Kemanan website sangat diperlukan karena menurut codeinwp.com ada sekitar 90 ribu serangan hacker di WordPress setiap menitnya. Para hacker tersebut mengincar data-data pribadi para pengunjung, mencuri uang dari transaksi yang dilakukan hingga menjual produk ilegal diam-diam.
Bagaimana cara mengecek keamanan di WordPress, web browser, web server ataupun di web hosting? Dan bagaimana cara mengatasinya? Di artikel kali ini kita akan membahas bagaimana cara meningkatkan keamanan website agar terhindar dari serangan hacker.
Cara Mengetahui Tingkat Keamanan Website
Hacker pasti akan mencari celah keamanan web dengan cara apapun. Karena itu, kamu harus waspada dan mengintegrasikan website dengan beberapa aplikasi maupun software yang bisa melindungi keamanannya.
Misalnya email, on password, handphone pribadi dan lain sebagainya. Ada beberapa tools yang membuat web security bisa berjalan dengan baik. Apa saja? Berikut penjelasannya:
- Confidentiality, semua informasi yang ada di website hanya bisa diakses oleh administrator.
- Integrity, semua data di dalam website hanya bisa diubah maupun dihapus oleh administrator.
- Availability, ketersediaan website agar bisa diakses ketika administrator memerlukan data dan informasi yang disimpan dalam website tersebut.
Selain itu, masih banyak tools dan software yang bisa digunakan untuk mengecek keamanan website. Misalnya Web Security, McAfee Site Advisor dan Link Scanner Lite.
McAfee Site Advisor dan Web Security Guard memiliki penekanan untuk melakukan pengecekan secara online tanpa harus install ulang program.
Jika Link Scanner Lite dapat melakukan pengecekan terhadap script, konten dan downloader yang berbahaya bagi website.
Perlindungan Dasar Keamanan Website
Tips keamanan website ini ditujukan bagi kamu yang baru saja memiliki website dan masih belajar mengenai WordPress. Memang caranya masih tahap dasar, namun jangan meremehkan hasilnya.
1. Pastikan Hosting Aman
Pertama, cara terpenting yang tidak bisa dilewatkan begitu saja. Kamu harus memastikan jika website sudah berada di hosting yang aman. Karena langkah-langkah selanjutnya akan sia-sia jika kamu salah memilih web hosting.
Pastikan memakai hosting aman yang memiliki keamanan website ekstra, seperti memiliki teknologi keamanan Imunify360. Teknologi tersebut membuat website atau blog terlindungi dari serangan malware, hacker dan virus berbahaya setiap waktu.
2. Install Plugin Keamanan
Website baru tanpa plugin keamanan sama saja dengan rumah tanpa tembok, siapapun bisa masuk dan melakukan hal sesuka hati. Jadi, plugin keamanan ini merupakan langkah pertama yang wajib dilakukan bagi website baru.
Berikut adalah beberapa rekomendasi plugin keamanan website yang bisa kamu coba, apa saja? Berikut penjelasannya:
- iThemes Security, ada veri gratis dan premium atau berbayar. plugin ini mampu mendeteksi plugin berbahaya lainnya, software usang dan password yang lemah.
- Wordfence Security, dengan pengguna aktif mencapai lebih dari dua juta plugin ini menawarkan firewall, real-time monitoring hingga scan plugin.
- SecuPress Free, meskipun gratis plugin satu ini memiliki kualitas yang cukup bagus. Fitur yang dimiliki juga lumayan lengkap, seperti Anti Brute Force Login, malware scan, blokir IP dan banyak fitur lainnya.
Kamu bisa memilih salah satu plugin, jangan menginstall plugin dengan fungsi yang sama, karena itu akan memberatkan kinerja website kamu, sehingga membuat website mengalami loading lama.
Baca Juga : Plugin WordPress Terbaik yang Wajib Ada di Website Terbaru 2021
3. Pasang SSL
Secure Socket Layer atau SSL merupakan komponen yang tidak bisa dipisahkan dari website. SSL membuat pertukaran data antar website dengan pengunjung menjadi aman. Mengapa bisa begitu?
Contohnya, saat pengunjung memasukkan nomor kartu kredit, SSL akan mengenkripsi data tersebut sehingga hacker tidak akan bisa melacaknya. Karena hacker tidak memiliki “kunci” untuk membuka gembok enkripsi data itu.
4. Update Website
Jangan mengabaikan jika menerima notifikasi mengenai versi terbaru WordPress, tema dashboard hingga plugin yang sudah di pasang. Update versi terbaru tersebut tak hanya menawarkan fitur baru, namun juga peningkatan keamanan website yang lebih baik.
5. Gunakan Username dan Password yang Kuat
Apakah kamu masih menggunakan username “nama lengkap” dan password “123456” untuk login? Memang mudah diingat, namun sangat mudah ditebak oleh hacker.
Para hacker mendapatkan informasi login kamu dengan serangan yang disebut dengan brute force attack. Meskipun terdengar menakutkan, namun ada cara simple untuk mencegahnya, yaitu dengan menggunakan username dan password yang kuat.
Caranya adalah pilih menu Users > Your Profile di dashboard, lalu scroll ke bawah hingga menemukan tombol Generate Password.
Dengan mengklik tombol tersebut kamu akan mendapatkan password baru secara otomatis. Tak suka dengan passwordnya, kamu bisa menggantinya, kok. Namun pastikan keterangan di bawah kolom pengganti password menunjukkan Strong.
Jika belum menunjukkan kata Strong, maka ganti password tersebut sampai keterangan Strong muncul. Lalu jika sudah menemukan password yang kuat, scroll kebawah dan klik Update Profil untuk menyimpan password baru kamu.
Cara cepat agar password menjadi Strong adalah dengan memasukkan kombinasi angka, huruf kapital dan simbol seperti contoh dibawah ini:
6. Install Plugin Backup
Plugin backup berguna untuk mengembalikan kondisi WordPress ke semula ketika serangan hack terjadi. Dengan begitu, website akan tetap berfungsi dengan normal sembari memperbaiki celah keamanan website yang terancam.
Meskipun hosting sudah menyediakan fitur backup, kamu harus menginstall plugin backup sebagai upaya pencegahan tambahan. Berikut adalah beberapa rekomendasi plugin backup WordPress yang bisa kamu pilih.
- BackupBuddy, plugin ini digunakan lebih dari 1,5 juta oleh para pengguna. Angka tersebut menunjukkan bahwa orang-orang mempercayai kemampuan plugin tersebut. Beberapa fitur utamanya yaitu backup otomatis hingga backup terjadwal.
- BlogVault, merupakan salah satu plugin backup WordPress terpopuler yang memiliki fitur-fitur keren. Seperti backup manual, backup otomatis setiap hari dn penyimpanan file backup selama 90 hari.
- BoldGrid Backup, plugin dengan fitur sederhana namun berguna, yaitu backup otomatis dan kemudahan restore.
7. Amankan File Website dengan Antivirus Terbaik
Ke enam tips keamanan website di atas tak akan berjalan secara optimal jika menggunakan file yang tidak terdapat virus atau malware.
Karena itu, pastikan kamu melakukan scan file-file di komputer menggunakan antivirus terbaik sebelum mengunggahnya ke website.
Berikut adalah beberapa rekomendasi antivirus terbaik yang bisa menjadi pilihan kamu.
- BitDefender Antivirus Plus, salah satu fitur andalannya adalah scan file dilakukan dalam cloud-nya. Dengan begitu, memori komputer tidak terpengaruh oleh proses scan tersebut.
- Kaspersky Total Security, tak ada yang tidak mengenal antivirus satu ini. Kaspersky Total Security merupakan paket komplit dari produk Kaspersky yang dibekali dengan bermacam-macam perlindungan untuk file sebelum diunggah ke website.
- ESET Smart Security Premium, keunggulan antivirus satu ini adalah kemampuan mendeteksi jenis malware yang belum dikenal. Tak banyak antivirus lainnya yang memiliki fitur seperti ini, lho.
Perlindungan Lanjutan Keamanan Website
Pada poin ini, membutuhkan sedikit pengetahuan mengenai WordPress, jika kamu termasuk dalam kelompok tersebut, maka pilihlah cara meningkatkan keamanan website seperti dibawah ini.
1. Ganti URL Login
URL login yang default biasanya begini : www.websitekamu.com/wp-admin. URL tersebut bisa menjadi celah yang digunakan hacker untuk masuk ke website kamu. Karena itulah kamu harus mengganti URL login.
Caranya cukup login ke dashboard WordPress, kemudian install dan aktifkan plugin WPS Hide login. Setelah itu berikan nama untuk URL login kamu pada bagian WPS Hide Login di kolom Login URL. Kemudian pilih menu Setting > General.
Penting: perlu diketahui, setelah menyimpan perubahan pada plugin tersebut, maka secara otomatis URL login WordPress sebelumnya tidak dapat diakses kembali. Jika kamu tidak bisa mengakses halaman login dengan URL baru, hapuslah plugin ini melalui FTP client seperti FileZilla.
2. Terapkan 2-Factor Authentication
Bisa disebut juga dengan 2FA, metode keamanan ini memungkinkan website melakukan verifikasi pengguna secara real-time dengan kode unik yang dibuat saat itu juga.
Jika ada orang asing yang mencoba masuk ke website kamu, maka dashboard WordPress akan secara otomatis diblokir sebelum orang tersebut memasukkan kode uniknya. 2FA adalah metode populer yang telah diterapkan oleh perusahaan ternama.
Misalnya Gmail, Yahoo, Facebook dan lain sebagainya. Metode ini mengharuskan penggunanya memasukkan username dan password secara normal, kemudian akan muncul kolom baru dimana pengguna harus memasukkan kode one-time password (OTP) yang dikirim melalui e-mail atau SMS.
3. Logout Otomatis
Apakah kamu sering menutup halaman browser tanpa login terlebih dahulu? Bagaimana jika ada orang lain menggunakan browser tersebut, lalu masuk ke dashboard tanpa login, lalu membuat akun admin baru dan mengutak-atik website, sehingga kamu tidak bisa mengaksesnya kembali?
Mungkin terdengar menakutkan, tapi lebih baik kamu sedia payung sebelum hujan bukan? Nah, agar hal-hal tersebut diatas tidak terjadi, maka bisa membuat akun user melakukan logout otomatis.
Logout otomatis, bisa dijalankan apabila akun tersebut sudah tidak aktif dalam jangka waktu tertentu.
Caranya tidak sulit, kok. Kamu hanya perlu mendownload dan mengaktifkan plugin Inactive Logout. Kemudian pilih menu Settings > Inactive Logout lalu muncul tampilan seperti dibawah ini.
Di kolom Idle Timeout, kamu bisa memasukkan berapa lama user akan logout secara otomatis.
Misalnya, kita pilih durasi waktu 5 menit. Lalu di kolom Idle Message Content, kamu bisa memberikan pesan kepada user selain kamu agar mereka tidak terkejut saat tiba-tiba logout sendiri. Jika sudah diisi, scroll ke bawah dan klik tombol Save Changes.
4. Perlindungan DdoS
DdoS merupakan serangan hacker yang dilakukan dengan cara membanjiri trafik server sehingga kelebihan beban atau overload. Efeknya, website kamu tidak akan bisa diakses sama sekali.
Untuk mengatasinya, kamu bisa menggunakan layanan keamanan dari pihak ketiga seperti CloudFlare.
5. Atur Search Console dan Google Analytics
Google Analytics dan search Console merupakan dua tools dari Google yang wajib dimiliki oleh para pemilik website. Selain bisa mengawasi trafik dan ranking di hasil pencarian, kedua tools tersebut juga bisa mendeteksi serangan hacker, lho.
Contohnya, jika ada serangan SEO Spam Hack. Serangan tersebut memungkinkan hacker untuk memasukkan link milik mereka dan spam keyword pada halaman kamu yang mendapatkan rangking atas di search engine Google.
Efeknya, kamu mempromosikan website milik hacker tersebut secara gratis. Nah, dengan adanya Google Analytics kamu bisa mengetahui serangan tersebut jika tiba-tiba ada keyword aneh yang sebelumnya tidak pernah dimasukkan.
Jika Google Search Console, terdapat fitur yang bisa memantau jika ada masalah keamanan pada website.
Kesimpulan
Nah itu tadi langkah-langkah dan tips mengenai bagaimana cara yang tepat untuk melindungi dan langkah tepat untuk keamanan website kamu. Harapannya dari materi kali ini bisa membuat website kamu semakin aman dari ancaman-ancaman yang berbahaya.
