WordPress adalah salah satu platform website paling populer di dunia. Menurut data dari W3Techs, lebih dari 43% website di internet menggunakan WordPress. Kepopuleran ini menjadikan WordPress target utama bagi hacker dan serangan siber. Setiap tahun, ribuan website WordPress menjadi korban serangan karena penggunanya tidak menerapkan langkah-langkah keamanan yang memadai. Oleh karena itu, penting bagi pemilik website, termasuk pemilik UKM, untuk memahami cara mengamankan website mereka agar terhindar dari risiko kehilangan data atau serangan malware.
1. Gunakan Hosting yang Aman dan Andal
Memilih layanan hosting yang aman adalah langkah pertama untuk melindungi website Anda. Hosting yang baik biasanya menawarkan fitur keamanan seperti firewall, pemantauan malware, backup otomatis, dan perlindungan terhadap serangan DDoS. Penyedia hosting yang fokus pada keamanan juga akan memastikan bahwa server mereka diperbarui secara rutin untuk menutup celah keamanan.
2. Selalu Update WordPress, Plugin, dan Tema
Salah satu alasan utama website WordPress diretas adalah karena menggunakan versi lama dari WordPress, plugin, atau tema. Pembaruan ini biasanya mencakup perbaikan bug dan celah keamanan. Jangan menunda update karena celah keamanan yang dibiarkan terbuka akan memudahkan hacker untuk menyusup ke website Anda. Anda juga bisa mengatur agar pembaruan dilakukan secara otomatis.
3. Jangan Gunakan Tema atau Plugin Bajakan
Menggunakan tema atau plugin bajakan adalah risiko besar untuk keamanan website Anda. Banyak tema dan plugin bajakan mengandung malware atau kode berbahaya yang dapat mencuri data Anda atau mengambil alih website Anda. Sebaiknya gunakan tema dan plugin dari sumber resmi atau marketplace terpercaya.
4. Hapus Plugin dan Tema yang Tidak Digunakan
Plugin dan tema yang tidak digunakan bisa menjadi celah keamanan. Bahkan jika tidak aktif, plugin dan tema yang tidak diperbarui tetap dapat dieksploitasi oleh hacker. Hapus semua plugin dan tema yang tidak diperlukan dari website Anda.
5. Gunakan Plugin Keamanan
Plugin keamanan seperti “Wordfence” atau “Sucuri” dapat membantu Anda memantau website dari ancaman, memblokir IP mencurigakan, dan memindai malware. Beberapa plugin ini juga menawarkan fitur firewall yang dapat mencegah serangan sebelum mencapai server Anda.
6. Batasi Percobaan Login
Serangan brute force adalah metode di mana hacker mencoba menebak password dengan mencoba berbagai kombinasi secara terus-menerus. Dengan membatasi jumlah percobaan login, Anda dapat mencegah serangan semacam ini. Plugin seperti “Login LockDown” memungkinkan Anda mengatur batasan ini dengan mudah.
7. Ganti URL Login Default
Secara default, halaman login WordPress dapat diakses melalui URL wp-admin atau wp-login.php. Hacker sering mencoba mengakses halaman ini untuk melakukan serangan brute force. Dengan mengubah URL login default menggunakan plugin seperti “WPS Hide Login”, Anda dapat menyulitkan hacker menemukan halaman login Anda.
8. Aktifkan Otentikasi Dua Faktor (2FA)
Otentikasi dua faktor menambahkan lapisan keamanan tambahan dengan meminta pengguna memasukkan kode unik yang dikirim ke perangkat mereka setiap kali login. Ini sangat efektif dalam mencegah akses tidak sah meskipun password Anda berhasil diretas. Anda dapat menggunakan plugin seperti “Google Authenticator” untuk mengaktifkan fitur ini.
9. Gunakan Password yang Kuat
Gunakan password yang panjang, kompleks, dan unik untuk login ke dashboard WordPress Anda. Kombinasikan huruf besar, huruf kecil, angka, dan simbol. Hindari penggunaan password yang sama dengan akun lain. Menurut laporan dari Verizon Data Breach Investigations, 81% dari pelanggaran data terjadi karena penggunaan password yang lemah atau diretas.
10. Backup Website Secara Berkala
Backup adalah langkah pencegahan yang sangat penting. Jika website Anda terkena serangan atau mengalami masalah teknis, Anda dapat memulihkannya dengan cepat menggunakan backup. Gunakan plugin seperti “UpdraftPlus” untuk membuat backup otomatis dan simpan salinan backup di lokasi yang aman seperti cloud storage.
11. Batasi Izin Pengguna
Pastikan Anda hanya memberikan akses kepada orang yang benar-benar membutuhkannya. Setiap pengguna harus memiliki tingkat izin yang sesuai dengan peran mereka. Misalnya, editor tidak memerlukan akses admin. Ini akan mengurangi risiko perubahan yang tidak disengaja atau akses berbahaya.
12. Pantau Aktivitas Website
Memantau aktivitas di website Anda dapat membantu Anda mendeteksi perubahan mencurigakan atau percobaan akses tidak sah. Plugin seperti “Activity Log” akan mencatat semua aktivitas yang terjadi di website Anda, termasuk login, perubahan file, dan instalasi plugin.
13. Nonaktifkan Indeks Direktori
Indeks direktori yang aktif memungkinkan pengunjung untuk melihat isi folder di website Anda. Ini dapat memberikan informasi yang berguna bagi hacker. Nonaktifkan indeks direktori dengan menambahkan kode berikut di file .htaccess:
Options -Indexes14. Nonaktifkan XML-RPC
Fitur XML-RPC di WordPress memungkinkan aplikasi pihak ketiga untuk berinteraksi dengan website Anda. Namun, fitur ini juga dapat dimanfaatkan oleh hacker untuk melakukan serangan brute force. Anda dapat menonaktifkan XML-RPC dengan menggunakan plugin seperti “Disable XML-RPC”.
15. Gunakan Web Application Firewall (WAF)
Web Application Firewall (WAF) adalah lapisan perlindungan tambahan yang memfilter dan memblokir lalu lintas berbahaya sebelum mencapai server Anda. Banyak penyedia hosting dan plugin keamanan seperti “Sucuri” atau “Cloudflare” menawarkan WAF untuk meningkatkan keamanan website Anda.
16. Nonaktifkan Pengeditan File di Dashboard
WordPress memungkinkan pengguna dengan akses admin untuk mengedit file tema dan plugin langsung dari dashboard. Namun, fitur ini bisa menjadi celah keamanan jika akun admin Anda diretas. Anda dapat menonaktifkan pengeditan file dengan menambahkan kode berikut di file wp-config.php:
define('DISALLOW_FILE_EDIT', true);Langkah ini akan mencegah hacker melakukan perubahan berbahaya pada file website Anda.
17. Gunakan SSL/TLS (HTTPS)
SSL (Secure Sockets Layer) dan TLS (Transport Layer Security) adalah protokol keamanan yang mengenkripsi data yang dikirimkan antara server dan pengunjung website. Google juga memberikan peringkat lebih tinggi kepada website yang menggunakan HTTPS. Anda dapat mengaktifkan SSL dengan mendapatkan sertifikat SSL dari penyedia hosting atau menggunakan layanan gratis seperti Let’s Encrypt.
18. Batasi Akses ke Folder wp-admin
Folder wp-admin adalah bagian penting dari WordPress. Anda dapat membatasi akses ke folder ini dengan menambahkan file .htaccess yang hanya mengizinkan alamat IP tertentu untuk mengaksesnya:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>Ganti “xxx.xxx.xxx.xxx” dengan alamat IP Anda.
19. Lindungi File wp-config.php
File wp-config.php berisi informasi penting tentang konfigurasi website Anda, termasuk detail database. Lindungi file ini dengan menambahkan kode berikut di file .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>Langkah ini akan memastikan bahwa file tersebut tidak dapat diakses oleh publik.
20. Hapus Akun Admin Default
Jangan gunakan akun dengan username “admin” karena ini adalah username yang paling sering digunakan oleh hacker dalam serangan brute force. Buat akun admin baru dengan username yang unik dan hapus akun “admin” default.
Penutup
WordPress adalah platform yang sangat fleksibel dan mudah digunakan, tetapi juga menjadi target utama serangan siber. Dengan menerapkan 20 tips di atas, Anda dapat mengurangi risiko serangan dan menjaga keamanan website Anda. Ingat, menjaga keamanan website adalah investasi penting untuk melindungi bisnis Anda dan data pelanggan. Lakukan pemeriksaan keamanan secara rutin dan tetap waspada terhadap ancaman yang terus berkembang.