Tahukah Anda kalau 73 persen situs populer yang menggunakan WordPress dikategorikan rentan peretasan? Atau sudahkah Anda mendengar kalau dari 10 plugin yang paling rentan, 5 diantarannya adalah plugin komersil yang diperjual-belikan? Yang lebih parah, 1 dari 5 plugin ini adalah plugin sekuritas.
Meski instalasi WordPress sangat mudah digunakan dan relatif aman, semakin sering Anda menambahkan plugin, tema, atau kode custom, semakin besar resiko peretasan. Dan semakin banyak pengguna yang Anda tambahkan ke instalasi manapun, kemungkinannya jadi lebih meningkat. Ini jelas bukan kabar yang menggembirakan baik untuk individu maupun bisnis.
Lantas, bagaimana caranya agar Wordpress yang Anda miliki terlindungi dari segala malfunction itu? Mari kita kupas lebih dalam.
Selalu update WordPress Anda
Sesuatu yang sederhana bisa memiliki efek besar pada keamanan situs. Kapanpun Anda login ke dashboard dan melihat banner “Update available,” segera klik dan update situs Anda. Bila Anda khawatir akan muncul masalah baru, buat backup sebelum menginstalnya. Yang penting adalah Anda melakukan ini secara teratur. Informasi tentang celah keamanan apapun yang telah diperbaiki dari versi sebelumnya kini tersedia untuk publik, yang berarti situs yang tidak diperbaharui menjadi lebih rentan.
Hanya download plugin dan tema dari sumber yang dipercaya
Mendownload plugin dan tema dari WordPress.org sebenarnya paling baik karena telah melewati proses scan sebelum diterima di Theme Directory atau Plugin Directory. Bila Anda membutuhkan tema atau plugin premium, hanya download dari sumber terpercaya.
Update plugin dan tema
Seperti ketika Anda meng-update WordPress secara teratur, Anda juga perlu meng-update plugin dan tema. Tiap plugin dan tema yang diinstal di situs Anda ibarat pintu belakang menuju admin situs Anda. Kecuali keamanannya terjamin, plugin dan tema menjadi pintu yang terbuka untuk info personal Anda.
Tambahkan autentikasi dua langkah
Cara yang sangat bagus untuk mencegah serangan hacker adalah mengatur autentikasi dua langkah. Ini berarti password membutuhkan kode tambahan yang dikirim ke nomor telepon Anda untuk login ke situs Anda. Sering kali, kode kedua untuk login dikirim melalui SMS. Beberapa plugin bisa digunakan untuk menambahkna fitur ini sepreti Clef, Google Authenticator, dan Duo Two-Factor Authentication.
Batasi login
Bila dibiarkan, hacker akan login ke situs Anda berulang kali hingga mereka bisa crack password Anda. Tapi ada plugin yang mengizinkan Anda membatasi jumlah waktu orang dari IP tertentu untuk mencoba login dalam periode waktu yang ditentukan. Pengguna dibatasi untuk mencoba login kembali untuk waktu yang dialokasikan. Login LockDown bagus dalam menawarkan fitur ini tapi plugin lain yang menawarkan set fitur kemanan sering menyertakan batasan login seperti iThemes Security dan Sucuri Security.
Backup untuk situs Anda
Lakukan ini sesuai jadwal. Dilansir situs jasa web profile, backup terjadwal merupakan bagian penting dari strategi keamanan situs karena ini untuk memastikan kalau situs Anda bermasalah, Anda bisa me-restore-nya ke versi sebelumnya. Pilih solusi otomatis seperti VaultPress, BlogVault, BackupBuddy, atau WordPress Backup to Dropbox untuk backup sederhana.
Batasi akses pengguna
Kadang keamanan situs jadi bermasalah karena sesuatu yang sangat sederhana; akses dari terlalu banyak orang. Aturan umumnya adalah hanya membolehkan akses ke mereka yang benar-benar perlu dan hanya memberi mereka izin minimal untuk melengkapi tugas yang diberikan.
Lindungi file paling penting menggunakan .htaccess
Bila Anda sering membaca tentang sekuritas WordPress, Anda tentu pernah mendengar file .htaccess sebelumnya dan kemungkinan telah mengaksesnya. Membuat satu file ini bisa memberi dampak besar pada keamanan seluruh situs Anda.
Kenapa file ini penting? Karena file ini ibarat jantung WordPress dan langsung mempengaruhi bagaimana situs Anda menyusun permalink dan menjaga keamanan. Anda bisa masukkan banyak potongan kode ke file .htaccess dimanapun di luar tag #BEGIN WordPress dan #END WordPress untuk memodifikasi file mana yang terlihat dalam direktori situs Anda.
Untuk pemula, Anda perlu sembunyikan wp-config.php karena ini adalah central hub untuk situs Anda dan menyertakan info personal Anda dan banyak detail lainnya berkaitan dengan keamanan situs. Sembunyikan dengan menambahakn kode ini ke .htaccess.
Tidak ada komentar:
Posting Komentar