Teknologi

Diperbaharui 3 Okt 2021

Mengamankan Wordpress dari Hacker dan Malware

Meutia Rahmah
Meutia Rahmah

Aktivitas dan pengelolaan Wordpress self-hosted ternyata bukan hanya sebatas desain, konten, atau SEO, karena dibalik hal tersebut ada isu lain yang tidak kalah pentingnya, yaitu menjaganya agar aman dari peretasan dan malware.

Kenapa keamanan jadi prioritas penting bagi Wordpress, tentu semua harus ada alasannya bukan? Tenang saja, di artikel ini semuanya akan di jelaskan sesederhana mungkin agar mudah untuk dimengerti.

Kenapa Harus Aman?

Hematnya Wordpress itu punya keamanan yang bagus, meskipun begitu kemungkinan adanya celah dan pembobolan akan tetap ada. Oleh karena itu sebagai pengelola kita harus memastikan tidak adanya akses ilegal.

1. Rentan

Berdasarkan sebuah data yang dirilis oleh Sucuri terungkap sebuah fakta menarik yaitu dari sekian banyak korban serangan hack atau malware 83% diantaranya adalah website yang menggunakan platform Wordpress.

Ada 2 hal yang melatar belakangi hal tersebut, yaitu kepopuleran dari Wordpress dan bahasa pemrograman yang ada dibelakangnya, yaitu PHP.

Sebagai catatan, untuk saat ini saja sebanyak 30,9% website tercatat menggunakan Wordpress, dan dari seluruh CMS yang aktif 59,8% diantaranya adalah Wordpress. Kalau suatu saat nanti ada platform lain yang lebih populer maka ceritanya bisa berbeda.

2. Motif

Peretasan dan malware tidak hanya terjadi pada website besar saja. Pada praktiknya akan ada ribuan motif untuk membobol sebuah website. Mulai dari iseng, persaingan bisnis hingga ingin mendapatkan keuntungan dengan cara-cara yang tidak baik seperti:

  • Memasang dan menyebarkan virus atau malware untuk keperluan spamming, mining dan pemerasan.
  • Mencuri data pengguna, email, password hingga data penting seperti nomor kartu kredit.
  • Merusak data, merubah konten hingga membuat sebuah website down agar tidak bisa diakses.

3. Resiko

Pada umumnya serangan peretasan pada sebuah website bisa menyebabkan kerusakan dan malfungsi pada:

  • Server dimana Wordpress terpasang, termasuk website juga data milik orang lain yang kemungkinan besar bisa terpapar atau terbuka celah keamanannya.
  • Perangkat dan data milik pengguna terutama jika website yang diserang terinfeksi oleh virus dan malware.

Saya rasa poin-poin di atas tadi sudah mencukupi untuk membuat Kita sadar akan pentingnya keamanan website. Kalau begitu mari Kita langsung menuju topik utama artikel ini, yaitu tips dan cara membuat Wordpress lebih aman.

1. Hosting yang Handal

Jika ada hal pertama yang harus menjadi prioritas dalam hal menjaga keamanan dan keberlangsungan sebuah website Wordpress maka hal tersebut adalah memilih hosting yang aman dan dapat dipercaya.

Bagaimana kita tahu handal tidaknya? Susah juga sih kalau belum mencobanya dulu, tapi pada umumnya hosting yang bagus itu punya kriteria seperti di bawah ini yang diantaranya adalah:

  • Berbentuk badan usaha bukan milik perorangan, karena secara logika penyedia dengan bentuk badan usaha akan lebih profesional.
  • Mempunyai reputasi bagus, salah satu cara mengetahuinya bisa dilihat dari ulasan atau ulasan para penggunanya.
  • Layanannya dilengkapi dengan teknologi yang up to date dan infrastruktur memadai, terutama dalam hal keamanan.

Tentu ada dong. Salah satu yang bisa Saya referensikan adalah cloud hosting murah dari Dewaweb. Dari pengalaman sih ketika menggunakan layanan mereka saya belum pernah mengalami hal-hal buruk, baik dalam performa maupun soal keamanan.

Sebagai bahan perbandingan saja, hosting Wordpress Dewaweb sudah dilengkapi dengan teknologi keamanan canggih yang mumpuni seperti:

  • Imunify360 AI Security. Teknologi ini mengumpulkan jutaan informasi terbaru mengenai peretasan server dari seluruh dunia, dengan cara tersebut begitu server dapat membuat pertahanan (firewall) secara realtime dan dinamis.
  • Patchman Auto Patching. Seuai namanya Patchman Auto Patching ini berperan untuk menambal celah keamanan yang berasal dari aplikasi web yang terinstal di server, yaitu core PHP dan Wordpress milik Kamu.
  • MailChannels Cloud SMTP Relay. Dalam hal keamanan MailChannels Cloud SMTP Relay difungsikan untuk memblokir email masuk dari pengguna yang terindikasi melakukan penyelahgunaan, diantaranya melakukan spam atau mengirimkan berkas berisi virus.
  • Grade A SLL. Seluruh pengguna hosting Dewaweb mendapatkan layanan SSL grade A yang bisa di test langsung di Qualys SSL Labs secara gratis tanpa harus mengeluarkan biaya.
  • Integrasi Cloudflare. Selain untuk menigkatkaan performa, layanan CDN Cloudflare bisa difungsikan sebagai benteng keamanan juga, seperti menahan serangan DDoS bahkan memblokir pengunjung dari IP tertentu.
  • ISO27001 Certified. Dengan adanya sertifikat ISO27001 dimana pengelolaan informasi, aset/data, alur kerja dan yang lainnya telah memenuhi standar internasional.

Kira-kira itulah yang membuat saya nyaman mengunakan hosting dan domain murah Dewaweb.

2. Sandi yang Kuat

Halaman login adalah salah satu pintu yang sering dijadikan target peretas untuk melakukan aksi mereka. Dalam hal ini mereka akan memanfaatkan kelalaian pengguna yang lebih senang memilih kata sandi yang mudah diingat.

Nah, yang jadi persoalan ternyata kombinasi username dan password yang mudah diingat cenderung lemah dan mudah dibobol oleh para peretas. Lalu bagaimana cara untuk membuat sandi lebih aman?

  • Gunakan kombinasi huruf kapital dan huruf kecil, lalu gabungan dengan angka dan simbol. Sangat disarankan lebih dari 8 karakter dari hal-hal yang tidak umum.
  • Jangan pernah menggunakan kata sandi yang sama dengan yang digunakan untuk akun email.

3. Tema dan Plugin Terbaik

Memilih theme dan plugin ternyata bukan hanya soal estetika atau fungsionalitas belaka. Bagi Wordpress sendiri keduanya punya peranan dalam menentukan aman tidaknya sebuah website. Berikut ini adalah tips untuk memilih theme dan plugin yang terpercaya:

  • Dikelola dengan baik dan profesional oleh pengembangnya, lihat historinya apakah ulasan dan cek apakah selalu update secara reguler.
  • Diunduh dari sumber yang terpercaya, yaitu website resmi pengembang atau yang tersedia di Wordpress.org.
  • Didapatkan secara legal, bukan barang bajakan atau nulled version. Selain mencuri hak orang lain theme dan plugin bajakan biasanya disusupi oleh script jahat dan virus yang berbahaya.
  • Meskipun tidak selalu, theme dan plugin yang bagus biasanya di kembangkan oleh developer yang berbentuk organisasi/badan usaha, sehingga keberlangsungannya—pengembangan juga update lebih terjamin.
  • Pastikan tema dan plugin yang dipilih mendukung dengan versi Wordpress yang digunakan. Jika tidak mendukung besar kemungkinan akan terjadi malfungsi atau membuka celah keamanan.

Sebagai tambahan jangan lupa untuk mencopot atau hapus plugin dan theme yang tidak lagi digunakan.

4. Plugin Keamanan

Plugin semacam ini memang banyak pilihannya, hanya saja Kita harus pintar memilih. Dari sekian banyak rekomendasi dan ulasan yang ada di internet sih pilihannya akan mengerucut kepada Wordfence, iThemes Security, All In One WP Security & Firewall, BulletProof Security atau Secupress.

Kalau ditanya mana yang paling bagus maka Saya lebih condong memilih Secupress. Alasannya sih karena plugin ini punya alat pemindai dan fitur keamanan yang lengkap, jadi tidak perlu banyak plugin keamanan tambahan.

Nah, sebagai panduan berikut ini adalah konfigurasi penting yang harus diperhatikan ketika menggunakan plugin keamanan.

  • User & Login. Membatasi percobaan login yang mencurigakan; captcha untuk mencegah bot peretas di halaman login; merubah URL halaman login Wordpress.
  • Wordpress Core. Membatasi edit/perubahan berkas inti Wordpess; mencegah upload file dengan ekstensi yang mencurigakan.
  • Sensitive Data. Mencegah direktori listing di browser; membatasi akses file penting untuk publik.
  • Firewall. memblokir bot spam dan script yang mencurigakan; membuat Content Security Policy.

5. Backup & Update

Backup dan update adalah rangkaian termudah dari mengamankan Wordpress, tapi yang jadi persoalan kadang pengguna sering lupa, malas bahkan dikesampinkan, padahal keduanya adalah aktifitas penting yang harus dilakukan secara rutin.

Backup sendiri bisa dilakukan dengan dua jalan, yaitu melalui Cpanel hosting atau kontrol panel/dashboard Wordpress. Dalam kasus ini saya lebih suka cara yang kedua, yaitu melalui dashboard.

Untuk dapat melakukan backup melalui dashboard Kamu akan membutuhkan bantuan plugin yang khusus. saya pribadi menggunakan UpdraftPlus versi gratis.

Nah, kalau soal update lakukanlah sesegera mungkin ketika ada pembaruan, baik Wordpress core maupun theme dan plugin. Tapi kalau mau lebih aman Kamu bisa perhatikan apakah itu minor update atau major update.

Jika pembaruan tersebut major update sebaiknya cek terlebih dahulu, apakah pembaruan tersebut sekiranya mendukung dengan elemen—plugin, tema dan Wordpressnya lainnya.

6. Gunakan SSL

Langkah terakhir untuk membuat Wordpress aman dari serangan hacker adalah dengan cara menggunakan SSL Certificate agar koneksi atau jalur komunikasi antara pengguna dan server tidak bisa disusupi oleh peretas.

Hal yang harus diperhatikan dari SSL ini adalah alihkan seluruh permintaan dari HTTP ke HTTPS juga memastikan konfigurasinya sudah dilakukan dengan benar.

Rangkuman

Pengelola website punya tanggung jawab penuh atas semua data yang tersimpan. Menjaga keamanan web akan menjamin keberlangsungan website beserta aktivitas penggunanya jadi lebih terjamin.

Keamanan
Malware
Optimasi
Wordpress

© 2021 Meutia Rahmah All Rights Reserved