Cara Proteksi Website Wordpress dari Serangan Hacker

Hallo sobat Ndikrulil yang ingin memiliki website profesional, ingin minggrasi dari platform Blogger atau masih takut dengan website berbasis Wordpress. Untuk itu saya menulis artikel bertema WebSecurity ini.

Memiliki website profesional memang menjadi dambaan bagi seseorang di era digital seperti sekarang, Namun dengan banyaknya kasus situs-situs profesional seperti situs milik KPAI, KPU, Telkomsel, Tempo atau situs indonesianbacktrack.or.id (salah satu portal penggiat teknologi dibidang keamanan dan infrastruktur jaringan komputer terbesar di Indonesia) yang pernah dijahili oleh hacker bahkan situs revolusimental.go.id yang kabarnya dibuat dengan anggaran Rp. 140 M pada hari pertama rilisnya website tersebut langsung diretas oleh code name i3r_cod3.

Dari beberapa kasus diatas mungkin sebagian dari sobat langsung ciut nyali untuk mencicipi serunya membuat atau sekedar mengutak-atik website self hosted sendiri dan lebih platform blogging hosted seperti Wix, Blogger, Wordpress.com, dll.

Pentingkah WebSecurity ?


Situs website yang diretas oleh hacker dapat menyebabkan kerusakan serius pada pendapatan dan reputasi bisnis sobat. Hacker dapat dengan mudah mengakses dan mencuri informasi pengguna, kata sandi, menginstal software berbahaya, dan bahkan dapat mendistribusikan malware ke perangkat pengguna yang mengakses website sobat.

Kasus hacking yang terburuk adalah sobat diminta untuk membayar sejumlah uang tebusan ke peretas untuk mendapatkan kembali akses ke situs sobat.

Pada Juni 2018, Google melaporkan bahwa lebih dari 50 juta pengguna situs website telah diperingatkan tentang situs website yang mereka kunjungi mungkin berisi malware atau mencuri informasi secara diam-diam.

Selain itu, Google juga memblacklist sekitar 20.000 situs website yang dicurigai mengandung malware dan sekitar 50.000 website yang diduga mencuri data penggunjung (phishing) setiap minggunya.

Jika situs website sobat adalah website yang digunakan untuk bisnis, tentu WebSecurity adalah faktor yang sangat membutuhkan perhatian ekstra. Mirip dengan bagaimana pemilik bisnis bertanggung jawab untuk melindungi bangunan toko offline mereka, sebagai pemilik bisnis online sobat juga perlu melindungi situs website bisnis untuk menunjang keberhasilah usaha sobat.

Proteksi Website Wordpress dari Hacker


Kenapa saya disini hanya memilih dan mengulas keamanan CMS Wordpress, bukankah banyak CMS lain? menurut survei yang dilakukan oleh Linux Journal Reader’s para pembaca memilih :
  • WordPress : 42%
  • Drupal : 23%
  • CMS lain :15%
  • Joomla : 10%
  • Concret5 : 10%
  • Grav : 3%
  • ModX : 3%
Hasil diatas dikarena Wordpress mimiliki banyak keunggulan jika dibanding CMS lain, mulai dari biaya instalasi yang gratis, instalasi mudah, mudah dioprasikan, banyak pilihan template dan plugin, link management terintegrasi, multiple authors, SEO friendly dan masih banyak lagi. Intinya wordpress sangat cocok untuk pemula hingga profesional.

Oke, langsung saja kita menuju ketopik utama mengenai Cara Proteksi Website Wordpress dari Serangan Hacker dibawah ini.

Pilih Hosting yang Terpercaya


Layanan web hosting memiliki peranan paling penting dalam urusan keamanan sebuah situs atau website. Penyedia hosting yang terpercaya seperti Dewaweb melindungi server mereka secara ekstra dari ancaman umum seperti seragan siber, malware, packet sniffing, DDOS, IP spoofing, DNS forgery, DNS cache poisoning, dll.

Dengan menggunakan layanan web Hosting Murah berkualitas yang dikelola secara profesional dan menyediakan platform yang lebih aman untuk situs web profesional sobat, tentu hal ini sangat efektif untuk meminimalisir tindakan kejahatan siber yang hendak menimpa website sobat.

Buat Password Akses ke Admin Panel Sesulit Mungkin


Upaya hacker untuk meretas website khususnya WordPress yang paling umum menggunakan teknik Brute-force attack, teknik ini bekerja sesuai namanya yakni dengan mengacak password secara brutal hingga password yang diacak cocok dengan password yang anda buat untuk mengamankan situs sobat.

Sobat dapat mempersulit si pelaku attacker ini dengan menggunakan kombinasi password yang unik seperti 53%cRyp*-, password yang unik seperti itu tidak hanya untuk akses admin panel WordPress, tetapi juga untuk akun FTP, database, akun hosting, dan alamat email sobat.

Ubah Username Default "admin"


Dulu nama pengguna atau username admin WordPress sudah diset secara default dengan "admin". Karena username merupakan setengah dari kredensial untuk mengakses admin panel maka hal ini dapat mempermudah para hacker untuk melakukan serangan brute-force.

Untungnya, WordPress saat ini tidak memberlakukan username "admin" secara default lagi dan sekarang WordPress mengharuskan sobat untuk memilih username khusus pada saat pertama kali menginstal WordPress.

Namun, jika sobat sudah terlanjur menggunakan username admin sobat tidak perlu khawatir karena masih memungkinkan untuk sobat ubah, ada tiga metode yang dapat sobat gunakan untuk mengubah username.
  1. Buat username admin baru dan hapus yang lama.
  2. Gunakan plugin Username Changer
  3. Perbarui WordPress dari phpMyAdmin
Untuk lebih detailnya sobat bisa mencari sendiri tutorial mengubah username WordPress di YouTube.

Pastikan Versi WordPress Up To Date


WordPress adalah software open source yang secara berkala dipelihara dan diperbarui oleh developer untuk memaksimalkan performa dan menutup bug yang telah di eksplorasi oleh hacker. WordPress juga dilengkapi dengan jutaan plugin dan tema yang dapat sobat pasang ke situs website. Plugin dan tema ini dikelola oleh developer pihak ketiga yang secara teratur merilis pembaruan juga.

Pembaruan WordPress ini sangat-sangat penting untuk keamanan dan stabilitas situs WordPress sobat.

Disable File Editing


WordPress hadir dengan code editor built-in yang memungkinkan sobat untuk mengedit template dan file plugin langsung dari area admin WordPress. Di tangan yang salah, fitur ini dapat menjadi risiko keamanan, itulah sebabnya saya menyarankan untuk menonaktifka salah satu fitur bawaan ini.
Untuk mendisable file editik sobat hanya perlu kode dibawah ini di file wp-config.php.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Batasi Upaya Login yang Gagal


Secara default, WordPress memungkinkan pengguna untuk mencoba login sebanyak yang mereka inginkan. Ini yang membuat situs WordPress sobat rentan terkena serangan brute force. Namun, jika sobat ingin melindungi website WordPress dengan cara membatasi upaya login yang gagal sobat dapat mencoba langkah-langkah di bawah ini.

Pertama, sobat perlu menginstal dan mengaktifkan plugin Login LockDown. Untuk detail penginstalannya sama seperti proses instalasi plugin lain.

Setelah plugin aktif, kunjungi Settings » Login LockDown untuk mengatur plugin.

Sobat dapat menyesuaikan batas maksimal percobaan login, waktu tunggu jika username atau password yang dimasukkan salah sesuka hati.

Pasang Secure Socket Layer (SSL)


SSL Certificate memiliki peranan yang penting untuk mengenkripsi dan mengirimkan session key pengguna ke server, SSL mengubah sebuah protokol transport seperti TCP menjadi suatu saluran komunikasi aman yang cocok untuk sobat yang memiliki website untuk bisnis yang memiki lalulintas transaksi yang sangat sensitif.

Untuk sobat yang melum mengaktifkan SSL ke situs website bisnis, sobat dapat mengikuti panduan tahap-tahap pemasangan SSL ke website dengan cara Googling.

Pilih Registrar Domain yang Aman


Sama seperti milih layanan web hosting terpercaya, memilih registrar domain yang aman dan terpercaya menjadi salah satu faktor yang wajib diperhatikan dalam membangun sebuah website.

Pilihlah registrar domain yang memiliki dukungan teknis dan layanan pelanggan yang baik selama 24 jam dan pastikan juga pelayanan dari penyedia domain memiliki dukugan yang ramah untuk membatu mencari solusi dan mengatasi jika terjadi masalah.

Jangan mudah tergiur Domain Murah atau bahkan Domain Gratis tanpa mempertimbangkan fitur dan pelayanan registrar domain tersebut. Lebih baik tanyakan terlebih dahulu mengenai harga perpanjang domain murah, karena biasanya domain murah atau gratis tersebut hanya berlaku untuk 1 tahun pertama.

Jangan sampai sobat terjebak pada registrar domain yang nakal dan meredirect domain sobat ke situs-situs spam atau phising tanpa sepengetahuan.
Advertisemen

Related Posts