28 Cara Mengamankan Website WordPress Anda Tahun 2021

Ada banyak pemilik situs mengeluh mengenai keamanan dari WordPress. Apakah Anda salah satu orang yang merasakannya? Tetapi, kini ada banyak cara mengamankan website WordPress yang dapat Anda lakukan agar situs website tetap aman dari berbagai serangan.

Tentu saja, tidak semua website akan diserang oleh hacker atau bermasalah. Namun, lebih baik Anda melakukan tindakan pencegahan untuk memastikan website tetap aman dan tidak disalahgunakan oleh orang yang tidak bertanggung jawab.

Berbagai taktik dan pengecekan keamanan WordPress secara rutin perlu dilakukan supaya situs WordPress yang dimiliki tetap aman. Selain itu, terdapat cara pengamanan situs untuk jangka panjang yang sangat berguna bagi pemilik website WordPress.

Cara Mengamankan Website WordPress

cara mengamankan website wordpress

Pemilik website WordPress sudah seharusnya melakukan tindakan pengaman situs supaya situs WordPress dan segala bagian yang ada di dalamnya tetap aman. Berikut beberapa cara mengamankan website WordPress yang bisa dilakukan, yaitu:

1. Menggunakan hosting yang terpercaya dan aman

Hal pertama yang harus Anda perhatikan adalah memastikan bahwa hosting yang dipilih terpercaya dan aman. Semakin banyak jumlah uang yang dibayarkan maka hosting baru juga semakin baik.

Namun, tetap saja terdapat beberapa pilihan anggaran yang bisa menjadi bahan pertimbangan.

2. Melindungi file wp-config.php

File wp-config.php adalah file yang berisi informasi penting berhubungan dengan penginstalan WordPress dan menjadi file paling penting yang ada di direktori root situs. Ketika Anda melindungi file tersebut maka inti dari blog WordPress juga terlindungi.

Ini bisa menjadi cara mengamankan WordPress dari hacker yang melanggar keamanan situs karena file wp-config.php tidak bisa diakses.

3. Pelarangan file editing

Ketika Anda melarang pengeditan file atau file editing maka tidak ada yang bisa mengubah file bahkan jika hacker bisa memperoleh akses admin ke dashboard. Untuk menggunakannya, Anda bisa menambahkan: define(‘DISALLOW_FILE_EDIT’, true) ke file wp-config.php.

4. Mengatur directory permission

Pengaturan izin directory permissions yang salah bisa berakibat fatal apalagi jika Anda bekerja dengan hosting bersama.

Dalam kasus ini, Anda bisa mengatur hak akses dari file ke “644” ke “755” sehingga bisa melindungi seluruh sistem file, mulai dari direktori, subdirektori, dan file individual.

5. Menonaktifkan directory listing menggunakan .htaccess

Ketika Anda membuat direktori baru dan tidak memasukkan file index.html maka bisa saja Anda merasa terkejut mengetahui jika pengunjung dapat memperoleh direktori lengkap. Hal tersebut bisa dicegah dengan menambahkan baris kode Option All – Indexes di file .htaccess.

6. Memblokir semua hotlinking

Hotlinking merupakan orang lain yang mengambil foto milik Anda serta mencuri bandwith server untuk menampilkan gambar di situs milik mereka. Akhirnya, Anda akan merasa jika kecepatan loading menjadi lebih lambat. Anda bisa menggunakan plugin All in One wp Security dan Firewall.

7. Melindungi dari serangan DdoS

Serangan DdoS merupakan serangan terhadap bandwidth server di mana penyerang memakan beberapa sistem untuk membebani server milik Anda dengan berlebihan. Lebih baik Anda mendaftar paket premium yang bisa menganalisis bandwidth serta memblokir serangan DdoS.

8. Set up fitur Ban Users dan Website Lockdown

Fitur lockdown akan memungkinkan Anda tahu jika terjadi upaya peretasan terhadap website menggunakan password yang salah dengan berulang. Cara yang dapat dilakukan untuk melakukan set adalah menggunakan plugin iThemes Security.

9. Memakai Two-Factor Authentication

Anda bisa menggunakan password biasa yang diikuti kode rahasia, pertanyaan rahasia. Atau kumpulan karakter lainnya. Google Authenticator akan mengirimkan kode tersebut melalui ponsel dan hanya pemilik handphone tersebut yang bisa masuk ke situs.

Baca juga: Theme WordPress Terbaik Untuk Company Profile

10. Memakai email untuk login

Pemakaian email menjadi cara yang lebih aman dibandingkan penggunaan username. Hal ini dikarenakan username lebih mudah untuk diprediksi. Selain itu, umumnya setiap akun WordPress akan dibuat menggunakan alamat email yang unik.

11. Mengubah nama login URL

Cara paling mudah jika ingin mengubah login URL yaitu dengan memakai plugin WPS Hide Login. Caranya yaitu hanya dengan memasukkan URL halaman login baru dan simpan perubahan yang dilakukan.

12. Menyesuaikan password

Mengubah password secara teratur adalah salah satu cara yang dapat dilakukan untuk mengamankan situs WordPress. Anda bisa menambah level strength password untuk membuat password menjadi lebih panjang, misalnya dengan memberi kata tambahan.

13. Memakai password manager

Banyak orang mengetahui bahwa password perlu diubah secara berkala dan password sulit untuk di-crack. Dari hal ini terdapat peran pengelola kata sandi berkualitas. 
Password manager tidak hanya memberikan kata sandi yang aman, tetapi menyimpannya juga di tempat yang aman. Sehingga, bisa mengurangi kerumitan untuk menghafal kata sandi.

14. Mengeluarkan pengguna yang tidak melakukan aktivitas secara otomatis

Pengguna situs yang membiarkan wp-admin panel situs milik Anda terbuka di layar mereka bisa mendatangkan ancaman untuk keamanan WordPress. Hal ini bisa diatur menggunakan plugin BulletProof Security.

15. Melindungi wp-admin directory

Wp-admin directory adalah bagian yang sangat krusial di WordPress. Apabila bagian dari situs dilanggar maka seluruh situs akan rusak. 
Sehingga, wp-admin directory perlu dilindungi menggunakan password, yaitu password yang melindungi halaman login dan mengamankan area admin.

16. Memakai SSL untuk mengenkripsi data

Salah satu langkah tepat untuk mengamankan admin panel adalah dengan menerapkan sertifikat SSL atau Secure Socket Layer. Anda bisa memperoleh sertifikat SSL dengan cara membeli di perusahaan pihak ketiga atau perusahaan hosting yang menyediakannya dengan gratis.

17. Menambahkan akun pengguna dengan hati-hati

Situs WordPress dengan multi-penulis lebih rentan terhadap ancaman keamanan WordPress. Untuk mengatasinya, Anda bisa memakai plugin Force Strong Password untuk memastikan bahwa password yang dibuat pengguna aman.

18. Mengubah admin username

Username “admin” menjadi username yang mudah ditebak oleh hacker. Anda bisa memakai plugin iThemes Security untuk menghentikan percobaan dengan cara melarang alamat IP yang mencoba login menggunakan username tersebut.

19. Memantau file

Plugin Wordfence atau iThemes Security dapat digunakan sebagai keamanan WordPress tambahan yang dapat dilakukan.

20. Mengubah prefiks tabel database

Apabila Anda sudah menginstal WordPress menggunakan default prefix. Anda bisa menggunakan beberapa plugin untuk mengubahnya. Misalnya, plugin iThemes Security atau WP-DBManager.

Baca juga: Perusahaan besar yang Menggunakan WordPress

21. Membuat backup dengan teratur

Saat Anda mempunyai backup, Anda bisa restore situs WordPress ke working state kapan saja. Untuk solusi premium, Anda bisa menggunakan plugin VaultPress.

22. Menggunaan password yang kuat untuk database

Anda harus menggunakan password yang kuat untuk bisa mengakses database. Ketika membuat password, Anda dapat menggunakan huruf kecil, huruf besar, angka, serta karakter khusus.

Hindari penggunaan detail login yang biasa digunakan seperti username: admin atau user, dan password: 123456 atau 123qwe.
Sebaliknya, gunakanlah detail login yang unik yang sebisa mungkin hanya Anda yang mengetahuinya.

23. Memantau audit logs

Plugin WP Security Audit Log menyediakan daftar lengkap untuk melakukan audit log lengkap dengan laporan dan pemberitahuan email.

24. Melakukan update secara teratur

Ketika Anda menggunakan produk WordPress, Anda harus rutin melakukan update. WordPress juga secara otomatis akan meluncurkan update melalui email penggunanya. Selain itu, plugin yang digunakan juga harus diupdate secara manual.

Namun, yang perlu diperhatikan adalah jangan kita asal update. Sebelum melakukan update pastikan kita backup dulu baik direktori maupun database website kita. Ini untuk antisipasi kemungkinan error yang terjadi saat proses update.

Error setelah update versi WordPress biasanya terjadi karena theme atau plugin yang kita gunakan belum support dengan versi WordPress yang terbaru. Jadi akan sangat bijak kalau sebelum update versi WordPress pastikan dulu plugin dan theme yang Anda gunakan sudah support dengan versi terbaru dari WordPress.

25. Menghapus nomor versi WordPress

Apabila hacker mengetahui nomor versi WordPress maka hacker lebih mudah menyesuaikan serangan. Nomor versi WordPress bisa disembunyikan dengan seluruh plugin keamanan WordPress.

26. Hapus Theme dan Plugin yang Tidak Terpakai

Bersihkan website WordPress Anda dengan menghapus plugin/theme yang tidak digunakan. Beberapa sumber menyebutkan, Hacker sering melakukan scanning plugin/theme yang tidak update (bahkan untuk yang versi resmi dari WordPress), lalu kemudian menggunakannya untuk mendapatkan akses ke Dashboard Anda atau meng-upload file berbahaya ke server Anda.

Dengan menghapus plugin dan theme yang sudah tidak terpakai lagi, Anda telah menurunkan risiko yang mungkin terjadi dan membuat website Anda menjadi lebih aman.

Baca juga: Rekomendasi Plugin Ongkos Kirim WordPress Terbaik

27. Jangan Gunakan Theme/Plugin bajakan

Ada ribuan theme dan plugin bajakan di Internet. Pengguna dapat mendownloadnya dari berbagai sumber secara gratis. Akan tetapi, resiko besar mengitai kalau kita menggunakan plugin atau theme bajakan. Kebanyakan plugin & theme tersebut sudah diinfeksi malware atau link SEO black hat.

28. Nonaktifkan Laporan Error PHP

Sekarang kita akan berbicara lebih teknis, salah satunya dengan cara menonaktifkan laporan error PHP. Untuk para programmer, laporan error akan sangat membantu ketika sedang mendevelop sebuah website. Namun menampilkan laporan error pada website yang sudah live bukanlah sesuatu yang bijak.

Jangan khawatir, Anda tidak harus menjadi programer hanya untuk mematikan fungsi laporan error PHP di WordPress. Banyak penyedia layanan hosting yang menyediakan opsi untuk mematikan laporan error dalam control panel mereka. Jika tidak ada, caranya sederhana. Anda cukup menambahkan beberapa baris kode pada file wp-config.php. Anda bisa menggunakan FTP client atau fitur File Manager untuk mengedit file wp-config. Tambahkan kode di bawah ini.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Setelah itu simpan file wp-config.php Anda dan laporan error sudah dinonaktifkan. Jika Anda tidak mau repot, Anda bisa meminta bantuan kepada technical support tempat Anda membeli hosting.


Ternyata ada banyak cara mengamankan website WordPress yang bisa Anda lakukan. Setelah mengetahuinya, Anda bisa langsung mempraktekkan hal tersebut. Jangan lupa untuk selalu melakukan pengecekan secara berkala untuk memastikan website tatap aman.

Tidak hanya memikirkan konten website, keamanan website juga harus dipikirkan dengan baik. Karena, jika tidak melakukan pengamanan website Anda bisa terkena serangan.

Hartanto

Hartanto adalah web developer di Komerce. Hartanto ingin memastikan agar setiap website yang dikelolanya terus online. Dia juga banyak berbicara tentang landing page untuk penjualan.

Subscribe to Our Newsletter

Kamu ingin meningkatkan penjualan bisnis? Dapatkan tips terbaru dari komerce.