Salah satu hal yang paling menakutkan adalah mendapatkan situs web Anda diretas karena keamanan situs web yang buruk. Penting untuk memiliki panduan keamanan WordPress yang memiliki segala cara untuk keamanan situs web Anda. Meski WordPress sendiri merupakan salah satu platform terpercaya dan aman namun tetap ada banyak hal yang bisa menambah lapisan keamanan lebih.
Pernahkah Anda berpikir untuk kehilangan kerja keras yang telah Anda lakukan selama bertahun-tahun? Bukankah itu menakutkan? Nah, ketakutan ini perlu dilepas. Anda harus menerapkan semua tips dan trik WordPress yang mungkin bisa menyelamatkan situs Anda. Artikel ini berisi panduan keamanan WordPress yang dapat membantu Anda menjalankan situs web yang aman.
Mengapa Keamanan Situs Web WordPress Penting
Ada jutaan situs web yang berjalan dan banyak di antaranya di retas setiap tahun. Orang memulai situs web mereka dalam beberapa hari, mereka diretas. Apa alasannya? Itu karena keamanan situs web yang buruk. Anda mungkin berpikir mengapa ada orang yang meng-hack situs Anda. Anda harus tahu bahwa bot mencari situs web yang memiliki kerentanan dan bisa jadi milik Anda dalam daftar. Ada berbagai metode untuk hack sebuah website. Mereka dapat menyuntikkan kode berbahaya di file situs web Anda atau mungkin langsung meng-hack login ke situs Anda dengan memecah kata sandi Anda.
Daftar Kiat Yang Termasuk dalam Panduan Keamanan WordPress ini
Ini terdiri dari tips keamanan dasar untuk pro. Anda harus memastikan Anda mengikuti sesuai dengan kebutuhan Anda.
1, Anda Harus Selalu Memperbarui Plugin WordPress Anda
Ini bukan hal baru untuk di dengar. Ada ribuan pos keamanan dan setiap posting berisi hal ini. Anda harus selalu memperbarui inti WordPress Anda. Selalu gunakan versi terbaru WordPress dan perbarui plugin dan tema yang sesuai. Ini bukan hanya tentang keamanan, plugin usang bisa bertentangan dengan versi WordPress terbaru yang bisa menghancurkan situs Anda. Mungkin desainnya atau yang lainnya. Banyak orang bahkan mengaktifkan update otomatis di WordPress untuk plugin dan tema juga. Meskipun jika Anda bisa mengelolanya secara manual, Anda tidak perlu memilih untuk mengaktifkan pembaruan otomatis, tapi tetap saja, pastikan semuanya sudah up to date.
WordPress hadir dengan banyak pilihan dan di sini Anda bisa mengatur update otomatis. Salah satu pembaca kami bertanya bagaimana mengaktifkan update otomatis di WordPress . Ada banyak hal yang harus di pelajari sebelum Anda memutuskan untuk mengaktifkannya. Jika Anda pernah melakukan perubahan di situs Anda, mungkin pembaruan otomatis dapat merusak situs web Anda. Tapi jika Anda yakin dengan segala hal, maka lakukanlah. Anda akan belajar cara mengaktifkan pembaruan otomatis di WordPress hanya untuk rilis utama. Artinya kode tersebut hanya akan bekerja saat WordPress merilis versi major apapun.
Sebelum melangkah lebih jauh, saya harus memberi tahu Anda bahwa jika Anda menggunakan plugin pihak ketiga atau tema yang di sesuaikan kemudian setelah pembaruan otomatis, mungkin saja plugin tidak berfungsi dengan benar. Sebelum mengupdate versi WordPress Anda, Anda selalu memeriksa kerja semua plugin. Tidak setiap plugin terus diperbarui bersama dengan versi WordPress.
Ada beberapa keuntungan juga. Seperti yang selalu Anda baca, sebaiknya jangan pernah menyimpan versi lama WordPress ke situs Anda. Jadi mengapa Anda tidak dapat mengaktifkan pembaruan? Hanya pergi untuk itu. Tambahkan kode yang ditunjukkan di bawah ini di file functions.php tema Anda.
Define ('WP_AUTO_UPDATE_CORE', true);
Kode ini akan memungkinkan semua update inti WordPress. Tapi masalahnya adalah Anda tidak perlu mengaktifkan pembaruan pengembangan. Jadi Anda harus menonaktifkan pembaruan tersebut. Cukup tambahkan baris lain di file.
Add_filter ('allow_dev_auto_core_updates', '__return_false');
Kode ini akan menonaktifkan pembaruan pengembangan. Sekarang Anda telah berhasil mengaktifkan pembaruan otomatis di WordPress untuk rilis utama.
2. Kata Sandi yang Kuat
Kapan pun Anda membuat pengguna untuk situs web WordPress Anda, selalu disarankan untuk memilih kata sandi yang kuat. Ini tidak hanya untuk halaman login, ini tentang akun FTP, akun web hosting atau akun yang Anda buat terkait dengan situs WordPress Anda. Sebagian besar orang mengabaikan aspek sederhana ini dan menyesalinya nanti. Ini mungkin merupakan hal yang paling sederhana namun paling umum dan sangat berarti.
3. Ubah Username Default "Admin"
Saat Anda menginstal WordPress untuk pertama kalinya, Anda akan melihat nama pengguna default sebagai "admin". Selalu disarankan untuk mengubahnya pada hari yang sama dengan persiapan situs web Anda yang lengkap. Beberapa hari yang lalu, salah satu klien saya menghadapi beberapa masalah dengan situs webnya. Itu karena username default nya. Dia beruntung karena tidak ada yang salah. Tapi tidak semua orang terlalu beruntung. Sama seperti kata sandi, Anda harus mengganti nama pengguna admin dan memilih sesuatu yang hanya diketahui oleh Anda.
4. Selalu Punya Alat Cadangan
Memiliki cadangan dari situs Anda dan database adalah hal pertama yang harus Anda tulis dalam daftar tugas Anda. Jika situs web Anda diretas, Anda dapat memulihkan situs web dari cadangan dalam beberapa menit. Tapi hanya jika Anda memiliki alat cadangan. Ada banyak plugin WordPress yang langsung mengirimkan file cadangan ke inbox Gmail Anda, Dropbox, Google Drive dll. Dan Anda juga bisa membuat cadangan situs WordPress Anda tanpa plugin apapun.
5. Instal Plugin Keamanan WordPress
Plugin seperti Sucuri, BulletProof Security, iTheme Security dll dapat membantu Anda menjaga keamanan situs Anda. Sebagian besar plugin ini membantu Anda mengamankan situs Anda dari serangan brute force dengan mengaktifkan firewall. Mereka akan memindai situs Anda secara teratur. Anda juga dapat memblokir pengguna dengan alamat IP mereka. Jumlah upaya login yang gagal juga akan ditampilkan. Setiap plugin keamanan memiliki fitur tersendiri. Anda bisa mencoba salah satu dari mereka dan menggunakannya sesuai dengan itu.
6. Nonaktifkan Eksekusi PHP Untuk Direktori Tertentu
Seperti yang Anda ketahui, WordPress CMS dikodekan dalam bahasa PHP dan file dan foldernya terdiri dari kode PHP. Tapi tidak di mana pun Anda ingin mengeksekusi kode PHP. Folder tempat file media Anda disimpan tidak memerlukan eksekusi PHP. Anda harus menonaktifkan eksekusi PHP untuk itu. Artinya tidak ada kode PHP tambahan yang bisa disuntikkan dan dijalankan oleh orang lain. Tidak ada hacker yang bisa menambahkan kode berbahaya ke bagian situs Anda. Beberapa plugin keamanan memungkinkan Anda menambahkan ini dari panel admin Anda saja.
7. Password Melindungi Direktori WP-ADMIN Anda
Target pertama dari hacker adalah halaman login situs Anda. Di setiap panduan keamanan WordPress, Anda akan menemukan konsep serangan brute force dan upaya login palsu. Bagaimana jika Anda melindungi direktori WordPress Admin Anda ? Sebelum melihat halaman login, satu lagi lapisan keamanan akan ditambahkan yang akan membutuhkan username dan password. Ini akan membantu Anda memblokir semua permintaan login palsu yang akan dicoba orang.
8. Tambahkan Pertanyaan Keamanan ke Halaman Login WordPress
Terlepas dari username dan passwordnya, Anda bisa menambahkan layer tambahan. Tambahkan pertanyaan keamanan ke halaman login WordPress . Ini akan mengotentikasi pengguna. Hanya orang yang tahu jawaban untuk pertanyaan itu. Anda bisa memilih pertanyaan sesuai pilihan Anda. Jika Anda menjalankan situs web multi anggota, setiap anggota dapat menetapkan pertanyaan keamanan untuk akun mereka. Hal itu bisa dilakukan dengan menggunakan plugin WordPress. Instal dan aktifkan Pertanyaan Keamanan WP.
9. Nonaktifkan Penjelajahan Direktori WordPress
Ada banyak direktori WordPress yang bisa dilihat oleh semua orang. Peretas bisa mengetahui tentang data yang Anda dapatkan di situs WordPress Anda. Ini bisa diamankan jika Anda menonaktifkan browsing direktori . Anda harus menambahkan kode kecil di file .htaccess di situs Anda. Setelah itu, kapan pun seseorang mencoba menjelajah direktori WordPress, maka akan muncul 403 kesalahan terlarang.
10 Ubah Awalan Tabel Basis Data
Secara default "WP" adalah awalan database untuk semua tabel. Dan itu bisa menjadi kerentanan bagi situs Anda. Anda harus mengubah tabel database WordPress awalan untuk meningkatkan keamanan. Anda bisa melakukannya dengan menggunakan file wp-config.php yang membutuhkan beberapa keterampilan coding. Tapi jika Anda tidak mahir dengan coding maka saya akan merekomendasikan menggunakan plugin. Sebagian besar plugin keamanan memungkinkan Anda untuk mengubahnya dari panel admin WordPress saja.
11. Hapus Password Change Link
Banyak orang mengeluh tentang penggunaan plugin untuk mengamankan panel masuk mereka. Ada juga solusi sederhana. Ini juga bisa membantu. Pada halaman login WordPress, Anda bisa melihat password lost link yang bisa digunakan untuk memulihkan kata sandi Anda begitu Anda melupakannya. Bagaimana jika Anda benar-benar menghapus tautan itu? Ya, itu bisa dilakukan. Anda perlu menambahkan satu baris kode di file functions.php dari tema WordPress Anda.
12. Nonaktifkan Login Dengan Alamat Email
Di situs WordPress, Anda bisa login menggunakan username yang Anda pilih dan alamat email yang Anda tambahkan ke akun Anda. Ada kemungkinan hacker bisa meretas alamat email Anda dan akan masuk ke situs WordPress Anda. Anda bahkan tidak akan tahu. Anda bisa menonaktifkan login dengan alamat email dengan menambahkan kode pada file functions.php.
13. Edit Pesan Kesalahan Masuk
Kapan pun Anda mengisi kredensial masuk yang salah, Anda mendapatkan pesan kesalahan yang menyertakan tautan pemulihan kata sandi. Ini bisa digunakan untuk mendapatkan password baru. Mengapa Anda tidak mengubah pesan kesalahan login dan menulis sesuatu tanpa tautan? Ya, mungkin saja. WordPress adalah platform open source dan Anda dapat mengedit file apapun. Ini bisa menjadi lapisan keamanan ekstra. Saya selalu memasukkan ini ke dalam panduan keamanan WordPress. Anda bisa menghapus link password yang hilang tapi jika Anda lupa menghapusnya dari pesan kesalahan, tidak ada gunanya.
14. Keluar secara otomatis Pengguna di WordPress
Anda mungkin telah memperhatikan bahwa terkadang karena koneksi internet yang buruk atau kesalahan teknis, Anda membiarkan diri Anda masuk ke panel admin WordPress Anda. Nah, ini bisa beresiko. Orang lain bisa menggunakan sesi login WordPress untuk hack website anda. Anda dapat mengatur log out secara otomatis untuk pengguna idle menggunakan plugin WordPress.
15. Ubah URL Laman Masuk
Secara default, URL masuk WordPress adalah "htttp: //www.example.com/wp-login.php" . Anda juga bisa login menggunakan ekstensi wp-admin. Semua orang tahu tentang itu. Untuk meningkatkan keamanan, Anda dapat mengubah URL ini menggunakan plugin apa pun. Ini akan membantu Anda menambahkan satu lapisan keamanan lagi ke halaman login WordPress Anda.
16. Batasi Upaya Masuk
Ini bisa menjadi sesuatu yang ingin Anda lakukan. Anda tahu bahwa banyak hacker mencoba metode hit and trial untuk memecahkan kata sandi Anda. Mungkin dibutuhkan banyak usaha. Mengapa Anda tidak memblokir mereka setelah beberapa usaha login? Anda bisa menggunakan Login Lockdown dan mengatur nilainya sesuai dengan itu. Sebagian besar orang menggunakan maksimal 3 usaha. Setelah itu, alamat IP akan diblokir.
17. Lindungi Folder WP-INCLUDES
WP-Termasuk adalah salah satu folder penting dari direktori WordPress yang memiliki beberapa skrip. Skrip ini tidak boleh diakses oleh orang lain. Hacker mungkin menyuntikkan naskah mereka sendiri dan menyebarkan kode berbahaya ke situs web Anda. Penting untuk melindungi folder WP-Includes . Anda bisa menggunakan file .htacess untuk menambahkan kode keamanan yang akan memblokir akses ke semua orang.
18. Lindungi Folder WP-CONTENT
Semua data plugin, tema, file media ada dalam folder ini. Jika seseorang membukanya, situs Anda akan turun dalam waktu singkat. Ada beberapa jenis file tertentu yang bisa di tambahkan. Selain itu, Anda harus memblokir semua jenis file lainnya, berjalan di situs Anda. Anda dapat melindungi folder konten wp dengan membuat file .htaccess baru dan menambahkannya ke dalam folder ini.
19. Lindungi Folder Admin Anda
Seperti yang Anda tahu, setiap koneksi internet memiliki alamat IP. Jika Anda hanya menetapkan satu alamat IP untuk masuk ke panel admin WordPress Anda, maka itu bisa di amankan. Jika Anda bekerja dari satu tempat maka bisa menjadi cara terbaik untuk melindungi folder admin Anda . Whitelist alamat IP Anda dan blok semua yang lain. Tidak akan membiarkan siapa pun memiliki akses ke halaman login Anda kecuali Anda.
20. Lindungi file .htaccess dari akses yang tidak sah
File .htaccess adalah jantung dan jiwa dari situs WordPress Anda. Anda menambahkan banyak kode dalam file ini untuk melindungi direktori yang berbeda. Anda harus selalu melindungi file .htaccess dari akses yang tidak sah . Akan berbahaya jika seseorang menyuntikkan kode apapun ke file ini.
Saya harap panduan keamanan WordPress ini dapat membantu Anda.