Posted on

Memperkuat Keamanan Website WordPress

wpJakarta – Memperkuat Keamanan Website WordPress. Pada artikel kami sebelumnya Membuat Website WordPress Lebih Aman, kami berikan beberapa tips untuk menutup kesempatan website untuk dapat di hack. Diantaranya sebagai berikut :

  • Gunakan layanan hosting yang kredibel.
  • Jangan gunakan tema hasil crack (Nulled Themes).
  • Instal plugin keamanan.
  • Gunakan strong password.
  • Ubah password secara rutin.
  • Selalu update versi WordPress, Tema dan Plugin.

Baca Juga :

Kini, pada artikel ini masih dengan topik yang sama yaitu bagaimana memperkuat keamanan website WordPress. Tapi pada artikel ini lebih secara khusus tentang trik teknikal tapi ringan yang dapat dilakukan langsung dari admin dashboard WordPress dan hanya dengan beberapa ketikan jari alias tanpa harus menginstall plugin atau software apapun.

Meskipun tentu saja melengkapi website WordPress dengan software atau plugin keamanan juga harus menjadi prioritas. Langkah-langkah diatas dan yang kami bahas berikut pasti tidak membuat website menjadi aman 100%. Tapi paling tidak dapat meningkatkan level keamanannya.

Dan berikut yang kami rangkum beberapa trik untuk memperkuat keamanan website WordPress :

Mengubah hal yang biasa (Ganti Username Dan URL Login)

Kebiasaan seringkali dijadikan acuan atau tebakan bagi para orang-orang “jahil” untuk menjahili website kita. Dari jahil ringan (spam), jahil sedang (redirect) sampai jahil berat (deface hingga bahkan mengambil alih). Maka dari itu ubahlah hal-hal yang biasa menjadi yang agak luar biasa, misalnya :

Ganti Username Login

Ada dua username yang bisa digunakan Untuk masuk ke dashboard admin, yaitu alamat email dan username. Untuk username secara default adalah “admin” meskipun anda berpikir bahwa password yang dibuat sudah sangat strong, akan lebih baik jika kita mengganti nama “admin” dengan nama yang lain.

Silahkan kunjungi artikel kami mengenai mengganti username dashboard admin tanpa plugin : Mengganti username “admin” WordPress tanpa plugin

Ganti URL Login dan URL dashboard

Secara default WordPress memberikan URL sebagai berikut :

  • Login : http://nama-domain.com/wp-login.php
  • Register : http://nama-domain.com/wp-login.php
  • Dashboard admin : http://nama-domain.com/wp-admin/

Kunjungi artikel kami bagaimana mengganti masing-masing URL tersebut tanpa plugin: Mengganti Alamat URL Login WordPress Tanpa Plugin

Batasi percobaan login

Setelah mengganti URL login dan registrasi pada website, kita juga perlu membatasi login yang dilakukan berkali-kali. Paling tidak untuk meminimalisir model serangan “Brute Force Attack”, dan ada beberapa plugin yang bisa digunakan untuk membatasi hal tersebut.

Menambahkan keamanan pada folder wp-include

Pada file direktori website anda terdapat sebuah folder dengan nama wp-include. Wp-include berisi sekumpulan file yang seharusnya tidak boleh diakses oleh orang yang tidak berkepentingan. Hanya anda atau tim yang memang memiliki hak yang boleh mengakses file tersebut.

Untuk menambahkan keamanan pada file-file di folder wp-include. Anda dapat menambahkan baris kode berikut pada file .htaccess. Supaya file ini tidak tertimpa atau ter-overwrite dengan kode WordPress, tambahkan file ini sebelum #Begin WordPress atau setelah #END WordPress.

 # Melindungi folder wp-include
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]
 </IfModule>

Menambahkan keamanan pada file wp-config.php

File wp-config.php juga file krusial yang harus anda lindungi karena berisi data-data yang sensitive. Anda dapat memindahkan file wp-config.php ke folder lain tempat instalasi WordPress. Namun anda harus melakukan cek ulang setiap kali terdapat update.

Untuk menambahkan lapisan keamanan anda dapat menambahkan baris kode berikut pada baris paling atas di file .htaccess anda :

 # Melindungi file wp-config.php
 <files wp-config.php>
 order allow,deny
 deny from all
 </files>

Menon-aktifkan menu edit setiap file editor

Dari dashboard admin WordPress. Terdapat menu theme editor dan plugin editor. Jika kita ingin membuat perubahan atau kustom tema atau plugin yang kita gunakan, maka dari sana kita bisa langsung mengakses file-file inti dari tema atau plugin yang kita pasang, menambahkan atau mengganti skripnya.

Selain itu jika anda menggunakan plugin Litespeed cache atau Yoast SEO plugin. Akan terdapat menu editor dari plugin tersebut untuk mengakses langsung file .htaccess dan robot.txt. Kata bang napi jelas ini mengandung kesempatan pelaku kejahatan (ups….. mengundang, heheheheh).

Untuk menutup akses file editor tersebut, tambahkan sebaris kode berikut pada file wp-config.php setelah tag <?php:

define('DISALLOW_FILE_EDIT', true);

Tips trik diatas memang tidak membuat website kita menjadi kebal 100%. Tapi paling tidak apa yang kami rangkum diatas sebenarnya adalah hal yang sangat mudah tapi memberikan efek yang besar untuk meminimalisir “serangan-serangan” dunia hitam. ups….. dunia maya.

Lihat beberapa kode WordPress yang mungkin anda cari disini : wpJakarta Resources.