Cara Memperkuat WordPress: Panduan 18 Langkah dengan Alat Penting

Situs web WordPress bisa menjadi rentan jika tidak dikelola dengan baik. Beberapa pembaruan terlewatkan atau plugin buruk, dan situs Anda berisiko. Penyerang juga dapat masuk melalui halaman login jika halaman tersebut tidak diamankan dengan benar atau menghentikan situs Anda dengan serangan penolakan layanan terdistribusi (DDoS).

Terlalu banyak kesuraman dan malapetaka?

Untungnya, serangan ini dapat dengan mudah dicegah jika Anda mengambil langkah yang diperlukan untuk memperkuat WordPress. Sistem pengelolaan konten (CMS) memberi Anda kendali penuh atas pengaturan situs Anda, yang berarti Anda dapat menerapkan strategi untuk melindunginya dari berbagai jenis serangan.

Pada artikel ini, kami akan memberi Anda kursus lengkap tentang keamanan WordPress. Kami akan membahas alat apa yang harus Anda gunakan, membahas 18 langkah untuk memperkuat WordPress, dan menunjukkan bagaimana Jetpack Security dapat membantu Anda menjaga situs Anda tetap aman dengan satu plugin. Mari kita mulai!

Pentingnya memperkuat situs WordPress Anda

Penyerang siber cenderung menjelajahi web untuk mencari situs dengan kerentanan yang dapat mereka eksploitasi. Meskipun situs Anda relatif baru, penyerang masih dapat menargetkannya untuk mendistribusikan malware atau mencuri data.

Hal ini menjadikan keamanan WordPress penting untuk semua situs web. Pada saat artikel ini ditulis, ada lebih dari 50.000 kerentanan WordPress yang terdokumentasi. Itu mencakup lebih dari 7.800 plugin yang diketahui rentan dan sekitar 670 tema.

Kerentanan terus meningkat dari tahun ke tahun, karena semakin populernya WordPress dan banyaknya plugin dan tema baru di pasar.

Jika situs Anda ditargetkan, Anda mungkin kehilangan akses ke situs tersebut dan data Anda dapat disusupi. Bergantung pada seberapa serius pelanggarannya, diperlukan waktu beberapa saat untuk memperbaiki situs web Anda dan hal itu dapat menyebabkan banyak hilangnya konversi. Selain itu, jika Anda menjalankan bisnis online yang lebih besar, menjadi korban kejahatan dunia maya dapat mengakibatkan kerugian finansial yang serius.

Kabar baiknya adalah ada banyak hal yang dapat Anda lakukan untuk melindungi situs WordPress Anda. Namun untuk menjaganya tetap aman, Anda harus proaktif.

Alat penting untuk memperkuat situs WordPress Anda

Sepanjang panduan ini, kami akan merujuk pada beberapa alat keamanan yang dapat Anda gunakan. Ini akan membantu Anda menerapkan langkah-langkah untuk memperkuat situs WordPress Anda. Mari kita lihat apa itu.

1. Pemindai kerentanan

Pemindai kerentanan adalah perangkat lunak yang memeriksa situs web Anda untuk mencari masalah keamanan. Dalam kasus WordPress, pemindai akan memeriksa file, plugin, dan tema situs Anda untuk mencari potensi celah perlindungan yang dapat dieksploitasi oleh penyerang.

Pemindai membandingkan data yang ditemukannya dengan database kerentanan, seperti WPScan. Ini adalah database terbesar dari kerentanan keamanan WordPress yang diketahui, yang diperbarui secara terus-menerus.

Jetpack Protect adalah opsi teratas saat memindai situs web Anda untuk mencari kerentanan. Plugin ini memungkinkan Anda memanfaatkan database WPScan dengan menjalankan pemindaian otomatis di situs web Anda.

Jika Jetpack mendeteksi kerentanan, Jetpack akan memberi tahu Anda dan menunjukkan cara mengatasi masalah tersebut. Dalam kebanyakan kasus, hal ini melibatkan penghapusan atau pembaruan plugin atau tema yang rentan.

2. Pemindai malware

Pemindai malware bekerja mirip dengan pemindai kerentanan. Dalam hal ini, perangkat lunak berfokus untuk menemukan file yang terinfeksi dan membantu Anda mengkarantina atau menghapusnya sehingga Anda dapat membersihkan situs web Anda dari malware.

Dalam kebanyakan kasus, pemindai kerentanan dan malware bekerja sama. WPScan, misalnya, dapat membantu Anda mengidentifikasi kerentanan dan malware di situs WordPress Anda.

Jika Anda menggunakan Jetpack dan memiliki akses ke paket Keamanan (atau meningkatkan Protect ke premium), plugin akan memindai situs web Anda untuk mencari malware dan kerentanan. Jika ditemukan ada yang salah dengan situs web Anda, plugin akan memberi Anda opsi untuk menyelesaikan masalah ini, seringkali hanya dengan satu atau dua klik.

3. Firewall aplikasi web (WAF)

Anda mungkin familiar dengan konsep firewall. Ini adalah program yang memblokir lalu lintas masuk atau keluar dari server atau komputer.

Firewall aplikasi web (WAF) bekerja dengan cara yang sama. Ini dirancang untuk membantu Anda memblokir lalu lintas berbahaya yang masuk atau mencegah malware di situs Anda mengirimkan informasi.

Kebanyakan WAF sudah dikonfigurasi sebelumnya dengan aturan tentang jenis koneksi apa yang harus diblokir. Mereka bahkan dapat mengidentifikasi alamat IP berbahaya yang diketahui tergantung pada pengaturannya.

Jetpack Protect menyertakan WAF dengan pengaturan konfigurasi yang mudah. Anda dapat mengatur WAF untuk menggunakan aturan otomatis, yang disediakan dan diperbarui secara berkala oleh pakar keamanan di Jetpack. Aturan otomatis ini dibuat untuk memblokir eksploitasi dengan tingkat keparahan tinggi sehingga meskipun Anda memiliki kerentanan dalam suatu ekstensi, aturan WAF mungkin dapat melindungi situs Anda.

Plugin ini juga memungkinkan Anda memasukkan alamat IP tertentu pada daftar yang diizinkan atau daftar blokir. Ini bisa berguna jika Anda ingin membatasi siapa yang bisa mengakses dashboard.

4. Solusi pencadangan di luar lokasi

Alat pencadangan membuat salinan situs web Anda dan memulihkannya jika diperlukan. Ide di balik pencadangan adalah Anda akan selalu memiliki salinan terbaru situs Anda jika terjadi malfungsi, atau Anda menghadapi masalah keamanan yang tidak dapat diperbaiki dengan mudah.

Untuk keamanan tambahan, disarankan untuk menyimpan cadangan di dalam dan di luar situs Anda, jika salah satu cadangan gagal. Dengan cara ini, data situs web Anda tidak pernah benar-benar hilang.

Meskipun Anda dapat mencadangkan situs Anda secara manual, menggunakan plugin khusus seperti Jetpack VaultPress Backup dapat memberi Anda ketenangan pikiran dan mengotomatiskan seluruh proses.

Plugin ini membuat cadangan situs web Anda secara real-time dan menyimpannya di luar situs hingga 30 hari. Semua ini terjadi secara otomatis, meskipun Anda juga dapat membuat cadangan manual sendiri jika diinginkan.

Jetpack menyimpan perubahan apa pun yang Anda buat pada situs saat terjadi. Hal ini menghilangkan risiko kehilangan sebagian data saat Anda perlu memulihkan cadangan terbaru. Cukup buka log aktivitas dan pilih tanggal dan waktu yang ingin Anda pulihkan, dan Jetpack akan segera mulai memulihkan situs Anda (meskipun benar-benar offline).

Berbicara tentang log aktivitas…

5. Log aktivitas untuk memantau perubahan situs

Log aktivitas adalah alat yang memberi Anda rincian tentang hal-hal yang terjadi di situs web Anda. Anda dapat menggunakan log ini untuk memantau berbagai jenis aktivitas, termasuk login, instalasi plugin, unggahan postingan, dan bahkan perubahan pada konfigurasi situs Anda.

Pentingnya log aktivitas tidak bisa dilebih-lebihkan. Jika Anda berkolaborasi dengan orang lain untuk menjalankan situs web, alat ini akan memberi Anda wawasan tentang apa yang dilakukan orang lain.

Anda juga dapat menggunakan log aktivitas untuk memecahkan masalah. Misalnya, jika pemindai kerentanan Anda tiba-tiba mendeteksi masalah pada sebuah plugin, Anda dapat memeriksa log untuk mengetahui kapan plugin tersebut diinstal dan oleh siapa.

Jetpack menyertakan log aktivitas dengan akun WordPress.com gratis, tempat Anda dapat melihat 20 peristiwa terakhir di situs Anda. Dengan lisensi premium, Anda akan mendapatkan akses ke acara setidaknya selama 30 hari terakhir

Cara mengeraskan situs WordPress Anda dalam 18 langkah

Selain alat yang kami bahas di bagian sebelumnya, Anda juga perlu mengambil langkah-langkah untuk memperkuat WordPress. Berikut adalah langkah-langkah keamanan paling penting untuk situs Anda.

1. Cadangkan situs Anda

Cadangan mungkin merupakan bagian terpenting dari strategi keamanan komprehensif. Memiliki cadangan terkini setiap saat berarti jika situs web Anda diserang atau terinfeksi malware, Anda selalu dapat memulihkan konten Anda.

Idealnya, Anda akan menggunakan plugin yang mengotomatiskan pencadangan. Ini menghilangkan risiko lupa melakukan backup setelah melakukan perubahan signifikan pada situs web Anda.

Seperti yang telah kami sebutkan, Jetpack VaultPress Backup adalah solusi pencadangan canggih yang disertakan sendiri atau dengan paket yang memenuhi syarat seperti Jetpack Security. Ini menggunakan sistem cadangan waktu nyata. Artinya, ini menghemat setiap kali Anda membuat perubahan pada situs Anda, sehingga setiap modifikasi baru langsung terlindungi.

Sistem ini lebih disukai daripada pencadangan terjadwal. Dengan cara terakhir, Anda berisiko kehilangan data jika titik pemulihan terakhir terlalu jauh ke belakang. Ini tidak menjadi masalah jika Anda menggunakan VaultPress Backup.

2. Instal plugin keamanan lengkap

Ada banyak plugin keamanan WordPress untuk dipilih. Beberapa alat dirancang untuk tujuan tertentu, seperti mengaktifkan WAF atau autentikasi dua faktor (2FA). Lainnya mengambil pendekatan yang lebih holistik dan menggabungkan beberapa fitur untuk melindungi situs Anda.

Ide di balik plugin keamanan lengkap adalah untuk meminimalkan jumlah alat pihak ketiga yang perlu Anda siapkan di situs web Anda, sekaligus mendapatkan akses ke sebanyak mungkin fitur.

Jetpack menawarkan beragam fitur keamanan. Jika Anda memilih plugin gratis, Anda mendapatkan akses ke log aktivitas, fungsionalitas WAF, opsi otentikasi aman, dan banyak lagi.

Anda dapat memperluas jangkauan fitur keamanan yang ditawarkan plugin dengan mendaftar paket Keamanan Jetpack. Paket ini memberi Anda akses ke solusi pencadangan, pemindaian malware otomatis dengan perbaikan sekali klik, perlindungan spam, dan banyak lagi.

Dari segi nilai, Jetpack Security menawarkan salah satu solusi keamanan terlengkap untuk pengguna WordPress. Dan jika mau, Anda selalu dapat mulai menggunakan plugin gratis dan memperbarui ke versi premium setelah Anda merasa nyaman.

3. Perbarui inti WordPress

Memperbarui WordPress ke versi terbaru adalah salah satu hal terpenting yang dapat Anda lakukan untuk meningkatkan keamanan situs web Anda. Itu karena versi yang lebih baru cenderung menyertakan perbaikan dan peningkatan keamanan. Selain itu, pengembang perangkat lunak sering kali merilis patch untuk memperbaiki kerentanan yang mendesak.

Menggunakan WordPress versi lama juga dapat menyebabkan masalah kompatibilitas dengan plugin dan tema. Hal ini dapat menyebabkan elemen penting di situs web Anda berhenti berfungsi.

Menjaga WordPress tetap diperbarui itu sederhana. Saat Anda mengakses dasbor, WordPress akan memberi tahu Anda jika ada pembaruan yang tersedia. Anda dapat memperbarui WordPress dengan mengklik Dashboard → Updates .

Perhatikan bahwa memperbarui WordPress dapat menyebabkan masalah kompatibilitas jika plugin atau tema Anda tidak mendukung versi terbaru. Untuk memulihkannya, Anda sebaiknya membuat cadangan situs Anda sebelum pembaruan besar.

Jika Anda menggunakan VaultPress Backup, hal ini tidak diperlukan. Plugin ini akan mencadangkan situs Anda secara real-time sehingga Anda akan memiliki titik pemulihan yang tersedia sebelum pembaruan, jika Anda perlu memulihkan situs Anda.

4. Hapus plugin dan tema yang tidak digunakan

Seiring berkembangnya situs Anda, Anda mungkin memerlukan plugin baru dan bahkan dapat beralih ke tema lain. Hal ini mungkin menimbulkan lebih banyak kerentanan pada situs Anda. Sebagai aturan praktis, sebaiknya hapus plugin atau tema apa pun yang tidak lagi Anda perlukan.

Prosesnya sederhana.

Buka halaman plugin atau tema Anda di dasbor. Kemudian, nonaktifkan dan hapus semua yang tidak lagi Anda gunakan.

Jika Anda memutuskan untuk menginstal ulang beberapa plugin ini di lain waktu, tidak masalah. Hanya memerlukan waktu beberapa menit untuk menginstal dan mengaktifkannya, meskipun Anda mungkin perlu mengonfigurasi pengaturannya lagi.

5. Perbarui semua plugin dan tema yang tersisa

Setelah Anda membersihkan daftar plugin dan tema, Anda sebaiknya memeriksa apakah ada elemen yang tersisa di situs Anda yang memerlukan pembaruan. Pembaruan plugin dan tema sama pentingnya dengan pembaruan inti WordPress dalam hal keamanan, karena keduanya merupakan vektor serangan yang paling umum.

WordPress akan memberi tahu Anda tentang pembaruan plugin dan tema apa pun yang tersedia saat Anda mengakses dasbor. Idealnya, Anda akan memperbarui komponen situs Anda segera setelah versi baru tersedia.

Anda dapat melakukan ini dari halaman plugin dan tema di dasbor.

Jika Anda terlalu sibuk untuk memeriksa situs Anda setiap hari, Anda dapat mengaktifkan pembaruan otomatis untuk setiap plugin. Ini adalah tindakan sederhana, namun dapat secara drastis meminimalkan risiko kerentanan pada situs web Anda.

6. Terapkan kebijakan kata sandi yang kuat

Seringkali, pelanggaran situs web bukan disebabkan oleh kerentanan WordPress tetapi karena kesalahan manusia. Banyak orang menggunakan kredensial yang lemah untuk masuk ke situs web mereka, sehingga memudahkan peretas mendapatkan akses ke dasbor.

Cara terbaik untuk menghindari hal ini adalah dengan menerapkan kebijakan kata sandi yang kuat. Saat Anda mendaftarkan akun di situs WordPress Anda, kata sandi aman dibuat untuk Anda.

Jika Anda menggunakan Jetpack, Anda juga akan memiliki akses ke fungsi autentikasi dua faktor (2FA), yang dapat Anda gunakan untuk lebih melindungi halaman login.

Ini bisa sangat berguna jika Anda memiliki banyak pengguna di situs Anda (seperti penulis dan manajer toko). Bahkan jika pengguna Anda tetap menggunakan kata sandi yang lemah, Anda akan mendapatkan cadangan 2FA untuk melindungi situs web Anda dari penyerang yang memiliki akses ke kredensial ini (lebih lanjut tentang ini nanti).

7. Batasi upaya login

Secara umum, jika seseorang tidak dapat mengingat detail loginnya, mereka biasanya akan mencoba beberapa kredensial berbeda dan kemudian meminta pengaturan ulang kata sandi.

Jika Anda memperhatikan (melalui log aktivitas) bahwa seseorang mencoba sejumlah besar kombinasi nama pengguna dan kata sandi, Anda mungkin menghadapi serangan. Oleh karena itu, sebaiknya batasi jumlah upaya login yang dapat dilakukan pengguna dalam jangka waktu tertentu.

Ini adalah fitur yang tersedia di Jetpack. Plugin ini menawarkan perlindungan brute force yang dapat mengenali alamat IP berbahaya yang diketahui dan memblokirnya agar tidak mencoba masuk.

Perlindungan brute force aktif secara default dengan Jetpack. Anda dapat meninjau konfigurasinya dengan membuka Jetpack → Pengaturan. Di sini, Anda juga dapat menambahkan alamat IP yang diizinkan, sehingga Jetpack tidak secara keliru menghentikan Anda mengakses halaman login.

8. Perkuat keamanan login dengan 2FA

Survei terbaru menunjukkan bahwa lebih dari 40 persen pengembang menganggap penerapan 2FA sebagai prioritas utama mereka. Tindakan ini meminimalkan risiko penyerang mendapatkan akses ke situs web Anda dengan kredensial yang dicuri.

Otentikasi dua faktor adalah fitur keamanan penting karena banyak pengguna memiliki kata sandi yang lemah atau menggunakan kembali kredensial mereka di berbagai situs. Dengan 2FA, Anda mengharuskan pengguna ini untuk memberikan bentuk autentikasi lain.

Seperti yang telah kita bahas, Jetpack memungkinkan Anda menggunakan 2FA untuk situs WordPress Anda. Ini mengharuskan pengguna untuk membuat akun WordPress.com. Mereka kemudian dapat menggunakan akun ini untuk masuk ke situs WordPress lain, bahkan yang menggunakan WordPress versi sumber terbuka.

2FA tersedia dengan Jetpack versi gratis. Fitur ini dapat diaktifkan atau dinonaktifkan, dan Anda tidak perlu mengutak-atik pengaturan lanjutan untuk mengonfigurasinya, karena fitur ini bergantung pada WordPress.com.

9. Hapus akun pengguna yang tidak digunakan

Akun pengguna yang tidak aktif dapat menimbulkan risiko keamanan bagi situs web Anda, terutama jika akun tersebut memiliki izin tingkat tinggi (kita akan membicarakan hal ini lebih lanjut di bagian berikutnya). Akun-akun ini memberikan peluang tambahan untuk pelanggaran keamanan karena kredensial mereka mungkin disusupi dan dibagikan di web.

Inilah sebabnya mengapa banyak situs web akan secara otomatis menghapus akun Anda jika tidak aktif untuk jangka waktu yang lama (tentu saja setelah memperingatkan Anda). WordPress memberi Anda kendali penuh atas daftar pengguna Anda, yang berarti Anda dapat menambah atau menghapus pengguna sesuka hati.

Menghapus pengguna adalah proses yang sederhana. Buka Pengguna → Semua Pengguna , temukan akunnya, dan pilih opsi Hapus . WordPress akan meminta konfirmasi Anda, tetapi pengguna itu sendiri tidak perlu menyetujui penghapusan akun.

Anda mungkin ingin menghubungi pengguna sebelum menghapus akun mereka. Namun jika sebuah akun sudah tidak aktif selama bertahun-tahun, mungkin akun tersebut harus dihapus.

10. Tetapkan peran yang tepat kepada pengguna lainnya

Setelah membersihkan daftar pengguna, langkah Anda selanjutnya adalah meninjau izin untuk pengguna yang tersisa. WordPress menggunakan sistem peran sederhana, dengan setiap peran memiliki serangkaian izin yang telah ditentukan sebelumnya.

Satu-satunya peran pengguna dengan akses penuh ke semua pengaturan WordPress adalah administrator. Demi keamanan, hanya boleh ada satu administrator. Peran WordPress lainnya termasuk penulis, editor, kontributor, dan pelanggan.

Beberapa plugin juga menambahkan peran pengguna baru dengan izin yang diperbarui.

Setiap peran dilengkapi dengan izin yang memungkinkan pengguna melakukan tugas tertentu. Penulis, misalnya, dapat mempublikasikan dan mengedit postingan mereka sendiri, namun tidak dapat mengedit postingan yang dibuat oleh pengguna lain.

Idealnya, tidak ada pengguna yang memiliki peran yang memberi mereka izin lebih dari yang mereka butuhkan. Menetapkan peran yang salah dapat menyebabkan masalah keamanan karena pengguna mungkin mengubah pengaturan WordPress yang tidak boleh mereka sentuh.

Penting untuk meninjau daftar pengguna secara berkala untuk memastikan bahwa setiap orang memiliki peran yang benar. Praktik sederhana ini akan membantu Anda meminimalkan masalah keamanan yang disebabkan oleh anggota tim yang memiliki izin yang salah.

11. Ganti nama akun “admin” default

Akun administrator WordPress adalah permata mahkota bagi penyerang. Jika mereka mendapatkan akses ke situs Anda, mereka dapat melakukan apa pun yang mereka inginkan di situs web Anda, termasuk mencuri data dan menanam malware.

Secara default, WordPress menggunakan nama pengguna admin untuk akun administrator. Anda dapat mengubahnya saat membuat akun, namun tidak setelahnya.

Jika Anda menggunakan nama pengguna admin , ini merupakan tebakan yang mudah bagi sebagian besar penyerang, yang berarti mereka hanya perlu mendapatkan kata sandi Anda. WordPress tidak memungkinkan Anda mengubah nama pengguna yang ada, bahkan sebagai administrator.

Untuk menghindari hal ini, Anda dapat membuat akun administrator baru, dengan nama pengguna yang lebih kuat, lalu menghapus yang pertama. Perhatikan bahwa Anda hanya dapat melakukan ini jika Anda adalah administratornya.

12. Ubah awalan database default

Secara default, WordPress menggunakan awalan wp_ untuk database situs. Hal ini membuatnya relatif mudah untuk menebak nama database, yang pada gilirannya dapat membantu penyerang terhubung ke database tersebut.

Anda dapat mengurangi risiko alat injeksi SQL otomatis yang mengidentifikasi database dengan mengubah awalan tersebut. Idealnya, Anda akan melakukan ini selama proses penyiapan. Wizard pengaturan WordPress akan menanyakan awalan database apa yang akan digunakan sebelum menyiapkan situs web Anda.

Jika situs Anda sudah aktif, Anda perlu memodifikasi file wp-config.php untuk mengubah awalan database. Hubungkan ke situs web menggunakan protokol transfer file (FTP) dan cari file wp-config.php di direktori root WordPress.

Edit file dan cari baris yang bertuliskan $table_prefix = 'wp_';. Silakan ganti nilai wp_ dengan awalan yang ingin Anda gunakan. Klien FTP Anda harus mengunggah perubahan saat Anda menyimpan dan menutup file.

Sekarang, akses database menggunakan phpMyAdmin. Pilih database Anda dan gunakan SQL tab di bagian atas layar untuk menjalankan kueri berikut untuk setiap tabel dalam database:

GANTI NAMA tabel wp_xxxx KE otherprefix_xxxx;

Berikut tampilan kueri tersebut di kehidupan nyata:

Ini adalah proses yang sangat sensitif, jadi Anda harus memastikan untuk memiliki cadangan situs lengkap (termasuk database) sebelum mencoba mengubah awalan.

Setelah proses selesai, pastikan situs web Anda berfungsi dengan baik. Jika Anda mengalami kesalahan, Anda mungkin lupa mengganti nama salah satu tabel database atau menjalankan kueri yang salah.

13. Sembunyikan /wp-admin dan /wp-login.php

Anda mungkin mengenali kedua akhiran URL ini. Mereka digunakan untuk masuk ke WordPress dan mengakses dashboard. Mereka mudah diingat, tetapi dapat membuat akses situs web Anda lebih mudah bagi peretas.

Dari sudut pandang keamanan, lebih masuk akal jika menggunakan akhiran yang berbeda untuk kedua URL. Untuk memulai, Anda dapat melihat tutorial tentang cara mengubah URL login WordPress. Ini termasuk instruksi untuk mengubah wp-login dan wp-admin.php baik secara manual maupun menggunakan plugin.

14. Instal sertifikat SSL untuk enkripsi data

Saat ini, tidak ada alasan bagi situs web untuk tidak menggunakan sertifikat lapisan soket aman (SSL). Sertifikat ini memvalidasi keabsahan situs Anda dan memungkinkan Anda menggunakan protokol HTTPS untuk mengirim dan menerima data terenkripsi.

Beberapa browser akan memperingatkan pengguna jika koneksi mereka ke situs tidak aman atau jika sertifikat SSL tidak valid atau kedaluwarsa.

Anda dapat mengikuti panduan ini untuk mendapatkan sertifikat SSL gratis untuk situs web Anda dan menginstalnya. Anda juga dapat menggunakan salah satu host web yang direkomendasikan Jetpack, yang semuanya menawarkan sertifikat SSL gratis dengan pengaturan otomatis.

15. Batasi akses FTP berdasarkan alamat IP

Secara default, siapa pun yang memiliki akses ke kredensial FTP situs web Anda dapat terhubung menggunakan protokol tersebut. Artinya, jika penyerang mendapatkan kredensial Anda, mereka dapat mengubah hampir semua aspek situs Anda.

Beberapa host web memberi Anda langkah-langkah keamanan FTP tingkat lanjut, seperti membatasi akses berdasarkan alamat IP. Ini memungkinkan Anda memilih alamat mana yang dapat terhubung ke situs web Anda melalui FTP.

Hanya administrator dan anggota tim lain yang memerlukan akses melalui FTP yang boleh memiliki izin yang diperlukan. Hal ini dapat membantu meminimalkan insiden keamanan dan membantu Anda mengidentifikasi siapa yang membuat perubahan pada file penting jika Anda mengalami masalah dengan WordPress.

Idealnya, Anda tidak akan menggunakan FTP sama sekali, melainkan memilih SFTP atau SSH untuk mengakses server Anda.

Proses ini akan bervariasi tergantung pada host web Anda. Jika Anda tidak yakin apakah penyedia hosting Anda mengizinkan Anda membatasi akses FTP berdasarkan alamat IP, Anda dapat memeriksa dokumentasinya.

16. Amankan izin file dan direktori

Sistem berbasis UNIX menggunakan aturan izin berdasarkan kumpulan angka. File dan direktori individual dapat memiliki serangkaian izin berbeda, yang mengatur siapa yang dapat mengakses, mengedit, dan menjalankannya.

Anda dapat membaca selengkapnya tentang cara kerja izin UNIX di Buku Panduan Pengembang WordPress.

Untuk saat ini, penting untuk dicatat bahwa ada tingkat izin yang ideal untuk situs web WordPress dan sistem filenya.

Ini adalah:

• 644 atau 640 untuk file. Kumpulan angka pertama memberi pemilik akses penuh baca dan tulis ke file, dan pengguna lain dalam grup hanya akan memiliki akses baca. Kumpulan izin kedua tidak menawarkan akses baca kepada pengguna.
• 755 atau 750 untuk direktori. Kumpulan izin ini berfungsi dengan cara yang sama seperti contoh terakhir, tetapi dengan direktori. 755 memberikan pemilik akses baca dan tulis penuh, dengan anggota grup lainnya memiliki akses baca.

Anda dapat mengubah izin file untuk sistem file WordPress Anda menggunakan FTP. Untuk melakukan ini, klik kanan pada file atau direktori dan pilih opsi izin file (ini dapat bervariasi tergantung pada klien FTP yang Anda gunakan).

Beberapa klien FTP memungkinkan Anda mengatur izin file dengan mencentang kotak tertentu serta menggunakan sistem numerik. Anda bebas memilih opsi mana pun yang Anda sukai.

17. Larang pengeditan file

WordPress menyertakan editor file tema dan plugin, meskipun beberapa host web menonaktifkannya secara default. Ini adalah editor teks sederhana yang dapat Anda gunakan dari dasbor untuk membuat perubahan pada kode plugin dan tema di situs web Anda.

Mengaktifkan pengeditan file dari dasbor menimbulkan risiko keamanan. Artinya, jika penyerang mendapatkan akses ke dasbor, mereka dapat langsung mengubah kode situs tanpa memerlukan kredensial FTP atau akses ke panel hosting.

Jika host web Anda mengizinkan Anda menggunakan pengeditan file di WordPress, Anda dapat menonaktifkan opsi ini secara manual dengan memodifikasi file wp-config.php . Buka file dan tambahkan baris kode berikut di akhir sebelum baris yang bertuliskan /* Itu saja, berhenti mengedit! Selamat ngeblog. */ :

 define('DISALLOW_FILE_EDIT', true);

Pastikan nilainya disetel ke “true”, lalu simpan perubahan ke wp-config.php dan tutup. Jika Anda memeriksa dasbor sekarang, editor tema dan plugin seharusnya tidak lagi muncul di sana.

18. Amankan file wp-config.php Anda

Seperti yang Anda lihat dari panduan pengerasan WordPress ini, file wp-config.php sangat penting dari sudut pandang keamanan. Anda dapat mengubah kode file untuk meningkatkan perlindungan situs web Anda, jadi penting agar tidak ada orang lain yang dapat mengaksesnya.

Kami telah mencari cara untuk melindungi file wp-config.php Anda dari akses tidak sah. Terutama, ini melibatkan pembatasan siapa yang dapat terhubung ke situs web Anda melalui FTP. Idealnya, Anda hanya memiliki satu atau sejumlah alamat IP yang diotorisasi untuk terhubung melalui FTP untuk mengurangi risiko.

Langkah keamanan kedua yang dapat Anda ambil adalah memastikan izin file yang tepat tersedia. Meskipun tingkat izin yang disarankan untuk file lain adalah 644 atau 640, file wp-config.php harus disetel ke 440 atau 400. Tingkat izin tersebut berarti bahwa pengguna lain selain administrator bahkan tidak akan bisa mendapatkan akses baca ke file.

Pentingnya cadangan untuk pemulihan bencana

Mengotomatiskan pencadangan mungkin merupakan tindakan keamanan yang paling penting. Dengan cadangan di luar situs terbaru, Anda selalu dapat memulihkan situs web Anda jika terjadi kesalahan.

Jika Anda menggunakan VaultPress Backup, Anda tidak perlu khawatir membuat cadangan secara manual. Anda dapat memeriksa cadangan yang tersedia dengan membuka Jetpack → VaultPress Backup dan mengklik Lihat cadangan Anda di tombol cloud .

Ini akan menampilkan semua cadangan yang tersedia dan menawarkan Anda opsi untuk memulihkannya dengan satu klik. VaultPress Backup membuat salinan situs Anda secara real-time kapan pun Anda melakukan perubahan, sehingga Anda akan selalu memiliki cadangan terbaru.

Cara Jetpack Security menangani pencadangan demi ketenangan pikiran

Mari kita lihat lebih dekat cara Jetpack Security menangani pencadangan. Perlu diperhatikan bahwa fitur berikut hanya tersedia dengan paket premium seperti Jetpack Security, Jetpack Complete, atau VaultPress Backup.

1. Pencadangan waktu nyata

Sebagian besar solusi pencadangan mengharuskan Anda membuat cadangan secara manual, atau membuatnya sesuai jadwal. Misalnya, Anda mungkin memiliki opsi untuk membuat cadangan harian, mingguan, atau bulanan.

Pencadangan harian adalah awal yang baik, namun meskipun demikian, Anda berisiko kehilangan data penting saat perlu memulihkan situs web Anda. Jika Anda membuat perubahan apa pun pada situs setelah pencadangan harian tersebut dan sebelum pencadangan berikutnya, Anda harus menerapkannya kembali.

VaultPress Backup memecahkan masalah ini dengan membuat salinan situs Anda secara real time. Setiap kali Anda melakukan perubahan, plugin akan mencadangkan semuanya, dan Anda akan memiliki titik pemulihan baru yang tersedia. Ini berarti Anda tidak menghadapi risiko kehilangan data.

2. Penyimpanan di luar lokasi yang sangat aman

Penyimpanan dapat menjadi masalah pada sebagian besar solusi pencadangan. Anda dapat menyimpan salinan situs Anda di servernya, secara lokal, atau bahkan menggunakan penyimpanan cloud. Solusi di luar lokasi lebih baik dari sudut pandang keamanan karena jika server mati, Anda masih memiliki akses ke solusi tersebut.

VaultPress Backup menawarkan solusi penyimpanan di luar lokasinya sendiri. Anda tidak perlu mengonfigurasi plugin agar berfungsi dengan penyedia penyimpanan cloud karena Anda mendapatkan akses ke penyimpanan Jetpack.

Plugin akan secara otomatis menyimpan cadangan 30 hari terakhir di luar lokasi. Kapan saja, Anda dapat memilih salah satu dari cadangan ini dan memulihkannya.

3. Pemulihan sekali klik

VaultPress Backup memudahkan pemulihan situs web Anda. Yang perlu Anda lakukan hanyalah memilih cadangan yang ingin Anda pulihkan dan mengonfirmasi pilihan Anda, dan plugin akan mengurus sisanya.

Saat Anda mengakses situs web Anda lagi, Anda akan melihat versi yang Anda pulihkan menggunakan VaultPress Backup. Sejak saat itu, Anda dapat terus melakukan perubahan pada situs.

Pertanyaan yang sering diajukan

Jika Anda masih memiliki pertanyaan tentang cara melindungi situs WordPress atau Cadangan VaultPress Anda, bagian ini akan menjawabnya.

Apa itu pengerasan WordPress dan mengapa itu penting?

Pengerasan WordPress mengacu pada proses meningkatkan keamanan situs Anda. Hal ini mempersulit penyerang untuk mengakses situs web.

Apa saja ancaman paling umum terhadap situs WordPress?

Sebagian besar kerentanan WordPress berasal dari plugin, tema, dan inti WordPress yang sudah ketinggalan zaman. Perangkat lunak yang ketinggalan jaman kemungkinan besar memiliki kerentanan yang dapat dieksploitasi oleh penyerang untuk mengakses atau mendapatkan kendali atas situs web Anda.

Bagaimana cara memantau situs WordPress saya untuk mengetahui kerentanan keamanan?

Cara termudah untuk memantau kerentanan situs Anda adalah dengan menggunakan pemindai keamanan. Jetpack Security memanfaatkan WPScan untuk meninjau situs web Anda untuk mengetahui kerentanan WordPress yang diketahui.

Selain itu, Jetpack dapat membantu Anda memperbaiki masalah keamanan apa pun yang ditemukan plugin selama pemindaian.

Apa yang harus saya cari di plugin keamanan WordPress?

Plugin keamanan WordPress terbaik menawarkan serangkaian fitur yang akan membantu melindungi situs web Anda sekaligus meminimalkan kebutuhan alat pihak ketiga lainnya. Anda dapat menggunakan Jetpack dengan paket Keamanan Jetpack untuk mendapatkan akses ke fitur seperti pencadangan real-time, WAF, perlindungan spam, penerapan 2FA, dan banyak lagi.

Berapa banyak situs yang mempercayai Jetpack untuk keamanan situs web mereka?

Jetpack adalah salah satu plugin WordPress paling populer di pasaran karena kekayaan fitur keamanan dan pengoptimalan kinerjanya. Lebih dari lima juta situs web menggunakan Jetpack, jadi ini adalah pilihan tepat bagi pengguna WordPress baru dan berpengalaman.

Apakah Jetpack Security juga dapat membantu mengatasi komentar spam dan pengiriman formulir?

Jetpack Security menyertakan fitur perlindungan spam yang secara otomatis memblokir atau memfilter komentar berisi spam berdasarkan algoritme dan data tingkat lanjut. Anda juga dapat meninjau komentar yang ditandai untuk memastikan tidak ada kesalahan positif.

Di mana saya dapat mempelajari lebih lanjut tentang Keamanan Jetpack?

Jika Anda ingin mempelajari lebih lanjut tentang Keamanan Jetpack, Anda dapat mengunjungi halaman beranda paket tersebut. Di sana Anda dapat menemukan informasi tambahan tentang fitur-fiturnya dan mendaftar untuk sebuah paket.

Lindungi situs web Anda menggunakan Jetpack Security

Ada banyak cara untuk memperkuat situs WordPress Anda. Beberapa di antaranya melibatkan penerapan langkah-langkah keamanan seperti mengubah login default dan URL dasbor, mengamankan file wp-config.php Anda, dan banyak lagi. Namun, dalam sebagian besar kasus, hal paling berdampak yang dapat Anda lakukan untuk melindungi situs Anda adalah dengan menggunakan plugin keamanan lengkap.

Jetpack Security adalah solusi ampuh. Ini memungkinkan Anda untuk melindungi halaman login Anda dan mempertahankan situs Anda terhadap serangan DDOS. Ini juga menyediakan cadangan waktu nyata, perlindungan spam, dan banyak lagi.

Jika Anda tidak yakin harus mulai dari mana ketika datang ke pengerasan WordPress, lihat Jetpack Security. Anda dapat mendaftar untuk sebuah rencana dan mulai melindungi situs web Anda segera!