Situs WordPress yang diretas dapat menyebabkan kerusakan serius pada pendapatan dan reputasi bisnis Anda. Hacker dapat mencuri informasi pengguna, kata sandi, menginstal perangkat lunak berbahaya, dan bahkan dapat menyebarkan malware ke pengguna Anda. Terburuk, Anda mungkin menemukan diri Anda membayar ransomware ke hacker hanya untuk mendapatkan kembali akses ke situs Anda.
Pada bulan Maret 2016, Google melaporkan bahwa lebih dari 50 juta pengguna situs web telah diberi tahu tentang situs web yang mereka kunjungi mungkin berisi perangkat lunak perusak atau mencuri informasi. Selanjutnya, Google memasukkan sekitar 20.000 situs web untuk malware dan sekitar 50.000 untuk phishing setiap minggu.
Jika situs web Anda adalah bisnis, Anda perlu memberi perhatian ekstra pada keamanan WordPress Anda. Mirip dengan bagaimana tanggung jawab pemilik bisnis untuk melindungi bangunan toko fisik mereka, sebagai pemilik bisnis online, Anda bertanggung jawab untuk melindungi situs web bisnis Anda.
All In One WP Security & Firewall
Sebagai alat bantu untuk mengamankan Website Anda, kita gunakan Plugin All In One WP Security & Firewall yang kita singkat dengan WPS. Plugin ini dapat diunduh secara GRATIS melalui dahsboard WordPress bagian menu Plugins.
1. Ubah nama pengguna “admin” Default
Dulu, username admin default WordPress adalah “admin”. Karena nama pengguna merupakan setengah dari kredensial masuk, ini membuat lebih mudah bagi peretas untuk melakukan serangan brute force.
Untungnya, WordPress telah mengubahnya dan sekarang mengharuskan Anda untuk memilih nama pengguna khusus pada saat menginstal WordPress .
Namun, beberapa installer WordPress 1-click, masih menetapkan nama pengguna admin default ke “admin”.
WPS bisa mendeteksi jika ada nama pengguna “admin” dan Anda dapat menggantinya secara langsung. Masuk ke Dashboard WPS – User Accounts- WP User Name dan rubah nama pengguna disana.
Selain itu buatlah nama yang berbeda antara Username dan Nickname serta tampilkan nama Nickname, alih-alih menampilkan nama pengguna (username) ke Publik. Ini salah satu cara untuk mengurangi resiko peretasan.
Catatan: Kita berbicara tentang nama pengguna yang disebut “admin”, bukan peran administrator.
2. Batasi Upaya Masuk
Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Ini membuat situs WordPress Anda rentan terhadap serangan brute force. Hacker mencoba untuk memecahkan password dengan mencoba login dengan kombinasi yang berbeda.
Hal ini dapat dengan mudah diperbaiki dengan membatasi upaya login yang gagal yang dapat dilakukan pengguna. Anda dapat melakukan ini dengan cara masuk ke WPS – User Login – Login Lockdown
Anda dapat membatasi berapa kali akun mencoba login dan berapa lama masa berlaku lockdown jika akun melampaui batas maksimal percobaan login. Anda juga bisa menentukan email untuk mendapat kiriman notifikasi jika ada akun yang terkena kunci (lockdown).
3. Keluar secara otomatis Pengguna Idle di WordPress
Pengguna yang masuk terkadang dapat berjalan jauh dari layar, dan ini menimbulkan risiko keamanan. Seseorang dapat membajak sesi mereka, mengubah kata sandi, atau membuat perubahan pada akun mereka.
Inilah sebabnya mengapa banyak situs perbankan dan keuangan secara otomatis mengeluarkan pengguna yang tidak aktif. Anda juga bisa menerapkan fungsi serupa di situs WordPress Anda.
Masuk ke WPS – User Login – Force Logout
Anda dapat menentukan berapa lama waktu idle yang diperlukan sampai otomatis terkena ‘tendangan’ dan keluar dari sesi WordPress.
4. Batasi Registrasi Pengguna
Seringkali spammer atau peretas menggunakan BOT untuk mendaftarkan akun-akun mereka ke beberapa website termasuk yang berbasis WordPress. Tentunya kita tidak ingin akun-akun mereka membanjiri website kita dan melakukan hal-hal negatif yang menyebabkan kita terkena imbasnya.
Anda dapat melakukan pembatasan ini melalui menu WPS – User Registration. Ada dua sub menu yang penting :
a. Manual Approval
Anda dapat mencentang Enable manual approval agar setiap pendaftaran akun baru akan ditunda sampai Anda aktifkan secara manual.
b. Registration Captcha
Dengan mengaktifkan Enable Captcha On Registration Page, maka seseorang yang mendaftarkan akun baru diwajibkan mengisi pertanyaan matematik seperti gambar dibawah ini. Hal ini untuk mencegah pendaftaran otomatis dari aplikasi BOT yang biasanya digunakan oleh spammer.
5. Ubah Awalan Database WordPress
Secara default, WordPress menggunakan wp_ sebagai awalan (prefix) untuk semua tabel di database WordPress Anda. Jika situs WordPress Anda menggunakan awalan database default, maka akan memudahkan hacker menebak nama tabel Anda. Inilah mengapa kami menyarankan untuk mengubahnya.
Anda dapat mengubah awalan database Anda dengan masuk ke menu WPS – Database Security – DB Prefix kemudian ganti dengan database prefix yang baru.
Catatan: Ini bisa merusak situs Anda jika tidak dilakukan dengan benar. Lanjutkan saja, jika Anda merasa nyaman dengan kemampuan coding Anda.
6. Atur Hak Akses ke File dan Direktori WordPress
Hak akses ke file dan direktori yang berhubungan dengan WordPress wajib diatur dan disesuaikan, karena disinilah titik lemahnya. Jika peretas menemukan bahwa sebuah direktori penting memiliki hak akses Write , maka dia bisa menanamkan program backdoor disana dan mulai melakukan penyusupan.
Anda dapat melakukan pengecekan dan menyesuaikan hak akses file dan direktori di WPS – Filesystem Security – File Permissions
Anda cukup perhatikan baris yang di sorot warna merah dan dengan hanya menekan tombol Set Recommended Permissions maka file atau direktori tersebut akan otomatis disesuaikan dengan konfigurasi standard yang aman.
7. Nonaktifkan Pengeditan File
WordPress dilengkapi dengan editor kode built-in yang memungkinkan Anda mengedit file tema dan plugin Anda langsung dari area admin WordPress Anda. Di tangan yang salah, fitur ini bisa menjadi risiko keamanan, itulah sebabnya kami menyarankan untuk mematikannya.
Anda dapat dengan mudah melakukan ini dengan masuk ke WPS – Filesystem Security – PHP File Editing dan centang di Disable Ability to Edit PHP Files.
8. Aktifkan Firewall
Untuk mengamankan WordPress maka Anda memerlukan fitur Firewall. Firewall akan menutup celah-celah keamanan di script WordPress yang berpotensi di eksploitasi oleh peretas. Ada banyak konfigurasi firewall di WPS, paling sederhana adalah mengaktifkan Basic Firewall dan biarkan WPS bekerja dengan sendirinya.
Masuk ke WPS – Firewall
9. Nonaktifkan XML-RPC di WordPress
XML-RPC diaktifkan secara default di WordPress 3.5 karena membantu menghubungkan situs WordPress Anda dengan aplikasi web dan seluler.
Namun karena sifatnya yang hebat, XML-RPC dapat secara signifikan memperkuat serangan brute force.
Misalnya, secara tradisional jika seorang hacker ingin mencoba 500 kata kunci yang berbeda di situs Anda, mereka harus membuat 500 upaya masuk terpisah yang akan tertangkap dan diblokir oleh plugin penguncian login.
Tapi dengan XML-RPC, hacker bisa menggunakan fungsi system.multicall untuk mencoba ribuan password dengan mengatakan 20 atau 50 permintaan. Inilah sebabnya mengapa jika Anda tidak menggunakan XML-RPC, sebaiknya nonaktifkan.
Masuk ke WPS – Firewall
10. Penamaan ulang URL Halaman Login
Standard WordPress untuk masuk ke halaman login adalah http://domain.ext/wp-admin dan ini jadi sasaran peretas untuk mencoba teknik Brute Force untuk menjebol masuk ke dalam halaman administrasi.
Untuk mencegah serangan tersebut maka URL halaman login harus dirubah, caranya masuk ke WPS – Brute Force – Rename Login Page.
Anda tinggal mengaktifkan fitur ini dan mengisi nama URL yang baru.
Selain mengganti URL halaman login, jangan lupa untuk mengaktifkan Captcha saat login. Ini mampu mencegah penerobosan sistem oleh BOT.
Masuk ke WPS – Brute Force – Login Captcha
Ada dua pilihan untuk Captcha. Anda bisa memilih captcha ala Google reCAPTCHA atau memilih captcha standar dari aplikasi WPS yaitu pertanyaan matematik seperti captcha saat Registrasi Pengguna Baru diatas.
Penutup
Demikian 10 Tips untuk mengamankan WordPress Anda, semoga sukses dengan bisnis Anda.