15 Tips Pengamanan Website Kamu dari Serangan Hacker!

6 menit

Mencegah website kamu agar tidak terkena serangan hacker tentunya harus dilakukan semaksimal mungkin. Jika pengamanan tidak dilakukan secara berkala, kemungkinan sewaktu-waktu celah keamanan website kamu akan diketahui juga oleh pelaku kejahatan keamanan website.
Ada 4 celah penyebab yang bisa diketahui khususnya website base on wordpress, diantaranya :

  1. Hosting, penggunaan hosting yang lemah dan kurang bagus akan memberikan celah pada sistem keamanan website kamu
  2. Themes, tidak semua theme wordpress yang ada, aman digunakan, apalagi theme yang kamu gunakan adalah theme gratisan atau bahkan theme ilegal yang kamu download disembarang website. Maka berhati-hatilah dalam memilih theme.
  3. Plugin, selain themes, faktor ketiga yang menyebabkan website wordpress tekena serangan hacker adalah plugin yang digunakan. Kamu bisa menggunakan plugin yang benar-benar dibutuhkan untuk website kamu, jika tidak terpakai sebaiknya dihapus, selain itu jangan lupa melakukan update plugin jika ada permintaan untuk update.
  4. Password Lemah, faktor  terakhir yang bisa menyebabkan website kamu diserang adalah penggunaan password yang lemah, sehingga mudah untuk ditrack oleh penyerang website kamu. Maka gunakanlah password yang sulit ditebak namun tidak menyulitkan kamu. Kamu bisa menggunakan kombinasi angka dan huruf jika memungkinkan.

Empat faktor diatas adalah hal yang paling sering membuat sebuah website terkena hack. Oleh karena itu perlu adanya pencegahan, karena pepatah mengatakan “lebih baik mencegah dari pada mengobati, bukan?

Jika kamu salah satu pemilik website yang menggunakan CMS WordPress, ada baiknya mengikuti beberapa tips berikut ini untuk mencegah agar website kamu tidak mudah diserang keamanannya. Berikut 15 Tips tindakan mencegah dari penyerang keamanan website kamu.

1. Berhati-hatilah memilih hosting, pilih yang terpercaya

Pemilihan web hosting merupakan salah satu hal paling penting bagi keamanan website kamu, web hosting bisa menjadi penyebab website terkena hack, sekitar 41% penyebab website wordpress terkena hack adalah karena faktor hosting, apalagi jika kamu menggunakan shared hosting, walaupun script website yang dibuat sudah sangat baik dan dirasa aman, namun penyebab website jebol bisa jadi karena lemahnya keamanan website orang lain yang juga dihosting pada tempat yang sama dengan website kamu, itulah salah satu kekurangan menggunakan shared hosting. jadi pastikan kamu memilih web hosting yang bagus untuk website kamu, cari referensi, baca testimoni orang lain tentang web hosting tersebut.

2. Hindari Penggunaan User Admin

Saat kita pertama menginstall wordpress, maka sudah dibuatkan sebuah akun dengan username admin, sebaiknya nama tersebut diganti dengan yang baru, karena username tersebut sudah diketahui oleh banyak orang. Kamu bisa mengganti user admin dari phpmyadmin melalui CPANEL atau FTP, namun jika ingin lebih mudah bisa mengganti user admin bisa memanfaatkan plugin seperti iThemes Security.

3. Gunakan Password yang Sulit Ditebak

Sangat penting untuk memilih password yang kuat agar tidak mudah ditebak dan dijebol, password yang kuat menurut sebagian besar pakar keamanan adalah password yang jumlah karakternya tidak kurang dari 8 karakter, selain itu harus menggunakan gabungan huruf besar, huruf kecil, angka dan simbol. Password yang sulit ditebak ini harus ada di semua user yang ada pada website tersebut.

4. Batasi Percobaan Login

Biasanya pemilik website tidak akan lupa password websitenya sendiri, sekali coba login saja sudah bisa masuk. Namun orang lain belum tentu seperti itu, mereka akan mencoba berbagai kemungkinan, gagal login sekali, mereka akan coba lagi, coba lagi, coba lagi sampai berhasil. Oleh karena itu batasi kesalahan ketika login, misalnya 3 kali gagal login maka akan di blokir. Untuk menggunakan teknik tersebut kamu bisa menggunakan plugin seperti Limit login attemps, atau Login Lockdown.

5. Sembunyikan atau Ganti Halaman Login Website

Website wordpress biasanya memiliki halaman login yakni dengan /wp-admin atau /wp-login. Nah, halaman tersebut tentu saja diketahui oleh semua orang, maka ada baiknya halaman tersebut diganti. Untuk itu kamu bisa menggunakan plugin sebagai bantuan, musalnya seperti plugin iThemes Security yang memungkinkan kamu untuk mengganti lokasi wp-admin.

6. Memberikan Password Untuk Folder wp-admin

Selain halaman administrator yang menggunakan password, folder wp-admin juga bisa kamu beri password, agar keamanan yang terpasangan semakin kuat. Kamu bisa menngaturnya di CPANEL, masuk kebagian Security lalu pilih Password Protect Directory kemudian pada bagian Name the Protected Directory masukan wp-admin, dan tuliskan juga username berserta passwordnya dibagian Create User. lalu Save. Ketika browser mengarah ke domain/wp-admin maka akan muncul pop up yang meminta kamu untuk memasukan username dan password tersebut.

7. Batasi Hak Akses File-file Penting

File wp-config.php adalah file yang berisi settingan username dan password database yang digunakan oleh website wordpress, untuk itu sebaiknya file tersebut jangan sampai diakses oleh orang lain. Batasi hak aksesnya dengan melakukan pengaturan CHMOD.

Caranya mudah, kamu bisa mengakses file wp-config.php melalui CPANEL atau menggunakan FTP, klik kanan pada file wp-config.php, lalu pilih opsi Change Permission, lalu atur agar menjadi 644, jika kamu sama sekali tidak akan mengubah file tersebut kedepannya, maka bisa di atur menjadi 444 saja agar lebih aman.

kemudian pilih akses yang kamu inginkan.

Selain wp-config, lakukan juga pengamanan pada file berikut ini

  1. htaccess                       : ubah permision filenya menjadi 0404
  2. index.php                    : ubah permision filenya 0400
  3. wp-blog-header.php   : ubah permision filenya 0400
  4. wp-admin                    : ubah permision filenya 0705
  5. wp-includes                 : ubah permision filenya 0705
  6. wp-content                  : ubah permision filenya 0705

8. Gunakan Themes yang Terpercaya

Jika kamu ingin menggunakan themes untuk website kamu maka gunakanlah themes yang lisensinya bisa dipercaya, pastikan kamu mendownload theme dari website yang kredibil pula, hindari mendownload dari website yang menyediakan file ilegal. Menghindari penggunaan theme bajakan juga akan meminimalisir ancaman keamanan website kamu, biasanya themes bajakan kebanyakan telah disusupi oleh script yang tidak aman yang bisa digunakan untuk mengakses website kamu.

9. Jangan Menggunakan Sembarang Plugin

Sama halnya dengan theme, plugin juga rawan untuk disisipi script jahat, oleh karena itu hindari penggunaan plugin yang bersumber dari website yang kurang terpercaya.

10. Hapuslah Theme dan Plugin yang Tidak Terpakai

Theme dan plugin yang tidak terpakai sebaiknya dihapus saja, jangan dibiarkan file tersebut berada diwebsite kamu, karena script yang ada sewaktu-waktu bisa saja menjadi celah masuk hacker yang tentu tidak kamu inginkan.

11. Selalu Update Theme, Plugin, dan Versi WordPress

Jika ada permintaan update dari wordpress baik itu untuk core website, theme maupun plugin, maka sebaiknya lakukan saja, karena biasnaya setiap update dilakukan karena ada perbaikan-perbaikan.

12. Gunakan Metode Two Step Authentication

Agar website lebih aman, maka harus dilakukan pengecekan berulang kali ketika ingin masuk, kamu bisa menggunakan metode Two Step Authentication, dimana ketika ingin login sistem akan mengirim sebuah kode ke email atau ke ponsel kamu melalui SMS, kode tersebut berfungsi untuk mengkonfirmasi/memverifikasi bahwa yang login benar-benar kamu. Orang lain tidak akan bisa login, karena setiap ingin login harus memasukan kode awal terlebih dahulu, sedangkan kode itu akan dikirim ke SMS kamu.

13. Tutup Kolom Komentar Pada Postingan Lama

Komentar menjadi tempat diskusi yang bagus untuk postingan website kamu, namun ada baiknya postingan yang sudah cukup lama komentarnya ditutup saja, hal ini tentu bisa untuk mengurangi spam, karena website wordpress rentan sekali terhadap masuknya komentar spam, spam yang membanjiri website kamu bisa mengakibatkan pembengkakan database dan bisa saja berujung pada beratnya website untuk diakses.

14. Cek Keamanan Website Kamu

Kamu bisa mengecek apa saja celah keamanan website kamu menggunakan berbagai plugin yang tersedia di repository wordpress. Selain beberapa plugin yang sudah kami sebutkan diatas tadi, berikut ini ada juga beberapa plugin untuk keamanan wordpress kamu.

  1. Wordfence Security (rekomendasi)
  2. Login LockDown
  3. BulletProof Security
  4. Sucuri Security
  5. Acunetix WP SecurityScan
  6. All In One WP Security & Firewall
  7. iThemes Security
  8. 6Scan Security

15. Jangan Lupa Backup!

Lakukan backup terhadap website kamu secara rutin, tujuannya tentu untuk menghindari kehilangan data jika terjadi sesuatu pada website. kamu bisa backup melalui fitur yang ada di CPANEL atau menggunakan FTP, atau jika kamu paham bisa juga menggunakan terminal dan command prompt.

Berbagai cara diatas bisa kamu gunakan untuk mencegah WordPress kamu agar tidak mudah diserang.

Tidak ada sistem yang sempurna, yang disebutkan diatas tentu tidak bisa membuat website kamu 100% aman. Namun pencegahan tentu tidak ada salahnya untuk dilakukan, bukan? Selamat mencoba!

0


Web Developer

Leave a Reply

Your email address will not be published. Required fields are marked *