Khawatir terhadap keamanan website WordPress Anda?
Sudah tahukah Anda cara mengamankan website WordPress untuk melindungi situs dari berbagai risiko serangan siber?
Apakah Website WordPress Anda Aman?
Keamanan sebuah website WordPress tergantung bagaimana website tersebut dikelola dan tindakan pencegahan apa yang diambil, bukan hanya mengandalkan platform WordPress itu sendiri.
WordPress dikembangkan dengan memperhatikan keamanan dan secara rutin diperbarui untuk menambal celah keamanan yang ditemukan.
Namun, ada banyak faktor lain yang menentukan apakah website WordPress Anda aman atau tidak.
Faktor-faktor tersebut, antara lain versi WordPress, kualitas tema dan plugin, kata sandi, user management, plugin keamanan website, keamanan hosting, sertifikat SSL, dan banyak lagi.
Website WordPress bisa sangat aman jika dikelola dengan baik dan proaktif.
Namun, jika tidak di-update, menggunakan password lemah, atau instal plugin sembarangan, website tersebut bisa jadi sangat rentan terhadap serangan.
Lalu, bagaimana cara mengamankan website WordPress Anda?
Inilah yang akan kita bahas.
Cara Mengamankan Website WordPress
1. Selalu Perbarui Semuanya (Core, Tema, Plugin)
Pengembang WordPress secara rutin merilis pembaruan untuk menambal celah keamanan yang ditemukan.
Segera lakukan update begitu versi baru WordPress, tema, dan semua plugin Anda tersedia.
Aktifkan pembaruan otomatis jika memungkinkan untuk komponen-komponen website yang penting.
2. Gunakan Kata Sandi Kuat & Nama Pengguna Unik
Hindari nama pengguna umum seperti “admin”.
Gunakan kombinasi huruf besar-kecil, angka, dan simbol untuk semua kata sandi, mulai dari WordPress admin, database, FTP/SFTP, dan hosting.
Pertimbangkan penggunaan password manager untuk membuat dan menyimpan kata sandi yang unik dan kuat untuk setiap login.
3. Aktifkan Autentikasi Dua Faktor (2FA/MFA)
Ini menambahkan lapisan keamanan saat login.
Selain kata sandi, pengguna perlu memasukkan kode dari aplikasi autentikator – seperti Google Authenticator, Authy– atau metode verifikasi lain.
Banyak plugin keamanan menawarkan fitur ini.
4. Instal dan Konfigurasi Plugin Keamanan
Plugin seperti Wordfence, Sucuri Security, Solid Security, atau Jetpack Security dapat menyediakan berbagai lapisan perlindungan, seperti:
- Web Application Firewall (WAF): Memblokir lalu lintas berbahaya sebelum mencapai situs Anda.
- Pemindai Malware: Mendeteksi file berbahaya atau perubahan kode yang mencurigakan.
- Pengerasan Keamanan (Hardening): Menerapkan praktik keamanan terbaik secara otomatis (misalnya, menonaktifkan editor file).
- Perlindungan Brute Force: Membatasi upaya login yang gagal.
5. Lakukan Backup Otomatis Secara Rutin
Jika terjadi peretasan atau masalah serius, backup sangat berguna sebagai jaring pengaman Anda.
Jadwalkan backup otomatis – harian atau mingguan, tergantung seberapa sering konten berubah – dan pastikan backup disimpan di lokasi aman dan terpisah dari server hosting Anda.
Uji proses pemulihan (restore) secara berkala.
6. Gunakan HTTPS (Wajibkan SSL/TLS)
Enkripsi koneksi antara browser pengunjung dan server Anda sangat penting, terutama untuk halaman login dan transaksi.
Pastikan sertifikat SSL/TLS Anda aktif dan semua lalu lintas dialihkan ke HTTPS.
Sebagian besar host sekarang menawarkannya secara gratis, misalnya via Let’s Encrypt.
7. Pilih Penyedia Hosting yang Aman dan Jaga Versi PHP
Keamanan server adalah tanggung jawab penyedia hosting Anda.
Oleh sebab itu, pilih hosting dengan reputasi keamanan yang baik, menawarkan isolasi akun, firewall server, dan pemindaian malware tingkat server.
Pastikan juga hosting Anda menggunakan versi PHP supported dan terbaru, karena versi PHP yang usang memiliki kerentanan keamanan.
8. Batasi Percobaan Login & Lindungi Halaman Login
Untuk mencegah serangan brute-force – mencoba kombinasi kata sandi berulang kali–, gunakan fitur pada plugin keamanan atau plugin khusus untuk membatasi jumlah percobaan login yang gagal dari satu alamat IP.
Pertimbangkan juga untuk menambahkan reCAPTCHA atau mengubah URL halaman login default (wp-login.php), meskipun langkah terakhir ini lebih bersifat ‘security through obscurity’.
9. Gunakan Tema dan Plugin dari Sumber Terpercaya Saja
Hanya unduh dan instal tema/plugin dari direktori resmi WordPress.org atau dari pengembang/marketplace terkemuka yang memiliki reputasi baik.
Hindari tema/plugin bajakan (nulled) atau dari sumber tidak jelas karena berisiko disisipi malware atau backdoor.
Jangan lupa hapus tema/plugin yang tidak Anda gunakan, ya.
10. Terapkan Prinsip Hak Akses Terkecil (Least Privilege)
Jangan berikan akses administrator kepada pengguna yang tidak benar-benar membutuhkannya.
Gunakan peran pengguna bawaan WordPress (Editor, Author, Contributor, Subscriber) secara tepat.
Semakin sedikit akun dengan hak akses tinggi, semakin kecil potensi kerusakan jika salah satu akun tersebut disusupi.
Apa yang Harus Dilakukan jika Website Kena Serangan Hack?
Menyadari website WordPress Anda kena hack memang situasi yang membuat stres.
Namun, tetap tenang dan segera ambil langkah-langkah prioritas dan pemulihan.
Berikut panduan langkah demi langkah tentang apa yang harus dilakukan:
Langkah Segera (Prioritas Utama):
1. Isolasi Website Anda (Aktifkan Mode Pemeliharaan)
Tujuannya adalah mencegah pengunjung mengakses situs yang berbahaya dan menghentikan potensi penyebaran lebih lanjut oleh peretas.
Anda bisa melakukannya dengan mengunggah file .maintenance sederhana ke direktori root WordPress atau menggunakan fitur mode pemeliharaan dari plugin keamanan (jika masih bisa diakses).
Ini akan menampilkan pesan bahwa situs sedang dalam perbaikan.
2. Segera Hubungi Penyedia Hosting Anda
Beri tahu mereka bahwa situs Anda kemungkinan diretas. Mereka bisa membantu:
- Memberikan log akses server yang bisa membantu identifikasi.
- Membantu memblokir IP peretas.
- Menawarkan bantuan pemindaian atau pembersihan (tergantung layanan mereka).
- Memberi tahu jika ada akun hosting lain yang terpengaruh di server yang sama (jika shared hosting).
3. Ganti Semua Kata Sandi
Ini sangat penting untuk mengunci akses peretas. Lakukan ini dari komputer yang Anda yakini aman – tidak terinfeksi malware–.
Kata sandi yang harus segera diganti:
- Akun Admin WordPress (semua pengguna dengan peran Administrator/Editor).
- Akun Panel Kontrol Hosting (cPanel, Plesk, dll.).
- Akun Database MySQL/MariaDB.
- Akun FTP/SFTP.
- Jika Anda menggunakan layanan eksternal yang terhubung, misal, gateway pembayaran, dan CDN, pertimbangkan mengganti kata sandinya juga.
Gunakan kata sandi yang kuat (kombinasi huruf besar-kecil, angka, simbol) dan unik untuk setiap akun.
Langkah Identifikasi dan Pembersihan:
4. Identifikasi Waktu dan Jenis Peretasan
Coba ingat kapan terakhir kali situs Anda berfungsi normal.
Periksa log akses server untuk aktivitas mencurigakan, seperti IP aneh, permintaan file tak dikenal.
Periksa file-file di server Anda: cari file yang baru dibuat atau dimodifikasi (terutama di direktori wp-content/uploads, wp-includes, dan direktori tema/plugin).
Perhatikan file dengan nama aneh atau ekstensi ganda, misal image.php.gif.
5. Pembersihan Malware dan Backdoor
Bandingkan file utama WordPress di root, wp-admin, wp-includes dengan salinan bersih dari WordPress.org. Ganti file yang terinfeksi atau berbeda.
Jangan hanya menghapus file utama secara acak.
Kemudian, bandingkan file tema/plugin Anda dengan versi asli dari sumbernya. Hapus tema/plugin yang tidak dikenal atau mencurigakan.
Pertimbangkan menginstal ulang tema/plugin yang dicurigai terinfeksi dari sumber resmi.
Cari injeksi konten (spam, link aneh), pengguna admin baru yang tidak Anda buat, atau tabel yang mencurigakan. Gunakan tools seperti phpMyAdmin atau plugin database.
Proses pembersihan bisa sangat teknis dan berisiko.
Jika Anda tidak yakin, lebih baik menggunakan layanan pembersihan malware profesional, seperti Sucuri, Wordfence, atau spesialis keamanan WordPress lainnya.
Langkah Pemulihan dan Pencegahan
6. Pulihkan dari Backup yang Bersih (Jika Ada)
Jika Anda memiliki backup reguler dan yakin ada salinan yang dibuat sebelum peretasan terjadi dan bersih dari malware, lebih baik memulihkan dari backup tersebut.
Setelah memulihkan dari backup, Anda tetap harus mengganti semua kata sandi (Langkah 3) dan melakukan pemindaian keamanan lagi untuk memastikan tidak ada sisa infeksi atau kerentanan yang sama.
7. Perbarui Semuanya
Setelah situs dipastikan bersih, baik dibersihkan manual atau dipulihkan dari backup, segera perbarui:
- Core WordPress ke versi terbaru.
- Semua tema ke versi terbaru.
- Semua plugin ke versi terbaru.
- Hapus tema dan plugin yang tidak aktif/tidak digunakan.
Perkuat Keamanan Website dengan Sertifikat SSL dari GudangSSL!
Berdasarkan penjelasan di atas, salah satu cara mengamankan website WordPress adalah dengan menggunakan sertifikat SSL untuk mengubah koneksi HTTP menjadi HTTPS.
Pastikan Anda mendapatkan sertifikat SSL dari penyedia terpercaya seperti GudangSSL untuk menjamin keamanan koneksi dan data pengunjung website Anda, ya!
GudangSSL menawarkan berbagai pilihan sertifikat SSL termurah dan terlengkap, mulai dari Sectigo, AlphaSSL, Globalsign, Geotrust, dan banyak lagi!
Harga SSL di GudangSSL juga 30% lebih murah dari Certificate Authority (CA), lho! Tak perlu khawatir, kami juga memberikan GARANSI 15 hari setelah SSL aktif.
Tunggu apalagi? Yuk, mulai amankan website Anda sekarang!
