Di dunia digital, di mana ancaman dunia maya menjadi semakin kompleks dan canggih, menjaga keamanan situs WordPress Anda sangatlah penting. Baik Anda menjalankan blog pribadi, toko e-commerce, atau situs web perusahaan, melindunginya dari penyusup, peretas, dan malware harus menjadi prioritas utama Anda.

Statistiknya mengecewakan: menurut Statistik WordPress, hampir 70% dari semua situs web yang dibangun di atas platform ini diserang oleh penjahat siber. Konsekuensi dari serangan ini bisa menjadi bencana besar – mulai dari pencurian data rahasia hingga penghapusan konten situs web sepenuhnya. Selain kerugian finansial, hal ini dapat menyebabkan kerusakan yang tidak dapat diperbaiki pada reputasi merek Anda dan merusak kepercayaan pelanggan.

Namun, jangan putus asa, karena ada cara-cara efektif untuk melindungi situs WordPress Anda dari potensi ancaman. Kami akan membahas praktik terbaik dan petunjuk langkah demi langkah tentang cara meningkatkan keamanan situs web Anda di tahun 2024.

Kamu akan belajar tentang tren terbaru dalam keamanan siber, metode perlindungan terhadap jenis-jenis serangan yang paling umum, seperti brute force, injeksi, defacement, dan masih banyak lagi. Kita juga akan melihat pentingnya memilih layanan hosting yang andal, menyiapkan firewall, menginstal pembaruan, dan membuat cadangan secara teratur.

Instal solusi pencadangan WordPress

Pencadangan situs WordPress Anda secara teratur sangat penting untuk memastikan keamanan dan integritas data Anda. Jika terjadi serangan siber, kegagalan sistem, atau penghapusan konten yang tidak disengaja, Anda dapat dengan cepat memulihkan situs web Anda dari salinan cadangan, sehingga meminimalkan kehilangan data dan waktu henti.

Instal solusi pencadangan WordPress

Tersedia solusi pencadangan WordPress berbayar dan gratis, masing-masing dengan kelebihan dan kekurangannya sendiri. Beberapa opsi yang populer meliputi:

  • UpdraftPlus adalah sebuah plugin gratis yang tangguh yang memungkinkan Anda untuk mencadangkan situs web, basis data, pengaya, dan tema Anda. Plugin ini memungkinkan Anda untuk menyimpan salinan ke layanan awan seperti Dropbox, Google Drive, atau Amazon S3.
  • BackupBuddy adalah solusi premium dari iBackup yang menawarkan pencadangan, pemulihan data, dan migrasi situs yang andal. Solusi ini mendukung banyak opsi penyimpanan dan otomatisasi proses.
  • BlogVault adalah layanan pencadangan berbasis awan yang berfokus pada keamanan WordPress. Layanan ini secara otomatis membuat pencadangan harian dan menyediakan enkripsi data.

Saat memilih solusi pencadangan, pertimbangkan faktor-faktor seperti seberapa sering Anda ingin mencadangkan, di mana Anda ingin menyimpan data Anda (di tempat atau di awan), seberapa otomatis prosesnya, dan betapa mudahnya memulihkan data Anda.

Perhatikan ulasan pengguna dan dukungan teknis dari pengembang.

Instal plugin keamanan WordPress yang andal

Salah satu cara paling efektif untuk meningkatkan keamanan situs WordPress Anda adalah dengan menggunakan pengaya keamanan khusus. Piranti-piranti canggih ini menawarkan berbagai fitur keamanan, seperti pemindaian kerentanan, proteksi brute force, memblokir alamat IP yang tidak diinginkan, dan masih banyak lagi.

Instal plugin keamanan WordPress yang andal

Berikut ini adalah beberapa plugin keamanan WordPress terbaik yang layak dipertimbangkan:

  • Wordfence Security merupakan salah satu plugin keamanan paling populer dengan firewall bawaan, autentikasi dua langkah, dan pemindaian reguler untuk mencari kerentanan dan malware.
  • Sucuri Security adalah solusi komprehensif yang menggabungkan firewall aplikasi web (WAF), pemindai kerentanan, perlindungan DDoS, dan pemantauan malware.
  • All In One WP Security & Firewall adalah sebuah plugin gratis dengan beragam fitur, termasuk firewall, anti-spam, pemantauan file, dan memblokir pengguna yang tidak diinginkan.
  • iThemes Security (sebelumnya dikenal sebagai Better WP Security) adalah seperangkat alat keamanan yang tangguh dengan kemampuan kustomisasi, otentikasi dua langkah, dan perlindungan terhadap serangan jahat.

Ketika memilih plugin keamanan, perhatikan fungsionalitasnya, kemudahan penggunaan, kompatibilitas dengan situs WordPress Anda, dan pembaruan rutin dari pengembangnya.

Mengaktifkan firewall aplikasi web (WAF)

Web Application Firewall (WAF) adalah alat yang ampuh untuk melindungi situs WordPress Anda dari berbagai jenis serangan, seperti injeksi kode berbahaya, skrip lintas situs (XSS), injeksi SQL, dan masih banyak lagi. WAF bertindak sebagai penghalang pelindung antara situs Anda dan lalu lintas berbahaya, menyaring permintaan yang berpotensi berbahaya.

Mengaktifkan firewall aplikasi web (WAF)

Ada pengaya WAF mandiri untuk WordPress dan solusi keamanan lengkap yang menyertakan WAF sebagai salah satu fiturnya. Berikut ini beberapa opsi yang populer:

  • NinjaFirewall (WP Edition) adalah sebuah plugin yang menyediakan proteksi WordPress yang komprehensif dengan WAF bawaan, pemindai malware, dan alat keamanan lainnya.
  • CloudFlare merupakan jaringan CDN populer yang menawarkan opsi firewall aplikasi web gratis untuk menyaring lalu lintas yang tidak diinginkan (saya merekomendasikannya).

Ketika memilih solusi WAF, perhatikan kinerjanya, kompatibilitas WordPress, kemudahan pengaturan, dan dukungan teknis. Penting juga untuk mempertimbangkan kemampuan untuk secara otomatis memperbarui aturan penyaringan untuk melindungi dari ancaman terbaru.

Membuat sertifikat SSL/HTTPS untuk situs WordPress Anda

Memindahkan situs WordPress Anda ke protokol HTTPS yang aman membutuhkan sertifikat SSL/TLS yang valid. Sertifikat digital ini mengenkripsi data yang dikirimkan antara peramban pengguna dan server web Anda, melindungi informasi sensitif agar tidak dicegat oleh penyusup.

Membuat sertifikat SSL/HTTPS untuk situs WordPress Anda

Ada beberapa opsi untuk mendapatkan sertifikat SSL/TLS untuk situs WordPress Anda:

  • 2. Gunakan sertifikat SSL gratis dari Let’s Encrypt: Let’s Encrypt merupakan organisasi nirlaba yang menyediakan sertifikat SSL/TLS gratis dengan pembaruan otomatis. Sertifikat mereka hanya berlaku selama 90 hari, tetapi didukung oleh semua peramban modern.
  • 3. Sertifikat SSL/TLS dari penyedia hosting: Banyak perusahaan hosting menawarkan sertifikat SSL sebagai bagian dari layanan hosting mereka. Mereka dapat berupa penyedia layanan hosting komersial atau bermitra dengan Let’s Encrypt untuk menyediakan sertifikat gratis. Cara memasang Let’s Encrypt SSL di cPanel

Setelah Anda menerima sertifikat SSL, Anda perlu mengonfigurasinya dengan benar untuk situs WordPress Anda. Tergantung pada hosting dan jenis sertifikat, Anda dapat melakukannya secara manual melalui panel kontrol.

Saat menyiapkan sertifikat SSL/HTTPS, penting untuk memastikan bahwa semua halaman, gambar, skrip, dan sumber daya lainnya di situs web Anda dimuat dengan benar melalui koneksi yang aman. Anda juga harus memperbarui tautan ke sumber daya pihak ketiga dan memeriksa pengoperasian cache, plugin, dan fitur WordPress lainnya setelah beralih ke HTTPS. Cara menggunakan pengalihan HTTPS di cPanel

Mengubah nama pengguna administrator default

Mengubah nama pengguna admin default di WordPress adalah proses sederhana yang akan meningkatkan keamanan situs Anda.

Berikut ini panduan langkah demi langkah mengenai cara melakukannya:

  • 1. Masuk ke panel admin WordPress menggunakan akunadmin default(admin).
  • 2. Buka bagianPengguna di menu samping dan pilih Semua Pengguna.
  • 3. Temukan pengguna bernama“admin” dalam daftar dan klik akun mereka untuk membuka profilnya.
  • 4. Pada halaman edit profil pengguna, ubah bidangNama Pengguna menjadi nama baru yang unik dan sulit ditebak.
  • 5. Setelah melakukan perubahan, jangan lupa klik tombolPerbarui Pengguna untuk menyimpan nama baru.

Saya sarankan untuk menggunakan kombinasi panjang dari huruf besar dan kecil, angka, dan karakter khusus untuk nama pengguna administrator. Ini akan membuatnya sulit ditebak dan melindungi situs Anda dari penyusup.

Penting juga untuk diingat untuk mengubah kata sandi untuk akun lain yang terkait dengan nama administrator lama. Ini termasuk akun email, akun hosting, dan layanan lain yang menggunakan nama lama.

Menonaktifkan pengeditan file WordPress

Fitur ini memungkinkan Anda untuk mengedit kode sumber file tema dan plugin secara langsung melalui panel admin, yang bisa menjadi potensi risiko.

Secara default, kemampuan untuk mengedit file diaktifkan di WordPress, tetapi saya sarankan untuk menonaktifkannya demi alasan keamanan. Perubahan yang tidak disengaja pada kode dapat menyebabkan kerentanan atau bahkan kegagalan situs sepenuhnya. Selain itu, jika akun Anda diretas, penyerang akan dapat memodifikasi file sesuai kebijaksanaan mereka.

Menonaktifkan pengeditan file WordPress

Menonaktifkan pengeditan file di WordPress adalah proses sederhana yang hanya membutuhkan waktu beberapa menit:

1. Masuk ke panel admin WordPress sebagai administrator.

2. Buka bagianPengaturan dan pilih Pengeditan.

3. Hapus centang pada opsi Izinkan pengeditanfile.

4. Klik tombol Simpan Perubahan.

Anda juga dapat menambahkan kode ke file wp-config.php Anda

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Setelah menyelesaikan langkah-langkah ini, Anda tidak lagi dapat mengedit kode file melalui panel admin WordPress. Hal ini akan secara signifikan mengurangi risiko perubahan yang tidak disengaja atau berbahaya yang dapat mengganggu situs Anda.

Namun, jika Anda perlu membuat perubahan pada file tema atau plugin Anda dari waktu ke waktu, Anda selalu dapat melakukannya melalui klien FTP atau manajer file hosting Anda. Ini adalah metode yang lebih aman dan memberikan Anda kendali penuh atas proses pengeditan.

Menonaktifkan eksekusi file PHP di direktori WordPress

Salah satu metode yang paling efektif untuk meningkatkan keamanan adalah dengan menonaktifkan eksekusi file PHP di direktori tertentu pada situs WordPress Anda.

Teknologi ini memungkinkan Anda untuk membatasi kemampuan mengeksekusi kode PHP berbahaya dalam direktori tertentu. Penyerang dapat mencoba mengunggah skrip ke server Anda untuk mendapatkan akses dan kontrol yang tidak sah atas sumber daya web Anda. Namun, jika eksekusi PHP dinonaktifkan untuk folder tertentu, upaya tersebut akan gagal.

Saya sarankan untuk menonaktifkan eksekusi PHP di direktori wp-content/uploads dan wp-includes.

Proses menonaktifkan eksekusi PHP cukup sederhana dan terdiri dari menambahkan kode khusus ke file .htaccess yang terletak di direktori root situs WordPress Anda. Pelajari lebih lanjut: Apa itu file .htaccess: fungsi-fungsi utama

Berikut ini adalah baris yang perlu Anda tambahkan:

<Files *.php>
deny from all
</Files>

Kode ini memberitahu server untuk tidak mengeksekusi file PHP dalam direktori yang ditentukan dan subdirektorinya. Setelah melakukan perubahan pada .htaccess, bahkan jika penyerang berhasil mengunduh skrip PHP berbahaya, mereka tidak akan dapat mengeksekusinya.

Membatasi upaya login ke admin WordPress

Membatasi jumlah upaya login ke situs WordPress Anda adalah langkah yang sangat penting untuk meningkatkan keamanan dan melindungi dari serangan jahat.

Salah satu metode termudah adalah dengan menggunakan pengaya keamanan khusus seperti Wordfence Security atau Login LockDown. Setelah menginstal dan mengaktifkan plugin, Anda bisa mengonfigurasi jumlah maksimum percobaan login yang gagal yang diizinkan dari satu alamat IP. Setelah batas ini terlampaui, alamat IP tersebut akan diblokir sementara.

Selain itu, pengaya ini sering kali menawarkan fitur keamanan tambahan, seperti autentikasi dua faktor atau proteksi DDoS.

Metode selanjutnya adalah membuat perubahan langsung pada file .htaccess WordPress Anda. Dengan menambahkan baris kode tertentu, Anda akan dapat membatasi jumlah percobaan login dan mengatur waktu pemblokiran. Sebagai contoh, kode ini hanya akan mengizinkan 5 kali percobaan gagal dalam waktu 60 menit dari satu alamat IP:

order allow,deny 
allow from all
deny from unix

# Daftar putih host lokal:

allow from 127.0.0.1

# Upaya login gagal:

<Files wp-login.php>
order allow,deny
allow from all

# Izinkan tidak lebih dari 5 kali percobaan login dari alamat IP yang sama setiap 60 menit:

<limit-logins>
disable-env=off

# Hapus alamat IP ketika akses diizinkan atau ditolak:

enable-env=allow-logins-env
env=allow-logins-env
maxretries=5  
findrate=60  
</limit-logins>
</Files>

Setelah menambahkan kode ini ke .htaccess, Anda perlu me-restart server web untuk menerapkan perubahan.

Beberapa penyedia hosting juga menawarkan fitur proteksi serangan brute-force pada tingkat server, yang memungkinkan Anda untuk memblokir upaya login dari alamat IP yang mencurigakan sebelum mencapai situs web Anda. Periksa dengan penyedia hosting Anda untuk mengetahui apakah fitur ini tersedia.

Menambahkan autentikasi dua faktor (2FA)

Autentikasi dua faktor mengharuskan pengguna untuk melalui dua langkah berbeda ketika masuk – memasukkan nama pengguna dan kata sandi, dan memberikan kode sekali pakai atau token keamanan tambahan. Verifikasi tambahan ini membuat proses login jauh lebih aman, bahkan jika seseorang mengetahui kredensial asli Anda.

Salah satu solusi paling populer untuk mengimplementasikan 2FA di WordPress adalah plugin WP 2FA – Otentikasi dua faktor untuk WordPress. Setelah menginstal dan mengaktifkannya, Anda akan dapat mengaktifkan autentikasi dua faktor untuk semua akun di situs web Anda, termasuk admin.

Proses pengaturan:

Mulai sekarang, setiap kali Anda masuk ke situs WordPress, selain memasukkan kredensial Anda, Anda juga akan diminta untuk memberikan kode numerik enam digit untuk memverifikasi keabsahan sesi Anda. Kode ini akan berubah setiap 30-90 detik.

Perlu diingat bahwa setelah menghubungkan 2FA, Anda perlu menyimpan kode cadangan untuk login darurat seandainya Anda kehilangan ponsel cerdas dengan aplikasi autentikator.

Ada plugin lain yang memungkinkan Anda untuk mengatur autentikasi dua faktor di WordPress, seperti Duo Security dan lainnya. Mereka dapat menawarkan metode verifikasi tambahan, seperti SMS atau panggilan telepon.

Mengubah awalan database WordPress

Secara default, WordPress menggunakan awalan“wp_” standar untuk semua tabel dalam database. Para penyerang sangat akrab dengan awalan ini, yang membuat serangan pada database lebih mudah diprediksi. Dengan mengubah awalan menjadi kombinasi karakter yang unik, Anda akan mempersulit peretas potensial.

Harap diperhatikan: mengubah awalan basis data dapat menyebabkan masalah pada situs web Anda jika proses ini dilakukan dengan tidak benar.

Proses mengubah awalan database di WordPress cukup sederhana, tetapi membutuhkan kehati-hatian, karena tindakan yang salah dapat menyebabkan hilangnya data.

Berikut ini panduan langkah demi langkah:

  • 1. Buatlah cadangan penuh database dan semua file WordPress Anda. Ini akan memungkinkan Anda untuk memulihkan situs Anda jika terjadi masalah.
  • 2. Edit file wp-config.php dengan mencari baris yang dimulai dengan $table_prefix = ‘wp_’;. Ganti “wp_” dengan kombinasi huruf, angka, dan garis bawah yang unik sesuai pilihan Anda. Sebagai contoh: $table_prefix = ‘my8ql_’;
Edit file wp-config.php
  • 3. Dengan menggunakan alat administrasi basis data (misalnya, PhpMyAdmin), jalankan kueri SQL untuk mengubah prefiks semua tabel WordPress yang ada agar sesuai dengan nilai yang baru.
  • 4. Perbarui file .htaccess dan file lain yang mungkin berisi referensi ke awalan database lama.

Berikut ini adalah contoh kueri SQL untuk mengubah awalan menjadi “my8ql_”:

RENAME TABLE `wp_users` TO `my8ql_users`; 
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;

... повторіть для всіх таблиць у вашій базі даних WordPress

Setelah menyelesaikan langkah-langkah ini, database WordPress Anda akan menggunakan prefix baru yang unik. Hal ini akan mempersulit penyerang untuk mencoba meretas atau menyuntikkan ke dalam database.

Perhatikan bahwa mengubah awalan basis data adalah operasi yang tidak dapat diubah. Jika Anda berencana menginstal pembaruan atau plugin WordPress baru di masa mendatang, plugin tersebut mungkin tidak akan berfungsi dengan baik karena awalan tabel yang tidak biasa.

Perlindungan kata sandi pada halaman admin dan login WordPress

Langkah ini memungkinkan Anda untuk menyembunyikan halaman wp-admin dan wp-login.php di balik lapisan autentikasi tambahan, yang mengharuskan pengguna memasukkan kata sandi terpisah sebelum mengakses area administrasi yang penting ini.

Salah satu cara termudah untuk mengimplementasikan fitur ini adalah dengan menggunakan cPanel.

Inilah cara melakukannya:

Masuk ke cPanel:

  • Masukkan alamat cPanel Anda pada browser Anda dan masuk dengan kredensial Anda.

Buka bagian Perlindungan Kata Sandi Direktori:

  • Buka bagianFile dan pilih Perlindungan Kata Sandi Direktori atau Privasi Direktori.
Perlindungan kata sandi direktori

Temukan direktori wp-admin:

  • Pilih direktori utama situs Anda (biasanya“public_html”) dan temukan folder wp-admin.
public_html
cari folder wp-admin.

Perlindungan kata sandi:

  • Klik pada nama folder wp-admin.
  • Centang kotak di samping “Lindungidirektori ini dengan kata sandi”.
  • Masukkan nama direktori yang diproteksi (nama ini akan ditampilkan kepada pengguna).
  • KlikSimpan.
Nama ini akan ditampilkan kepada pengguna). Klik Simpan.

Membuat pengguna:

  • Masukkan nama pengguna dan kata sandi Anda untuk mengakses direktori aman.
  • KlikSimpan atau Tambah/Modifikasi pengguna yang berwenang.

Setelah pengaturan ini, untuk mengakses halaman wp-admin dan wp-login.php, pengguna harus terlebih dahulu memasukkan kata sandi keamanan khusus pada halaman autentikasi terpisah. Ini akan menjadi penghalang tambahan bagi para penyusup dan akan membantu mengamankan panel administrasi situs Anda.

Menonaktifkan pengindeksan dan penelusuran direktori

Fitur ini membantu menyembunyikan struktur file dan folder pada server Anda dari pengunjung pihak ketiga dan mesin pencari. Dengan cara ini, Anda akan melindungi informasi rahasia dan menjaga situs web Anda tetap aman dari akses yang tidak sah.

Proses menonaktifkan pengindeksan dan perayapan direktori dilakukan dengan menambahkan beberapa baris kode pada berkas .htaccess yang terletak di direktori root situs Anda. Berikut ini adalah panduan langkah demi langkah:

  • Langkah 1: Dengan menggunakan klien FTP atau manajer file hosting Anda, cari berkas .htaccess di direktori root situs web Anda.
  • Langkah 2: Buka file .htaccess untuk mengedit dan tambahkan baris kode berikut ini di bagian akhir:
Options -Indexes
IndexIgnore *

Baris-baris ini memberitahu server untuk menonaktifkan fungsi pengindeksan dan penelusuran folder. Ini berarti isi direktori Anda akan disembunyikan dari pengunjung.

  • Langkah 3 (opsional): Jika Anda ingin mendapatkan kontrol yang lebih rinci atas perlindungan direktori, Anda dapat menambahkan baris kode lain:
Options -Indexes -FollowSymLinks

Kode ini juga akan menonaktifkan kemampuan untuk mengikuti symlink pada server, yang akan meningkatkan keamanan.

  • Langkah 4: Simpan perubahan dalam file .htaccess.

Setelah menerapkan perubahan ini, tidak seorang pun kecuali pengguna yang berwenang akan dapat melihat struktur file dan folder situs web Anda. Hal ini akan membantu melindungi situs web Anda dari peretasan dan akses yang tidak sah.

Namun, harap diperhatikan bahwa beberapa plugin atau layanan mungkin memerlukan fungsi pengindeksan agar dapat bekerja dengan baik. Jika demikian, Anda dapat menyesuaikan kode di .htaccess dengan menambahkan izin ke direktori yang sesuai.

Menonaktifkan XML-RPC di WordPress

XML-RPC (Remote Procedure Call) adalah sebuah sistem yang memungkinkan aplikasi dan layanan untuk berinteraksi dengan WordPress menggunakan permintaan XML. Meskipun fitur ini berguna untuk beberapa tujuan, fitur ini juga dapat menimbulkan potensi risiko keamanan jika tidak digunakan dengan benar. Itulah mengapa saya menyarankan untuk menonaktifkan XML-RPC di WordPress untuk meningkatkan keamanan situs Anda.

Menonaktifkan XML-RPC cukup sederhana dan hanya membutuhkan beberapa baris kode yang ditambahkan ke file .htaccess yang terletak di direktori root situs WordPress Anda.

Berikut ini panduan langkah demi langkah:

  • Langkah 1: Dengan menggunakan klien FTP atau manajer file, buka file .htaccess di direktori root situs web Anda.
  • Langkah 2: Tambahkan kode berikut ini ke akhir file:
# Nonaktifkan XML-RPC

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Kode ini menginstruksikan server web untuk memblokir akses ke berkas xmlrpc.php untuk semua pengunjung, yang secara efektif menonaktifkan sistem XML-RPC di situs Anda.

Logout otomatis dari pengguna yang tidak aktif di WordPress

Fitur ini membantu mencegah akses yang tidak sah ke panel admin melalui sesi yang dibiarkan terbuka.

Secara default, WordPress tidak membatasi waktu sesi pengguna, yang menciptakan risiko bahwa penyerang dapat memanfaatkan sesi yang tidak ditutup untuk mengakses sistem. Dengan menerapkan logout otomatis setelah periode tidak aktif tertentu, Anda akan melindungi situs web Anda dari ancaman tersebut.

Mengatur logout otomatis untuk pengguna yang tidak aktif cukup mudah dengan menambahkan beberapa baris kode pada file wp-config.php di direktori root WordPress.

Berikut ini panduan langkah demi langkah:

  • Langkah 1: Dengan menggunakan klien FTP atau pengelola berkas hosting Anda, buka berkas wp-config.php.
  • Langkah 2: Tambahkan kode berikut di awal file, sebelum baris yang berisi “Terima kasih karena tidak menghapus ini”:
// Logout otomatis dari pengguna yang tidak aktif setelah 30 menit

define('AUTOSAVE_INTERVAL', 1800); 
define('WP_SESSION_EXPIRATION', 1800); 

Kode ini mengatur waktu penyimpanan otomatis untuk perubahan menjadi 30 menit dan durasi sesi menjadi 30 menit. Setelah 30 menit tidak ada aktivitas, pengguna akan secara otomatis terputus dari sistem.

Jika Anda ingin mengubah periode tidak aktif, sesuaikan nilai 1800 (dalam detik) agar sesuai dengan kebutuhan Anda.

  • Langkah 3: Simpan perubahan dalam file wp-config.php.

Setelah itu, WordPress akan secara otomatis menutup sesi pengguna yang tidak aktif dalam jangka waktu tertentu. Hal ini akan membantu mencegah situasi di mana seseorang dapat memperoleh akses ke panel admin Anda melalui sesi yang dibiarkan terbuka.

Mengelola periode tidak aktif akan membantu Anda mencapai keseimbangan antara keamanan dan kegunaan. Durasi yang terlalu singkat dapat memaksa pengguna untuk terus-menerus masuk, sementara periode yang terlalu lama dapat meningkatkan risiko. 30 menit dianggap sebagai kompromi yang masuk akal untuk sebagian besar situs web.

Rekomendasi dari tim hostkoss

Dalam hal keamanan situs web WordPress, Anda harus berhati-hati dan mengambil pendekatan yang seimbang dalam menginstal plugin. Beban yang berlebihan pada paket hosting dapat berdampak negatif pada performa situs dan menyebabkan masalah pada ketersediaannya.

Kami menekankan bahwa Anda sebaiknya tidak menginstal semua plugin keamanan yang tersedia sekaligus. Sebaiknya Anda menganalisis kebutuhan Anda saat ini dengan cermat dan hanya memilih piranti yang paling penting yang sesuai dengan paket hosting yang Anda pilih dan keterbatasan sumber dayanya.

Untuk situs WordPress yang di-host pada paket hosting murah dengan sumber daya terbatas, Anda disarankan untuk memulai dengan langkah-langkah keamanan dasar, seperti mengubah awalan basis data, menggunakan kata sandi yang kuat, menyiapkan logout otomatis untuk pengguna yang tidak aktif, dan menginstal plugin keamanan minimum. Seiring dengan meningkatnya kebutuhan sumber daya situs web Anda, Anda dapat secara bertahap menambahkan piranti keamanan tambahan.

Untuk pemilik proyek dengan persyaratan keamanan dan performa tinggi, kami sarankan untuk membeli hosting WordPress khusus dengan sumber daya yang kuat. Paket tarif semacam itu akan memungkinkan Anda menerapkan langkah-langkah keamanan komprehensif tanpa risiko server kelebihan beban.

Kami juga menyarankan Anda untuk membaca artikel kami yang lain, di mana Anda akan menemukan tips dan petunjuk tambahan. Tautan ke artikel-artikel tersebut dilampirkan di bawah ini:

Jika Anda memiliki pertanyaan atau masalah saat mengatur keamanan situs web Anda, jangan ragu untuk menghubungi tim support kami melalui live chat atau membuat tiket bantuan. Kami selalu dengan senang hati membantu dan memastikan situs WordPress Anda aman dan stabil.

Artikel ini telah ditinjau oleh Andrii Kostashchuk.

Pertanyaan dan jawaban tentang keamanan WordPress

Mengapa penting untuk memperbarui WordPress, plugin, dan tema secara teratur?

Pembaruan rutin memberikan perlindungan terhadap kerentanan yang ditemukan dan perbaikan untuk bug kode. Versi WordPress, tema, atau plugin yang sudah usang mungkin mengandung kerentanan yang diketahui oleh para penyerang, sehingga situs Anda rentan terhadap serangan dan peretasan.

Bagaimana cara melindungi panel admin WordPress?

Untuk melindungi panel admin, disarankan untuk mengubah nama pengguna admin default, menggunakan kata sandi yang kuat dan unik, mengatur otentikasi dua faktor, mengatur perlindungan kata sandi untuk login dan halaman administrasi, dan membatasi jumlah upaya login.

Mengapa penting untuk menonaktifkan fitur WordPress yang tidak digunakan?

Menonaktifkan fitur-fitur yang tidak digunakan, seperti mengedit file di panel admin, menjalankan PHP di direktori terpisah, atau XML-RPC, akan mengurangi potensi vektor serangan dan mengurangi risiko eksploitasi kerentanan.

Apa yang dimaksud dengan serangan brute force dan bagaimana cara melindungi diri Anda darinya?

Serangan brute force adalah metode untuk menebak kredensial dengan mencoba berbagai kombinasi nama pengguna dan kata sandi. Untuk melindunginya, disarankan untuk menetapkan batas jumlah percobaan login, menggunakan kata sandi yang rumit dan unik, dan menyiapkan autentikasi dua faktor.

Mengapa penting untuk memindai situs web Anda secara teratur dari malware dan kerentanan?

Pemindaian rutin membantu mengidentifikasi potensi ancaman seperti malware, skrip yang diretas, atau kerentanan kode yang diketahui. Hal ini memungkinkan Anda untuk mengambil tindakan yang diperlukan untuk memperbaiki masalah yang terdeteksi secara tepat waktu dan meningkatkan keamanan situs WordPress Anda secara keseluruhan.

Tentang Penulis

Lenka Siker

Lenka adalah seorang programmer berpengalaman yang tahu bagaimana menavigasi berbagai platform dan sistem. Berbekal pengalaman lebih dari tiga tahun, ia mampu mengelola CMS seperti Drupal, TYPO3 dan Concrete5, dan juga mahir dalam WordPress, yang memberdayakan banyak situs web di seluruh dunia.

View All Articles