Sebagian besar pengguna WordPress berpikir bahwa peluang diserang oleh peretas sangat kecil. Yang benar adalah hal itu terjadi lebih sering daripada yang Anda pikirkan dan sayangnya kebanyakan orang tidak menyadari bahaya itu.
Pernahkah Anda memperhatikan terkadang saat menelusuri di Google bahwa beberapa hasil berlabel “Situs ini dapat membahayakan komputer Anda”? Itu adalah situs web yang telah diretas dan oleh karena itu masuk daftar hitam oleh Google. Tak perlu dikatakan, sebagian besar pengguna akan ketakutan dan mungkin tidak akan pernah mengunjungi situs Anda lagi. Bahkan jika Anda berhasil memulihkan situs Anda dari serangan semacam itu, ini pasti akan memberikan reputasi buruk bagi bisnis Anda.
Saya menyusun daftar tip yang dapat sangat meningkatkan keamanan situs WordPress Anda. Harap dicatat bahwa tip berikut berlaku untuk semua versi WordPress.
1. Gunakan Kata Sandi yang Kuat
Ini mungkin tampak jelas tetapi Anda akan kagum dengan berapa banyak pengguna yang mengabaikan ini. Tidak peduli seberapa banyak Anda bekerja mengamankan situs web Anda, kata sandi yang lemah dapat merusak segalanya. Keamanan seluruh situs web Anda bergantung pada kata sandi itu. Jangan repot-repot membaca sisa artikel ini jika kata sandi Anda tidak cukup kuat.
Berikut 3 tip saat memilih kata sandi Anda:
- Gunakan sesuatu yang seacak mungkin (tidak ada satu kata pun, ulang tahun, atau informasi pribadi)
- Gunakan setidaknya delapan karakter. Semakin panjang kata sandi, semakin sulit untuk ditebak
- Gunakan campuran huruf besar dan kecil serta angka. Kata sandi peka huruf besar / kecil, jadi gunakan itu untuk keuntungan Anda.
2. Jaga agar WordPress Selalu Diperbarui
Tak perlu dikatakan bahwa Anda harus selalu memperbarui instalasi WordPress Anda. Jika kerentanan ditemukan, tim pengembangan WordPress akan memperbaikinya dengan merilis versi baru. Masalahnya adalah sekarang kerentanannya diketahui semua orang sehingga WordPress versi lama sekarang lebih rentan terhadap serangan.
Untuk menghindari menjadi target serangan seperti itu, ada baiknya untuk menyembunyikan nomor versi WordPress Anda. Nomor ini terungkap di meta data halaman dan di file readme.html direktori instalasi WordPress Anda. Untuk menyembunyikan nomor ini, Anda harus menghapus file readme.html dan menghapus nomor versi untuk header dengan menambahkan baris berikut ke file functions.php dari folder tema Anda.
<?php remove_action('wp_head', 'wp_generator');?>
3. Waspadai Tema atau Plugin Berbahaya
Beberapa tema dan plugin berisi kode buggy atau bahkan kode berbahaya. Sebagian besar kode berbahaya disembunyikan menggunakan enkripsi sehingga tidak dapat dideteksi dengan mudah. Itulah mengapa Anda sebaiknya hanya mengunduhnya dari sumber tepercaya. Jangan pernah menginstal tema / plugin bajakan / nulled dan hindari yang gratis kecuali diunduh dari repositori resmi WordPress themes / plugin.
Tema / plugin berbahaya dapat menambahkan tautan balik tersembunyi di situs Anda, mencuri informasi masuk, dan membahayakan keamanan situs web Anda secara umum.
4. Nonaktifkan Pengeditan File
WordPress memberi hak kepada administrator untuk mengedit file tema dan plugin. Fitur ini bisa sangat berguna untuk pengeditan cepat, tetapi juga berguna bagi peretas yang berhasil masuk ke dasbor administrasi. Penyerang dapat menggunakan fitur ini untuk mengedit file PHP dan menjalankan kode berbahaya. Untuk menonaktifkan fitur ini tambahkan baris berikut di file wp-config.php.
define('DISALLOW_FILE_EDIT', true);
5. Amankan wp-config.php
wp-config.php berisi beberapa pengaturan konfigurasi penting dan yang terpenting berisi nama pengguna dan kata sandi database Anda. Jadi, sangat penting untuk keamanan situs WordPress Anda bahwa tidak ada yang akan memiliki akses ke konten file itu.
Dalam keadaan normal, konten file tersebut tidak dapat diakses oleh publik. Namun ada baiknya untuk menambahkan lapisan perlindungan ekstra dengan menggunakan aturan use.htaccess untuk menolak permintaan https padanya.
cukup tambahkan ini ke file the.htaccess di root situs web Anda:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Jangan izinkan pengguna untuk menjelajah di direktori WordPress Anda
Tambahkan baris berikut di file the.htaccess di direktori tempat Anda menginstal WordPress:
Options -Indexes
Ini akan menonaktifkan penjelajahan direktori. Dengan kata lain, ini akan mencegah siapa pun mendapatkan daftar file yang tersedia di direktori Anda tanpa file index.html atau index.php.
7. Ubah nama pengguna
Hacker tahu bahwa nama pengguna yang paling umum di WordPress adalah “admin”. Oleh karena itu, sangat disarankan untuk memiliki nama pengguna yang berbeda.
Cara terbaik adalah menyetel nama pengguna Anda selama proses instalasi, karena setelah nama pengguna disetel, nama pengguna tidak dapat diubah dari dalam dasbor admin tetapi ada dua cara untuk menyiasatinya.
Cara pertama adalah menambahkan pengguna administrator baru dari dasbor admin. Kemudian keluar dan masuk lagi sebagai pengguna baru. Buka dasbor admin dan hapus pengguna bernama admin. WordPress akan memberi Anda opsi untuk mengatribusikan semua posting dan tautan ke pengguna baru.
Jika Anda lebih paham teknologi, Anda dapat mengubah nama pengguna Anda hanya dengan menjalankan kueri SQL. Pergi ke phpmyadmin pilih database Anda dan kirimkan pertanyaan berikut:
UPDATE wp_users SET user_login = 'NewUsername' WHERE user_login = 'admin';
Penting untuk diingat bahwa meskipun Anda menerapkan semua saran saya, Anda tidak akan pernah bisa 100% terlindungi dari peretas. Tetapi tip di atas seharusnya cukup untuk mengurangi kemungkinan diretas.