Tindakan keamanan website diamanapun tentu menjadi hal yang penting. Melindungi admin area dari akses yang tidak diijinkan bisa diartikan anda memblokir permasalahan sekuritas pada umumnya. Artikel ini akan membahas beberapa tips penting untuk melindungi admin WordPress anda.
1. Gunakan Firewall Aplikasi Website
Firewall Webiste atau WAF (Website Application Firewall) memonitor lalu lintas website dan memblokir request yang dianggap mencurigakan sebelum sampai pada website.
Ada beberapa plugin firewall wordpress di luar sana, tapi yang kami rekomendasikan adalah Sucuri. Sucuri adalah aplikasi pengamanan dan monitoring website, yang memberikan WAF berbasis cloud untuk melindungi website anda.
Semua trafiic (lalu lintas data) akan melewati cloud proxy mereka, dimana setiap request akan dianalisa dan akan diblokir jika memang mencurigakan sebelum sampai ke website. Ini memungkinkan kesempatan hacking terhadap website anda dapat dicegah, juga mengurangi kemungkinan phising, malware dan aktivitas merusak lainnya.
2. Lingungi Direktori Admin dengan Password
Secara default, admin area WordPress anda memang sudah dilindungi oleh password bawaan WordPress. Tapi dengan menambahkan perlindungan dengan memberikan password di directory admin, akan menambah tingkat keamanan website anda.
Langkah pertama, masuk ke dashboard cpanel hosting WordPress anda dan pilih ikon ‘Password Protect Directories’ atau ‘Directory Privacy’.
Kemudian, pilih folder wp-admin anda, biasanya terletak di direktori /public_html/ .
Di halaman selanjutnya, centang pilihan ‘Password protect this directory’ dan berikan nama direktori yang anda lindungi tersebut. Setelah itu, klik tombol simpan untuk menseting permission.
Selanjutnya, anda perlu menekan tombol back dan buat user baru. Anda akan diminta untuk memasukan username / password dan kemudian klik tombol simpan.
Sekarang setiap kali seseorang mencoba membuka admin WordPress atau direktori wp-admin di website anda, mereka akan diminta untuk memasukan username dan password.
3. Selalu Gunakan Password yang Kuat
Selalu gunakan password yang kuat untuk semua akun online anda, termasuk WordPress anda. Kami menyarankan menggunakan kombinasi huruf, angka dan karakter spesial untuk password, dimana hal tersebut akan mempersulit hacker untuk menebak password anda.
Mungkin anda bertanya, bagaimana caranya menyimpan semua password tersebut. jawaban singaktnya adalah, anda tidak harus menghafalnya. Ada banyak aplikasi password manager yang bisa dipasang di komputer atau handphone anda.
4. Gunakan Two Step Verification untuk Halaman Login WordPress
Two step Verification menambah lapisan keamanan untuk password anda. Berbeda dengan hanya menggunakan password saja, saat login akan ditanya berapa kode verifikasi yang dibuat oleh aplikasi Google Authenticator di handphone anda.
Jadi, walaupun seseorang berhasil menebak password WordPress anda, mereka akan tetap membutuhkan kode Google Authenticator untuk masuk ke dalam website.
5. Batasi Percobaan Login
Secara default, WordPress mengijinkan user untuk memasukan password tanpa dibatasi sebanyak yang diinginkan. Ini berarti siapapun dapat mencoba untuk terus mencoba menebak password WordPress anda dengan memasukan kombinasi berbeda. Ini juga memberikan kesempatan hacker untuk menggunakan script otomatis untuk menjebol password.
Salah satu cara untuk emngatasinya adalah memasang dan mengaktifkan plugin Login LockDown. Setelah aktif, buka Settings > Login LockDown kemudian atur setingan plugin.
6. Batasi Akse Login dengan Alamat IP
Cara pengamanan WordPress lainnya yaitu dengan membatasi akses untuk IP tertentu. Cara ini sangat berguna jika memang hanya bebrapa user yang bisa mengakses admin area.
Cukup kopikan kode berikut ke file .htaccess
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>Jangan lupa mengubah isian xx dengan alamat IP anda. Jika anda biasa mengakses internet dengan IP berbeda, pastikan semua IP tersebut terdaftar di kode di atas.
7. Matikan Hint Login
Saat kita gagal login, WordPress akan menampilkan pesan error yang memberitahukan bahwa user atau password yang dimasukan salah. Login hint ini dapat dimanfaatkan oleh seseorang untuk menjalankan script nya.
Anda dapat menyembunyikan login hint tersebut dengan menambahkan kode berikut ke file functions.php theme atau plugin khusus web anda.
functionno_wordpress_errors(){
return'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors');
8. Kondisikan User Menggunakan Strong Password
Jika anda memiliki website multi-author WordPress, maka user dapat mengubah profil mereka dan menggunakan password yang lemah. Password ini dapat dibongkar dan dapat dimanfaatkan oleh seseorang untuk masuk ke admin area.
Untuk mengatasinya, anda dapat memasang dan mengaktifkan plugin Force Strong Passwords. Tak perlu ada pengaturan khusus, dan otomatis akan memaksa user untuk menggunakan password yang kuat.
Plugin ini tidak akan melakukan pengecekan pada password yang lama. Jika sebelumnya user sudah menggunakan password yang lemah, mereka akan tetap bisa masuk seperti biasanya.
9. Reset Password Semua User
Masih terkait website WordPress multi-user, anda dapat dgn mudah meminta semua user untuk mereset password mereka.
Pertama, anda dapat memasang dan aktifkan plugin Emergency Password Reset. Setelah aktif, buka Users > Emergency Password Reset dan tekan tombol ‘Reset All Passwords’.
10. Terus Update WordPress
WordPress mengeluarkan versi baru secara berkala. Setiap rilis baru nya terdapat perbaikan bug, fitur baru dan perbaikan keamanan.
Terus menggunakan versi WordPress lama berarti akan tetap mempertahankan celah keamanan yang diketahui dari versi WordPress tersebut. Solusinya, anda harus memastikan bahwa versi yang anda gunakan adalah yang terbaru.
Sama halnya dengan plugin WordPress, ada pembaruan berkala dari providernya. Untuk menjaga tingkat keamanan dan isu lainnya, pastikan plugin anda juga terus diupdate.
11. Buat Halaman Login dan Registrasi Custom
Banyak website WordPress mensyaratkan user atau puneggunanya untuk melakukan pendaftaran. Sebagai contoh, website dengan system membership, manajemen learning ataupun toko online tentu membutuhkan user membuat akun.
Sehingga, user tersebut dapat menggunakan akun mereka untuk masuk ke dalam admin area WordPress anda. Ini bukan isu yang besar, karena setelah login mereka hanya dapat akses sebatas tingkat role mereka. Tapi ini semua menyebabkan anda terbatasi dalam memberikan batasan akses yang seharusnya akun-akun tersebut dapatkan. Anda tidak bisa melakukan batasan lebih terhadap akun-akun tersebut.
Karena itulah, jika anda ingin memberikan batasan dengan benar, perlu dibuat halaman custom (buatan sendiri), sehingga mereka bisa mendaftar dan login langsung dari website.
12. Pahami Tentang Roles dan Permission User WordPress
WordPress hadir dengan system pengaturen user menggunakan role dan apa saja yang dapat dilakukan user tersebut. Ketika menambakan user ke dalam website, anda dapat langsung menentukan role dari user tersebut. Role ini mendefinisikan apa yang dapat mereka lakukan di dalam website WordPress anda.
Pemberian role yang salah dapat memberikan kekuasaan lebih. Untuk mencegah hal-hal yang tidak diinginkan, anda harus paham setiap role dan penempatan role terhadapa masing-masing user.
13. Batasi Akses Dashboard
Beberapa situs WordPress memiliki beberapa user yang dapat masuk ke halaman dashboard, dan bebrapa yang tidak bisa masuk ke halaman dashboard. Secara default, WordPress mengijinkan semua user untuk masuk ke halaman dashboard atau halaman admin area.
Untuk membenahi ini, anda perlu memasang dan mengaktifkan plugin Remove Dashboard Access. Setelah aktifasi, buka Settings > Dashboard Access dan pilih role mana saja yang dapat mengakses admin area di website anda.
14. Log out User Yang Idle
WordPress tidak otomatis me-logout user hingga mereka benar-benar melakukan logout secara manual atau menutup browser mereka. Masalah ini bisanya seputar informasi sensitif, dan inilah juga mengapa insitusi finansial membuat website atau aplikasi mekera otomatis keluar dari system setelah beberapa saat tidak digunakan (idle).
Untuk mengatasi ini, pasang dan aktifkan plugin Idle User Logout. Setelah aktif, buka Settings > Idle User Logout dan masukan berapa lama waktu yang diijinkan untuk user tidak aktif, sebelum mereka dipaksa logout secara otomatis.
Kami harap artikel ini bermanfaat dan dapat membantu mengamankan website berbasis WordPress anda. Berikan komentar jika anda memiliki tambahan tips untuk pengamanan WordPress, atau bantu share jika artikel ini cukup bermanfaat, terima kasih.
