Keamanan (security) WordPress menjadi hal yang sangat penting di era digital ini. Setiap hari, ribuan website WordPress menjadi target serangan hacker.
No system is safe, tapi tidak ada salahnya berusaha maksimal menjaga keamanan WordPress Anda.
Artikel ini akan membahas cara praktis meningkatkan keamanan WordPress menggunakan tools gratis (tidak berbayar).
✨ Poin Penting
- 15 tips pilihan untuk meningkatkan keamanan WordPress. Mudah dilakukan untuk pemula.
- Setting Cloudflare agar maksimal
- Rekomendasi plugin security.
- Backup adalah elemen terpenting dalam keamanan.
- Bonus tip
Mengapa WordPress Security Penting?
Website WordPress yang tidak aman bisa mengakibatkan:
- Pencurian data
- Website error
- Inject script berbahaya
- Redirect web sampah (judol, phising, adult, dll)
- Penurunan reputasi
- Kerugian finansial
- Penurunan peringkat SEO
15 Cara Meningkatkan Keamanan WordPress
Perlu diingat, ada banyak cara untuk meningkatkan keamanan WordPress.
Dalam artikel ini, kami hanya memasukkan cara-cara yang mudah dikerjakan, bahkan untuk pengguna WordPress pemula.
Langsung saja ke intinya, berikut ini adalah langkah-langkah membuat WordPress Anda lebih aman.
Mengamankan WordPress dimulai dengan memiliki password yang kuat.
Jangan gunakan password seperti “123456” atau “bismillah.”
Tidak memakai password dengan kata bismillah bukan berarti kita tidak beriman.
Menurut Nordpass, bismillah adalah peringkat 7 password yang paling banyak digunakan di Indonesia. Hanya butuh waktu kurang dari 1 detik untuk dibobol.
Buatlah kombinasi yang sulit ditebak, misalnya dengan menggabungkan huruf besar, huruf kecil, angka, dan simbol. Contoh: rZ#ogiC3s**gn&
Setelah itu, aktifkan Two-Factor Authentication (2FA). Fitur ini menambahkan lapisan keamanan ekstra.
Selain password, Anda perlu memasukkan kode yang dikirim ke HP atau aplikasi autentikasi. Ini membuat hacker hampir mustahil untuk masuk, bahkan jika mereka tahu password Anda.
Berikut ini adalah contoh aktivasi fitur 2FA di WordPress Anda dengan plugin Wordfence.
Langkah ini sederhana tapi sangat efektif melindungi WordPress Anda.
Banyak pengguna WordPress tidak mengganti username bawaan “admin.”
Untuk meningkatkan keamanan, gunakan username yang unik dan sulit ditebak. Contohnya, ganti “admin” menjadi sesuatu seperti “MasGanteng1001” atau “duhaikekasih”
Jika username “admin” sudah terlanjur digunakan, Anda bisa:
- Buat akun baru dengan username baru dan peran Administrator.
- Login ke akun baru, lalu hapus akun “admin.”
- Pilih opsi untuk memindahkan semua postingan dan halaman dari akun lama ke akun baru.
DDoS (Distributed Denial-of-Service) adalah serangan yang bertujuan membanjiri server dengan traffic sehingga menyebabkan website tidak dapat diakses.
Cloudflare menyediakan perlindungan DDoS yang efektif untuk mencegah gangguan ini.
Cara Mengaktifkan DDoS Protection di Cloudflare:
- Daftarkan Domain ke Cloudflare
- Tambahkan domain Anda ke Cloudflare dan ubah DNS-nya agar menggunakan Nameserver Cloudflare.
- Aktifkan Fitur DDoS Protection
- Masuk ke dashboard Cloudflare.
- Buka tab Security > DDoS.
- Pastikan Automatic DDoS Protection diaktifkan.
- Gunakan Mode “I’m Under Attack”
- Saat terjadi serangan, aktifkan mode Under Attack di tab Overview.
- Mode ini menampilkan interstitial page (verifikasi tambahan) sebelum mengizinkan pengunjung mengakses website.
Dengan langkah ini, website Anda akan lebih terlindungi dari ancaman DDoS tanpa memengaruhi pengalaman pengguna normal.
Mengaktifkan SSL/HTTPS dengan Cloudflare dapat meningkatkan keamanan website Anda, melindungi data pengunjung, dan meningkatkan kepercayaan pengunjung.
Akses Menu SSL/TLS
- Pilih tab SSL/TLS di dashboard.
- Pastikan SSL/TLS Mode disetel ke Full atau Full (Strict) untuk keamanan optimal.
Hindari mode Flexible karena hanya mengenkripsi antara browser dan Cloudflare, bukan ke server Anda.
Dengan langkah ini, website Anda akan menggunakan HTTPS dan terlindungi oleh SSL yang disediakan gratis oleh Cloudflare.
Pro Tip: Pengaturan tambahan Cloudflare
SSL/TLS
- Encryption Mode: Full (Strict),
- Aktifkan TLS 1.3,
- Aktifkan HSTS
Security Settings
- Security Level: Medium,
- Aktifkan “Browser Integrity Check”,
- Challenge Passage: 30 minutes
Jangan lupa setup WAF custom rules di Cloudflare.
WAF Custom Rules di Cloudflare
Tambahkan custom rules pada bagian WAF, lalu edit expression dan isikan rules dibawah ini.
Block WP Config:
(http.request.uri.path contains “/wp-config.php”)
Block PHP Upload:
(http.request.uri.path contains “/wp-content/uploads/” and http.request.uri.path contains “.php”)
Block SQL Injection:
(http.request.uri.query contains “union”) or (http.request.uri.query contains “select”) or (http.request.uri.query contains “concat”) or (http.request.uri.query contains “exec”) or (http.request.uri.query contains “‘”) or (http.request.uri.query contains “–“) or (http.request.uri.query contains “;”) or (http.request.uri.query contains “/”) or (http.request.uri.path contains “union”) or (http.request.uri.path contains “select”) or (http.request.uri.path contains “concat”) or (http.request.uri.path contains “exec”) or (http.request.uri.path contains “‘”) or (http.request.uri.path contains “–“) or (http.request.uri.path contains “;”)
Block XSS Attack:
(http.request.uri.query contains “<script”) or (http.request.uri.query contains “javascript:”) or (http.request.uri.query contains “onerror=”) or (http.request.uri.query contains “onload=”) or (http.request.uri.query contains “%3Cscript%3E”) or (http.request.uri.query contains “alert(“)
Menginstal plugin keamanan adalah langkah penting untuk menjaga WordPress tetap aman.
Selain menawarkan fitur yang cukup lengkap, install plugin keamanan membuat Anda lebih menghemat waktu.
Pilihlah plugin yang mudah digunakan, fitur lengkap, dan ada notifikasi jika ada aktivitas mencurigakan di WordPress Anda.
Plugin Keamanan Rekomendasi BengkelWP:
- Fitur Utama: Firewall, scanning malware, login security.
- Fitur Utama: Scanning malware, log audit keamanan, dan firewall berbasis cloud.
Honorable mention: Solid Security. Fiturnya cukup lengkap, sudah termasuk ubah url login default WordPress.
???? Pro Tip
Jangan install ketiganya. Cukup pilih salah satu dari ketiga rekomendasi pilihan kami.
Selain opsi plugin diatas, ada rekomendasi tambahan, Anda bisa juga menambah plugin untuk header security.
Brute force attack adalah metode di mana hacker mencoba masuk ke WordPress dengan menebak kombinasi username dan password berulang kali.
Untuk mengatasi masalah ini, anda bisa memakai plugin Wordfence Security.
Caranya mudah:
- Gunakan Plugin
Instal plugin Wordfence Security. Plugin ini akan memblokir IP pengguna yang mencoba login terlalu sering dengan password salah. - Atur Batas Login
Misalnya, batasi menjadi 3-5 kali percobaan login. Jika batas ini terlampaui, pengguna akan terkunci selama waktu tertentu (contoh: 15 menit).
Langkah ini memastikan bahwa serangan brute force menjadi tidak efektif, sehingga keamanan WordPress Anda lebih terjaga.
XML-RPC adalah fitur di WordPress yang memungkinkan aplikasi pihak ketiga (seperti aplikasi mobile WordPress) terhubung ke website Anda.
Namun, fitur ini sering menjadi celah keamanan, terutama untuk serangan brute force dan DDoS.
WordPress secara rutin merilis pembaruan untuk meningkatkan fitur, memperbaiki bug, dan menutup celah keamanan.
Jika Anda tidak memperbarui ke versi terbaru, website Anda akan rentan terhadap serangan.
Saat artikel ini dirilis, WordPress telah merilis versi 6.7 (terbaru)
???? Pro Tip
Selalu lakukan backup sebelum melakukan update core WordPress.
File Permission yang salah dapat menjadi celah keamanan di WordPress. Jika peretas mendapatkan akses ke file atau folder dengan izin yang terlalu longgar, mereka bisa memodifikasi atau menyisipkan kode berbahaya.
Untuk itu, gunakan pengaturan file permission yang tepat:
644 untuk File
Artinya, pemilik utama dapat melakukan read & write, sedangkan pengguna lain hanya bisa read.
755 untuk Direktori (Folder)
Artinya, pemilik dapat read, write, dan melakukan eksekusi; sedangkan pengguna lain hanya bisa membaca dan mengeksekusi.
Plugin dan themes adalah bagian penting dari WordPress, tetapi mengunduhnya dari sumber yang tidak terpercaya bisa sangat berbahaya.
File bajakan atau yang tidak resmi sering kali disusupi malware, yang dapat mencuri data atau merusak website Anda.
Hindarilah: bajakan, nulled, jasa install plugin gpl, cracked, full version free
Menggunakan plugin dan tema dari sumber terpercaya adalah investasi kecil untuk melindungi website Anda dari risiko yang lebih besar.
Plugin dan themes yang tidak digunakan dapat menjadi titik lemah keamanan website Anda.
Meski tidak aktif, file-file ini tetap ada di server dan dapat dimanfaatkan oleh hacker jika memiliki celah keamanan.
Backup data adalah salah satu elemen terpenting dalam wordpress security.
Pastikan selalu lakukan backup database setiap hari, dan cadangkan files sepekan sekali atau dua kali.
Plugin yang menunjang backup yang kami rekomendasikan adalah: Updraftplus.
Versi gratisnya Anda bisa lakukan backup otomatis ke remote storage (Google Drive, S3- Compatible, FTP)
Scan malware secara rutin adalah langkah penting untuk menjaga keamanan website WordPress Anda dari ancaman malware.
Malware dapat menginfeksi database Anda melalui berbagai celah, seperti plugin atau tema yang tidak aman.
Gunakan fitur dari Wordfence untuk melakukan malware scanning.
Selain itu, Anda juga bisa melakukan pengecekan secara manual dalam struktur files dan database. Jika menemukan file yang abnormal, memiliki nama yang aneh dan njelimet, mencurigakan, maka anda bisa hapus file tersebut.
Ingat! Jika anda belum paham apa yang akan dilakukan, selalu lakukan backup sebelum anda melakukan eksperimen.
Jika WordPress Anda memiliki lebih dari seorang admin/pengelola, maka anda Wajib melakukan hal ini.
Mencatat aktivitas admin adalah langkah penting untuk memantau siapa yang mengakses dan mengubah website WordPress Anda.
Hal ini dapat membantu Anda mendeteksi aktivitas mencurigakan, seperti login yang tidak sah atau perubahan yang tidak diinginkan pada pengaturan website.
Salah satu yang paling banyak kami temui dalam membuat WordPress semakin rentan adalah “Human Error”.
Terkadang kita sudah berhati-hati dan waspada, eh ternyata ada Admin lain yang upload plugin nulled.
Anda bisa memakai plugin Simple History atau WP Activity Log.
Jika Anda tidak punya waktu atau keahlian untuk mengelola keamanan dan performa WordPress sendiri, menggunakan layanan maintenance WordPress adalah solusi yang cerdas.
BengkelWP menawarkan jasa maintenance WordPress, sehingga WordPress Anda lebih aman, bebas error, dan memiliki performa yang optimal.
Memakai jasa pemeliharaan WordPress adalah investasi yang akan menghemat waktu, energi, dan uang Anda dalam jangka panjang.
Anda bisa fokus pada bisnis atau konten Anda, serahkan semua persoalan teknis ke BengkelWP!
Keamanan WordPress bukanlah hal yang bisa diabaikan. Dengan menerapkan 15 cara di atas, website Anda akan jauh lebih aman dari ancaman cyber-attacks.
Ingatlah untuk selalu update core, plugin, themes, dan memantau keamanan secara berkala.
Semoga artikel ini bermanfaat.
