17 Jul

Panduan Dasar – Dasar Keamanan WordPress

Panduan Dasar – Dasar Keamanan WordPress

Keamanan wordpress adalah hal penting untuk semua webmaster. Tidak peduli seberapapun ukuran website anda, memiliki website yang aman adalah nomer satu. Hacker banyak yang menggunakan scanner untuk mencari website dengan beberapa kelemahan. Banyak dari mereka yang datang dang menggangu sebuah website hanya berdasarkan random dan bukan karena website anda memang tujuan mereka.
Setiap minggu Google melakukan blacklist kepada lebih dari 20.000 website diseluruh dunia karena menyebarkan malware atau virus. Masalah mendasar bagi website – website tersebut adalah belum tentu mereka yang secara sengaja menyebarkan malware. Tetapi bisa jadi karena website website tersebut pernah terinfeksi tanpa sepengetahuan pemiliknya.

Untuk anda para pemilik website wordpress, ada beberapa hal mendasar yang bisa kita lakukan untuk mengamankan wordpress kita. Cara – cara ini pada dasarnya adalah membatasi login, membatasi akses ke file yang pengunjung tidak perlu tahu dan membatasi eksekusi file – file yang tidak diperlukan.

Beberapa hal yang bisa kita lakukan adalah:

Selalu gunakan username dan password yang sulit ditembus

Gunakan password yang sulit ditebak. atau jika sulit, gunakan password generator yang tersedia online dan gratis. Catat dan simpan password tadi baik – baik. Gunakan minimals 8 karakter untuk password.
Username dan password yang sulit ditebak ini sebaiknya anda gunakan untuk Cpanel, FTP, email dan sebagainya.

Menjaga wordpress selalu update

Update wordpress segera setelah update tersedia tanpa menunggu. File update wordpress berisi tambahan fitur keamanan selain fitur lainnya. File – file ini juga telah dicek dan ditest sebelumnya sehingga ketika tersedia untuk update, file – file tersebut sudah teruji.

Jangan berfikir file – file tersebut dibuat “last minute” kemudian langsung diupload.

Jika ada theme atau plugin ada yang menjadi tidak cocok, maka anda bisa memberi tahu pembuat pluginnya supaya segera mengupdate juga.

Gunakan hosting yang terpercaya

Hosting yang terpercaya tidak hanya menyediakan layanan server handal tetapi juga server yang aman. Website anda bisa diserang oleh hacker melalui website lain dalam 1 server shared meskipun anda sudah mengamankannya. Jika ini terjadi, maka layanan hosting anda sebaiknya memiliki backup yang bisa selalu digunakan.

Backup website wordpress secara teratur

Setelah membicarakan backup oleh penyedia hosting, maka penting bagi anda melakukan backup secara teratur juga. Jika anda pernah mendengar bahwa website besar pernah kena hacking, maka website kitapun bisa terkena juga.
Selalu backup web anda secara teratur dan selalu tempatkan file backup di tempat yang berbeda dari server.
Anda bisa menginstall plugin backup semacam UpdraftPlus plugin yang bagus untuk backup wordpress. Plugin ini ada versi gratis dan bisa melakukan backup menyeluruh pada wordpress anda.

Gunakan Plugin security untuk wordpress

Plugin yang paling terkenal adalah wordfence, sucuri dan all in one wp security dan firewall. Secara umun fungsi dasarnya sama dan masing – masing menyediakan versi gratis untuk kita.
Plugin – plugin ini bisa mengamankan halaman login, mengganti URL halaman login dan melakukan scanning terhadap virus dan malware.
Anda juga bisa melakukan blokir terhadap IP address yang terpantau melakukan hal – hal yang mengganggu website wordpress anda melaui plugin – plugin ini.
Disable file editing

Secara default, anda bisa mengedit code pada theme dan plugin anda pada halaman di wordpress. Anda bisa men-disable pilihan untuk mengedit langsung di halaman wordpress anda. Anda bisa mengditnya melalui Cpanel atau menambah code ini di “wp-config.php”.

// Disallow file edit
Define( ‘DISALLOW_FILE_EDIT’, true );

Disable PHP File Execution untuk beberapa direktori wordpress

cara lainnya adalah dengan tidak mengijinkan eksekusi file PHP di beberapa direktori wordpress.
direktori ini tentunya adalah direktori yang memang tidak ditempati file PHP default yang perlu dieksekusi.
Salah satu contoh direktori yang tidak perlu dieksekusi adalah di /wp-content/uploads/.
kemudian, anda bisa buka notepad dan menuliskan:
deny from all
kemudian simpan sebagai atau save as: .htaccess dan upload di direktori /wp-content/uploads/.

Mematikan direktory indexing dan browsing

jika seorang hacker bisa mengakses dan melihat direktori kita, maka dia akan mengetahui struktur website kita dan menggunakan kelemahan yang ada untuk masuk ke dalam wordpress kita. Dia juga bisa meng copy gambar dan sebagainya yang merugikan kita. untuk itu, direktory browsing dan indexing ini harus kita matikan.
Caranya, anda bisa masuk ke Cpanel atau masuk lewat FTP. Kemudian anda perlu mencari file .htaccess di direktory root. setelah itu, buka file dan tambahkan pada baris terakhir code seperti ini:
Options -Indexes
kemudian jangan lupa untuk save atau upload kembali bagi yang menggunakan FTP.

Membatasi login

Plugin bernama login lockdown akan mebatasi usaha login oleh orang yang tidak bertanggung jawab. Dengan pembatasan ini maka tidak akan terjadi percobaan login hingga berkali – kali yang membuat password tertembus.

Melindungi direktori WP -admin anda

Cara yang bisa kita gunakan adalah membuat password bagi yang ingin mengakses halaman login ini.
Anda login ke Cpanel, kemudian klik password protect directories
anda akan memdapat gambar seperti ini

kemudian anda isi dengan direktori admin anda dan buat password serta username seperti biasa.
Jika seoreng user login dengan membuka wp-admin maka akan ada form password untuk melanjutkan. Password dan username ini adalah yang anda buat tadi. Password dan username ini berbeda dengan password dan usernam pada login wordpress anda.
Jadi untuk login, sudah ada dua set username dan password yang diperlukan.

Logout User yang idle secara otomatis

Untuk bank dan sebagainya, jika anda login di sistem mereka dan berlama – lama meninggalkannya maka akan secara otomatis logout sendiri. User yang login dan meninggalkan website berlama – lama bisa membuat celah keamanan. Orang lain bisa mencuri password, data dan sebagainya. Hal ini akan membuat kerepotan natinya.

Jadi anda bisa membuat user yang login tetapi tidak aktif log out setelah waktu tertentu.

Cara yang gampang untuk melakukannya, anda bisa install plugin Idle User Logout. Dengan plugin ini kita bisa seting berapa lama seorang user login akan logout secara otomatis jika tidak melakukan aktivitas apa – apa.

Menambah pertanyaan keamanan ke halaman login

Cara termudah adalah menginstall plugin WP Security Questions. Dengan plugin anda bisa memberikan pertanyaan sesuai pilihan anda dengan jawaban yang akan lebih sulit ditebak lagi.

5/5 - (1 vote)

Leave a reply