Satu-satunya Daftar Periksa Keamanan WordPress yang Anda Butuhkan di tahun 2024

WordPress adalah sistem manajemen konten (CMS) yang aman, namun cara Anda menyiapkan dan mengonfigurasi situs web dapat memengaruhi tingkat keamanannya. Jika Anda tidak mengambil langkah untuk melindungi situs Anda, Anda mungkin menghadapi pelanggaran data atau kehilangan konten.

Untuk membantu Anda, kami telah membuat daftar periksa keamanan WordPress terbaik. Ini akan memandu Anda melalui semua langkah yang Anda perlukan untuk melindungi situs web Anda dari bot dan penyerang.

Dalam posting ini, kita akan melihat fitur keamanan bawaan WordPress. Kemudian, kami akan menunjukkan 30 hal yang dapat Anda lakukan untuk lebih melindungi situs Anda.

Apakah WordPress menawarkan keamanan bawaan?

Ya, WordPress menawarkan beberapa langkah keamanan. Dasbor admin Anda dilindungi oleh halaman login yang mengharuskan pengguna memasukkan nama pengguna dan kata sandi yang valid.

CMS juga mendapatkan patch dan pembaruan rutin untuk menghilangkan kerentanan keamanan. Secara umum, jika Anda selalu memperbarui WordPress dan komponennya, Anda akan terhindar dari kerentanan paling umum.

Meski begitu, ada juga unsur manusia yang perlu dipertimbangkan. Dalam banyak kasus, situs WordPress diretas karena kesalahan manusia, seperti membagikan atau menggunakan kembali kredensial login. Jika penyerang mendapatkan akses ke akun dengan hak istimewa tingkat tinggi, mereka dapat membuat kekacauan di situs web Anda.

Karena CMS adalah platform yang populer, penyerang memindai web untuk mencoba menemukan situs WordPress dengan kerentanan yang diketahui. Semakin banyak situs Anda berkembang, semakin besar targetnya.

Apa cara termudah untuk mengamankan situs WordPress?

Mengamankan situs WordPress mengharuskan Anda mengubah konfigurasi situs dan menambahkan beberapa fitur yang mempersulit penyerang untuk membobolnya. Jika Anda tidak punya waktu untuk mengikuti seluruh daftar periksa keamanan WordPress ini, hal terbaik yang dapat Anda lakukan adalah menginstal keamanan plugin.

Jetpack Security memberi Anda akses ke beberapa fitur keamanan, seperti pemindaian dan penghapusan malware otomatis, perlindungan spam, dan pencadangan waktu nyata.

Penting untuk dicatat bahwa tidak ada satu plugin pun yang dapat melindungi situs web Anda dari semua potensi ancaman yang mungkin dihadapi. Oleh karena itu, Anda pasti ingin mengamankan situs Anda lebih jauh lagi jika Anda serius dalam melindungi data dan kerja keras Anda.

Misalnya, Anda ingin menerapkan kata sandi yang kuat dan mengaktifkan otentikasi dua faktor (2FA). Kami akan melihat lebih dekat langkah-langkah keamanan ini (dan banyak lainnya) dalam daftar periksa kami.

Daftar periksa keamanan WordPress 30 langkah

Ingatlah bahwa Anda tidak perlu melakukan semua tindakan keamanan ini sekaligus. Mencoret setiap item dalam daftar periksa mungkin memerlukan waktu cukup lama, namun sebagian besar merupakan perbaikan yang hanya perlu Anda terapkan sekali.

Jadi, berikut 30 cara untuk meningkatkan keamanan situs Anda.

1. Selalu perbarui WordPress

Instalasi WordPress yang ketinggalan jaman mungkin merupakan penyebab terbesar pelanggaran keamanan. Banyak pengguna yang lupa memperbarui WordPress, beserta plugin dan tema di situs mereka. Ini adalah masalah yang signifikan, karena perangkat lunak yang ketinggalan jaman cenderung menjadi target utama para penyerang.

Semakin tua perangkat lunaknya, semakin banyak waktu yang dimiliki penyerang untuk menganalisis kodenya dan menemukan celah keamanan. Pengembang memantau ancaman ini dan memperbaikinya saat muncul. Oleh karena itu, Anda sebaiknya menjalankan pembaruan segera setelah dirilis.

Untungnya, WordPress memudahkan Anda untuk terus mengikuti pembaruan. Di dasbor Anda, buka Pembaruan tab, dan Anda akan melihat ikhtisar semua yang tersedia.

Jika Anda memiliki banyak pembaruan untuk dijalankan, penting untuk membuat cadangan situs WordPress Anda sebelum melanjutkan. Hal ini sangat penting saat memperbarui ke versi WordPress yang lebih baru, karena terkadang dapat menyebabkan masalah kompatibilitas dengan plugin dan tema.

Anda pasti ingin memeriksa halaman pembaruan Anda setiap hari. Alternatifnya, Anda dapat mengaktifkan pembaruan otomatis untuk plugin dan tema Anda.

Dengan cara ini, jika Anda lupa memeriksa pembaruan pada situs Anda, ini akan dijalankan secara otomatis.

2. Buat nama pengguna dan kata sandi yang kuat

Situs web Anda hanya seaman kredensial yang Anda gunakan untuk mengaksesnya. WordPress sendiri akan memberi tahu Anda jika Anda menyetel kata sandi yang lemah saat membuat akun baru.

Kata sandi yang “lemah” adalah kata sandi yang mudah ditebak. Jika kredensial Anda seperti “administrator” dan “1234”, kemungkinan besar situs Anda akan menjadi korban serangan brute force.

Idealnya, kata sandi Anda harus berisi setidaknya delapan karakter dan kombinasi huruf, angka, dan karakter khusus. Jika Anda memiliki banyak pengguna di situs WordPress Anda, Anda mungkin ingin mengingatkan mereka untuk menggunakan kredensial yang kuat dan mengubah kata sandi mereka setiap beberapa bulan.

3. Tambahkan lapisan perlindungan ekstra dengan 2FA

Otentikasi dua faktor adalah tindakan keamanan yang mengharuskan Anda menggunakan otentikasi lapisan kedua saat masuk ke situs. Misalnya, beberapa situs web mungkin mengharuskan Anda memasukkan kode satu kali yang dikirim melalui email atau SMS.

Tujuan 2FA adalah membuat penyerang hampir mustahil menebak kredensial Anda. Tanpa akses ke perangkat atau akun lain, mereka tidak akan bisa masuk ke WordPress.

Secara default, WordPress tidak menyertakan fungsionalitas 2FA, jadi Anda perlu menggunakan plugin seperti Jetpack untuk menambahkan fitur ini ke situs Anda. Dengan Jetpack, Anda dapat menambahkan 2FA (disebut autentikasi aman) yang berfungsi dengan akun WordPress.com Anda.

4. Instal plugin keamanan tepercaya

Plugin keamanan WordPress yang kuat akan membantu Anda mencoret beberapa item dalam daftar periksa keamanan WordPress ini. Idealnya, Anda akan memilih satu alat yang menawarkan fitur berikut:

Pemindaian malware

Jika situs web Anda terinfeksi, Anda pasti ingin mengetahuinya sesegera mungkin. Pemindaian malware secara rutin akan memberi tahu Anda jika ada bagian situs web Anda yang berisiko.

Alat penghapus malware

Jika plugin keamanan Anda mengidentifikasi malware, Anda memerlukan bantuan untuk menghapusnya. Ini mungkin melibatkan penghapusan file atau penggantiannya, tergantung pada bagian situs WordPress Anda yang terinfeksi.

Cadangan

Ada banyak solusi dan plugin cadangan mandiri untuk WordPress. Beberapa alat keamanan lengkap menyertakan pencadangan otomatis, jadi Anda tidak perlu memasang plugin tambahan.

Log keamanan

Idealnya, Anda ingin mengetahui segala sesuatu yang terjadi di situs web Anda. Log keamanan mencatat peristiwa di WordPress dan memungkinkan Anda mencarinya untuk menemukan aktivitas mencurigakan.

implementasi 2FA

Seperti yang telah kita bahas sebelumnya, 2FA adalah alat penting yang dapat membantu Anda meminimalkan risiko pelanggaran keamanan akibat kredensial yang dicuri.

Keamanan Jetpack mencakup semua fitur tersebut, sehingga Anda dapat melakukan beberapa langkah dalam daftar periksa keamanan ini dengan satu alat.

5. Gunakan firewall aplikasi web (WAF)

WAF adalah solusi keamanan yang membantu melindungi aplikasi dan situs web — termasuk situs WordPress — dari serangan dengan memfilter dan memantau lalu lintas. Tergantung pada perangkat lunaknya, ia harus dapat mengidentifikasi lalu lintas berbahaya menggunakan aturan yang telah ditetapkan atau basis data penyerang yang diketahui.

Banyak web host secara otomatis menyiapkan firewall untuk pelanggan mereka. Anda juga dapat menggunakan Jetpack Security untuk menambahkan WAF untuk situs WordPress Anda.

Keamanan Jetpack memungkinkan Anda mengonfigurasi WAF untuk menggunakan aturan yang telah ditetapkan sebelumnya dan memblokir alamat IP tertentu. Anda juga dapat berbagi data aktivitas dengan Jetpack, yang membantu menjadikan WAF lebih efektif dengan mengembangkan database ancaman yang diketahui.

6. Pindai WordPress secara teratur untuk mencari malware dan kerentanan

Memindai situs web Anda dari malware dan kerentanan melibatkan peninjauan semua filenya untuk mencari modifikasi tidak sah atau kode berbahaya. Meskipun prosesnya mungkin tampak sulit, ada alat yang dapat melakukannya untuk Anda.

Jetpack Security menggunakan WPScan (database terbesar dari kerentanan WordPress yang diketahui) untuk memindai situs web Anda.

Jika plugin WordPress menemukan malware atau kerentanan, plugin tersebut dapat segera memberi tahu Anda dan bahkan membantu menghapus atau memperbaiki file yang terpengaruh. Ini jauh lebih sederhana daripada pendekatan manual, yang mengharuskan Anda menentukan file mana yang akan dihapus dan mencari cara memperbaikinya.

7. Cadangkan situs Anda secara rutin atau real-time

Cadangan adalah komponen penting dari keamanan situs web. Jika sesuatu terjadi pada situs Anda, hal itu memungkinkan Anda untuk aktif dan berjalan kembali dengan cepat.

Mengandalkan penyedia hosting Anda untuk pencadangan bukanlah pilihan yang aman, karena kompromi pada server Anda dapat membuat situs WordPress Anda dan cadangannya tidak berguna.

Sebaliknya, Anda memerlukan solusi pencadangan di luar situs secara real-time untuk memastikan bahwa Anda terlindungi 24/7 dan dapat memulihkan situs Anda kapan saja — meskipun situs benar-benar tidak aktif.

Jetpack VaultPress Backup melakukan hal ini, menyimpan situs Anda setiap kali Anda melakukan perubahan.

Plugin menyimpan cadangan ini di cloud untuk menghindari kepadatan server. Ini menggunakan kombinasi pencadangan inkremental dan diferensial, sehingga tidak perlu menyalin seluruh situs dan database Anda setiap kali Anda melakukan perubahan, sehingga prosesnya jauh lebih efisien.

Selain perubahan situs web, Jetpack VaultPress Backup menyimpan komentar baru, perintah, dan tindakan pengguna lainnya. Ini adalah alat cadangan utama untuk toko WooCommerce, karena akan menyimpan pesanan bahkan jika Anda harus mengembalikan situs WordPress Anda ke versi sebelumnya.

8. Simpan cadangan Anda di server terpisah

Seperti disebutkan di atas, membuat cadangan saja tidak cukup. Anda perlu menyimpannya di beberapa lokasi di luar situs yang aman, sehingga jika terjadi pelanggaran keamanan digital atau bencana fisik di satu pusat data, Anda masih dapat mengakses dan memulihkan file situs Anda. Ini adalah alasan yang sama mengapa Anda tidak dapat mengandalkan cadangan dari host Anda saja — situs dan cadangan Anda dapat disusupi sekaligus.

Jika Anda menggunakan VaultPress Backup, semua ini akan ditangani untuk Anda. Cadangan Anda disimpan di beberapa lokasi di cloud dan selalu dapat diakses, meskipun situs Anda sedang tidak aktif.

9. Melacak aktivitas pengguna

Jika Anda memiliki akses ke log aktivitas situs Anda, Anda akan dapat melihat ketika seseorang mencoba masuk beberapa kali dan gagal, apakah ada modifikasi pada file WordPress, apakah seseorang menginstal plugin baru, dan banyak lagi.

Bayangkan log sebagai teknologi yang setara dengan rekaman keamanan. Anda harap Anda tidak perlu menggunakannya, namun ini adalah fitur keamanan yang banyak digunakan karena suatu alasan. WordPress tidak menawarkan fungsi ini secara default, jadi Anda perlu mencari plugin yang menawarkan fungsi ini.

Jetpack Security memungkinkan Anda memantau semua yang terjadi di situs web Anda. Itu menyimpan log aktivitas yang mencatat siapa melakukan apa, dengan tanggal dan waktu. Jika Anda mengalami masalah keamanan, Anda dapat memeriksa log ini untuk mengetahui penyebabnya.

Ini juga terintegrasi dengan fungsionalitas Cadangan VaultPress, sehingga Anda dapat memulihkan situs Anda ke momen tertentu berdasarkan apa yang Anda temukan di log aktivitas.

10. Kontrol akses dan izin pengguna

Salah satu cara paling sederhana untuk menjaga keamanan sistem adalah dengan membatasi siapa yang memiliki akses ke sistem tersebut. Jika Anda satu-satunya orang yang bekerja di situs Anda, tidak ada orang lain yang mengetahui informasi login WordPress Anda.

Saat bekerja dengan tim, penting bagi Anda untuk memanfaatkan sepenuhnya sistem peran pengguna WordPress. CMS menawarkan beberapa peran yang dapat Anda tetapkan kepada pengguna, bergantung pada izin yang Anda ingin mereka miliki.

Peran tertinggi adalah administrator dan merupakan satu-satunya pengguna yang memiliki akses penuh ke semua fitur dan pengaturan WordPress. Pengguna WordPress lainnya, seperti penulis, hanya dapat mempublikasikan konten mereka sendiri dan tidak dapat mengubah konfigurasi situs atau bahkan mengakses pengaturannya.

Saat mempertimbangkan peran apa yang akan ditetapkan kepada setiap pengguna, pikirkan tentang izin yang mereka perlukan untuk menjalankan tugasnya. Pengguna mana pun tidak boleh memiliki izin lebih dari yang mereka perlukan. Pembatasan ini akan membuat situs Anda lebih aman.

11. Batasi jumlah upaya login yang diperbolehkan

Upaya login berulang kali dapat menjadi tanda bahwa seseorang lupa kredensialnya. Namun jika jumlah percobaannya lebih dari segelintir, Anda mungkin berhadapan dengan seseorang yang mencoba membobol situs web Anda.

Anda harus membatasi upaya login yang diperbolehkan dalam jangka waktu tertentu untuk menghentikan serangan brute force otomatis. Sekali lagi, Anda dapat menggunakan Jetpack untuk menerapkan tindakan keamanan ini.

Plugin ini dapat memblokir penyerang yang mencoba menggunakan kredensial umum untuk masuk ke situs web Anda. Anda juga dapat mengonfigurasinya untuk mengizinkan alamat IP tertentu, sehingga hanya penggunanya yang dapat masuk ke WordPress.

12. Gunakan CDN untuk membantu melindungi terhadap serangan DDoS

Jaringan pengiriman konten (CDN) adalah sistem data yang menyimpan salinan situs web Anda di server di berbagai lokasi di seluruh dunia — mengurangi latensi yang dapat terjadi ketika seseorang mencoba mengunjungi situs yang dihosting di negara yang jauh. Ketika seseorang mencoba mengunjungi situs WordPress Anda, CDN akan secara otomatis merespons permintaan dari server terdekat.

CDN dapat meringankan beban di server Anda, membantu Anda menangani lebih banyak lalu lintas, mengurangi waktu pemuatan, dan melindungi Anda dari serangan penolakan layanan terdistribusi (DDoS). Karena serangan tidak akan mengenai server Anda secara langsung, dampaknya tidak akan terlalu besar jika dibanjiri oleh lalu lintas bot.

Jika Anda menggunakan Jetpack Security, Anda memiliki akses ke CDN image yang dapat membantu Anda menyimpan file media dalam cache untuk waktu pemuatan yang lebih cepat. Selain itu, secara otomatis mengubah ukuran gambar dan menyajikan opsi terbaik berdasarkan perangkat individu masing-masing pengunjung. Anda juga dapat mempertimbangkan untuk mengintegrasikan CDN lain dengan WordPress untuk mengurangi waktu pemuatan lebih jauh dan melindungi situs Anda dari peningkatan lalu lintas secara tiba-tiba.

13. Instal sertifikat SSL

Sertifikat lapisan soket aman (SSL) adalah sinyal bahwa situs web Anda dapat dipercaya. Ini juga memungkinkan Anda memuat situs Anda melalui HTTPS, yang mengenkripsi data yang mengalir ke dan dari situs web Anda.

Sebagian besar browser memberi sinyal bahwa situs web memiliki sertifikat SSL dengan ikon gembok sederhana di bilah navigasi.

Saat ini, sebagian besar web host terkemuka menawarkan sertifikat SSL gratis dan pengaturan otomatis untuk pengguna. Jika host web Anda tidak melakukan hal ini, Anda bisa mendapatkan sertifikat gratis dari sumber seperti Let's Encrypt.

Setelah sertifikat siap, Anda harus menginstalnya lalu mengaktifkan HTTPS. Ada beberapa cara untuk memaksa WordPress memuat melalui HTTPS. SSL Sangat Sederhana memungkinkan Anda melakukan ini dengan satu klik sederhana.

Kami menjaga situs Anda. Anda menjalankan bisnis Anda.

Jetpack Security menyediakan keamanan situs WordPress yang komprehensif dan mudah digunakan, termasuk pencadangan real-time, firewall aplikasi web, pemindaian malware, dan perlindungan spam.

Amankan situs Anda

14. Lebih memilih SFTP daripada FTP saat mentransfer file

Protokol transfer file (FTP) memungkinkan Anda terhubung ke situs web Anda dan mengunggah, mengunduh, dan memodifikasi file secara langsung. Protokol ini menggunakan serangkaian kredensial berbeda, yang harus disediakan oleh host web Anda untuk Anda.

Beberapa host menggunakan versi protokol yang diperbarui dan lebih aman yang disebut SFTP. Klien FTP modern mendukung kedua protokol dan cara kerjanya sama. Perbedaan utamanya adalah SFTP mengenkripsi data yang Anda kirim dan terima dari server (seperti HTTPS).

Jika host web Anda memungkinkan Anda menggunakan FTP dan SFTP, gunakan SFTP secara default. Jika host web Anda hanya mendukung FTP, Anda mungkin ingin mempertimbangkan untuk beralih ke penyedia yang menawarkan fitur keamanan lebih baik.

15. Selalu perbarui versi PHP Anda

WordPress dibangun di atas PHP, dan versi yang Anda gunakan memainkan peran penting dalam kecepatan situs. Versi PHP yang lebih baru menyertakan perbaikan keamanan yang dapat membantu situs web Anda berjalan lebih cepat dan mencegah eksploitasi.

Anda dapat melihat versi PHP yang digunakan server Anda dengan membuka Kesehatan Situs → Info dan membuka Server tab.

Bandingkan informasi tersebut dengan rilis PHP terbaru dan lihat apakah host web Anda menggunakan versi terbaru. Beberapa web host mungkin mengizinkan Anda untuk beralih antar versi PHP. Jika milik Anda tidak memilikinya, mungkin ini saatnya mempertimbangkan untuk beralih ke host WordPress baru.

16. Hapus tema dan plugin WordPress yang tidak aktif

Merupakan aturan praktis yang baik untuk menonaktifkan dan menghapus plugin atau tema WordPress yang tidak lagi Anda gunakan. Hal ini dapat mengurangi kemungkinan masalah kompatibilitas atau kerentanan.

Menghapus tema dan plugin yang tidak aktif akan membuat situs web Anda lebih aman dan terorganisir. Anda sebaiknya meninjau plugin aktif Anda secara berkala dan mencatat plugin yang tidak lagi Anda gunakan.

17. Nilai plugin dan tema baru dengan cermat

Sebelum Anda memasang plugin atau tema apa pun di situs web Anda, penting untuk memastikan bahwa plugin atau tema tersebut berasal dari pengembang yang memiliki reputasi baik dan memiliki rekam jejak yang baik. Anda dapat melakukan ini dengan memeriksa peringkat dan ulasannya.

Hal yang sama berlaku untuk tema WordPress. Sebagian besar repositori plugin dan tema akan menampilkan riwayat pembaruan kepada Anda. Plugin atau tema yang memiliki reputasi baik akan memiliki pembaruan rutin, yang berarti pengembang secara aktif mengerjakannya.

Anda ingin menghindari plugin dan tema WordPress yang tidak menerima pembaruan lagi. Betapapun bergunanya kode tersebut, kode tersebut dapat menyebabkan kerentanan pada situs web Anda karena kodenya sudah usang.

18. Berinvestasilah pada penyedia hosting yang aman

Tidak semua penyedia hosting menawarkan tingkat layanan, kinerja, dan fitur yang sama. Beberapa lebih baik dari yang lain, dan itu tidak berarti harganya lebih mahal.

Memilih penyedia hosting WordPress yang kuat dan aman adalah keputusan penting karena Anda biasanya akan terikat pada penyedia tersebut untuk jangka waktu yang lama. Penting bagi Anda untuk membaca ulasan sebanyak mungkin dan melakukan riset sebelum berkomitmen pada layanan apa pun.

Jika Anda memerlukan bantuan, Anda dapat melihat daftar host yang direkomendasikan Jetpack ini, beberapa di antaranya menyertakan fitur utama Jetpack sebagai bagian dari layanan hosting WordPress terkelola.

19. Ubah admin default nama belakang

Saat Anda mengatur WordPress, itu akan membuat nama pengguna admin secara default. Hal ini memudahkan untuk mengingat kredensial Anda, tetapi juga memudahkan penyerang menebak detail Anda.

Jika akun admin WordPress Anda sudah disiapkan, Anda memiliki dua opsi untuk mengubah nama pengguna administrator default:

1. Buat akun administrator baru. Anda dapat membuat akun administrator baru dengan nama pengguna apa pun yang Anda inginkan, lalu beralih ke nama pengguna tersebut. Setelah melakukannya, Anda dapat menghapus akun lama dan melanjutkan menggunakan akun baru.
2. Ubah nama pengguna menggunakan phpMyAdmin. Jika Anda ingin mempertahankan akun yang ada, Anda dapat mengubah nama pengguna melalui database.

Tidak ada nama pengguna yang mudah ditebak, terutama jika menyangkut akun administrator. Jika seseorang mendapat akses ke sana, mereka akan dapat membuat perubahan apa pun yang mereka inginkan pada situs web Anda.

20. Ubah awalan database default

Awalan database default di WordPress adalah wp_ . Artinya, jika penyerang mengetahui nama database, mereka juga dapat menebak awalannya dan menggunakan informasi tersebut untuk mencoba menanyakannya.

Anda dapat meminimalkan risiko itu dengan mengubah awalan database default menjadi apa pun selain wp_ . Ini adalah proses dua langkah. Langkah pertama adalah mengubah awalan database di file wp-config.php , yang seharusnya memiliki baris seperti ini:

 $table_prefix = 'wp_';

Setelah melakukan perubahan pada wp-config.php , Anda perlu memperbarui tabel di database dengan awalan baru. Anda dapat melakukan ini menggunakan phpMyAdmin dan menjalankan beberapa kueri serupa dengan ini:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Anda dapat menggunakan struktur kueri tersebut dan mengubah apa yang muncul setelah “TO” untuk mencocokkan nama tabel dengan awalan yang diperbarui. Ingatlah bahwa Anda harus menjalankan kueri tersebut untuk setiap tabel dalam database, dan sampai Anda melakukannya, situs Anda tidak akan berfungsi dengan baik.

21. Ubah URL default /wp-admin dan /wp-login.php

URL /wp-admin dan /wp-login.php memungkinkan Anda mengakses dashboard dan halaman login di WordPress. URL ini mudah diingat, namun membuat situs Anda lebih rentan. Jika seseorang ingin membobol situs web Anda, mereka sering kali memulai dengan URL login WordPress default.

Anda dapat mempersulit penyerang dengan mengubah URL default tersebut. Ada plugin yang memungkinkan Anda melakukan ini, seperti WPS Hide Login. Alternatifnya, Anda dapat mengubah URL login melalui file .htaccess jika Anda lebih memilih pendekatan manual.

22. Batasi akses wp-admin hanya pada alamat IP resmi

URL /wp-admin membuka dasbor di WordPress. Secara teknis, tidak seorang pun boleh memiliki akses ke dasbor tanpa kredensial yang tepat. Anda dapat mengambil langkah keamanan lebih jauh dengan membatasi akses hanya pada IP yang diizinkan.

Itu bukan fitur yang ditawarkan WordPress. Untuk menerapkannya, Anda perlu menambahkan kode berikut ke file .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

XXX.xxx.xxx.xxx adalah singkatan dari alamat IP yang ingin Anda izinkan. Perhatikan bahwa Anda dapat menambahkan beberapa IP dengan menyalin baris tersebut dan memasukkan alamat yang berbeda.

Anda juga harus mengubah jalur direktori agar cocok dengan lokasi direktori root di server. Setelah menyimpan file, alamat IP mana pun yang tidak ada dalam daftar akan melihat kesalahan jika mereka mencoba mengakses dasbor.

23. Batasi akses FTP hanya pada alamat IP resmi

Anda dapat membatasi akses FTP/SFTP ke situs web Anda dengan membatasi siapa yang memiliki akses ke kredensial terkait. Beberapa panel kontrol hosting juga memungkinkan Anda membatasi akses FTP berdasarkan alamat IP.

Ini ideal jika Anda memiliki alamat IP statis, karena ini akan mencegah orang lain terhubung ke situs web dan mengakses file-filenya melalui FTP, bahkan dengan kredensial yang tepat. Tanpa IP statis, pengaturan ini bahkan dapat membatasi akses Anda sendiri ke situs tersebut.

Ingatlah bahwa hanya beberapa orang terpilih yang dapat terhubung ke situs web menggunakan FTP. Jika Anda bekerja dengan orang lain, dan mereka tidak memiliki alasan untuk mengakses atau mengedit file inti secara langsung, mereka seharusnya tidak memiliki akses ke kredensial FTP Anda.

24. Amankan file wp-config.php Anda

File wp-config.php berisi informasi penting tentang situs web Anda, termasuk detail tentang database. Secara default, file tersebut terletak di direktori root WordPress.

Cara termudah untuk mengamankan file adalah dengan memindahkannya langsung ke luar direktori root . Jika WordPress tidak dapat menemukan wp-config.php di tempat biasanya, WordPress akan mencarinya di satu direktori di atas lokasi biasanya.

Pilihan lainnya adalah mengonfigurasi izin file untuk membatasi akses kepada siapa pun selain administrator (yaitu Anda). Untuk melakukannya, Anda harus memahami cara kerja izin file di sistem berbasis UNIX dan mengubah konfigurasi file menggunakan SFTP.

25. Nonaktifkan pengeditan file untuk memblokir perubahan berbahaya

Hanya administrator yang boleh memiliki izin untuk mengakses dan memodifikasi file inti WordPress. Biasanya, Anda dapat mengakses fungsionalitas pengeditan file dari dasbor. Artinya Anda bisa langsung mengedit file inti, plugin, dan tema tanpa meninggalkan admin WordPress.

Bergantung pada tingkat izin yang dimiliki pengguna, mereka mungkin dapat mengakses editor file. Cara terbaik untuk mencegah hal ini adalah dengan menonaktifkan pengeditan file sama sekali.

Untuk menerapkan tindakan keamanan ini, buka file wp-config.php dan tambahkan baris kode berikut sebelum akhir:

 define('DISALLOW_FILE_EDIT', true);

Simpan perubahan pada file dan tutup. Perhatikan bahwa Anda masih dapat mengedit file, namun Anda harus menggunakan SFTP untuk melakukannya, yang merupakan opsi yang lebih baik (dan lebih aman) daripada menggunakan editor file WordPress.

26. Nonaktifkan eksekusi file PHP

Menonaktifkan eksekusi file PHP di direktori tertentu di situs WordPress Anda adalah tindakan keamanan yang membantu mencegah berjalannya skrip berbahaya. Jika penyerang berhasil mengunggah skrip PHP ke situs web Anda, mereka mungkin dapat mengeksekusinya untuk mendapatkan akses tidak sah, memanipulasi data, atau mendistribusikan malware.

Anda dapat menonaktifkan eksekusi file PHP di direktori tertentu dengan menghubungkan ke WordPress melalui FTP dan menavigasi ke folder root . Di dalamnya, Anda dapat memilih direktori apa yang ingin Anda lindungi dan membuat file .htaccess baru di dalam masing-masing direktori.

Berikut kode yang perlu Anda tambahkan ke file tersebut:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Perhatikan bahwa menonaktifkan eksekusi PHP di tingkat direktori root mungkin berdampak pada fungsionalitas WordPress. Bagaimanapun, seluruh CMS dibangun di atas PHP. Itu berarti lebih baik menonaktifkannya untuk masing-masing folder seperti direktori file media.

27. Matikan pelaporan kesalahan PHP

Menampilkan kesalahan secara publik dapat mengekspos potensi kerentanan di situs WordPress Anda kepada penyerang. Pesan kesalahan PHP dapat mencakup informasi sensitif seperti jalur file, detail struktur database, atau data lain yang dapat digunakan untuk mengeksploitasi situs web Anda.

WordPress memungkinkan Anda menonaktifkan pelaporan kesalahan PHP dengan mengubah file wp-config.php . Anda dapat menambahkan kode berikut ke file untuk menonaktifkan mode debug WordPress dan menyembunyikan kesalahan di front-end:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Tambahkan kode itu sebelum akhir file wp-config.php dan pastikan Anda memiliki cadangan terbaru situs WordPress Anda sebelum menyimpannya. Ingatlah bahwa pelaporan kesalahan terkadang berguna untuk memecahkan masalah, jadi Anda mungkin perlu mengaktifkan kembali fitur ini suatu saat nanti.

28. Nonaktifkan penelusuran direktori di situs web Anda

Penjelajahan direktori adalah fitur yang memungkinkan pengunjung mengakses URL seperti situs webAnda.com/wp-content dan melihat konten direktori tersebut. Jika penjelajahan direktori diaktifkan, pengguna akan dapat melihat daftar folder dan file internal dan bahkan mengaksesnya tergantung pada izin mereka.

Dari sudut pandang keamanan, masuk akal untuk menonaktifkan penelusuran direktori. Banyak web host WordPress melakukan ini secara default. Jika tidak, Anda dapat menonaktifkan penjelajahan direktori dengan menambahkan kode berikut ke file .htaccess Anda:

 Options -Indexes

Ini adalah perubahan sederhana, sehingga penerapannya tidak memerlukan waktu lama. Setelah itu, jika pengguna mencoba mengunjungi direktori, mereka akan melihat pesan kesalahan sederhana.

29. Sembunyikan versi WordPress Anda

Secara default, versi WordPress yang Anda gunakan saat ini tercantum dalam kode sumber Anda. Jika seseorang mengetahui versi WordPress yang Anda gunakan (dan versi tersebut sudah ketinggalan jaman), mereka dapat melihat kerentanan spesifik untuk versi tersebut, sehingga lebih mudah untuk membobol situs web Anda.

Untuk menyembunyikan versi WordPress Anda, Anda dapat menambahkan kode ini ke file function.php Anda:

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Hindari CAPTCHA untuk perlindungan spam

CAPTCHA adalah solusi yang layak untuk melindungi situs web dan formulir dari spam, namun bukannya tanpa masalah.

Menggunakan CAPTCHA di situs web Anda menambah kerumitan yang dapat mengganggu dan menjauhkan pengunjung sah dan bahkan tidak mungkin diselesaikan — terutama bagi mereka yang memiliki keterbatasan.

Perkembangan terkini dalam vektor serangan juga membuat CAPTCHA menjadi kurang efektif. Jika Anda ingin mencegah spam (yang dapat mengakibatkan pelanggaran keamanan) namun juga ingin memaksimalkan tingkat konversi melalui pengalaman pengguna yang optimal, inilah saatnya mempertimbangkan alternatif lain.

Akismet adalah solusi perlindungan spam lengkap untuk WordPress yang bekerja sepenuhnya di latar belakang. Plugin WordPress membantu Anda memblokir spam dengan menggunakan database pelaku kejahatan yang diketahui, dan mengidentifikasi serta memblokir kata dan URL tertentu dari komentar di situs Anda. Semua itu dilakukan secara otomatis, tanpa pengunjung harus menggunakan CAPTCHA untuk memverifikasi apakah mereka manusia.

Pertanyaan yang sering diajukan tentang keamanan WordPress

Jika Anda masih memiliki pertanyaan tentang cara melindungi situs WordPress Anda, bagian ini akan menjawabnya.

Apa manfaat memiliki daftar periksa keamanan WordPress?

Memiliki akses ke daftar periksa keamanan WordPress akan membantu Anda menentukan tindakan apa yang telah Anda ambil untuk melindungi situs Anda dan apa yang masih harus dilakukan. Daftar periksa adalah sumber sederhana yang dapat Anda rujuk kapan saja untuk melihat tindakan keamanan apa yang dapat Anda terapkan di WordPress.

Apa cara tercepat untuk meningkatkan keamanan WordPress saya?

Cara tercepat untuk melindungi situs WordPress Anda adalah dengan menggunakan plugin keamanan WordPress. Bergantung pada plugin yang Anda gunakan, Anda akan mendapatkan akses ke fitur seperti 2FA, log aktivitas, alat pencadangan, dan pemindaian malware. Jetpack Security mencakup semua fitur tersebut.

Bagaimana cara memindai situs WordPress saya untuk mencari malware dan kerentanan?

Anda dapat menggunakan plugin seperti Jetpack Security untuk memindai situs WordPress Anda dari malware. Alat ini juga akan menyoroti potensi kerentanan di situs web Anda. Kemudian, Anda dapat mengambil langkah-langkah yang diperlukan untuk menghilangkan masalah ini.

Jika Anda tidak memerlukan plugin keamanan WordPress yang komprehensif, Anda juga bisa mendapatkan pemindaian malware melalui plugin WordPress mandiri seperti Jetpack Protect.

Apa cara paling andal untuk mencadangkan dan memulihkan situs WordPress saya?

Pilihan terbaik Anda adalah menggunakan solusi otomatis, sehingga Anda tidak perlu membuat cadangan secara manual. Plugin juga harus menyimpan salinan pada solusi penyimpanan di luar situs untuk menghindari masalah jika server Anda disusupi.

Plugin Jetpack VaultPress Backup menawarkan pencadangan waktu nyata. Itu juga membuat salinan aman situs WordPress Anda di cloud. Anda juga dapat mengakses VaultPress Backup bersama dengan sejumlah fitur lainnya sebagai bagian dari Keamanan Jetpack.

Keamanan Jetpack: Plugin keamanan #1 untuk WordPress

Jetpack Security menawarkan kumpulan fitur keamanan yang akan melindungi situs WordPress Anda. Dengan plugin ini, Anda dapat mencoret beberapa item dari daftar periksa keamanan WordPress.

Misalnya, Anda mendapatkan akses ke solusi pencadangan, pemindaian malware dan penghapusan sekali klik, perlindungan spam, log aktivitas, autentikasi dua faktor, dan banyak lagi. Ini menjadikan Jetpack salah satu alat keamanan terlengkap yang dapat Anda gunakan untuk WordPress.

Apakah Anda siap untuk meningkatkan keamanan situs Anda? Mulailah dengan keamanan Jetpack hari ini!