WordPress hadir sebagai salah satu platform pengelolaan website yang praktis dan mudah untuk dikelola.
Hal ini membuat banyak pemula yang menggunakannya sebagai CMS andalan untuk mengoperasikan websitenya.
Namun, karena kemudahannya tersebut, banyak dari pengguna WordPress seringkali tidak memperhatikan keseluruhan aspek pengelolaan dari CMS populer ini.
Salah satunya adalah aspek keamanan. Mengacu pada laman WP Mayor, lebih dari 4 juta website wordpress terkena serangan setiap tahunnya.
Itu sama saja dengan belasan ribu per harinya.
Fakta tersebut membuat banyak pemilik website menjadi ketar-ketir.
Jumlah angkanya seakan-akan menempatkan website mereka tinggal menunggu giliran untuk di-hack.
Namun, pengguna WordPress tidak perlu khawatir. Ada banyak langkah yang dapat diambil untuk melindungi website dari serangan.
Melalui artikel ini, kami akan membahas cara mengamankan website WordPress secara menyeluruh dan efektif.
Pastikan untuk mengikuti langkah-langkah dalam artikel ini.
- Mengapa Keamanan Website WordPress Penting?
- Langkah-langkah Mengamankan Website WordPress
- 1. Gunakan Hosting yang Aman
- 2. Update WordPress, Tema, dan Plugin Secara Berkala
- 3. Batasi Akses Admin pada WordPress
- 4. Gunakan Password yang Susah Ditebak
- 5. Aktifkan Otentikasi Dua Faktor (2FA)
- 6. Batasi Akses ke Dashboard WordPress
- 7. Instal Plugin Keamanan
- 8. Backup Website Secara Rutin
- 9. Nonaktifkan XML-RPC
- 10. Gunakan SSL/TLS
Mengapa Keamanan Website WordPress Penting?
Selayaknya rumah, pasti Anda tidak mau jika rumah Anda dimasuki orang yang tidak dikenal.
Hal tersebut berpotensi merugikan pemilik rumah dengan hilangnya barang-barang berharga dan juga dokumen penting.
Sama halnya dengan website WordPress, jika keamanannya lemah, hacker dapat menyusupi website dengan berbagai cara untuk mendapatkan hal yang mereka inginkan.
Jika website tersebut diperuntukkan untuk bisnis, serangan hacker dapat merugikan dan berdampak langsung pada aktivitas bisnis.
Mulai dari pengambilan data customer, downtime (website tidak bisa diakses), hingga reputasi bisnis yang memburuk.
Oleh karena itu, penting bagi pemilik website untuk tetap menaruh perhatian kepada pengelolaan keamanan WordPress.
Baca Juga: 7 Alasan Memilih WordPress
Langkah-langkah Mengamankan Website WordPress
Untuk menjadikan WordPress yang lebih aman, pastikan untuk mengikuti langkah-langkah berikut ini.
1. Gunakan Hosting yang Aman
Keamanan adalah salah satu faktor utama yang harus pertimbangkan saat memilih hosting.
Prioritaskan provider hosting yang memiliki fitur mumpuni terkait keamanan wordpress.
Seperti backup rutin, pembaruan software dan versi PHP dan juga fitur yang berguna untuk mitigasi jika terjadi serangan terhadap website.
Pilihlah penyedia hosting yang kredibel. Telusuri testimoni pelanggan terkait kepuasan mereka saat menggunakan hosting tersebut.
Penyedia hosting seperti Hostinger atau SiteGround dikenal memiliki fitur keamanan yang solid.
Mereka memiliki fitur firewall dan juga scanner malware yang memindai potensi serangan secara otomatis.
2. Update WordPress, Tema, dan Plugin Secara Berkala
Pengguna WordPress mungkin sering untuk mengabaikan saran dari sistem untuk meng-update tema dan juga plugin.
Padahal, ini adalah langkah paling sederhana dan paling efektif untuk menjaga website WordPress aman.
Sistem core WordPress, tema, dan plugin sering menerima pembaruan untuk menutup celah keamanan.
Versi terkini dari ketiga hal tersebut biasanya menjawab permasalahan bug dan keamanan terbaru, membuat WordPress menjadi lebih aman.
Tips lainnya adalah pilihlah plugin (saat hendak menginstall) yang masih sering diperbarui oleh pengembangnya.
Plugin yang tanggal pembaruannya sudah lama cenderung lebih riskan terhadap serangan hacker.
3. Batasi Akses Admin pada WordPress
Tidak semua pengelola website WordPress untuk perlu memiliki akses di tingkatan Admin.
Tingkatan tersebut memiliki keleluasaan lebih dalam pengelolaan WordPress, karena dapat mengubah pengaturan dasar, menambahkan dan menghapus plugin, mengelola tema dan tingkatan esensial lainnya.
Atas alasan tersebut, alangkah baiknya jika tingkatan akses ini hanya dimiliki oleh orang yang memang bertanggung jawab penuh terhadap suatu situs.
Jika hanya menjadi kontributor penulis atau seorang SEO, berikan akses sebatas “Author” atau “SEO Manager” saja, guna menghindari hal-hal yang tidak dingingkan yang berujung pada melemahnya keamanan WordPress.
4. Gunakan Password yang Susah Ditebak
Masih banyak pengguna WordPress yang menggunakan password yang terkesan gampang untuk ditebak.
Misalnya seperti “123456” atau bahkan nama user WordPress itu sendiri.
Terapkanlah kombinasi karakter yang ‘kaya’ dan tidak memiliki pola yang pasti. Hal ini membuat password Anda akan lebih sulit untuk ditebak.
Pengguna juga bisa membuat password yang disarankan saat menambahkan user baru di WordPress.
Password tersebut biasanya memiliki komponen karakter yang rumit.
Jika Anda kewalahan untuk mengingat banyak password, pertimbangkan untuk menggunakan pengelola password seperti LastPass atau 1Password.
5. Aktifkan Otentikasi Dua Faktor (2FA)
Ini adalah salah satu lapisan keamanan ekstra yang sangat disarankan untuk diterapkan di website.
Dengan mengaktifkan 2FA, bahkan jika seseorang berhasil mengetahui password Anda, mereka masih membutuhkan kode verifikasi tambahan yang dikirimkan ke ponsel Anda.
Plugin seperti Google Authenticator atau Authy bisa membantu Anda mengaktifkan fitur ini dengan mudah.
6. Batasi Akses ke Dashboard WordPress
Mengubah URL login website dari /wp-admin ke sesuatu yang lebih unik dapat meningkatkan keamanan website WordPress.
Hal ini ditujukan agar tidak sembarang orang—atau bahkan robot—untuk mencoba mengakses halaman login dan masuk ke dalam dashboard.
Kemungkinan tersebut tentu tidak diinginkan oleh semua pemilik website.
Plugin seperti WPS Hide Login memungkinkan website WordPress mengubah URL login tanpa harus menambahkan script tambahan yang lebih rumit.
Selain itu, plugin Limit Login Attempts Reloaded juga dapat membatasi akses yang tidak diinginkan dengan membatasi percobaan login dalam jumlah tertentu.
Hal tersebut sangat membantu untuk mencegah serangan brute force.
7. Instal Plugin Keamanan
Ada banyak plugin keamanan WordPress yang dapat membantu melindungi website yang berbasis WordPress.
Wordfence dan Sucuri adalah dua plugin yang sering direkomendasikan.
Wordfence menawarkan berbagai fitur keamanan seperti firewall, pemindaian malware, dan pemantauan aktivitas secara real-time.
Firewall berfungsi sebagai lapisan perlindungan pertama, mencegah serangan berbahaya sebelum mencapai server.
Pemindaian malware membantu mendeteksi dan menghapus file berbahaya yang mungkin telah terinstal di situs WordPress.
Sementara itu, pemantauan aktivitas memungkinkan pengguna untuk melihat log tindakan pengguna yang mencurigakan, seperti upaya login gagal yang berulang.
Sucuri, di sisi lain, menawarkan keunggulan dalam hal perlindungan WordPress dari serangan Distributed Denial of Service (DDoS).
Plugin ini juga melakukan pemantauan integritas file (apakah file berubah atau dimodifikasi secara abnormal) dan memberikan laporan mendalam mengenai kesehatan website.
Selain itu, Sucuri memiliki fitur pembersihan situs yang dapat membantu jika suatu website sudah terinfeksi malware.
8. Backup Website Secara Rutin
Tidak peduli seberapa baik pengguna dalam melindungi websitenya, selalu ada risiko suatu website untuk diserang.
Oleh karena itu, pastikan untuk melakukan backup data website WordPress Anda secara rutin.
Backup bertujuan untuk memastikan bahwa jika terjadi masalah yang tidak diinginkan, owner website dapat dengan cepat memulihkan situs ke kondisi yang stabil sebelumnya tanpa kehilangan data penting.
Plugin seperti UpdraftPlus adalah salah satu solusi untuk mengelola backup di WordPress.
Plugin ini mampu menjadwalkan backup otomatis yang tersimpan di cloud storage seperti Google Drive, Dropbox, atau penyimpanan eksternal lainnya.
Dengan fitur ini, pengelola website tidak perlu khawatir lupa melakukan backup manual, karena plugin akan secara otomatis melakukan tugas tersebut sesuai jadwal yang ditentukan.
9. Nonaktifkan XML-RPC
Fitur XML-RPC memungkinkan aplikasi pihak ketiga berinteraksi dengan website WordPress Anda, tetapi juga bisa menjadi celah keamanan.
Jika Anda tidak menggunakannya, lebih baik nonaktifkan saja. Caranya adalah dengan memberikan script tertentu di .htaccess di root direktori WordPress Anda.
Ini adalah salah satu cara paling efisien karena permintaan XML-RPC akan dihentikan di tingkat server.
Langkah-langkah disable XML-RPC:
- Buka file .htaccess yang terletak di file manager WordPress.
- Klik kanan pada file .htaccess lalu pilih edit.
- Tambahkan kode berikut di bagian paling bawah:
# Menonaktifkan akses ke xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
- Kemudian klik Save Changes.
Kode di atas akan memblokir semua akses ke file xmlrpc.php, sehingga fitur XML-RPC tidak akan bisa digunakan.
10. Gunakan SSL/TLS
Salah satu cara paling efektif untuk melindungi data yang dikirimkan antara server dan pengguna adalah dengan menggunakan SSL (Secure Socket Layer) atau TLS (Transport Layer Security).
Kedua teknologi ini bekerja dengan mengenkripsi data yang dipertukarkan antara browser pengguna dan server.
Sehingga data tersebut tidak dapat dengan mudah diakses oleh pihak yang tidak berwenang.
Selain dari aspek keamanan, penggunaan HTTPS (protokol HTTP yang dilindungi oleh SSL/TLS) juga memberikan keuntungan dari sisi SEO (Search Engine Optimization).
Google dan mesin pencari lainnya lebih mengutamakan website yang menggunakan HTTPS dalam peringkat hasil pencariannya.
Ini berarti, dengan mengaktifkan SSL/TLS, website tidak hanya melindungi data pengguna tetapi juga dapat meningkatkan visibilitas website di mesin pencari.
Sebagian besar penyedia hosting sudah menyediakan SSL gratis yang dapat diaktifkan melalui panel kontrol hosting.
Untuk mengaktifkannya, masuk ke panel kontrol hosting (misalnya, cPanel atau Plesk) dan cari opsi untuk mengaktifkan SSL.
Biasanya, Anda akan menemukan fitur ini di bagian Security atau SSL/TLS Manager. Pilih domain yang ingin Anda amankan dan aktifkan SSLnya.
Baca Juga: HTTPS dan HTTP Apa Bedanya?
Keamanan website WordPress bukanlah hal yang bisa dianggap enteng. Dengan mengikuti langkah-langkah di atas, pengguna dapat mengurangi risiko serangan dan menjaga website tetap aman.
Semoga informasi mengenai cara mengamankan WordPress di atas dapat bermanfaat!