Sebagai CMS yang paling populer, WordPress sering menjadi target utama serangan hacker. Oleh karena itu, sangat penting bagi Anda untuk memahami cara mengamankan website WordPress Anda dari ancaman hacker demi menjaga keamanan situs Anda.
Menurut data dari Rumahweb Blog, lebih dari 63 juta website di dunia dibuat menggunakan WordPress. Angka ini setara dengan sekitar 43% dari total seluruh website yang ada di dunia. Karenanya, WordPress menjadi salah satu target utama hacker untuk menembus celah keamanannya.
Bila Anda membuat website dengan WordPress, penting bagi Anda untuk memahami dan mengimplementasikan keamanan website WordPress untuk melindungi dan menjaga integritas keamanan data Anda.
Untuk mengamankan website WordPress Anda, ada beberapa langkah penting yang harus diikuti. Mulai dari penggunaan password yang kuat dan unik, hingga memperbarui theme dan plugin secara berkala. Berikut adalah beberapa cara mengamankan website WordPress yang dapat anda implementasikan:
1. Jangan gunakan theme dan plugin Bajakan
Sederhananya, nulled dapat diartikan sebagai bajakan. Sedangkan secara harfiah, nulled pada WordPress adalah istilah yang digunakan untuk mendefinisikan theme dan plugin asli, namun dapat diunduh atau digunakan secara gratis.
Dapat dipastikan bahwa file tema dan plugin nulled telah dimodifikasi oleh hacker untuk menyisipkan virus, malware, atau script hijacking. Ketika Anda mengunggah dan mengaktifkan file tersebut, Anda secara otomatis memberikan akses mudah bagi hacker untuk melakukan hijacking pada situs Anda.
Oleh karena itu, jangan pernah menggunakan theme dan plugin nulled. Artikel lebih lengkap membahas tentang hal ini bisa Anda pelajari pada link berikut: Bahaya theme atau plugin nulled.
2. Upgrade ke versi terbaru
Selalu perbarui WordPress, tema dan plugin ke versi terbaru, karena setiap pembaruan membawa perbaikan fitur dan peningkatan keamanan dibandingkan versi sebelumnya. Anda dapat melakukan upgrade secara otomatis dengan mengaktifkan fitur ‘auto update’ di halaman dashboard WordPress Anda.
Namun, Anda juga bisa melakukan update secara manual dengan mengklik tombol update yang tersedia di dashboard WordPress Anda. Bagi Anda yang ingin melakukan update secara manual, Anda bisa ikuti langkahh-langkah berikut ini:
- Login ke dashboard WordPress Anda.
- Klik menu Dashboard > Update.
- Klik tombol update pada versi WordPress, theme maupun plugin yang akan Anda update.
3. Jangan gunakan ‘admin’ sebagai username
Ketika melakukan instalasi WordPress, seringkali pengguna menggunakan username ‘admin’ atau ‘administrator’ untuk login. Mulailah untuk meninggalkan username ini karena mudah ditabak dan cenderung tidak aman. Gunakanlah nama unik yang mudah anda ingat, namun tidak mudah ditebak orang lain.
Lalu, bagaimana jika sudah terlanjut menggunakan username admin di WordPress? Tenang, Anda bisa melakukan perubahan username secara mudah melalui query databasenya. Simak panduan berikut untuk mengubah username pada WordPress: cara mengubah username WordPress
4. Gunakan password yang kuat
Banyak orang menggunakan password yang mudah diingat, namun sangat mudah untuk ditebak atau ditembus menggunakan bruth force attack yang modern.
Oleh karena itu, pastikan selalu menggunakan password yang kuat dan tidak mudah ditebak. Misalnya, gunakan kombinasi huruf besar, huruf kecil, angka dan spesial karakter dengan minimal 8 karakter.
Bagi Anda yang mudah lupa, Anda bisa menggunakan Google Password Manager untuk kelola password pada website. Dengan demikian, Anda dapat login ke website dengan mudah dan keamanan pada website Anda dapat ditingkatkan.
5. Hapus plugin yang tidak digunakan
Plugin merupakan aplikasi tambahan yang digunakan untuk menambahkan fungsi tertentu pada sebuah platform. Sayangnya, banyak pengguna WordPress asal melakukan install plugin, tanpa memahami fungsi dan dampaknya.
Plugin bisa menjadi salah satu bugs yang dapat dimanfaatkan oleh peretas untuk memasuki website. Oleh karena itu, penting bagi Anda untuk lebih berhati-hati dalam menggunakan plugin.
Selain itu, penting juga untuk mengetahui keamanan plugin tersebut sebelum melakukan instalasi. Biasanya, WordPress akan memberikan warning apabila plugin tersebut sudah lama tidak diperbarui.
Jika masih ada plugin yang tidak aktif dan tidak digunakan pada website Anda, segera hapus plugin tersebut. Tidak hanya berpotensi pada celah keamanan, banyaknya plugin yang terinstall juga berdampak pada loading website Anda.
6. Ganti database prefix default bawaan WordPress
Awalnya, WordPress menggunakan wp_ sebagai prefix default database saat instalasi. Namun, saat ini, instalasi WordPress melalui WP Toolkit atau Softaculous cPanel menggunakan prefix yang berbeda secara default untuk meningkatkan keamanan.
Penggunaan prefix wp_ pada WordPress menjadi sasaran empuk bagi hacker yang mencari celah keamanan dalam database. Oleh karena itu, sangat disarankan bagi Anda yang akan menginstal WordPress untuk menghindari penggunaan prefix wp_ pada database.
Lalu, bagaimana jika Anda sudah menggunakan prefix wp_? Jika website Anda sudah lama dan database telah menyimpan banyak data yang berpotensi merusak situs jika diubah, maka Anda tidak perlu mengubahnya. Anda bisa meningkatkan keamanan situs dengan langkah-langkah keamanan tambahan lainnya.
Namun, jika Anda sudah menggunakan prefix wp_ dan databasenya masih belum banyak data, Anda bisa mengubah prefix database website Anda. Anda bisa menggunakan plugin seperti Brozzme DB Prefix & Tools Addons untuk perubahan tersebut.
7. Lindungi halaman login WordPress (wp-admin)
Tips mengamankan website WordPress selanjuttnya adalah dengan melindungi halaman login. Halaman wp-admin sangat rentan terhadap serangan brute force. Oleh karena itu, disarankan untuk mengubah URL default login WordPress agar keamanan website Anda dapat ditingkatkan. Anda bisa menggunakan plugin seperti WPS hide login untuk hal ini.
Selain mengubah URL login, sangat disarankan untuk mengaktifkan fitur Two-Factor Authentication (2FA) pada login WordPress. Two-Factor Authentication (2FA) adalah sistem keamanan yang memerlukan dua bentuk identifikasi berbeda untuk mengakses sebuah website atau sistem.
Cara kerjanya, Anda harus memasukkan username dan password WordPress Anda terlebih dahulu. Jika password valid, Anda kemudian harus memasukkan kode 2FA yang dihasilkan melalui aplikasi 2FA sebagai autentikasi tambahan. Dengan langkah ini, keamanan login website Anda dapat meningkat secara signifikan.
8. Gunakan plugin security WordPress
Cara mengamankan WordPress terakhir dari Rumahweb adalah menginstall plugin security pada WordPress. Menggunakan plugin security menjadi salah satu solusi untuk mencegah potensi peretasan pada website Anda. Dengan plugin security, website Anda akan dilindungi dari berbagai potensi serangan, sehingga membantu Anda dalam menjaga website selama 24 jam.
Anda bisa menggunakan plugin seperti WordFence Security, Sucuri Security, hingga All in One WP Security & Firewall yang dapat digunakan secara gratis. Meskipun gratis, plugin yang kami sebutkan tersebut memiliki fitur keamanan yang cukup lengkap.
Kesimpulan
Memahami keamanan pada website WordPress sangat penting untuk mencegah serangan hacking. Dengan memahami dan menerapkan langkah-langkah iatas, diharapkan website Anda semakin aman.
Yang harus Anda pahami adalah, mengamankan WordPress bukan hanya tanggung jawab satu kali, tetapi sebuah proses berkelanjutan yang memerlukan perhatian dan tindakan proaktif. Karenanya, Anda harus selalu memantau dan menganalisa website Anda dari potensi serangan.
Demikian cara mengamankan website WordPress dari Rumahweb Indonesia. Semoga dengan artikel ini, website Anda aman dan terhindar dari potensi hijacking. Semoga bermanfaat.
