Memilih Plugin Keamanan WordPress Terbaik: 12 Plugin Teratas Dibandingkan

Diterbitkan: 2021-08-04

Keamanan sangat penting baik Anda memiliki blog, situs bisnis kecil, atau toko eCommerce. Lagi pula, jika situs Anda pernah diretas, Anda berisiko merusak reputasi Anda, kehilangan file dan database, merusak peringkat SEO Anda, dan mengubah data pelanggan dan pengunjung pribadi menjadi peretas.

Seperti banyak hal dalam hidup, pencegahan jauh lebih baik daripada pengobatan. Dan, untungnya, WordPress mempermudah mengamankan situs Anda dan mencegah peretasan.

Kami akan melihat secara mendalam 12 plugin keamanan WordPress terbaik, membandingkannya di berbagai area, dan membantu Anda memilih plugin terbaik untuk situs khusus Anda. Plus, kami akan menjawab beberapa pertanyaan keamanan WordPress yang umum.

Apakah saya memerlukan plugin keamanan WordPress?

Anda tidak perlu plugin keamanan WordPress untuk menjalankan situs yang aman. Banyak praktik terbaik — seperti pembaruan rutin dan kata sandi aman — dapat diterapkan tanpa satu pun. Namun, plugin keamanan WordPress terbaik membawa hal-hal ke tingkat berikutnya, menambahkan lapisan keamanan ekstra, dan membuatnya lebih mudah untuk menambahkan perlindungan lanjutan tanpa bantuan pengembang.

Dan keamanan adalah area yang tidak ingin Anda lewatkan. Apa pun jenis situs yang Anda jalankan, peretasan dapat berdampak serius pada persepsi pengunjung, pelanggan, dan klien terhadap merek Anda. Ini juga dapat merusak peringkat mesin pencari Anda (Google tidak menyukai situs yang tidak aman), menurunkan jumlah penjualan dan prospek yang Anda terima, dan membahayakan informasi seperti data kartu kredit.

Jadi, meskipun plugin keamanan WordPress tidak selalu diperlukan, ada baiknya untuk menggunakannya untuk situs mana pun.

Perbandingan plugin keamanan terbaik untuk WordPress

Contoh plugin keamanan teratas untuk WordPress

Mari kita bandingkan dua belas plugin keamanan WordPress teratas untuk membantu Anda memilih opsi terbaik untuk situs Anda:

  1. Keamanan Jetpack
  2. pagar kata
  3. Keamanan iThemes
  4. Sucuri
  5. Semua dalam Satu Keamanan WP dan Firewall
  6. Bek Pro
  7. Keamanan Antipeluru
  8. Ninja Keamanan
  9. SecuPress
  10. Keamanan Astra
  11. WPScan
  12. Keamanan Perisai

Anda dapat menggunakan daftar di atas untuk menggulir cepat ke plugin tertentu dan meninjau fitur terpenting, opsi harga, dan yang paling penting – bagaimana mereka dapat membantu melindungi situs web Anda.

1. Keamanan Jetpack

Tidak seperti banyak plugin lainnya, Jetpack Security menangani banyak tugas: fitur gratis dan berbayar mencakup semuanya, mulai dari pencegahan serangan brute force hingga pemantauan waktu henti, pencadangan, pemindaian malware, perlindungan spam, dan banyak lagi. Fitur-fitur ini digabungkan untuk membuat plugin keamanan WordPress holistik yang mudah digunakan pemula tetapi cukup komprehensif untuk situs terbesar. Dan, sebagai bonus, karena pemindaian dijalankan di server Jetpack, pemindaian tidak akan memperlambat situs web Anda.

Jetpack juga dibuat dan didukung oleh orang-orang di balik WordPress.com, khususnya untuk WordPress. Tim Jetpack mengetahui WordPress luar dalam dan memahami masalah persis yang dihadapi pemilik situs WordPress setiap hari, itulah mengapa ini adalah plugin keamanan terbaik yang tersedia.

Fitur utama Keamanan Jetpack:

  • Pencadangan otomatis harian dan waktu nyata
  • Pemindaian malware harian dan real-time
  • Pencegahan spam otomatis
  • Log aktivitas terperinci yang menunjukkan semua yang terjadi di situs Anda
  • Pemantauan waktu henti
  • Perlindungan serangan brute force
  • Otentikasi dua faktor
  • Aplikasi seluler dengan peringatan dan akses ke cadangan, hasil pemindaian, dan log aktivitas

Mari selami beberapa fitur ini dengan sedikit lebih detail.

Perlindungan serangan brute force

Serangan brute force adalah ketika peretas menggunakan bot untuk menebak kombinasi nama pengguna dan kata sandi hingga mereka menemukan yang tepat. Karena mereka menggunakan jaringan komputer yang besar, mereka dapat mencoba ribuan kata sandi setiap detik.

Fitur perlindungan serangan brute force Jetpack memblokir upaya login yang tidak diinginkan dari IP berbahaya sebelum mencapai situs Anda.

pemberitahuan dari Jetpack bahwa situs web sedang down

Pemantauan waktu henti

Pemantauan waktu henti Jetpack mengunjungi situs web Anda dari lokasi di seluruh dunia dan mengirimi Anda peringatan instan jika turun. Mengapa ini membantu? Anda tidak dapat memperbaiki masalah yang tidak Anda ketahui! Jika situs web Anda turun untuk jangka waktu yang lama, Anda bisa kehilangan lalu lintas, penjualan — bahkan peringkat mesin telusur. Dengan pemantauan waktu henti, Anda akan segera mengetahui masalah sehingga Anda dapat menyelesaikannya secepat mungkin.

Otentikasi dua faktor

Otentikasi dua faktor menambahkan tingkat keamanan ekstra ke halaman login Anda dengan meminta lebih dari sekadar nama pengguna dan kata sandi. Saat Anda masuk ke situs Anda, Jetpack akan mengirimkan kode ke ponsel Anda yang harus Anda masukkan. Ini berarti, agar peretas dapat masuk, mereka harus mengetahui nama pengguna dan kata sandi Anda dan secara fisik memiliki perangkat seluler Anda — kombinasi yang tidak mungkin.

Log aktivitas Jetpack menunjukkan semua yang terjadi di situs, termasuk cadangan yang tersedia

Pencadangan otomatis

Jika situs Anda rusak karena alasan apa pun, cadangan lengkap akan sangat berharga. Bayangkan kehilangan semua kerja keras Anda, uang yang telah Anda investasikan, dan data pelanggan atau pengunjung Anda. Pencadangan WordPress memberikan ketenangan pikiran.

Tetapi tidak semua solusi pencadangan dibuat sama. Cadangan Jetpack adalah:

  • Otomatis , jadi Anda tidak perlu membuat cadangan secara manual.
  • Aman , sehingga cadangan Anda terlindungi dan selalu tersedia.
  • Mudah diatur , yang sangat membantu jika Anda tidak terbiasa dengan pengkodean atau manajemen server.
  • Cepat untuk memulihkan , sehingga Anda dapat menjalankan kembali situs Anda secepat mungkin.
  • Tersedia dalam dua format : harian dan waktu nyata.

Pencadangan harian secara otomatis terjadi sekali sehari dan merupakan solusi hebat untuk restoran, blog, dan situs web lain yang tidak diperbarui lebih dari sekali setiap 24 jam.

Pencadangan waktu nyata terjadi secara otomatis saat Anda bekerja, sehingga Anda memiliki catatan situs web terkini — setiap perubahan disimpan saat Anda membuatnya. Mereka sempurna untuk toko online, situs keanggotaan, forum, dan situs web apa pun yang diperbarui secara teratur.

Terlepas dari opsi yang Anda pilih, Anda dapat mempercayai bahwa situs Anda telah dicadangkan dan dapat dipulihkan dalam beberapa klik jika Anda membutuhkannya.

Jetpack Scan berjalan di situs web

Pemindaian malware otomatis

Jika seorang peretas mendapatkan akses ke situs web Anda, mereka dapat menanam "pintu belakang" — sejenis malware yang memungkinkan mereka mengakses situs Anda kapan saja mereka ingin mencuri data atau memasukkan malware atau virus tanpa sepengetahuan Anda. Malware membahayakan reputasi Anda dan membahayakan informasi Anda serta data pelanggan Anda.

Di situlah Jetpack Scan berperan. Ini menjalankan pemindaian malware harian otomatis dari kode situs Anda, memeriksa apa pun yang mencurigakan. Begitu mendeteksi ancaman, Anda akan mendapatkan pemberitahuan email dengan informasi rinci tentang file yang terinfeksi.

Dan itu menjadi lebih baik: Jetpack secara otomatis memperbaiki sebagian besar ancaman yang diketahui. Jadi Anda tidak hanya akan mengetahui masalah dengan segera, Anda mungkin tidak perlu mengangkat satu jari pun untuk memperbaikinya.

Pemfilteran spam otomatis

Spam sering datang dalam bentuk komentar tidak relevan yang menyertakan tautan ke situs web yang tidak bereputasi buruk. Dengan perangkat lunak yang tepat, spammer dapat meninggalkan jutaan komentar — yang dengan cepat menjadi tidak terkendali.

Jetpack Anti-spam secara otomatis memfilter komentar, pingback, dan pengiriman formulir kontak untuk spam yang diketahui, sehingga menghemat waktu Anda. Jika Anda khawatir tentang komentar asli yang ditandai sebagai spam, Anda dapat meninjaunya dan memulihkan apa pun yang Anda inginkan, atau cukup atur Jetpack untuk menghapus komentar terburuk sehingga Anda tidak perlu melihatnya lagi.

Dasbor aplikasi seluler Jetpack di beberapa perangkat

Aplikasi seluler Jetpack

Peretas tidak berhenti hanya karena Anda jauh dari komputer. Dengan aplikasi seluler Jetpack, Anda dapat memeriksa aktivitas situs, memulihkan cadangan, dan melihat hasil pemindaian malware di mana pun Anda berada.

Plus, Anda akan mendapatkan peringatan instan jika situs web Anda mati atau jika ada malware yang ditemukan, untuk ketenangan pikiran. Menemukan sesuatu yang salah? Anda dapat mengatasi sebagian besar ancaman yang diketahui dengan satu klik, langsung dari aplikasi.

Kemudahan penggunaan:

Jetpack dirancang agar pemilik situs web mana pun dapat menggunakannya, terlepas dari tingkat keterampilan teknis mereka. Semua fitur dapat diaktifkan hanya dalam beberapa klik, tanpa pengetahuan coding atau pengembang yang diperlukan.

Dukungan dan dokumentasi:

Jetpack dikelola dan didukung oleh pakar WordPress yang benar-benar peduli dengan Anda, situs Anda, dan bisnis Anda — tepat, mereka disebut Happiness Engineers. Paket gratis mencakup dukungan email berkualitas tinggi, dan paket berbayar menawarkan perhatian yang lebih cepat dan diprioritaskan sehingga Anda mendapatkan bantuan yang Anda butuhkan tepat saat Anda membutuhkannya.

Ada juga dokumentasi ekstensif yang memandu Anda melalui penyiapan dan pemecahan masalah.

Pilihan harga dan paket:

  • Jetpack Free mencakup pemantauan waktu henti, perlindungan serangan brute force, dan log aktivitas dengan 20 peristiwa terakhir tanpa biaya.
  • Jetpack Security Daily mencakup semua fitur, bersama dengan pencadangan harian, pemindaian keamanan harian, dan log aktivitas 30 hari mulai dari $11,97 per bulan.
  • Keamanan Jetpack Real-time mencakup semua fitur, bersama dengan pencadangan waktu nyata, pemindaian keamanan waktu nyata, dan log aktivitas satu tahun mulai dari $33,57 per bulan.
  • Anda juga dapat membeli beberapa fitur satu per satu, seperti Jetpack Backup, Jetpack Scan, dan Jetpack Anti-spam mulai dari $4,77 per bulan.

Bagus untuk:

Blog, toko eCommerce, dan situs web dalam berbagai ukuran. Jetpack Security adalah plugin keamanan WordPress terbaik dan terlengkap untuk hampir semua skenario.

Plugin Wordfence terdaftar di repositori WordPress

2. Wordfence

Wordfence adalah firewall aplikasi web yang juga menawarkan beberapa fitur tambahan seperti pemindaian malware. Karena firewall adalah firewall titik akhir, firewall terintegrasi secara mendalam dengan WordPress, tidak dapat dilewati, dan tidak dapat membocorkan data. Ini membuatnya jauh lebih aman daripada alternatif cloud.

Setelah Anda mengatur Wordfence, Anda akan menerima pemberitahuan email jika mendeteksi sesuatu yang berhubungan dengan seperti plugin usang, potongan kode berbahaya, atau virus.

Namun, Wordfence memang memiliki reputasi untuk memperlambat situs Anda, karena menambahkan banyak tabel database yang berat dan membebani server Anda selama pemindaian malware.

Fitur utama Wordfence:

  • Firewall aplikasi web
  • Pemindai keamanan
  • Perlindungan kata sandi yang bocor
  • Otentikasi dua faktor
  • Pemblokiran manual dan pemblokiran negara
  • Perbaikan file otomatis

Mari kita lihat lebih dekat beberapa fitur ini.

Fitur firewall Wordfence diaktifkan

Firewall aplikasi web

Firewall tentu saja merupakan fitur Wordfence yang paling kuat. Ini memanfaatkan data yang dikumpulkan dari lebih dari empat juta situs web yang dilindunginya untuk memahami bagaimana peretas menyerang, seperti apa serangan itu, dan dari mana asalnya. Mereka secara teratur memperbarui aturan firewall mereka dan daftar alamat IP berbahaya yang mereka blokir untuk perlindungan konstan.

Dasbor pengaturan pemindaian Wordfence

Pemindai keamanan

Pemindai keamanan memeriksa situs Anda dari malware, URL buruk, spam, pengalihan berbahaya, dan injeksi kode. Itu juga melaporkan setiap perubahan yang dibuat pada file WordPress inti, kerentanan keamanan yang diketahui, dan plugin yang sudah ketinggalan zaman.

Pemblokiran manual dan pemblokiran negara

Paket premium menyediakan akses ke fitur-fitur ini, yang pada dasarnya hanya menambah daya ekstra ke firewall. Dengan pemblokiran manual, Anda dapat memilih untuk memblokir seluruh jaringan jahat atau aktivitas manusia atau robot apa pun yang Anda inginkan. Dengan pemblokiran negara, Anda dapat memblokir semua lalu lintas dari negara tertentu, yang dapat sangat berguna selama serangan. Ingatlah bahwa pemblokiran negara jangka panjang tidak disarankan untuk tujuan SEO.

Perbaikan file otomatis

Jika Wordfence menemukan bahwa file inti WordPress telah dimodifikasi dengan cara yang tidak menyenangkan, Anda dapat mengembalikan file ke keadaan semula hanya dengan satu klik. Penting untuk dicatat, bagaimanapun, bahwa ini berbeda dari menghapus malware atau memperbaiki situs yang diretas, yang akan memberi Anda tambahan $490 dari Wordfence.

Kemudahan penggunaan:

Sementara Wordfence dapat digunakan oleh mereka yang tidak memiliki pengetahuan teknis, panel pengaturan bisa sangat banyak dan rumit. Semua fitur terdaftar sekaligus dan mungkin sulit untuk memahami apa yang dibutuhkan situs Anda. Secara default, Wordfence juga mengirimkan banyak peringatan email, banyak di antaranya tidak memerlukan tanggapan apa pun dari pemilik situs, dan mungkin sulit bagi pemula untuk memahami apa yang harus mereka lakukan dengan masing-masing peringatan tersebut.

Dukungan dan dokumentasi:

Wordfence memberikan dukungan gratis melalui forum WordPress, dan dukungan premium melalui sistem tiket online. Mereka juga memiliki database dokumentasi yang memberikan detail tentang pengaturan dan pemecahan masalah plugin.

Pilihan harga dan paket:

  • Wordfence Free mencakup firewall aplikasi web dasar, pemindai malware, dan perlindungan serangan brute force tanpa biaya.
  • Wordfence Premium menambahkan fitur seperti pembaruan firewall waktu-nyata, pemeriksaan daftar blokir IP, dan pemblokiran negara seharga $99 per tahun.

Bagus untuk:

Situs web kecil yang secara khusus mencari firewall dan tidak perlu melindungi data penting seperti informasi kartu kredit. Meskipun Wordfence menyertakan fitur tambahan, itu bukan plugin keamanan WordPress paling komprehensif dalam daftar ini. Firewall aplikasi web adalah yang membuatnya menonjol.

Halaman plugin iThemes Security di repositori WordPress

3. Keamanan iThemes

iThemes Security adalah plugin freemium yang lebih berfokus pada pengerasan situs Anda — menambahkan lapisan perlindungan — daripada mengidentifikasi dan memecahkan peretasan. Mereka melakukan ini melalui langkah-langkah keamanan seperti mengatur izin file yang benar, menerapkan kata sandi yang kuat, dan mengubah URL login.

Fitur utama Keamanan iThemes:

  • Perlindungan kekerasan
  • Perubahan file dan deteksi 404
  • Cadangan basis data
  • Menyembunyikan login dan halaman admin
  • Perlindungan kata sandi yang kuat
  • Otentikasi dua faktor

Berikut adalah detail lebih lanjut tentang beberapa fitur ini:

Perlindungan kekerasan

Mengunci orang ketika mereka mencoba masuk berkali-kali dan gagal. Ini mencegah bot menebak kombinasi kata sandi dan nama pengguna Anda ribuan kali dalam rentang waktu yang singkat.

Cadangan basis data

Secara otomatis membuat cadangan database Anda, yang kemudian dikirim melalui email kepada Anda. Perhatikan bahwa ini hanya mencakup database, bukan file, media, plugin, atau tema Anda.

Sembunyikan halaman login

Secara default, semua situs WordPress menggunakan URL /wp-admin untuk halaman login dan dashboard. Ini, tentu saja, sangat memudahkan peretas untuk menemukan halaman itu, karena halamannya selalu sama. Mengubah URL ke sesuatu yang lain, yang iThemes Security memungkinkan Anda lakukan tanpa kode khusus, menambahkan lapisan perlindungan tambahan.

Dasbor pengaturan Keamanan iThemes

Kemudahan penggunaan:

Seperti Wordfence, dasbor pengaturan iThemes bisa sangat banyak untuk pemula dan pengguna non-teknis. Ada banyak pengaturan kecil yang dapat diaktifkan atau dinonaktifkan dan sulit untuk mengetahui mana yang tepat untuk situs Anda.

Dukungan dan dokumentasi:

Versi gratis iThemes Security dijalankan melalui forum WordPress.org. Versi premium mencakup sistem dukungan bertiket. Ada juga dokumentasi ekstensif yang tersedia.

Pilihan harga dan paket:

  • iThemes Security Free mencakup tindakan pengerasan, pencadangan basis data, perlindungan serangan brute force, dan perlindungan perubahan file (di antara fitur lainnya) tanpa biaya.
  • iThemes Blogger (Premium) menambahkan pemindaian malware terjadwal, autentikasi dua faktor, dan reCAPTCHA (di antara fitur-fitur lainnya) dan dikenai biaya $80 per tahun per situs.

Bagus untuk:

Perlindungan login dan pengerasan situs. Meskipun ada berbagai fitur lain yang disertakan, banyak plugin keamanan WordPress lainnya menanganinya dengan lebih baik, dengan cara yang lebih mudah bagi pengguna.

Plugin Sucuri Security ditampilkan di repositori WordPress

4. Sucuri

Sucuri adalah solusi keamanan WordPress berbasis cloud, yang berarti ia berjalan sepenuhnya di servernya sendiri, mencegah server Anda tertinggal. Itu tidak dibuat khusus untuk WordPress, dan berfungsi dengan platform atau sistem manajemen konten apa pun. Meskipun menawarkan firewall aplikasi web dan alat pemindaian malware, layanan pembersihannya benar-benar bersinar.

Opsi pengerasan Sucuri di dasbor WordPress

Penting untuk dicatat bahwa Sucuri sangat jelas memisahkan fitur gratis dan premiumnya. Plugin gratis menawarkan pemindaian malware dan pengerasan WordPress, sedangkan versi premium menyertakan firewall aplikasi web dan layanan pembersihan peretasan.

Fitur utama Sucuri:

  • Pemindaian malware
  • Pemantauan status daftar blokir
  • Firewall aplikasi web
  • Mitigasi Distributed Denial of Service (DDoS)
  • Pencegahan serangan brute force
  • Layanan pembersihan situs web

Mari kita periksa beberapa di antaranya lebih dekat.

Pemantauan status daftar blokir

Sucuri menjalankan URL Anda melalui berbagai layanan untuk melihat apakah Anda diblokir. Dan, karena situs yang diblokir kehilangan banyak lalu lintas, ini bisa menjadi nilai tambah yang besar.

Mitigasi Distributed Denial of Service (DDoS)

Serangan DDoS adalah upaya jahat untuk mengganggu lalu lintas server dengan membanjiri lalu lintas palsu. Ini pada dasarnya mencegah pengunjung dan pelanggan yang normal dan sah untuk masuk ke situs web Anda. Fitur mitigasi DDoS Sucuri memblokir serangan ini.

Layanan pembersihan situs web

Tim ahli Sucuri tersedia untuk memperbaiki dan memulihkan situs Anda setelah diretas. Mereka menghapus kode berbahaya dari file dan database Anda, mengirimkan permintaan penghapusan daftar blokir, dan memperbaiki spam SEO (seperti injeksi tautan).

Kemudahan penggunaan:

Pengaturan versi premium Sucuri bisa menjadi sedikit rumit untuk non-pengembang, karena Anda harus mengubah pengaturan DNS domain Anda untuk menggunakan server Sucuri. Pengaturan untuk plugin WordPress gratis jauh lebih sederhana dan lebih mudah untuk non-pengembang.

Dukungan dan dokumentasi:

Dukungan untuk versi gratis ditawarkan melalui forum dukungan WordPress sedangkan versi premium menggunakan sistem tiket. Ada juga basis pengetahuan yang luas yang tersedia untuk menjawab pertanyaan umum.

Pilihan harga dan paket:

  • Sucuri Free mencakup pemindaian malware, pemantauan daftar blokir, dan pengerasan WordPress tanpa biaya.
  • Sucuri Basic menambahkan firewall aplikasi web dan layanan pembersihan seharga $199 per tahun. Namun, tidak ada jaminan waktu respons pembersihan dan pemindaian malware dijalankan setiap 12 jam.
  • Sucuri Pro adalah $299,99 per tahun dan mencakup semua yang ada dalam paket Dasar, tetapi meningkatkan frekuensi pemindaian malware hingga enam jam.
  • Sucuri Business meningkatkan frekuensi pemindaian malware menjadi setiap 30 menit dan menjamin waktu respons terhadap peretasan selama enam jam. Manfaat ini datang dengan biaya tahunan $ 499,99.

Bagus untuk:

Memperkuat dan membersihkan situs web setelah diretas. Karena versi gratis plugin tidak menyertakan fitur penting seperti firewall, yang terbaik adalah tetap menggunakan versi premium atau memilih opsi plugin lain.

Semua dalam Satu WP Security & Firewall terdaftar di repositori WordPress

5. Semua dalam Satu Keamanan WP dan Firewall

Plugin All in One WP Security and Firewall adalah solusi WordPress yang sepenuhnya gratis dan komprehensif, sesuai dengan namanya. Ini membagi fitur-fiturnya ke dalam kategori berdasarkan tingkat keamanannya (dan kemungkinan mereka merusak sesuatu di situs Anda), jadi ada sesuatu untuk semua orang, terlepas dari tingkat keahliannya.

Namun, semua fitur difokuskan untuk melindungi situs Anda dari peretasan daripada memindai perangkat lunak perusak dan membersihkan situs yang diretas.

Fitur utama dari All in One WP Security dan Firewall:

  • Pengerasan akun pengguna
  • Keamanan halaman login
  • Cadangan basis data
  • Keamanan sistem file
  • Fungsionalitas daftar hitam
  • Sebuah firewall
  • Pemindai keamanan
  • Perlindungan serangan brute force

Berikut beberapa informasi lebih lanjut tentang beberapa fitur ini:

Keamanan halaman login

Plugin memblokir pengguna setelah sejumlah upaya login, memaksa logout setelah jangka waktu tertentu, menambahkan reCAPTCHA ke halaman login, dan mencatat setiap login dan logout. Ini membantu melindungi situs Anda dari peretas dan bot.

Keamanan sistem file

All in One WP Security and Firewall memeriksa file dan folder Anda untuk masalah izin dan memungkinkan Anda memperbaikinya dengan satu klik. Ini juga memungkinkan Anda untuk mencegah peretas dan bot melihat file yang mudah disusupi (seperti readme.html, license.txt) dan menonaktifkan pengeditan file.

Pemindai keamanan

Pemindai keamanan memeriksa perubahan dalam file Anda dengan membandingkannya dengan file WordPress inti default. Perhatikan bahwa ini tidak memperbaiki masalah untuk Anda atau memindai malware.

Kemudahan penggunaan:

Karena fitur dibagi berdasarkan tingkat keamanan — memisahkan yang dapat merusak situs Anda dari yang tidak — ini adalah plugin yang mudah digunakan oleh pemula. Ini juga dilengkapi pengukur kekuatan keamanan yang memberi Anda gambaran singkat tentang di mana Anda berdiri pada saat tertentu.

Dukungan dan dokumentasi:

Dukungan hanya tersedia melalui forum WordPress.org dan dokumentasi terbatas tentang beberapa fitur.

Pilihan harga dan paket:

Hanya ada satu versi plugin ini — versi gratis — yang mencakup semua fitur.

Bagus untuk:

Pemula dan situs web dasar. Sangat mudah untuk memulai dengan relatif cepat tanpa merusak situs Anda. Namun, karena tidak ada versi premium dari plugin ini, plugin ini tidak memiliki fitur berharga seperti pemindaian dan penghapusan malware. Ini bisa menjadi solusi yang baik untuk blog hobi yang tidak ingin berinvestasi banyak untuk keamanan situs web mereka.

Halaman arahan WPMUdev untuk Defender Pro

6. Pembela Pro

Defender Pro dibuat oleh WPMU DEV, sebuah perusahaan pengembangan WordPress yang membangun solusi untuk semuanya, mulai dari keamanan dan keikutsertaan hingga kuis dan analitik. Itu dapat dibeli secara terpisah atau sebagai bagian dari rangkaian alat situs web.

Fitur utama Defender Pro:

  • Pemindaian keamanan
  • Perlindungan masuk
  • Otentikasi dua faktor
  • Pemantauan daftar blokir
  • Pengembalian dan perbaikan file yang diubah

Kemudahan penggunaan:

Defender Pro menyertakan wizard pengaturan yang mudah digunakan yang bagus untuk pemula.

Dukungan dan dokumentasi:

WPMU Dev menawarkan dukungan obrolan langsung, bersama dengan forum, email, dan dokumentasi terperinci.

Pilihan harga dan paket:

  • Defender Pro hanya $60 per tahun untuk fitur yang tercantum di atas.
  • Paket Keamanan dan Cadangan menambahkan produk tambahan, seperti alat pencadangan dan migrasi, seharga $90 setahun.
  • Keanggotaan Dev WPMU adalah rangkaian lengkap alat — termasuk keikutsertaan, analitik, dll. — dan berharga $190 per tahun.

Bagus untuk:

Situs yang ingin membeli rangkaian alat lengkap, bukan hanya keamanan. Meskipun Defender Pro adalah opsi keamanan yang layak, ia tidak memiliki fitur utama seperti firewall dan pencegahan spam. Namun, ketika disertakan dengan rangkaian lengkap alat Dev WPMU, ini adalah bonus yang bagus.

Halaman Keamanan BulletProof di repositori WordPress

7. Keamanan Antipeluru

Bulletproof Security adalah plugin WordPress freemium yang ditargetkan khusus untuk pengembang. Ini komprehensif, dan memungkinkan banyak penyesuaian backend, tetapi sulit digunakan oleh pemula.

Fitur utama Keamanan Antipeluru:

  • Pemindai malware
  • Folder plugin tersembunyi
  • Keamanan dan pemantauan masuk
  • Logout sesi menganggur
  • Kedaluwarsa cookie autentik
  • Log keamanan
  • Berbagai fitur keamanan canggih lainnya

Kemudahan penggunaan:

Sekali lagi, ini bukan plugin yang dirancang untuk pemula. Meskipun menyediakan wizard pengaturan, mengubah atau mengubah pengaturan menjadi sangat rumit dan dapat merusak situs Anda.

Dukungan dan dokumentasi:

Dukungan untuk plugin gratis disediakan melalui forum WordPress.org. Dukungan premium disediakan melalui forum dukungan khusus. Dokumentasi dan tutorial video terbatas tersedia.

Pilihan harga dan paket:

  • BulletProof Security Free menawarkan banyak fitur yang tercantum di atas tanpa biaya tambahan.
  • BulletProof Security Pro mencakup instalasi tak terbatas dan fitur-fitur canggih (seperti pencadangan dan pemantauan basis data, firewall plugin, dan pemulihan otomatis file situs web) seharga $69,95.

Bagus untuk:

Pengembang dan pengguna tingkat lanjut yang ingin menyesuaikan semua aspek keamanan situs web mereka secara pribadi.

Halaman Ninja Keamanan di repositori WordPress

8. Ninja Keamanan

Sementara Security Ninja adalah solusi keamanan yang relatif komprehensif, "klaim ketenarannya" adalah 50+ pemeriksaan keamanan yang ada di dalamnya. Tes ini mencakup semuanya, mulai dari tema dan plugin terbaru hingga versi WordPress, aksesibilitas file, dan awalan tabel database.

Fitur utama Ninja Keamanan:

  • Firewall aplikasi web
  • Pemindaian malware
  • Perlindungan formulir masuk
  • Pemindaian kerentanan plugin
  • Pencatatan acara

Kemudahan penggunaan:

Plugin ini relatif mudah digunakan, tetapi mengharuskan Anda untuk melakukan beberapa pekerjaan. Itu tidak secara otomatis memperbaiki masalah yang ditemukannya. Sebaliknya, Anda sepenuhnya bertanggung jawab atas situs dan perbaikan keamanan Anda. Ini, tentu saja, bisa bermanfaat bagi mereka yang tahu apa yang mereka lakukan, tetapi juga bisa sulit bagi pemula. Perhatikan bahwa versi Pro, bagaimanapun, memperbaiki sekitar 30 masalah secara otomatis, jika Anda memilih untuk mengambil rute itu.

Dukungan dan dokumentasi:

Dukungan untuk versi gratis disediakan melalui forum WordPress.org, sedangkan versi Pro menyertakan sistem tiket dukungan. Dokumentasi terperinci tersedia.

Pilihan harga dan paket:

  • Security Ninja Free mencakup 50+ pemeriksaan keamanan yang disebutkan di atas tanpa biaya.
  • Security Ninja Starter menambahkan firewall, pemindai malware, pemecah masalah otomatis, dan lainnya seharga $49 per tahun untuk satu situs. Jika Anda ingin mencakup lebih dari satu situs, Anda dapat membeli paket plus mereka (tiga situs) seharga $129 per tahun atau paket pro (lima situs) seharga $199 per tahun. Setiap paket juga memiliki opsi untuk lisensi seumur hidup dengan biaya premium.

Bagus untuk:

Situs yang menginginkan gambaran yang sangat jelas tentang posisi mereka, bersama dengan mereka yang memiliki setidaknya pengetahuan tingkat menengah tentang WordPress dan keamanan.

9. SecuPress

SecuPress mengemas banyak fitur keamanan ke dalam satu plugin tanpa terlalu membebani situs Anda. Baik versi gratis maupun premium mudah digunakan untuk semua tingkat keahlian. Salah satu fitur terbaik adalah Laporan Keamanan, yang memungkinkan Anda mengetahui posisi situs Anda dan memberikan rekomendasi yang jelas untuk perbaikan.

Fitur utama SecuPress:

  • Pemindai kesehatan situs
  • Batasi upaya masuk
  • Fitur pengerasan WordPress
  • Otentikasi dua faktor
  • Pemindaian malware
  • Cadangan basis data dan file

Kemudahan penggunaan:

SecuPress memiliki antarmuka sederhana yang mudah dinavigasi untuk pemilik situs dengan tingkat keahlian apa pun. Ini mengkategorikan fitur berdasarkan tujuannya dan menjelaskan apa yang dilakukan masing-masing fitur di tempat.

Dukungan dan dokumentasi:

Versi gratis menyertakan dukungan melalui forum WordPress, sedangkan versi premium menyertakan sistem tiket.

Pilihan harga dan paket:

  • SecuPress Free menyertakan pemindai kesehatan, banyak fitur pengerasan, dan membatasi upaya masuk (di antara fitur lainnya) tanpa biaya.
  • SecuPress Pro menambahkan otentikasi dua faktor, pemindaian malware, dan pencadangan, di antara fitur-fitur canggih lainnya, seharga $69,99 per tahun.

Bagus untuk:

Usaha kecil, terutama yang dapat menginvestasikan sejumlah uang ke dalam plugin keamanan WordPress. Karena versi gratisnya tidak menyertakan fitur paling berharga seperti pemindaian malware, Anda disarankan untuk membeli versi premium.

Halaman Astra Security di repositori WordPress

10. Keamanan Astra

Astra Security adalah alat keamanan khusus premium yang menggambarkan dirinya sebagai "perangkat keamanan lengkap untuk perlindungan lengkap, tanpa kerumitan." Penting untuk dicatat bahwa, meskipun melindungi situs WordPress, itu tidak dibuat khusus untuk WordPress dan berfungsi untuk semua jenis situs. Karena tidak berfokus pada WordPress, Anda mungkin kehilangan fitur berharga khusus untuk platform.

Fitur utama Astra Security:

  • Firewall situs web
  • Pemindaian dan pembersihan malware
  • Pemantauan daftar blokir
  • Perlindungan bot yang buruk
  • Pemblokiran IP dan negara

Kemudahan penggunaan:

Astra Security mudah diatur dan relatif mudah dikonfigurasi. Tim dukungan premium juga tersedia untuk membantu.

Dukungan dan dokumentasi:

Tingkat dukungan yang Anda dapatkan tergantung pada paket yang Anda beli. Dukungan diberikan melalui obrolan langsung 24/7 dan ada dokumentasi dan basis pengetahuan untuk membantu Anda memulai.

Pilihan harga dan paket:

  • Paket Pro mencakup firewall, pembersihan malware dalam waktu 12 jam, pemindai malware, perlindungan bot yang buruk, dan dukungan perunggu (di antara fitur lainnya) seharga $228 setahun.
  • Paket Lanjutan menambahkan 300+ tes keamanan, pembersihan malware dalam waktu delapan jam, pencegahan spam, dan dukungan perak (di antara fitur lainnya) seharga $468 setahun.
  • Business Plan menambahkan pembersihan malware dalam waktu enam jam, 500+ tes keamanan, dan dukungan emas (di antara fitur lainnya) seharga $1428 setahun.

Bagus untuk:

Bisnis yang lebih besar, terutama yang memiliki banyak situs di platform yang berbeda. Karena ini adalah opsi yang lebih mahal dan tidak dibuat khusus untuk WordPress, kemungkinan besar ini bukan pilihan terbaik untuk sebagian besar blog dan bisnis WordPress.

Halaman WPScan di repositori WordPress

11. WPScan

WPScan adalah plugin fitur tunggal freemium yang berfokus secara khusus pada pengujian keamanan situs Anda. Meskipun ini satu-satunya plugin fitur tunggal dalam daftar ini, plugin ini disertakan karena unggul dalam apa yang dilakukannya dan menawarkan sesuatu yang tidak dimiliki kebanyakan plugin lain. Ini berisi database besar kerentanan yang dirujuk saat memindai.

Fitur utama WPScan:

  • Memindai 21.000+ kerentanan keamanan yang diketahui di WordPress, plugin, dan tema
  • Memeriksa file debug.log, file cadangan wp-config.php, dan file database yang diekspor yang dapat menimbulkan risiko keamanan
  • Mencari kata sandi yang lemah
  • Memeriksa untuk melihat apakah XML-RPC dan kunci rahasia default diaktifkan atau digunakan

Kemudahan penggunaan:

Plugin ini sangat mudah diatur. Yang perlu Anda lakukan hanyalah mendaftar untuk mendapatkan kunci API di situs web mereka, menambahkan kunci itu ke plugin yang diinstal, dan memilih di antara pengaturan yang sangat mendasar.

Dukungan dan dokumentasi:

Dukungan disediakan melalui forum WordPress dan ada instruksi dasar yang tersedia.

Pilihan harga dan paket:

Harga didasarkan pada jumlah permintaan API yang Anda butuhkan per hari. WPScan membuat satu permintaan API untuk inti WordPress, satu untuk setiap tema yang diinstal, dan satu untuk setiap plugin yang Anda gunakan. Jadi jika Anda memiliki sepuluh plugin yang diinstal dan satu tema, itu akan menjadi 12 permintaan API per hari.

  • Paket Gratis mencakup 25 permintaan API. Sebagian besar situs akan jatuh ke dalam ini.
  • Paket Pemula mencakup 75 permintaan API dan €5 per bulan.
  • Paket Profesional mencakup 300 permintaan API dan €25 per bulan.

Bagus untuk:

Setiap situs yang ingin memantau kerentanan keamanan dan tidak menggunakan plugin keamanan yang menyertakan fitur ini. Namun, penting untuk dicatat bahwa ini bukan paket keamanan yang lengkap dan harus digunakan sebagai tambahan untuk sesuatu yang lain.

Halaman plugin ShieldSecurity di repositori WordPress

12. Keamanan Perisai

Shield Security menggunakan strategi sederhana: mulai dengan pencegahan, lalu berikan juga perbaikan jika situs pernah diretas. Dan karena bot bertanggung jawab atas sebagian besar masalah keamanan, Shield Security didedikasikan khusus untuk memblokir mereka agar tidak pernah masuk ke situs Anda. Mereka juga menawarkan fungsionalitas yang melindungi plugin WordPress umum seperti Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7, dan Elementor.

Fitur utama Keamanan Perisai:

  • Mesin pendeteksi anti-bot
  • Pemindai malware dan kerentanan
  • Deteksi spam
  • Otentikasi dua faktor
  • Firewall aplikasi web

Kemudahan penggunaan:

Ini relatif mudah untuk memulai, tetapi memberikan banyak informasi dan pengaturan yang bisa sangat melelahkan bagi pemula.

Dukungan dan dokumentasi:

Dukungan gratis disediakan melalui forum WordPress.org. Dukungan premium ditawarkan melalui sistem tiket. Ada juga dokumentasi ekstensif yang tersedia, bersama dengan kursus online.

Pilihan harga dan paket:

  • ShieldFREE mencakup deteksi bot, otentikasi dua faktor, dan firewall (di antara fitur lainnya) tanpa biaya.
  • ShieldPRO menambahkan pemindai malware, pemindai kerentanan, dan pencegahan spam (di antara fitur lainnya) seharga $79 per tahun.

Bagus untuk:

Pemilik situs web dengan pemahaman keamanan yang moderat, yang dapat menginvestasikan sejumlah uang ke dalam plugin premium. Since the free version doesn't include a malware scanner, it's best to purchase the pro version.

How to choose the best security plugin for WordPress

While WordPress is very safe, it's always a good idea to add extra protection to secure your hard work and visitors' information. Sites can be targeted at any size, but the importance of extra security grows along with a site's popularity and volume of content.

The easiest way to boost security is through a reputable plugin. But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

  1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
  2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
  3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
  4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
  5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
  6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
  7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
  8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
  9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
  10. Get rid of spam comments. Komentar spam tidak hanya mengganggu; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

  • Pastikan sertifikat SSL Anda berfungsi. Sertifikat SSL melindungi data yang dikirimkan di situs Anda, seperti pembayaran dan informasi kontak. Untuk memastikan milik Anda berfungsi, cukup periksa ikon kunci di sebelah URL Anda di browser Anda.
  • Pantau waktu henti. Jika situs Anda turun, itu bisa menjadi indikasi peretasan. Instal alat otomatis yang memberi tahu Anda jika situs web Anda tidak dapat diakses sehingga Anda dapat segera memecahkan masalah.
  • Pastikan tidak ada peringatan keamanan browser. Jika situs Anda telah diretas, browser seperti Google Chrome dan Safari akan menampilkan peringatan keamanan saat Anda mengetikkan URL. Anda mungkin ingin mengunjungi situs web Anda dalam penyamaran atau jendela pribadi untuk mendapatkan hasil yang paling akurat.
  • Periksa notifikasi di Google Search Console. Jika Anda memiliki akun Google Search Console, Anda dapat dengan cepat mengakses Laporan Masalah Keamanan, yang akan memberi tahu Anda jika situs Anda telah diretas atau mengikuti praktik yang tidak aman.
  • Ikuti praktik terbaik keamanan. Cara terbaik untuk memastikan bahwa situs WordPress Anda aman adalah dengan menerapkan langkah-langkah keamanan yang baik. Ambil langkah-langkah yang tepat untuk memperkuat situs Anda (menggunakan panduan dari sumber tepercaya seperti Jetpack) dan Anda akan merasa yakin bahwa Anda dapat melawan peretas.