9 Cara Mudah Meningkatkan Keamanan WordPress

Ancaman peretasan website adalah perkara serius yang mesti menjadi perhatian setiap pengelola website, baik pemula maupun yang berpengalaman. Jika kamu menggunakan WordPress, ada beberapa langkah meningkatkan keamanan WordPress yang bisa dilakukan dengan mudah, bahkan bagi pemula.

Langkah-langkah yang dijabarkan di bawah ini tentu jauh dari lengkap. Karena memang hanya berfokus pada langkah yang mudah dilakukan oleh semua orang.

Seiring dengan perkembangan websitemu, langkah-langkah pengamanan yang dibutuhkan juga bakal semakin jauh. Tapi kamu tetap tidak boleh melewatkan langkah-langkah dasar ini.

1. Langkah keamanan WordPress dimulai dari antivirus di komputer

antivirus komputer
Melindungi perangkat dengan antivirus adalah langkah pertama mengamankan website

Kemanan website dimulai dari perangkat yang kamu pakai buat mengaksesnya. Umumnya pengelola website lebih banyak menggunakan pc atau laptop.

Karena itu mulailah langkah meningkatkan keamanan WordPress dengan memasang antivirus pada perangkat yang kamu pakai untuk mengakses website. Juga jangan lalai untuk selalu mengupdate antivirusnya secara rutin.

Perangkat yang disusupi malware atau virus bisa saja menular ke database website yang kamu akses, atau mencuri data-data pentingnya. Karenanya antivirus menjadi benteng awal kemanan websitemu.

2. Hindari penggunaan username “admin”

Username “admin” adalah tawaran bawaan dari WordPress ketika kamu pertama menginstal website. Biasanya para pemula akan menerima begitu saja karena tidak mau ribet.

Faktanya, ini bakal jadi salah satu lubang keamanan websitemu. Mayoritas upaya peretasan WordPress dimulai dengan menjajal username “admin” pada kolom login. Karenanya untuk meningkatkan keamanan WordPress, hindari penggunaan “admin”.

Waduh, website saya sudah terlanjur memakai username admin?

Tenang. Ada beberapa cara buat mengubahnya.

Cara 1: Buat akun baru dan hapus yang lama

Cara ini tergolong mudah untuk meningkatkan keamanan WordPress. Kamu cukup login ke dashboard admin WordPress dan akses menu Users. Kamu akan melihat daftar akun yang sudah dibuat.

Pertama kamu mesti membuat akun baru dengan mengklik tombol Add New di bagian atas. Jangan lupa pakai username selain “admin”. Pastikan user role-nya sudah diatur sebagai adminsitrator untuk memiliki kekuasaan penuh.

Setelahnya, kamu mesti logout lalu masuk lagi dengan akun baru, untuk menghapus akun lama yang menggunakan “admin”.

Cara 2: Gunakan plugin untuk mengubah username

Ini cara yang lebih mudah lagi ketimbang cara sebelumnya untuk meningkatkan keamanan WordPress. Kamu cukup memakai bantuan plugin untuk mengubah username, tanpa perlu menghapus akun yang lama.

Untuk melakukannya, instal plugin Username Changer. Kamu bisa baca artikel cara menginstal plugin WordPress kalau belum tahu cara instalnya.

Setelah menginstal dan mengaktivasi, kunjungi menu Users>Username Changer. Kamu bakal diminta memilih akun yang ingin kamu ganti, tinggal ketikkan userame baru yang kamu inginkan di kolom New Username, setelah itu klik Save Changes.

Setelahnya, kamu bahkan bisa langsung menonaktifkan dan menguninstall plugin tersebut tanpa masalah.

3. Password yang kuat untuk meningkatkan kemanan WordPress

Seperti username, peran password juga tidak kalah penting penting dalam meningkatkan keamanan WordPress.

Mungkin kamu berpikir setiap orang punya pengalaman dan ingatan yang unik. Karenanya setiap orang bisa dengan mudah memilih password yang unik dan aman. Sebagian ada benarnya.’

Tapi perilaku manusia pada umumnya mudah ditebak. Karena itu iklan, promosi dan siasat marketing lainnya punya rumus sukses yang bisa diulang-ulang. Begitu juga dengan hacker, mereka punya cara untuk memahami perilaku umum manusia.

Seorang konsultan dan peneliti keamanan digital bernama Mark Brunnet, selama bertahun-tahun mengumpulkan sampai dengan 6 juta password, dan menemukan fakta mengagetkan berdasar sampel data yang dimiliki:

  • 0,4% pengguna memakai “passwords” atau “123456” sebagai password
  • 0,5% pengguna memakai “password” sebagai password
  • Sisanya bervariasi sampai 30% pengguna memakai istilah yang umum sebagai password

Jadi kita ini memang tidak unik-unik amat. Hehehe.

Jadi bagaimana ciri password yang kuat?

Ciri password yang kuat

Beberapa ciri password yang kuat untuk meningkatkan keamanan WordPress di antaranya:

  • Setidaknya gunakan minimal 12 karakter
  • Jangan gunakan nama atau istilah umum dalam password
  • Pola trik seperti mengganti “a” dengan “@”, “i” dengan “!”, “e” dengan “3”, sudah jadi bagian dari makanan sehari-hari hacker. Jadi password semacam “T3kn03duk@si”bukan pilihan bagus
  • Jangan menggunakan password yang sama untuk akun yang berbeda
  • Password mesti diganti secara berkala, atau ganti secepatnya saat kamu merasa ada yang mencurigakan
  • Gunakan password yang mustahil diingat. Mengetik secara acak di keybord tidak masuk dalam kategori ini. Gerakan jari yang dianggap acak pada dasarnya punya pola tertentu
  • Rumus umumnya, gunakan kombinasi angka, hurup kecil dan dan kapital, dan simbol

4. Backup adalah koentji keamanan WordPress!

Setiap password punya potensi ditebak, semua sistem punya celah, dalam jaringan keamanan pasti ada bagian rentan. Kalau segala langkah meningkatkan keamanan WordPress bisa ditembus, makan backup adalah nyawa terakhir pengelola website.

Ketika pertama memilih layanan webhosting, tanyakan apakah mereka memberi layanan backup secara rutin. Kalau pun iya, tidak akan percuma untuk menyimpan file backup-mu secara mandiri.

Kalau saat membaca ini websitemu belum punya backup, tinggalkan artikel ini dan segera lakukan backup!.

Tapi kalau sudah selesai balik ke sini lagi ya 😀

Ada banyak plugin backup yang bisa membantu menyiapkan “nyawa cadangan” buat website WordPressmu. UpdraftPlus adalah salah satu yang menyediakannya secara gratis. Kamu bisa mengecek di sini. Selain itu ada Backup Buddy dan berbagai pilihan lain, baik yang gratis maupun berbayar.

5. Update core, theme, dan plugin

File-file kedaluarsa adalah salah satu celah dalam keamanan websitemu. Karenanya selalu lakukan pembaruan secara berkala.

Langkah pembaruan paling penting meliputi core WordPress, theme, dan plugin. Ketiga jenis file tersebut pada umumnya bisa dengan mudah diakses orang, termasuk hacker.

File yang tidak diperbarui secara berkala memudahkan orang mencari lubang keamanan di dalamnya. Karenanya selain melakukan update rutin, pastikan versi WordPress, plugin, dan theme, adalah yang paling mutakhir ketika kamu install.

Beberapa plugin dan theme tidak lagi dipelihara dan diperbarui pembuatnya selama bertahun-tahun. Sebaiknya hindari untuk memakainya. Cari alternatif yang sejenis.

6. Membatasi login berulang

Seperti dibahas di atas, salah satu jalan masuk bagi peretas adalah menebak username dan password. Biasanya mereka akan membutuhkan berkali-kali percobaan. Karena itu penting untuk membatasi upaya login berulangkali.

Salah satu cara paling mudah untuk melakukan hal tersebut adalah dengan plugin Loginizer yang bisa kamu unduh gratis di sini. Plugin ini akan memblok IP pengunjung untuk jangka waktu tertentu, jika gagal melakukan login sampai beberapa kali.

Plugin lain yang bahkan punya fungsi lebih luas adalah BulletProof Security yang bisa kamu cek di sini. Plugin semacam ini punya fungsi yang kelihatan remeh, tapi penting untuk meningkatkan keamanan WordPress.

7. Buang plugin dan theme yang tidak dipakai

Dalam setiap instalasi WordPress, dua plugin pasti menyertai, yakni Akismet dan Hello Dolly.

Sementara Akismet punya fungsi sangat penting menakal komentar spam, Hello Dolly diikutsertakan terutama karena alasan emosional, yakni plugin pertama yang dibuat dalam semesta WordPress.

Karena tidak punya fungsi lain, menghapus plugin Hello Dolly mestinya jadi langkah awal standar ketika pengaturan pascainstalasi WordPress.

Langkah yang sama juga mesti kamu terapkan pada plugin lain yang tidak terpakai, apalagi berstatus dinonaktifkan. Selain menambah beban dan mengurangi kapasitas server, plugin-plugin yang tidak digunakan berpotensi jadi celah keamanan WordPress.

8. Gunakan theme dan plugin dari sumber terpercaya

Pastikan untuk selalu mendapatkan file theme dan plugin dari sumber resmi atau dari repository WordPress langsung. Ini penting untuk memastikan file yang kamu dapatkan bersih dari virus atau malware yang disisipkan.

Loh memang ada yang begitu?

Banyak!

Biasanya hal itu terjadi pada theme atau plugin premium yang didapatkan gratis dengan status nulled. Gampangnya seperti software bajakan.

Persoalannya persis seperti software bajakan, theme dan plugin nulled mumnya disisipi malware atau virus untuk mengerjai atau mencuri data pemakainya. Kepingin gratis malah keluar ongkos lebih mahal.

Memang ada cara mengidentifikasi dan membersihkan virus dan malware dari theme dan plugin nulled. Tapi perlu pengetahuan teknis tertentu dan makan waktu.

malware dan virus di theme dan plugin nulled
Gratis tapi potensi keluar ongkosnya malah lebih besar

Lebih baik memakai theme dan plugin gratis sekalian dari sumber resmi atau repository WordPress. Sementara itu investasikan duit dan waktumu untuk pengembangan website.

9. Instal plugin keamanan WordPress

Ada banyak plugin keamanan bagus dan gratis di WordPress. Loginizer dan BulletProof Security yang disebut di atas adalah sebagian contohnya.

Sementara itu ada plugin seperti Wordfence yang fungsinya lebih luas, melindungi berbagai aspek keamanan website. Begitu juga dengan Sucuri yang menjadi salah satu kompetitor Wordfence.

Penutup

Berbagai langkah yang dijelaskan di atas adalah hal-hal mudah dalam meningkatkan keamanan WordPress. Bahkan para pemula tidak akan mengalami kesulitan berarti untuk melakukannya.

Langkah-langkah yang didiskusikan di artikel ini mestinya menjadi rutinitas standar para pengelola website WordPress, untuk memastikan mereka bisa tetap tidur nyenyak, sementara websitenya bekerja terus tanpa gangguan berarti.

Mesti diingat, langkah-langkah di atas bersifat standar. Masih banyak langkah-langkah keamanan lain yang bisa dilakukan dan lebih advance, yang mungkin akan dibahas pada kesempatan lain.

Melakukan itu semua tidak menjamin websitemu sepenuhnya aman. Tidak ada sistem yang aman, meskipun kamu melakukan langkah pengamanan yang lebih canggih.

Namun setidaknya dengan begitu kamu sudah mempersempit ruang gerak para peretas.

Komentar, yuk