Cara Mengamankan Situs WordPress Anda di Tahun 2023 (Tutorial Lengkap)

Diterbitkan: 2023-07-28

WordPress telah menjadi salah satu sistem manajemen konten (CMS) terpopuler di dunia, dengan lebih dari 44% situs web dibangun di atasnya. Seperti halnya platform online lainnya, keamanan harus menjadi perhatian utama Anda. Dalam posting ini, kami akan memeriksa masalah keamanan WordPress dan memberikan tip tentang cara menjaga situs web WordPress Anda tetap aman dan terlindungi.

Mari selami.

Daftar isi
  • 1 Apakah WordPress Aman?
  • 2 Masalah Keamanan WordPress
  • 3 Cara Mengamankan Situs WordPress Anda
    • Keamanan WordPress 3.1 : Pilih Hosting WordPress yang Baik
    • 3.2 Jaga Keamanan Login WordPress Anda
    • 3.3 Menggunakan Rangkaian Plugin Keamanan WordPress
    • 3.4 Terus Perbarui PHP
    • 3.5 Pilih Kata Sandi yang Kuat
    • 3.6 Keamanan WordPress: Terus Perbarui Perangkat Lunak
    • 3.7 Instal Sertifikat SSL
    • 3.8 Melakukan Audit Keamanan
    • 3.9 Teknik Keamanan WordPress Tingkat Lanjut
  • 4 Apa yang Harus Dilakukan jika Situs WordPress Anda Diretas
  • 5 Pemikiran Terakhir tentang Keamanan WordPress

Apakah WordPress Aman?

WordPress.org

Untuk sebagian besar, ya. Pengembang WordPress bekerja keras untuk menjaga keamanan platform mereka melalui tambalan dan pembaruan yang terjadi secara berkala. Namun, karena WordPress dibuat dengan kerangka kerja sumber terbuka, peretas dapat menganalisis cara pembuatannya dan sering kali mengembangkan cara baru untuk menguasai situs web WordPress. Karena itu, keamanan WordPress sangat penting. Mengetahui risiko yang terkait dengan penggunaan WordPress penting untuk lebih memahami cara mengamankan situs web Anda.

Masalah Keamanan WordPress

Saat mengoperasikan situs web WordPress, ada beberapa potensi risiko yang harus diperhatikan. Salah satu kekhawatiran terbesar adalah peretas. Karena WordPress sangat populer, itu menarik perhatian aktor jahat yang mencoba mengeksploitasi kerentanan seperti plugin usang atau file inti untuk mendapatkan akses tidak sah ke situs Anda. Mereka dapat menggunakan metode seperti pintu belakang, meluncurkan serangan brute force, serangan farmasi, serangan denial of service (DoS), atau cross-site scripting (XSS).

Jika dibiarkan tidak terselesaikan, dapat terjadi konsekuensi serius, seperti malware (kode jahat yang dirancang untuk mencuri informasi pengunjung situs Anda), meneruskan situs web Anda ke situs yang sama sekali berbeda, menambahkan konten yang tidak Anda sadari, peringatan Google yang dapat merusak posisi Anda di SERP, atau lebih buruk lagi, tidak dapat masuk ke situs web Anda.

Cara Mengamankan Situs WordPress Anda

Bagian berikut akan mengeksplorasi praktik terbaik untuk meningkatkan keamanan WordPress guna melindungi situs web Anda dari potensi ancaman.

Berlangganan Ke Saluran Youtube Kami

Keamanan WordPress: Pilih Hosting WordPress yang Baik

Langkah pertama yang harus diambil adalah bermitra dengan perusahaan hosting WordPress yang bagus. Dengan begitu banyak pilihan yang tersedia, sulit untuk menentukan bagaimana memilih host yang tepat. Jika Anda seorang pemula, mungkin yang terbaik adalah memilih penyedia hosting terkelola yang baik, seperti SiteGround, yang akan menyediakan semua pembaruan keamanan untuk WordPress, sekaligus memelihara server tempatnya diinstal. Bagi mereka yang lebih paham teknologi, penyedia cloud hosting, seperti Cloudways, adalah pilihan yang sangat baik.

Hosting WordPress SiteGround

Opsi mana pun akan memberi Anda semua alat yang Anda butuhkan untuk memastikan situs web Anda aman dan terlindungi, termasuk:

  • Sertifikat SSL gratis
  • Firewall aplikasi web (WAF)
  • akses SFTP
  • Perlindungan denial of service (DDoS) terdistribusi
  • Perlindungan malware

Amankan Login WordPress Anda

Hal mudah lain yang dapat Anda lakukan untuk meningkatkan keamanan WordPress Anda adalah mengunci kredensial login Anda. Ini dapat dilakukan dengan beberapa cara, termasuk menggunakan plugin untuk mengubah URL login dari /wp-admin menjadi sesuatu yang Anda pilih. Anda juga dapat menambahkan autentikasi dua faktor (2FA) ke login Anda dan membatasi upaya login, yang akan membantu mengusir bot.

masuk aplikasi Google

Cara lain untuk melindungi login Anda adalah dengan menautkannya ke akun Google Anda menggunakan Login Google Apps untuk WordPress. Setelah login Anda dikunci, Anda harus memasukkan alamat IP pengguna Anda ke daftar putih. Ini memastikan bahwa hanya pengguna terdaftar yang dapat masuk, bahkan jika mereka berhasil mengetahui kata sandi Anda.

Gunakan Rangkaian Plugin Keamanan WordPress

Hal lain yang sangat berguna yang dapat Anda lakukan adalah memasang plugin keamanan yang bagus, seperti iThemes Security. Ini akan memungkinkan Anda untuk menambahkan 2FA, membatasi upaya login, menjadwalkan pencadangan, dan menyembunyikan login WordPress Anda.

plugin keamanan ithemes

Selain plugin keamanan WordPress, pertimbangkan untuk menginstal plugin cadangan yang bagus, seperti UpdraftPlus, jika host Anda tidak menawarkan cadangan. Plugin cadangan melindungi Anda dari kehilangan file situs Anda, membantu Anda menghindari membangun kembali WordPress dari awal. Anda dapat dengan mudah memulihkan situs Anda dengan sedikit usaha jika terjadi kesalahan. Terakhir, menggabungkan plugin log aktivitas seperti WP Activity Log akan memungkinkan Anda menentukan dengan tepat apa yang salah dan kapan.

Tetap perbarui PHP

WordPress membutuhkan tiga hal untuk bekerja dengan benar: dukungan PHP, MySQL, dan HTTPS. PHP, atau hypertext preprocessor, adalah bahasa scripting open-source populer yang digunakan dalam pengembangan web dan merupakan tulang punggung WP. Seperti WordPress, menjadi open source membuatnya terbuka untuk aktor jahat yang ingin mengambil keuntungan. Untuk menghindari potensi masalah ini, sebaiknya perbarui PHP. Tidak hanya membantu keamanan WordPress, tetapi juga membuat situs Anda berjalan optimal.

Bagaimana PHP bekerja

Pilih Kata Sandi Kuat

Salah satu aspek terpenting dari keamanan WordPress adalah memilih kata sandi yang kuat untuk login. Kata sandi yang lemah atau mudah ditebak membuat situs Anda rentan terhadap akses tidak sah dan mengekspos situs Anda ke botnet. Botnet adalah kumpulan komputer yang telah terinfeksi malware dan berada di bawah kendali peretas. Mereka adalah penyebab utama serangan DDoS di internet, tetapi Anda dapat mencegah situs Anda menjadi korbannya dengan mengambil tindakan pencegahan yang tepat.

Plugin pembuat kebijakan kata sandi

Misalnya, Anda dapat melindungi situs Anda dengan memastikan semua pengguna mematuhi kebijakan kata sandi. Salah satu cara hebat untuk melakukan ini adalah dengan memasang plugin seperti Pembuat Kebijakan Kata Sandi.

Keamanan WordPress: Terus Perbarui Perangkat Lunak

Langkah sederhana lainnya dalam keamanan WordPress adalah memperbarui inti, plugin, dan tema WordPress Anda. Membiarkan perangkat lunak kedaluwarsa dapat menimbulkan konsekuensi negatif pada situs web Anda, termasuk pelanggaran keamanan, layar putih kematian WordPress, atau sejumlah kesalahan umum lainnya.

Anda dapat mengikuti pembaruan sendiri atau mengaktifkan pembaruan otomatis. Apa yang tepat untuk Anda bergantung pada beberapa faktor, termasuk waktu, keahlian, dan jenis perangkat lunak yang dijalankan oleh instalasi WordPress Anda. Terlepas dari apakah Anda menangani pembaruan atau memilih untuk memperbarui secara otomatis, Anda harus selalu membuat cadangan sebelum melakukan pembaruan apa pun.

Instal Sertifikat SSL

Jika Anda bermitra dengan penyedia hosting yang baik, salah satu manfaat yang menyertainya adalah sertifikat SSL gratis. Namun, mungkin ada situasi di mana Anda harus menginstalnya sendiri. Sebagian besar penyedia, seperti SiteGround, menawarkan SSL gratis yang dipasang dalam beberapa menit. Saat Anda membaca ini, Anda mungkin bertanya , “Mengapa saya memerlukan sertifikat SSL?”. Mari kita jelaskan.

Keamanan WordPress sertifikat SSL

gambar milik Valery Brozhinsky | Shutterstock.com

SSL, atau secure socket layer, memperluas hypertext transfer protocol (HTTP) menjadi hypertext transfer protocol secure (HTTPS), menambahkan enkripsi dan lapisan keamanan tambahan. Misalnya, konsumen yang melakukan pembelian melalui HTTP berisiko informasi kartu kreditnya dieksploitasi. Di sisi lain, informasi mereka akan dilindungi jika mereka melakukan pembelian yang sama melalui HTTPS. Situs Anda dan pengunjungnya terbuka dan rentan tanpa koneksi aman tersebut. Itu sebabnya memasang sertifikat SSL di situs web baru mana pun sangat penting.

Melakukan Audit Keamanan

Setelah Anda mengambil langkah-langkah untuk mengamankan situs Anda, penting untuk sesekali melakukan audit keamanan WordPress. Sama seperti teknologi yang berubah setiap hari, begitu pula gudang alat peretas. Malware dan taktik lainnya dikembangkan secara teratur, jadi mengamankan situs web WordPress Anda bukanlah hal yang mudah. Jadwalkan pemeriksaan keamanan rutin, dan cari tanda-tanda bahwa situs Anda mungkin bermasalah. Jika Anda melihat situs Anda memuat dengan lambat, lalu lintas Anda turun, Anda menemukan tautan baru yang tidak Anda tambahkan, atau Anda mengalami upaya masuk yang berlebihan, mungkin inilah saatnya menjalankan pemindaian keamanan untuk memastikan situs Anda tetap aman dan terlindungi.

Teknik Keamanan WordPress Tingkat Lanjut

Selain langkah-langkah yang tercantum di atas, ada beberapa teknik lebih lanjut untuk dimasukkan ke dalam situs Anda untuk meningkatkan keamanan WordPress.

Harden File wp-config.php

Salah satu titik masuk umum bagi peretas adalah file wp-config.php situs web WordPress Anda. Ini menampung informasi tentang database Anda, termasuk nama, host, nama pengguna, dan kata sandi. Membiarkan file penting ini terbuka dapat merugikan, jadi menyembunyikannya selalu merupakan ide yang bagus.

Pindahkan File wp-config.php Anda

Untuk memindahkan wp-config, Anda dapat menyeretnya ke folder root situs Anda (HTML publik), dan WordPress akan mencarinya setiap kali situs tersebut di-ping. Namun, jika struktur file situs Anda menyertakan file htaccess, Anda dapat melindunginya lebih lanjut dengan menambahkan arahan untuk menolak aksesnya dengan menggunakan kode berikut:

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Catatan: Sebelum melakukan ini, pastikan penyedia hosting Anda belum mengambil langkah untuk memindahkan file wp-config untuk Anda. Beberapa host, seperti Kinsta, melakukan ini secara otomatis untuk menjaga keamanan situs Anda.

Ubah Tombol Garam WordPress

Kunci garam WordPress

Cara lain untuk melindungi file wp-config Anda adalah dengan mengubah kunci garam situs Anda. Kunci-kunci ini menambahkan lapisan perlindungan ekstra sambil menyimpan kata sandi ke database Anda, masuk ke cookie, dan aspek keamanan WordPress penting lainnya. Jika peretas dapat memperoleh kunci garam Anda, mereka dapat mengakses database dan file situs Anda, termasuk informasi kartu kredit yang disimpan, kata sandi, dan informasi penting lainnya. Oleh karena itu, disarankan untuk mengubahnya secara berkala.

Ubah Izin File

Secara default, file di direktori root Anda diatur ke 644, yang berarti keduanya dapat dibaca dan ditulis, membuat mereka rentan terhadap aktor jahat. Menurut WordPress, ini tidak boleh dibiarkan dengan izin default. Sebaliknya, mereka harus diubah menjadi 440 atau 400 untuk mencegah orang lain di server yang sama membacanya. Namun, penting untuk memeriksa dengan penyedia hosting Anda sebelum membuat perubahan apa pun pada izin file Anda. Mereka mungkin memiliki sistem yang unik, sehingga mengubah izin dapat menyebabkan gangguan pada situs Anda.

Nonaktifkan XML-RPC

XML-RPC adalah API WordPress yang memungkinkan Anda menghubungkan situs web Anda ke aplikasi dan alat pihak ketiga. Dalam beberapa tahun terakhir, telah dieksploitasi oleh serangan brute force, memungkinkan akses ke situs WordPress. Ini terutama digunakan untuk membuat koneksi Zapier atau mengakses situs Anda dari jarak jauh melalui aplikasi. Anda harus menonaktifkan XML-RPC di server Anda jika Anda tidak menggunakan koneksi ini.

Ada beberapa cara untuk melakukannya, termasuk menonaktifkannya melalui htaccess, menggunakan cuplikan kode, atau dengan plugin. Metode paling canggih, htaccess, bisa jadi rumit untuk pemula, jadi pendekatan yang paling disarankan adalah menggunakan cuplikan kode.

Untuk metode htaccess, gunakan klien FTP untuk mengakses file situs Anda, lalu tambahkan kode berikut ke file htaccess Anda:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Catatan: Pastikan untuk mengubah IP 123.123.123.123 dengan milik Anda.

Sebagai alternatif, Anda dapat menggunakan tab alat htaccess plugin AIOSEO untuk memasukkan kode:

AIOSEO

Jika Anda lebih suka menonaktifkan XML-PRC menggunakan cuplikan kode, Anda dapat melakukannya dengan mudah menggunakan plugin WPCode. Ini memiliki cuplikan bawaan yang dapat Anda gunakan untuk menonaktifkan API.

nonaktifkan XML-PRC

Sembunyikan Versi WordPress

Ini adalah langkah yang sering diabaikan dalam hal keamanan WordPress, tetapi merupakan langkah yang penting. Secara default, WordPress meninggalkan jejak di kode situs Anda yang menunjukkan versi mana yang diinstal. Ini mungkin tampak tidak berbahaya, tetapi dengan mengakses kode sumber situs web, peretas dapat menentukan versi WordPress yang Anda jalankan. Jika kedaluwarsa, mereka dapat menggunakan info tersebut untuk meretas situs Anda dengan menyuntikkan malware atau skrip berbahaya.

sembunyikan versi WordPress

Jadi, sebagai tindakan keamanan WordPress tambahan, sembunyikan versi WordPress situs Anda untuk mempersulit peretas untuk mengambil kendali situs Anda. Ada cara bagus untuk melakukan ini. Anda dapat menerapkan plugin cuplikan kode yang akan menghapus baris dalam kode sumber atau membuat tema anak dan menempatkannya di file functions.php Anda.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Alternatifnya, jika Anda ingin menghapus versi WP di tag meta, di string kueri basis data, dan di umpan RSS, gunakan kode ini:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Apa yang Harus Dilakukan jika Situs WordPress Anda Diretas

Bahkan jika Anda melakukan semuanya dengan benar, Anda mungkin berada dalam situasi di mana situs web Anda telah diretas. Untungnya, ada beberapa langkah yang dapat Anda ambil, termasuk memasukkan situs Anda ke mode pemulihan, memulihkan dari cadangan terbaru, atau mengatur ulang kata sandi Anda. Jika semuanya gagal, penyedia hosting Anda mungkin dapat membantu.

Pikiran Akhir tentang Keamanan WordPress

Dengan mengambil langkah-langkah yang diperlukan untuk meningkatkan keamanan WordPress Anda, Anda dapat memastikan situs Anda terus beroperasi secara normal sekaligus aman bagi pengunjung Anda. Meskipun WordPress menawarkan manfaat luar biasa dan kemudahan penggunaan, penting untuk memahami kekurangannya. Untungnya, ada sejumlah plugin keamanan WordPress seperti iThemes yang dapat membantu menjaga semuanya tetap pada jalurnya.

Mencari informasi lebih lanjut tentang WordPress? Lihat beberapa artikel mendalam kami yang akan mengubah Anda menjadi pakar WordPress dalam waktu singkat:

  • Cara Menginstal WordPress: Panduan Definitif
  • 10 Opsi Hosting WordPress Terbaik di 2023 (Dipilih Sendiri)
  • 31 Plugin WordPress Terbaik di 2023 (Semua yang Anda Butuhkan)
  • 10 Tema WordPress Terbaik Tahun 2023 (Dibandingkan & Peringkat)

Gambar Unggulan melalui Pikovit / shutterstock.com