5 Tips Keamanan WordPress yang Perlu Anda Terapkan Sekarang

5 Tips Keamanan WordPress yang Perlu Anda Terapkan Sekarang | Anda mungkin sudah mengetahui langkah-langkah keamanan yang jelas untuk melindungi situs WordPress Anda. Perlindungan untuk wordpress penting agar website anda tidak mengalami hacked oleh seseorang yang usil atau sengaja ingin merusak website anda.

Mungkin Anda tahu bahwa Anda harus membuat kata sandi yang “kuat” (gabungan karakter khusus, huruf besar, huruf kecil, dan angka). Anda sebaiknya tidak menggunakan “admin” sebagai nama pengguna, dan Anda harus sering mengganti kata sandi. Anda mungkin sudah menggunakan autentikasi dua faktor di situs WordPress Anda dan sering backup data situs Anda. Dan Anda tidak pernah mendownload plugin premium secara gratis atau dari sumber yang tidak diketahui. Jadi apa lagi yang perlu?

Di sini kita akan membahas beberapa tips keamanan WordPress lainnya dengan menggunakan metode yang kurang dikenal namun sangat efektif yang dapat Anda gunakan, dan sebaiknya langkah ini digunakan untuk melindungi situs WordPress Anda.

1. Ubah nama atau pindahkan halaman login anda

Halaman login default untuk situs Anda adalah “www.websitename.com/wp-login.php” (atau “www.websitename.com/wp-admin”). Salah satu cara untuk melindungi situs Anda adalah dengan menyembunyikan atau mengaburkan halaman login sehingga hacker tidak dapat menemukannya dengan mudah. Mengontrol akses masuk Anda dengan membatasi jumlah uji coba login setiap saat dan rentang waktu uji coba login juga akan meningkatkan keamanan.

Jika Anda sudah menginstal Jetpack, Anda dapat mengaktifkan modul “Brute Force Protection“. Dengan modul ini diaktifkan, Jetpack akan memperbarui Dashboad dengan jumlah usaha login berbahaya ke situs web Anda. Anda juga memiliki pilihan untuk memasukkan beberapa alamat IP ke whitelist. Dari Jetpack pergi ke “Settings” dan kemudian ke “Protect,” diikuti oleh “Configure,” dan Anda akan melihat seperti apa gambar di bawah ini.

Cerber Security and Limit Login Attempt adalah plugin alternatif untuk Jetpack. Jika Anda lebih suka tidak menggunakan Jetpack, Limit login adalah pilihan. Sampai dengan tanggal penulisan, plugin ini telah dipasang lebih dari 40.000 kali dan mempertahankan reputasi yang hampir sempurna karena 108 dari 111 pengguna memberi nilai lima bintang.

Price: Free

Batasan Login cukup mudah digunakan, namun mengonfigurasikan bagian “Hardering” memperbaiki keamanan situs Anda. Semua akses ke server XML-RPC, yang mencakup trackback dan pingback, diblokir secara default. Jika karena alasan apapun Anda perlu mengakses API WordPress (misalnya, aplikasi Android atau iOS blog Anda), maka biarkan WP rest API & XML-RPC dapat diakses.

2. Host di tempat yang aman

Karena sekitar empat puluh satu persen dari pelanggaran keamanan situs WordPress berasal dari host dan bukan dari situs itu sendiri, masuk akal untuk memastikan bahwa host Anda aman. Bahkan, hosting membawa bobot paling besar dalam hal keamanan. Hanya delapan persen hacks yang terjadi karena password yang lemah, dua puluh sembilan persen karena thema, dan dua puluh dua persen karena plugin. Jadi sekitar separuh keamanan situs Anda bergantung pada hosting.

Pastikan akun Anda menyertakan akun tersendiri jika Anda menggunakan shared hosting. Akun Anda akan terlindungi dari apapun yang terjadi di situs web orang lain. Namun, sebaiknya Anda menggunakan layanan yang dirancang khusus untuk pengguna WordPress. Layanan seperti itu mencakup firewall WordPress, perlindungan malware zero-day, memperbarui MySQL dan PHP, server WordPress khusus, dan layanan pelanggan WordPress yang cerdas.

3. Tetap up to date dan gunakan terus update software

Anda tahu bahwa Anda harus menggunakan antivirus yang diperbarui dan perlindungan anti-malware lainnya yang relevan untuk komputer Anda. Tindakan pencegahan ini juga berlaku untuk plugin dan thema. Buat mereka tetap up to date, dan jika Anda memiliki tema atau plugin yang tidak digunakan, hapuslah.

Jika itu perlu untuk situs Anda, pertimbangkan untuk menetapkan plugin dan tema Anda agar diperbarui secara otomatis. Untuk mengatur update otomatis, masukkan beberapa kode ke wp-config.php Anda. Ada beberapa langkah yang perlu anda lakukan untuk melakukan update terus plugin yang anda gunakan.

Berikut ini adalah kode plugin:

add_filter( 'auto_update_plugin', '__return_true' );

Dan untuk tema, gunakan kode ini:

add_filter( 'auto_update_theme', '__return_true' );

Jika Anda menginginkan pendekatan hands-off terhadap pemeliharaan situs, Anda mungkin perlu mengotomatisasi pembaruan WordPress. Namun, perhatikan bahwa menyiapkan pembaruan otomatis mungkin akan merusak situs Anda, terutama jika plugin tidak kompatibel dengan pembaruan WordPress terbaru yang berjalan di situs Anda. Untuk membuat update otomatis untuk situs WordPress Anda, masukkan kode di bawah ini ke file wp-config.php Anda:

# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true );

4. Hapus plugin Theme Editor dan laporan kesalahan PHP

Nonaktifkan editor built-in Anda untuk plugin dan tema jika Anda tidak secara rutin men-tweak dan mengubah pengaturan (atau menjalankan perawatan lainnya pada plugin dan tema Anda). Ini untuk keamanan situs Anda.

Pengguna Resmi WordPress memiliki akses ke editor ini, membuat situs Anda rentan terhadap pelanggaran keamanan jika akun mereka diretas. Sebenarnya, peretas bisa melumpuhkan situs Anda dengan memodifikasi kode di editor itu. Untuk menonaktifkan editor, masukkan kode di bawah ini ke wp-config.php Anda:

define( 'DISALLOW_FILE_EDIT', true );

Pelaporan kesalahan itu bagus. Ini membantu Anda mengatasi masalah. Satu-satunya masalah (dan ini adalah masalah besar) adalah bahwa pesan kesalahan juga membawa serta patch server Anda. Hacker bisa melihat patch server Anda dan dengan mudah dan mendapatkan pemahaman yang jelas tentang struktur situs web Anda. Meskipun pelaporan kesalahan PHP bagus, itu bagus untuk dinonaktifkan sama sekali. Gunakan cuplikan kode di bawah wp-config.php Anda:

error_reporting(0);
@ini_set(‘display_errors’, 0);

5. Gunakan .htaccess untuk melindungi file khusus


File .htaccess penting karena ini adalah inti dari situs WordPress Anda. File ini bertanggung jawab atas struktur dan keamanan permalinks situs Anda. Di luar tag #BEGIN WordPress dan #END WordPress, tidak ada batasan jumlah cuplikan kode yang dapat Anda tambahkan ke file .htaccess Anda untuk mengubah visibilitas file di dalam direktori situs web Anda.

Jika Anda belum melakukannya, sembunyikan file wp-config.php dari situs Anda. File itu sangat penting untuk aktivitas situs Anda dan berisi informasi pribadi Anda serta rincian penting lainnya yang relevan dengan situs Anda. Anda dapat menggunakan cuplikan kode di bawah untuk menyembunyikannya.

order allow,deny
deny from all

Untuk membatasi akses admin, cukup buat file htaccess baru dan unggah ke direktori “wp-admin” Anda. Setelah itu, masukkan kode ini:

order deny,allow
allow from 192.168.5.1
deny from all

Masukan alamat IP anda di tempat yang tepat. Untuk mengizinkan akses ke wp-admin Anda dari beberapa alamat IP, tuliskan alamat IP tersebut, masing-masing pada baris terpisah, seperti baris allow from IP Address. Anda dapat membatasi akses ke wp-login.php dengan cara yang sama. Cukup tambahkan cuplikan kode ini ke dalam .htaccess Anda:

order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1

Jika Anda lebih suka tidak memblokir semua alamat IP, cukup alamat IP tertentu yang ingin diblokir ke akses ke wp-admin atau wp-login.php Anda, Anda dapat memblokir setiap alamat IP menggunakan kode ini:

order allow,deny
deny from 456.123.8.9
allow from all

Anda juga dapat memblokir orang melihat direktori situs Anda dengan membuatnya tidak dapat diakses. Anda dapat menggunakan cuplikan kode ini untuk melakukannya:

Options All -Indexes

Bagi anda yang ingin melakukan optimasi website wordpress, bisa download ebook 333 Maha Tips Optimasi WordPress 2017 atau bagi anda yang ingin membuat blog menggunakan wordpress bisa melihat artikel Cara Membuat Blog di WordPress

Kesimpulan

Ini telah menjadi panduan yang dapat dicoba untuk membantu Anda memperbaiki keamanan situs WordPress Anda. Opsi yang paling penting dari pilihan ini yang cukup mudah diterapkan sekarang adalah temukan host dengan reputasi baik untuk keamanan, karena separuh keamanan situs Anda bergantung pada host Anda.

Tips keamanan apa yang paling berguna bagi Anda dan mengapa? Apakah Anda memiliki tips keamanan lainnya yang tidak tercantum di sini? Sebutkan di komentar.

wordpress