Tips Sederhana Menjaga Keamanan Website Wordpress
Setelah mengalami serangan hacker pada salah satu blog yang saya miliki, saya jadi tahu bahwa ngeblog bukan hanya tentang bagaimana menulis artikel, mencari pengunjung, atau mempercantik tampilan blog, namun ada hal penting yang harus kita lakukan, yaitu menjaga keamanan blog atau website kita. Untuk itulah saya tulis postingan tips sederhana menjaga keamanan website WordPress, agar pengalaman saya ini bisa bermanfaat bagi pembaca semua.
Jujur saja, ketika saya mulai ngeblog beberapa tahun yang lalu, saya tidak pernah memikirkan menjaga keamanan blog yang saya miliki. Saya hanya mempercantik tampilan blog, menulis artikel, mencari pengunjung dengan cara membagikan link artikel blog di berbagai media sosial seperti, Facebook, Twitter, Google+, dan beberapa group media sosial lainnya.
Begitulah yang saya lakukan. Setiap kali saya posting artikel baru, saya selalu membagikannya di beberapa media sosial dan group yang saya ikuti. Pengunjung blog saya pun semakin bertambah seiring dengan bertambahnya jumlah artikel yang saya posting. Tentu saja hal ini sangat menyenangkan bagi saya, sebagaimana blogger-blogger yang lain yang merasa senang bila visitor blognya semakin bertambah banyak.
Namun rasa senang dan bahagia itu tidak bertahan lama, sebab ada tangan-tangan usil yang berhasil masuk dan mengacak-acak blog. Saat itulah saya sadari bahwa blog saya telah di hack. Tampilan blog berubah, password untuk masuk ke wp-admin pun diubah oleh hacker.
Yang sangat menyedihkan bukanlah hilangnya sementara akses ke blog kesayangan saya itu, namun reputasi dan rasa kecewa pengunjung ketika membuka blog dan mendapati bahwa blog telah di hack dan artikel yang di cari pun tidak dijumpainya.
Sungguh kejam seorang hacker itu. Jerih payah saya dalam menulis artikel dan membangun blog hilang begitu saja. Padahal saya bukanlah blogger yang mempunyai banyak uang. Saat itu, untuk membuat sebuah blog, saya mesti mencari hosting murah dan domain murah agar keinginan untuk menjadi blogger bisa terwujud. Namun ketika keberhasilan mulai nampak di depan mata, semuanya sirna, hanya karena kelalaian saya untuk menjaga keamanan blog saya.
Dari kejadian di atas, ada hikmah besar yang saya dapatkan. Sejak saat itu saya lebih berhati-hati ketika membagikan artikel di media sosial dan group yang saya ikuti. Saya pun terpaksa untuk belajar tentang keamanan sebuah website atau blog, terutama blog yang menggunakan platform WordPress self hosting.
Kesedihan tak boleh berlarut-larut, saya harus move on. Sambil memperbaiki blog saya yang telah porak-poranda oleh ulah hacker yang tidak bertanggung jawab itu, saya pun membangun blog baru lagi.
Dan inilah yang saya lakukan ketika saya membuat dan menjaga keamanan blog. Saya sebut sebagai tips sederhana menjaga keamanan website WordPress, karena saya awam sekali dengan coding, baik php maupun html. Jadi tips ini cocok sekali bagi blogger awam, seperti saya ini.
Tips Sederhana Menjaga Keamanan Website WordPress
1. Jangan Menggunakan User Name Admin
Ketika Anda melakukan instalasi WordPress, secara default username nya adalah admin. Untuk itu Anda harus mengubah username admin ini dengan username yang lain, agar lebih menyulitkan hacker melakukan brute force terhadap akun Anda. Brute force adalah salah satu metode yang digunakan para hacker untuk meretas akun dengan cara mencoba semua kemungkinan kombinasi.
Bagi Anda telah terlanjur menggunakan username admin pada blog WordPress Anda, segeralah ubah username tersebut. Caranya dengan membuat username baru, dam menghapus username yang lama.
Jika tidak ingin membuat username baru dan menghapus username lama, ada cara yang lebih mudah untuk mengubah username admin Anda, yaitu dengan memasang plugin Username Changer. Setelah plugin terpasang, lalu aktifkan.
Cara mengubah username, silakan klik User pada dashboard WordPress Anda, lalu klik Your Profile. Kemudian klik Change Username, lalu ganti username sesuai keinginan Anda. Jangan lupa klik tombol Save Usernameuntuk menyimpan username baru Anda.
2. Menggunakan Password Yang Kuat
Gunakan password yang kuat dengan cara membuat password lebih rumit sehingga password susah untuk di tebak. Jangan menggunakan password seperti angka yang berurutan (1, 2, 3, 4, 5), tanggal lahir, atau nama Anda. Buatlah password dengan kombinasi huruf besar, huruf kecil, angka dan simbol.
Alasan utama mengapa blogger pemula seperti saya saat itu tidak menggunakan password yang kuat adalah karena password yang rumit susah untuk diingat. Jadi mulai sekarang, biasakanlah menggunakan password yang lebih kuat agar password tidak mudah di tebak dengan cara brute force. Serangan brute force inilah yang membuat blog saya berantakan saat itu.
3. Mengaktifkan Limit Login
Dengan mengaktifkan Limit Login pada website WordPress Anda, dapat mencegah upaya berulang kali login ke blog Anda menggunakan kombinasi password yang berbeda. Untuk mengaktifkan limit login ini silakan memasang plugin Login LockDown atau Loginizer.
Setelah plugin terpasang, Anda bisa membatasi pengguna ketika mencoba login dengan username dan password yang salah. Jika dalam beberapa kali gagal, maka IP akan terblokir. Anda pun dapat melakukan pengaturan berapa lama IP tersebut akan terblokir. Misalnya, maksimum kesalahan password 3, artinya setelah 3 kali salah dalam memasukkan password, maka IP akan terblokir selama 15 menit. Batasi waktu Lockout menjadi 5, agar setelah itu tak ada kesempatan lagi untuk mencoba hingga 24 jam berikutnya.
4. Menggunakan Wordfence Security
Wordfence adalah plugin keamanan WordPress yang populer dengan aplikasi firewall untuk website yang terintegrasi. Wordfence akan memonitor situs WordPress Anda dari malware, perubahan file, suntingan SQL, dan masih banyak lagi. Wordfence juga dapat melindungi situs web Anda terhadap serangan DDoS dan brute force.
Untuk mendapatkan berbagai perlindungan bagi blog Anda seperti disebutkan di atas, maka Anda harus memasang dan mengaktifkan plugin Wordfence Security. Cara setting dan konfigurasinya pun sangat mudah, bahkan tanpa setting apapun blog kita telah terlindungi. Dan yang paling penting, plugin ini 100% gratis.
5. Mengaktifkan Logout Otomatis
Untuk menjaga keamanan blog Anda, sebaiknya aktifkan logout otomatis ketika pengguna tidak aktif. Jadi ketika Anda meninggalkan komputer atau lupa menutupnya, maka WordPress akan logout secara otomatis.
Untuk mengaktifkan logout otomatis ini, caranya dengan memasang dan mengaktifkan plugin Inactive Logout. Setelah itu, atur waktu logout otomatis sesuai keinginan Anda. Caranya klik Setting > Inactive Logout, lalu atur waktu timeout dan pesan yang akan di tampilan di layar.
6. Menonaktifkan Directory Browsing
Directory browsing dapat digunakan oleh hacker atau peretas untuk mencari tahu apakah Anda memiliki file dengan kerentanan, sehingga mereka dapat memanfaatkan file ini untuk mendapatkan akses ke blog Anda.
Directory browsing juga dapat digunakan oleh orang lain untuk melihat file Anda, menyalin gambar, mencari tahu struktur direktori, dan informasi lainnya. Inilah mengapa sangat disarankan agar Anda mematikan directory browsing.
Cara untuk menonaktifkan Directory Browsing adalah dengan menambahkan satu baris kode pada file .htaccess. File ini terletak pada direktori root blog WordPress yang kita miliki.
Untuk mengedit file .htaccess, Anda bisa menggunakan file manager yang ada di cPanel, atau dengan mendownload file tersebut ke desktop komputer kita, lalu membukanya dengan menggunakan editor teks seperti Notepad++.
Tambahkan kode di bawah ini pada bagian paling bawah file .htaccess
Options -Indexes
Setelah itu, upload file .htaccess yang telah ditambahkan kode tersebut.
7. Memastikan WordPress Selalu di Update
Update atau pembaruan WordPress ini sangat penting untuk keamanan dan stabilitas. Anda bisa melakukannya secara langsung melalui halaman dashboard WordPress ketika terdapat versi terbaru. Pastikan bahwa Anda selalu melakukan update secara berkala setiap kali terdapat versi terbaru.
8. Melakukan Backup Website Secara Berkala
Lakukan backup pada blog atau website Anda secara berkala, agar ketika terjadi suatu dan lain hal yang tidak diinginkan, seperti saat website di retas misalnya, Anda bisa dengan cepat mengembalikan blog seperti keadaan semula sebelum website di hack. Jangan sampai Anda mengalami seperti saya, saat blog di retas, saya tidak memiliki backup atas blog saya tersebut. Sehingga untuk mengembalikannya agak sulit dan memerlukan waktu yang lama.
Yang perlu di ingat, jangan menaruh hasil backup di tempat yang sama dengan website atau blog Anda. Karena jika Anda kehilangan blog Anda, maka Anda juga akan kehilangan backup website Anda.
Anda bisa melakukan backup secara manual lewat cPanel. Namun jika Anda ingin backup dilakukan secara otomatis, maka Anda harus memasang plugin untuk backup, seperti UpdraftPlus
UpdraftPlus memungkinkan Anda menyimpan cadangan atau backup Anda ke beberapa layanan penyimpanan cloud termasuk Dropbox, Google Drive, Microsoft OneDrive, dan banyak lagi lainnya. Anda juga dapat mengirim backup Anda ke alamat email.
9. Menggunakan SSL Encryption
SSL Encryption digunakan untuk mengenkripsi kiriman data blog sehingga data akun seperti username, password dan lain-lainnya akan lebih aman. Anda bisa menambahkan SSL Certificate ketika Anda melakukan sewa hosting.
10. Menggunakan Penyedia Hosting Yang Terpercaya
Dari semua hal yang kita lakukan di atas, yang tidak kalah pentingnya adalah penyedia hosting. Pilihlah penyedia hosting yang terpercaya dan memiliki fitur unggulan dengan harga sesuai kemampuan. Sebelum Anda memutuskan menyewa hosting untuk blog atau website Anda, lakukan perbandingan pada beberapa penyedia hosting agar Anda tahu apa saja keunggulan dan kekurangan yang mereka miliki, terutama dalam hal keamanan.
Itulah tadi tips sederhana menjaga keamanan website WordPress yang saya lakukan agar kelangsungan hidup blog saya tetap terjaga. Anda boleh melakukan semua atau sebagian tips di atas jika ingin website atau blog Anda aman dari tangan peretas yang setiap saat siap membobol situs Anda.
Silakan baca juga: