Cara Mengamankan WordPress Dari Serangan Hacker

Apakah anda sudah mengamankan Wordpress dari serangan hacker? Artikel ini adalah cara mengamankan blog Wordpress dari serangan hacker atau malwere.

325
Mengamankan WordPress Dari Serangan Hacker 1

Cara mengamankan wordpress tidak terlalu rumit. Pengguna wordpress tentunya sudah tau apa itu serangan hacker. WordPress adalah salah satu CMS yang seringkali mendapat serangan hacker, maka saya sengaja menulis postingan ini untuk memberikan ulasan singkat tentang bagaimana cara mengamankan situs wordpress dari serangan hacker.

Membangun sebuah blog menggunakan CMS WordPress tentunya tidak hanya sebatas menulis artikel, meningkatkan Optimasi SEO, dan mendesain tampilan situs. Dibalik semua aktivitas rutin tersebut ada hal yang tak kalah penting yaitu bagaimana cara menjaga situs tersebut agar tidak rentan terkena serangan hacker.

Sebuah perusahaan yang berfokus dibidang keamanan website menyatakan bahwa WordPress adalah salah satu CMS yang paling banyak terkena serangan hacker di dunia. Beberapa waktu lalu, situs Sucury telah merilis data infections comparison 2019/2018 untuk CMS yang paling banyak digunakan.

Hasilnya, WordPress adalah CMS yang paling banyak terinfeksi malwere yang bisa berdampak pada pada kesehatan situs itu sendiri. Dan ternyata terjadi kenaikan kasus sebanyak 4% dari tahun sebelumnya.

cara Mengamankan WordPress Dari Serangan Hacker
Infections Comparison 2019/2018 by Sucury.net

Mengapa WordPress Harus Aman?

WordPress hadir menawarkan keamanan tinggi bagi penggunannya. Namun meskipun demikian, tak ada jaminan dari pengembang wordpress bahwa CMS mereka tidak akan bisa diserang hacker. Untuk itu, sudah menjadi pekerjaan rumah bagi pemilik situs untuk selalu mengamankan wordpress dari serangan hacker.

1. WordPress Bersifat Open Source

Sebagai salah satu CMS (Content Management System) yang bersifat open source membuat wordpress memiliki banyak komunitas dan dukungan. Namun hal tersebut menjadikan wordpress semakin rentan terhadap kejahatan dunia maya. Untuk menjalankan wordpress tentunya anda akan berhubungan dengan Hosting, Tema, Database, Plugin yang menjadi teknologi pihak ke-3. Hal tersebut bisa menjadi celah untuk menjadikan situs wordpress gampang diserang hacker.

2. Popularitas WordPress yang Sangat Tinggi

WordPress adalah CMS yang sangat populer didunia. Menurut data dari situs expandedramblings.com, pada tahun 2020 sudah 60 juta website yang menggunakan CMS wordpress. Angka ini semakin meningkat karena faktanya ada 50.000 website baru yang menggunakan wordpress setiap harinya. Sayangnya, kelebihan tersebut menjadikan wordpress sebagai target utama serangan hacker.

Mungkin saja suatu saat nanti ada platform lain yang lebih populer dari wordpress, maka lain cerita. Faktanya para pelaku kejahatan dunia maya lebih menargetkan siapa yang memiliki pengguna terbanyak.

3. Pengguna WordPress Terlalu Cuek

Mengamankan WordPress Dari Serangan Hacker

Banyak pengguna wordpress yang berfikir bahwa situs mereka tidak akan menjadi target serangan hacker karena masih memiliki traffict yang rendah sehingga mereka tidak peduli untuk mengamankan wordpress dari serangan hacker. Kenyataanya situs web yang seumur jagung lah yang banyak diretas. Mengapa? Jelas ada unsur kelalaian pemilik situs. Mengabaikan masalah keamanan tentu menjadi faktor utama.

Kita terkadang tidak sadar bahwa hal-hal kecil saja bisa berakibat fatal pada keamanan situs. Misalnya, seorang pengguna tidak mengamankan wordpress dengan menggunakan plugin keamanan seperti Wordfence atau Sucury. Terkadang ada pengguna wordpress yang berfikiran bahwa situs mereka terlalu kecil sehingga tidak mungkin menjadi sasaran target serangan hacker.Jika anda mencari data terkait hal ini, sebagian besar kasus peretasan terjadi pada situs web yang masih kecil. Jarang sekali terjadi pada website Corporate atau Perusahaan karena sistem keamanan situs mereka yang sangat tinggi.

4. Banyak Motif Peretasan WordPress

Sekarang timbul pertanyaan baru, mengapa kejahatan dunia maya menyasar situs web yang kecil? Ternyata banyak sekali motif kasus peretasan yang sudah terungkap, diantaranya:

  • Menyebarkan Virus atau Malwere yang bisa merusak jaringan server dan juga komputer pengunjung;
  • Mencuri data pengguna seperti email, password bahkan data data keuangan seperti nomor kartu kredit;
  • Mencari sumber traffict dengan cara spamming atau bot;
  • Membuat situs tersebut Down sehingga tidak bisa diakses.

Motif diatas hanyalah sebagian kecil saja. Seringkali juga kita dapati peretas website yang mengaku menjalankan aksi peretasan hanya karena motif belajar mencoba. Alangkah lemahnya sistem keamanan situs anda jika bisa dihacker hanya karena motif-motif diatas.

Tentunya sebagai pemilik situs kita sangat mengkhawatirkan masalah peretasan ini. Bayangkan saja jika website anda adalah website perusahaan atau toko online, akibatnya bisa fatal. Mengamankan WordPress tentu satu satunya solusi tepat agar terhindar dari serangan hacker.

Kita masih ingat beberapa waktu lalu ditahun 2020 ada sebuah website toko online sebut saja Tokopedia.com yang mengalami masalah ini. Diduga bahwa tokopedia mengalami kebocoran data pangguna ke publik. Untungnya saja msalah ini cepat diatasi sehingga popularitas tokopedia masih dibawah kendali.

5. Resiko WordPress yang Diserang Hacker Sangat Besar

Sekarang ini sudah banyak website yang mengumpulkan, menyimpan, menggunakan atau memproses informasi rahasia seperti kartu pembayaran, kredensial akun, informasi pribadi atau catatan kesehatan. 

Data kartu pembayaran dan informasi pribadi adalah salah satu komoditas paling larins di pasar gelap. Peretas tentu menjadikan ini sebagai ladang bisnis mereka karena data data tersebut bisa mereka jual dengan harga yang sangat tinggi.

Kerugian lain yang dapat ditimbulkan adalah peretas dapat menggunakan situs anda untuk melakukan serangan terhadap organisasi lain dan pengguna internet. Peretas dapat meng-host malware seperti ransomware dan penambangan crypto yang kemudian dapat menyebar di internet, dengan situs web Anda sebagai tuan rumah. 

Server web yang retas juga dapat digunakan dalam kampanye peretasan, dengan serangan jahat terhadap organisasi lain yang berasal dari server web Anda. Tentu hal ini sangat merugikan anda dan orang lain.

Cara Mengamankan WordPress dari Serangan Hacker

Ulasan diatas sudah cukup membuat kita sadar bahwa sistem keamanan wordpress itu sangat penting. Maka sebelum terlambat ada baiknya kita mengamankan worpdress terlebih dahulu sebelum fokus ke pembuatan konten. Karena tentunya kita tidak ingin repot setiap hari mengurusi permasalahan ini terus menerus.

Baca: Cara Mengganti URL Login WordPress

Untuk mengamankan wordpress ini sudah banyak diulas oleh para webmaster sebelumnya. Namun agar lebih dipahami, saya akan menjelaskannya kembali.

1. Gunakan Hosting yang Handal dan Terpercaya

Langkah pertama untuk mengamankan wordpress adalah memilih penyedia hosting yang terpercaya dalam urusan keamanan. Mengapa Hosting yang pertama? Karena WordPress adalah CMS Open Source yang membutuhkan Hosting agar bisa online serta tempat wordpress akan diinstall. Jadi, untuk membuat sebuah website menggunakan wordpress, langkah pertama anda tentu memilih penyedia hosting.

hosting

Memilih penyedia hosting yang tepat adalah hal paling utama. Hosting ini akan menjadi rumah bagi website tempat menyimpan apapun yang terkait dengan website tersebut apakah itu gambar, script, dll. Kesalahan dalam memilih hosting wordpress bisa menjadi penyebab situs anda mudah terkena serangan hacker.

Perlu dketahui, ada sekitar 41% penyebab website wordpress terkena serangan hacker disebabkan karena faktor kemanan hosting yang lemah. Kejadian ini seringkali menimpa para pengguna Shared Hosting. Hosting jenis ini sangat lemah karena diibaratkan dalam satu rumah terdapat beberapa kamar yang menjadi tempat tinggal orang lain juga.

Jadi shared hosting ini adalah layanan hosting yang digunakan oleh beberapa website. Seringkali kita merasa bahwa website kita sudah aman namun ada celah keamanan dari situs orang lain yang juga dihosting ditempat yang sama dengan kita.

Baca: Perbedaan Hosting dan Domain

Jadi pastikan untuk memilih penyedia hosting yang handal dan terpercaya dalam urusan keamanan. Anda bisa menemukan penyedia hosting yang handal dengan mencari referensi, membaca testimoni orang lain tentang kepuasan pelanggan yang memnggunakan web hosting tersebut.

2. Jangan Gunakan Username “Admin”

Saat pertama kali menginstall wordpress, anda akan dibuatkan username menggunakan “admin”. Untuk mengamanakan wordpress, sebaikya jangan gunakan username tersebut. Kita tau bahwa username admin sudah diketahui banyak orang.

Dari sekian banyak kasus peretasan website, ada 90% serangan yang berhasil dengan menggunakan username admin. Tentunya dengan menghindari penggunaan username “Admin” akan menjaga wordpress selalu aman dari serangan hacker.

Jika website anda sudah terlanjur menggunakan username “admin”, anda bisa menggantinya melalui phpMyAdmin atau bisa juga dengan menginstall plugin pengganti username bernama Username Changer yang bisa Anda download di sini dari pengembang Widgit Team.

3. Gunakan Plugin Security

Menggunakan plugin security bisa menghindarkan anda dari serangan hacker dengan ampuh. Plugin security ini akan menjaga agar semua file didalam directory wordpress anda selalu bersih dana aman dari apapun. Plugin ini akan melakukan scanning terhadap semua jenis file anda, mengaktifkan firewall, serta membersihkan malwere dari situs anda.

wordfence security
Wordfence Security Firewall & Malware Scan

Salah satu plugin security gratis yang paling populer dan sangat kami rekomendasikan adalah plugin Wordfence Security Firewall & Malware Scan.

Plugin ini sudah diinstall sebanyak 3 juta pengguna wordpress didunia. Kebanyakan pengguna menggunakan versi wordfence gratis karena fitur yang disediakan sudah cukup untuk mengamankan wordpress dari serangan hacker.

Jika anda telah berhasil menginstall plugin tersebut, segera lakukan pengaturan dan lakukan scanning untuk mengetahui permasalahan keamanan yang ada pada situs anda.

Plugin tersebut juga akan memberikan saran dan solusi tentang apa yang harus dilakukan jika memang terdapat permasalahan keamanan baik itu berupa malwere ataupun resiko serangan hacker.

4. Batasi Usaha Untuk Login

Langkah berikutnya untuk menghindari serangan hacker adalah memberikan batas untuk login. Artinya, berapa banyak usaha login yang bisa dilakukan jika login pertama gagal.

Misalnya anda hanya membatasi usaha login satu kali saja, jika salah username atau passwordnya maka akan langsung diblokir. Bisa jadi usaha login tersebut sangat tidak aman bagi website anda.

Plugin security Worfence sudah dilengkapi dengan fitur tersebut. Anda bisa mengaktifkannya dengan memberikan izin berapa kali upaya login yang diizinkan. Anda juga bisa memblokir mereka yang gagal sampai dengan satu bulan.

5. Gunakan Themes dan Plugin yang Terpercaya

Themes dan plugin menjadi sasaran empuk para hacker untuk menyusup masuk ke situs anda. Jika anda ingin menggunakan themes untuk meningkatkan tampilan situs anda, maka saran kami pilihlah themes yang lisensinya bisa dipercaya.

Selain itu, pilih pula themes yang berasal dari situs yang memiliki kredibilitas tinggi. Hindari mendownload file themes yang menyediakan file gagal. Hal tersebut bisa saja sebagai indikasi themes bajakan.

Biasanya themes bajakan sudah disusupi script atau malwere yang bisa menyebabkan situs anda rentan diserang hacker.

Olehnya itu untuk menghindari hal-hal yang dapat merugikan anda, sebaiknya pilihlah plugin dengan cara selektif. Pastikan untuk selalu memeriksa pengembang dari plugin tersebut.

Check pula review dan rating yang diberikan penggunanya. Semakin bagus review dan ratingnya maka plugin tersebut bisa menjadi rekomendasi buat anda.

6. Perketat Akses File dan Direktori

Pada sistem file komputer, berbagai file dan directory memiliki izin yang menentukan siapa dan apa yang dapat membaca, menulis, memodifikasi, dan mengaksesnya. 

Ini penting karena WordPress mungkin memerlukan akses untuk menulis ke file di Wp-Content direktori Anda untuk mengaktifkan fungsi-fungsi tertentu.

Menurut situs WordPress.org, salah satu cara mengamankan situs wordpress adalah menghindari direktori wordpress dengan konfigurasi izin 777. Anda harus menggunakan konfigurasi 755 atau 750 untuk directory.

Lalu atur file menjadi 640 atau 644 dan file wp-config.php menjadi 600. Anda bisa menyesuaikan pengaturan directory dan file anda seperti berikut ini.

Relative PathSuggestedActual
/07550755
/wp-admin07550755
/wp-includes07550755
/wp-config.php04440444
/wp-content07550755
/wp-content/themes07550755
/wp-content/plugins07550755
.htaccess04440444

7. Selalu Gunakan WordPress Versi Terbaru

Menjaga wordpress selalu up to date adalah salah satu cara menghindari serangan hacker. Pastikan wordpress yang terinstall disitus anda adalah wordpress versi terbaru.

Hal ini dilakukan untuk mengatasi celah keamanan atau bug system dari versi sebelumnya. Anda bisa memeriksa pembaruan versi wordpress melalui halaman update wordpress dari dashboard admin.

8. Gunakan Two Step Authentication

Two Step Authentication

Menerapkan keamanan berlapis saat login akan lebih menjamin situs wordpress anda terhindar dari serangan hacker. Melakukan pengecekan berulang kali saat login perlu dilakukan untuk memastikan bahwa memang situs anda tidak ditembus orang lain atau bot.

Salah satu cara untuk menerap hal ini adalah menggunakan metode Two Step Authentication. Metode ini bisa anda terapkan dengan bantuan fitur Wordfence Security pada bagian Login Security.

Metode Two Step Authentication akan mengirimkan sebuah kode melalui email atau SMS ke ponsel anda. Kode tersebut berfungsi untuk mengkonfirmasi bahwa yang ingin login adalah anda sendiri, bukan orang lain.

Jelas metode ini sangat ketat karena orang lain tidak bisa mendapatkan kode tersebut karena kode tersebut dikirimkan langsung ke ponsel anda.

Metode Two Step Authentication akan lebih mudah dengan bantuan Google Authenticator. Jika anda mengaktifkan metode Two Step Authentication maka plugin wordfence security akan memberikan kode ada barcode yang bisa anda scan menggunakan aplikasi google authenticator.

Setiap kali anda login, jika situs anda meminta code maka kode tersebut akan segera dibuat oleh google authenticator yang bisa anda gunakan sebagai kode konfirmasi login tersebut.

9. Pastikan “Site Health” Berada diatas 90%

Sejak wordpress merilis versi 5.2.2, wordpress kini semakin aman dengan fitur kesehatan situs. Fitur ini akan menampilkan persentase kesehatan situs anda. Usahakan agar persentasenya selalu berada diatas 90% dengan kategori good.

Fitur ini juga akan memberitahukan kepada admin apa saja yang menjadi penyebab kesehatan situs tidak berada diangka 100%. Jadi gunakan fitur ini sebaik mungkin untuk memantau keamanan situs anda.

10. Jangan Lupa Backup Situs Anda

Biasanya fitur backup ini disediakan oleh penyedia hosting yang handal. Layanan mereka secara otomatis akkan melakukan backup secara terjadwal.

Jadi jika suatu hari terjadi hal-hal yang tidak diinginkan terhadap situs anda, dengan mudahnya anda bisa mengembalikannya seperti semula dengan fitur backup.

Namun penyedia hosting memberikan bayaran yang terpisah terhadap layanan backup ini. Artinya, jika anda membayar untuk menggunakan fitur ini maka fitur ini akan diaktifkan di hosting anda, jika tidak maka anda perlu melakukan update secara manual diluar hosting.

Untuk melakukan backup anda bisa menggunakan plugin seperti:

  • VaultPress
  • BackUpWordPress
  • BackupGuard

Dengan bantuan plugin tersebut anda bisa melakukan backup dengan mudah dan hasilnya pun bisa langsung anda simpan ke DropBox atau Google Drive. Jadi jangan abaikan persoalan backup data wordpress.

Petahanan terbaik adalah dengan melakukan backup data wordpress anda. Jadi ketika wordpress anda terkena serangan hacker bahkan sampai data-data terhapus sekalipun, anda bisa dengan mudak mengembalikannya dengan sekali klik.

Kesimpulan

Itulah ulasan lengkap cara mengamankan situs wordpress dari serangan hacker. Saya rasa cara tersebut diatas sangat mudah diterapkan, hanya saja terkadang selalu kita abaikan. Sekarang tinggal bagaimana saja anda mau mempraktekannya.

Sebagai penutup dari tulisan ini, perlu diketahui bahwa sebagai pemilik situs atau website bertanggung jawab penuh atas semua data dan aset miliknya, sekaligus bertanggung jawab penuh untuk menjaga keamanan dan kenyamanan pengguna atau pengunjungnya.

LEAVE A REPLY

Please enter your comment!
Please enter your name here