tidak cukup. Anda perlu meluangkan waktu untuk meninjau semua opsi yang tersedia dan menyesuaikan pengaturan plugin yang sesuai dengan kebutuhan Anda.

Tetapi, jika Anda memiliki persyaratan keamanan yang unik yang tidak dicakup oleh plugin, pertimbangkan untuk memasang plugin tambahan atau menggunakan kode khusus untuk memenuhi kebutuhan tersebut.

Itu selalu merupakan praktik yang baik untuk mencadangkan situs web Anda sebelum membuat perubahan kode atau mengaktifkan plugin baru untuk mengurangi risiko.

Selain itu, secara teratur memperbarui plugin WordPress Anda, meninjau pemberitahuan atau hasil, dan tetap mutakhir dengan berita keamanan terbaru dan praktik terbaik dapat secara signifikan mengurangi risiko pelanggaran keamanan.

Apakah posting ini membantu Anda dalam mengamankan situs web WordPress Anda? Jika sudah, jangan ragu untuk membagikan pemikiran Anda dengan tweeting @rankmathseo.