Mengamankan Wordpress dari Peretas dan Malware

Manajemen situs Wordpress tidak hanya sebatas urusan konten saja. Ada hal yang tidak kalah penting untuk dikerjakan pengelola, yaitu menutup rapat pintu dari serangan peretas dan perangkat perangkat lunak jahat.

Di artikel ini saya akan mencoba memberikan kiat-kiat yang bisa diaplikasikan oleh para pengelola untuk mengamankan Wordpress, khususnya bagi mereka yang tidak memiliki latar belakang pengembang atau pemrograman.

Kenapa Wordpress Rentan?

Sebagai gambaran, situs dengan sistem manajemen konten yang diretas pada tahun 2023, 95% di antaranya adalah yang menggunakan Wordpress (Sucuri, 2024). Harap dicatat, masifnya serangan tersebut bukan pertanda keamanan Wordpress itu buruk tapi lebih dikarenakan oleh gabungan variabel lain.

Popularitas

Hingga saat ini Wordpress masih mendominasi pangsa pasar CMS yang ada di dunia (Benjamin Crozat, 2024). Dibuat dengan bahasa pemrograman yang populer, sumber terbuka dan mudah digunakan oleh semua orang.

Kepopuleran tersebut secara langsung membuat Wordpress menjadi incaran dan ekosistem yang menjanjikan untuk orang-orang yang tidak bertanggung jawab untuk melakukan kejahatan digital.

Sifat Modular

Bagaikan pisau bermata dua. Sifat modular (tema dan pasang-masuk) yang mempermudah pengguna untuk mendapatkan fitur-fitur secara instan ternyata bisa menjadi sesuatu yang membahayakan.

Dalam banyak kasus, celah keamanan disebabkan oleh tema dan pasang-masuk (Dan Knauss, 2023) baik yang kadaluwarsa, diunduh secara ilegal/bajakan atau berasal dari sumber yang tidak dapat diverifikasi.

Kelalaian Pengguna

Sebagian besar kasus peretasan ternyata melibatkan kesalahan manusia (Jeff Peters, 2023). Ada pun yang menjadi penyebab utamanya adalah keteledoran, intensitas kerja dan pengetahuan tentang keamanan yang minim.

Kelalaian tersebut biasanya berawal dari sesuatu yang sepele. Contohnya seperti mengekspos surel di platform yang bersifat publik atau memakai kata sandi yang mudah ditebak. Dalam konteks ini biasanya pengelola Wordpress-lah yang sering melakukan kesalahan tersebut.

Dampak & Risiko

Serangan siber di situs Wordpress bisa berdampak luas. Selain pemilik, pengguna pun bisa ikut merasakan kerugiannya. Dalam kasus tertentu bahkan turut membahayakan aplikasi/situs lain di peladen yang sama (Robert O'Sullivan, 2024).

Data yang dicuri tersebut biasanya akan digunakan peretas sebagai modal awal mereka dalam melakukan kejahatan lain seperti menguras rekening bank, aset kripto serta properti berharga lainnya.

Mengamankan Wordpress

Cara termudah untuk mengamankan Wordpress dari peretasan adalah mengikuti standar keamanan situs secara umum juga saran dari pengembang Wordpress. Cukup dengan yang mendasar saja tanpa harus tahu soal kode dan hal-hal yang di luar kemampuan orang awam. Apa saja itu?

Hosting

Dalam konteks keamanan, memilih hosting adalah hal yang paling mendasar karena mereka adalah lapisan atau tembok keamanan yang paling luar. Semakin baik tembok tersebut maka semakin terjamin keamanannya.

Berikut ini adalah faktor yang bisa dijadikan pedoman memilih hosting yang tepat untuk Wordpress:

• Hindari shared hosting, jika punya anggaran lebih sebaiknya pilih VPS atau layanan managed hosting khusus Wordpress;
• Pilih yang berbentuk badan usaha karena bagaimanapun entitas perusahaan lebih profesional dibandingkan perorangan;
• Lihat reputasi dari penyedia hosting melalui ulasan pengguna di Google atau platform ulasan lain seperti Trustpilot;
• Tersedianya fitur, teknologi aktual serta layanan yang berstandar manajemen mutu internasional seperti ISO.

Kata Sandi

Sandi adalah salah satu pintu masuk bagi peretas untuk membobol sebuah situs. Kata sandi tersebut biasanya didapatkan dari situs lain yang terpapar atau dengan cara memaksa masuk di halaman login menggunakan metode brute force.

• Gunakan kata sandi kuat yang berupa kombinasi dari simbol, angka dan gabungan huruf besar kecil (minimal 8 karakter);
• Membuat jadwal rutin untuk mengganti kata sandi lama dengan yang baru. Setidaknya dilakukan 1 kali setiap kuartal;
• Jangan pernah memakai kata sandi yang sama persis dengan akun di situs/platform lainnya;
• Rahasiakan alamat surel, nomor telepon, kata sandi dan data yang digunakan oleh akun pengelola;
• Jangan pernah menyimpan sandi di perangkat komputer/peramban yang digunakan secara bersamaan oleh orang yang berbeda.

Tema & Pasang-masuk

Keduanya adalah hal yang tidak dapat dipisahkan, bahkan sudah terpasang sejak instalasi awal. Karena berkaitan dengan keamanan maka ada baiknya pengelola Wordpres untuk memperhatikan hal-hal berikut ini:

• Lihat reputasi pengembangnya, pastikan mereka adalah entitas yang sudah bisa diverifikasi baik perorangan maupun perusahaan;
• Menggunakan pasang-masuk yang secara khusus memberikan fitur keamanan dasar bagi situs Wordpress;
• Jangan berlebihan, gunakan pasang-masuk sesuai dengan keperluan. Semakin banyak yang dipasang maka akan semakin besar potensi buruknya;
• Hindari tema dan pasang-masuk gratis, jika ada anggaran lebih baik memilih versi premium agar mendapatkan pemutakhiran di masa datang;
• Diunduh dari sumber yang terpercaya secara legal, bukan barang bajakan yang bisa disusupi skrip dan virus jahat.

Pemutakhiran Berkala

Ada 4 hal yang harus selalu dimutakhirkan yaitu skrip PHP, kode inti Wordpress lalu tema dan pasang-masuk. Cukup merepotkan juga kalau harus cek setiap hari tapi jika dilakukan dengan trik tertentu bisa jadi mudah.

Karena pemutakhiran versi PHP tidak bisa dilakukan melalui panel instrumen pengelola bisa meminta layanan dukungan yang disediakan tempat hosting. Sedangkan untuk skrip ini Wordpress, tema dan pasang-masuk bisa disetel secara otomatis.

Ringkasan

Saya berharap melalui artikel ini para pengelola Wordpress bisa mendapatkan wawasan akan pentingnya masalah keamanan. Dengan pengelolaan yang baik dan bertanggung jawab maka celah keamanan yang sering muncul di Wordpress akan berkurang secara signifikan.