Cara Mengamankan Wordpress dari Malware & Hacker
2018-06-22 13:04:57 +0700 +07

Bicara tentang Wordpress (self-hosted) ternyata bukan hanya sebatas aktifitas desain, membuat konten, SEO dan optimasi lain yang sering dibicarakan, karena dibalik hal tersebut ada isu lain yang tidak kalah pentingnya, yaitu menjaga keamanan website atau blog itu sendiri.

Kenapa keamanan jadi prioritas penting bagi Wordpress, tentu semua harus ada alasannya bukan? Nah, hal tersebut akan saya jelaskan satu persatu, berikut tips atau cara untuk membuat Wordpress milikmu jadi lebih aman.

Kenapa Wordpress Harus Aman?

Pada dasarnya Wordpress sudah dilengkapi dengan fitur keamanan yang memadai. Jika diibaratkan rumah maka fitur keamanan tersebut adalah jendela dan pintunya. Tapi apakah pintu dan jendela saja cukup?

Layaknya sebuah web dinamis, Wordpress akan selalu berhadapan dengan hal-hal yang berhubungan dengan urusan keamanan itu sendiri, seperti:

  • Teknologi pihak ke-3 (hosting, theme, plugin dan database)
  • Pengaturan dan Konfigurasi
  • Perawatan

Ketiganya saling berhubungan. Jika salah satu tidak berjalan dengan benar maka celah keamanan akan terbuka. Intinya sih jendela dan pintu saja tidak akan cukup untuk dijadikan benteng pertahanan, apalagi mengingat maraknya kejahatan di dunia maya (cyber crime) yang menjadikan website sebagai targetnya.

Agar lebih aman Kita butuh pagar, kunci dan hal-hal lainnya. Tapi… kalau merasa belum cukup punya alasan coba simak baik-baik 3 hal berikut ini.

1. Wordpress Lebih Rentan Diretas

Berdasarkan sebuah data yang dirilis oleh Sucuri terungkap sebuah fakta menarik yaitu dari sekian banyak korban serangan hack atau malware 83% diantaranya adalah website yang menggunakan platform Wordpress.

statistik website yang terinfeksi berdasarkan platform versi Sucuri 2017

statistik website yang terinfeksi berdasarkan platform versi Sucuri 2017

Adapun yang melatarbelakangi hasil statistik di atas bukan soal keamanan Wordpress yang lebih buruk, melainkan karena:

  • Wordpress adalah platform web yang populer dan paling banyak digunakan di dunia
  • Wordpress menggunakan bahasa pemograman yang paling banyak dikuasai orang, yaitu PHP

Sebagai catatan, untuk saat ini saja sebanyak 30,9% website tercatat menggunakan Wordpress, dan dari seluruh CMS yang aktif 59,8% diantaranya adalah Wordpress. Jika suatu saat nanti ada platform lain yang lebih populer maka ceritanya bisa berbeda.

2. Ada 101 Motif dan Metode Bagi Peretas

Sebagian besar pengguna Wordpress mungkin akan berpikir bahwa website atau blog milik mereka terlalu kecil dan unfaedah untuk diretas.

Benarkah demikian? Ternyata fakta berkata lain. Kasus peretasan ternyata tidak hanya terjadi pada website corporate atau perusahaan besar saja.

Pada prakteknya akan ada 101 alasan dan metode untuk membobol sebuah website. Mulai dari iseng atau coba-coba, persaingan bisnis hingga ingin mendapatkan keuntungan dengan cara-cara yang tidak baik. Misalnya:

  • Memasang dan menyebarkan virus atau malware yang dapat merusak sistem server juga komputer pengunjung
  • Memasang script tertentu untuk untuk keperluan spam, bot mining dan sumber traffic
  • Mencuri data pengguna, email, password hingga data penting seperti nomor kartu kredit
  • Merusak data, merubah konten hingga membuat sebuah website down agar tidak bisa diakses

Bukan untuk menakut-nakuti, tapi tanpa kesadaran dan pengetahuan tentang keamanan Kita tidak akan pernah tahu kapan dan alasan pasti dibalik sebuah peretasan.

Salah satu contohnya adalah blog milik salah satu blogger yang 1 atau 2 tahun lalu menjadi korban peretasan, dan itu terjadi tanpa disadari oleh yang bersangkutan, atau seperti yang baru-baru ini terjadi. Lagi-lagi korbannya sesama rekan blogger, kasusnya kelimpungan karena semua halamannya di-redirect ke alamat website tertentu.

Itu baru blog loh ya. Coba bayangkan jika Wordpress milikmu adalah web perusahaan atau toko online.

3. Konsekwensi & Resiko

Mau tidak mau ketika peretasan terjadi Kamu harus berhadapan dengan kemungkinan terburuk, seperti kehilangan data, performa web menurun, tidak dapat diakses hingga dinonaktifkannya akun dan website oleh penyedia hosting, dan itu belum termasuk kerugian yang akan diderita orang lain.

Loh kok orang lain ikut jadi korban?

Tentu saja bisa, apalagi jika Kamu menggunakan layanan shared hosting. Pada umumnya serangan peretasan pada sebuah website bisa menyebabkan kerusakan dan malfungsi pada:

  • Server dimana Wordpress terpasang, termasuk website juga data milik orang lain yang kemungkinan besar bisa terpapar atau terbuka celah keamanannya

  • Perangkat dan data milik pengguna terutama jika website yang diserang terinfeksi oleh virus dan malware

Berani menganggung konsekwensi dan resiko di atas?

Tips & Cara Membuat Wordpress Aman

Saya rasa poin-poin di atas tadi sudah mencukupi untuk membuat Kita sadar akan pentingnya keamanan website. Kalau begitu mari Kita langsung menuju topik utama artikel ini, yaitu tips dan cara membuat Wordpress-mu lebih aman.

6 tips dan cara mudah untuk membuat Wordpress aman dari serangan hack

6 tips dan cara untuk membuat Wordpress aman dari serangan hack

1. Hosting yang Handal

Jika ada hal pertama yang harus menjadi prioritas dalam hal menjaga keamanan dan keberlangsungan sebuah website Wordpress maka hal tersebut adalah memilih hosting yang aman dan dapat dipercaya.

Apa hubungannya hosting dengan keamanan?

Mendengar hosting pasti yang terlintas dipikiran kebanyakan orang adalah soal performa, tapi tahu tidak, kalau faktanya hosting juga punya peranan dalam hal keamanan.

penyebab atau sumber dari celah keamanan yang membuat Wordpress rentan diretas

Keamanan hosting yang tidak memadai bisa menjadi penyebab utama bobolnya Wordpress

Secara logika hosting adalah tempat dimana Wordpress terpasang. Kalau hostingnya tidak beres maka Wordpress-mu akan ikut terpengaruhi juga. Sebagai bukti nyata, dari beberapa sumber yang Saya dapat ternyata 41% penyebab celah keamanan di akibatkan oleh lemahnya keamanan server atau hosting.

Untuk menentukan handal atau tidaknya keamanan sebuah hosting terbilang cukup mudah. Kuncinya adalah sedikit jeli dan teliti. Sebagai petunjuk awal biasanya hosting yang yang bisa diandalkan harus punya kriteria umum seperti berikut ini:

  • Berbentuk badan usaha bukan milik perorangan, karena secara logika penyedia dengan bentuk badan usaha akan lebih profesional
  • Mempunyai reputasi bagus, salah satu cara mengetahuinya bisa dilihat dari ulasan atau review para penggunanya
  • Layanannya dilengkapi dengan teknologi yang up to date dan infrastruktur memadai, terutama dalam hal keamanan

Apa ada penyedia hosting lokal yang memenuhi kriteria diatas?

Tentu ada dong. Salah satu yang bisa Saya referensikan adalah cloud hosting murah dari Dewaweb. Dari pengalaman Saya sih ketika menggunakan layanan mereka meutiarahmah.com tidak pernah mengalami hal-hal buruk, baik dalam performa maupun soal keamanan.

Sebagai bahan perbandingan, hosting Wordpress Dewaweb sudah dilengkapi dengan teknologi keamanan canggih yang mumpuni seperti:

  • Imunify360 AI Security
    Imunify360 AI Security adalah sistem keamanan server yang canggih. Teknologi ini mengumpulkan jutaan informasi terbaru mengenai peretasan server dari seluruh dunia, dengan cara tersebut begitu server dapat membuat pertahanan (firewall) secara realtime dan dinamis.

  • Patchman Auto Patching
    Seperti yang saya sebutkan sebelumnya, web dinamis tidak akan pernah luput dari celah keamanan. Nah, Patchman Auto Patching ini berperan untuk menutup celah keamanan yang berasal dari aplikasi web yang terinstal di server, yaitu core PHP dan Wordpress milik Kamu.

  • MailChannels Cloud SMTP Relay
    Pada dasarnya fitur ini bekerja untuk memastikan aktifitas surel (email) dapat berjalan dengan baik, namun dalam hal keamanan MailChannels Cloud SMTP Relay difungsikan untuk memblokir email masuk dari pengguna yang terindikasi melakukan penyelahgunaan, diantaranya melakukan spam atau mengirimkan file berisi virus.

  • Free SSL Grade A
    Seluruh pengguna hosting Dewaweb mendapatkan layanan SSL grade A yang bisa di test langsung di Qualys SSL Labs secara gratis tanpa harus mengeluarkan biaya.

  • Integrasi dengan layanan Cloudflare & Railgun
    Selain untuk menigkatkaan performa, layanan CDN (Content Delivery Network) Cloudflare bisa difungsikan sebagai benteng keamanan juga, misalnya seperti menahan serangan DDoS bahkan memblokir pengunjung dari IP tertentu.

  • ISO27001 Certified
    Seluruh layanan yang diberikan oleh Dewaweb lebih terjamin keamanannya. Salah satu buktinya adalah dengan adanya sertifikat ISO27001, dimana seluruh informasi, aset/data, alur kerja dan yang lainnya telah memenuhi standar yang diberikan oleh ISO.

Kira-kira itulah yang membuat Saya memilih dan merasa nyaman mengunakan hosting dan domain murah Dewaweb. Intinya sih dengan adanya teknologi keamanan selengkap itu 12 dari pekerjaan untuk membuat Wordpress aman sudah terpenuhi.

Aman, nyaman dan bisa fokus dengan aktifitas yang berhubungan dengan Wordpress milik Kita, dan sebagai bonusnya pengguna bisa mendapatkan domain gratis selama menggunakan layanan cloud hostingnya.

2. Username & Password yang Kuat

Halaman login adalah salah satu pintu yang sering dijadikan target peretas untuk melakukan aksi mereka. Dalam hal ini mereka akan memanfaatkan kelalaian pengguna yang lebih senang memilih username dan password yang mudah diingat.

Nah, yang jadi persoalan ternyata kombinasi username dan password yang mudah diingat cenderung lemah dan mudah dibobol oleh alat/aplikasi yang digunakan oleh para peretas.

Lalu bagaimana cara untuk membuat username dan password yang aman dan kuat?

  1. Hindari penggunaan nama asli atau pangilan Kamu untuk username, sebagai gantinya buatlah username dengan yang hal-hal tidak mudah ditebak oleh orang lain
  2. Untuk username dan password sebaiknya gunakan kombinasi huruf kapital dan huruf kecil, lalu gabungan dengan angka dan simbol, dan khusus untuk password Saya sarankan lebih dari 8 karakter.

Gimana, mudah kan? Semakin kuat kombinasi keduanya maka akan semakin sulit bagi peretas untuk membobolnya, meskipun metode yang digunakan adalah brute force melalui aplikasi pembobol otomatis.

3. Theme & Plugin Terpercaya

Memilih theme dan plugin ternyata bukan hanya soal estetika atau fungsionalitas belaka. Bagi Wordpress sendiri keduanya punya peranan dalam menentukan aman tidaknya sebuah website. Berikut ini adalah tips untuk memilih theme dan plugin yang terpercaya:

  1. Dikelola dengan baik dan profesional oleh pengembangnya, lihat historinya apakah reviewnya bagus dan cek apakah selalu update secara reguler

  2. Didapatkan dari sumber yang terpercaya, yaitu website resmi pengembang atau yang tersedia di Wordpress.org, apalagi kalau yang dipakai adalah yang gratisan

  3. Didapatkan secara legal, bukan barang bajakan atau nulled version. Percaya deh tidak ada hal baik yang bisa didapatkan dari barang bajakan. Selain mencuri hak orang lain theme dan plugin bajakan biasanya disusupi oleh script jahat dan virus yang berbahaya

  4. Meskipun tidak selalu, theme dan plugin terpercaya biasanya di kembangkan oleh developer yang berbentuk organisasi/badan usaha, sehingga keberlangsungannya (pengembangan dan update) lebih terjamin

  5. Saya lebih menyarankan versi berbayar atau premium, khususnya untuk theme. Lagi-lagi alasannya mengenai keberlangsungan produk tersebut, dan biasanya versi premium lebih terjamin kualitasnya.

  6. Pastikan theme dan plugin yang dipilih mendukung dengan versi Wordpress yang digunakan. Jika tidak mendukung besar kemungkinan akan terjadi malfungsi atau membuka celah keamanan

Sebagai tambahan jangan lupa untuk mencopot atau hapus plugin dan theme yang tidak lagi digunakan.

4. Memasang Plugin Keamanan

Yuk lanjut ke rangkaian berikutnya, yaitu memasang security plugins untuk menutup kemungkinan-kemungkinan terbukanya celah keamanan di Wordpress. Plugin semacam ini memang banyak pilihannya, hanya saja Kita harus pintar memilih.

Wah banyak ya, Ada yang bisa direkomendasikan?

Dari sekian banyak rekomendasi dan ulasan yang ada di internet sih pilihannya akan mengerucut kepada Wordfence, iThemes Security, All In One WP Security & Firewall, BulletProof Security atau Secupress.

Tapi kalau ditanya mana yang paling bagus maka Saya lebih condong memilih Secupress. Alasannya sih karena plugin ini punya alat pemindai dan fitur keamanan yang lengkap, jadi tidak perlu banyak plugin keamanan tambahan.

Selain itu Secupress lebih ringan serta punya tampilan yang minimalis sehingga mudah digunakan, sekalipun oleh pengguna yang awam.

Nah, kalau pilihannya jatuh ke Secupress maka perhatikanlah fitur-fitur penting berikut ini:

  • User & Login
    • membatasi percobaan login yang mencurigakan
    • captcha untuk mencegah bot peretas di halaman login
    • merubah URL halaman login Wordpress
  • Wordpress Core
    • membatasi edit/perubahan file instalasi Wordpess
    • mencegah upload file dengan ekstensi yang mencurigakan
  • Sensitive Data
    • mencegah direktori listing di browser
    • membatasi akses file penting untuk publik
  • Firewall
    • memblokir bot spam
    • memblokir script mencurigakan

Sisanya lebih ke pilihan opsional, tapi jika ingin lebih aman Kamu bisa mengaktifkan seluruh fiitur dan modul yang ada.

Apakah 1 plugin keamanan sudah bisa mengamankan Wordpress?

Catat ya… Jangan pernah memasang lebih dari 1 plugin keamanan! Jika plugin yang dipakai selengkap Secupress Saya rasa Satu saja sudah lebih dari cukup.

Memasang lebih dari satu malah bisa membuat Wordpress-mu jadi error, kecuali jika plugin tambahan tersebut punya fungsi spesifik yang tidak dimiliki oleh plugin keamanan yang utama.

5. Backup & Update

Backup dan update adalah rangkaian termudah dari mengamankan Wordpress, tapi yang jadi persoalan kadang pengguna sering lupa, malas bahkan mengesampingkannya, padahal keduanya adalah aktifitas penting yang harus dilakukan secara rutin.

Ketika menggunakan Wordpress maka secara tidak langsung pengguna harus komit dan mau bertanggungjawab terhadap seluruh data miliknya, dari mulai tulisan, gambar, plugin, theme hingga file lain berikut konfigurasinya, dan semua itu tersimpan dalam sebuah database.

Intinya sih backup akan punya peran penting ketika terjadi sesuatu yang buruk, seperti file/database rusak atau hilang karena peretasan. Sedangkan update berfungsi untuk memutakhirkan fitur, fungsi dan menutup celah keamanan.

Loh kok harus backup kan biasanya penyedia layanan hosting punya backup data milik pengguna juga?

Iya, memang ada… salah satu contohnya seperti fitur Time Machine Bacup yang diberikan oleh Dewaweb, tapi ingat walau bagaimanapun Kita adalah pemilik dan satu-satunya orang yang paling bertanggungjawab atas data tersebut.

…jadi ketika ada hal-hal yang tidak diinginkan terjadi Kita tidak perlu risau, toh Kamu sudah punya 2 cadangan data.

Cara backup gimana ya?

Caranya gampang kok. Backup sendiri bisa dilakukan dengan dua jalan, yaitu melalui Cpanel hosting atau kontrol panel/dashboard Wordpress. Dalam kasus ini Saya lebih suka cara yang kedua, yaitu melalui dashboard.

Untuk dapat melakukan backup melalui dashboard Kamu akan membutuhkan bantuan plugin yang khusus untuk membackup data Wordpress. Saya sendiri menggunakan UpdraftPlus versi gratis.

Panduan lengkapnya bisa dilihat di artikel cara praktis backup Wordpress.

Kapan waktu yang tepat untuk backup?

Waktu yang tepat untuk backup tergantung dari sejauh mana Kamu sering melakukan perubahan. Contohnya, jika Kamu punya kebiasaan update konten setiap hari maka minimal backup dilakukan seminggu sekali.

Nah, kalau soal update lakukanlah sesegera mungkin ketika ada pembaruan, baik Wordpress core maupun theme dan plugin. Tapi kalau mau lebih aman Kamu bisa perhatikan apakah itu minor update atau major update.

Jika pembaruan tersebut major update sebaiknya cek terlebih dahulu, apakah pembaruan tersebut mendukung/support dengan elemen lainnya (Wordpress, theme, plugin)

6. Gunakan SSL (HTTPS)

Langkah terakhir untuk membuat Wordpress aman dari serangan hacker adalah dengan cara menggunakan SSL Certificate agar koneksi atau jalur komunikasi antara pengguna dan server tidak bisa disusupi oleh peretas.

SSL sendiri terbagi dalam 4 jenis, mulai yang paling standar seperti Economy class (DV) hingga yang paling aman seperti Business Class (OV), Fisrt Class (EV) dan WildCard SSL.

Mana yang paling bagus?

Kalau untuk ukuran blog sih cukup dengan yang gratisan seperti Let’s Encyript, tapi kalau Wordpress milikmu menyimpan data-data sensitif atau ada aktifitas transaksi online sebaiknya gunakan yang berbayar.

Hal terakhir yang harus diperhatikan dari SSL ini adalah memastikan bahwa konfigirasi dan instalasinya sudah dilakukan dengan benar, diantaranya dengan:

  1. Mengalihkan seluruh permintaan dari HTTP ke HTTPS
    Dalam banyak kasus banyak pemilik web yang sudah menggunakan SSL lupa untuk melakukan langkah ini. Ilustrasinya jika hal ini dibiarkan maka sebagian pengguna akan menggunakan jalur yang tidak aman (HTTP).

    Pengalihan koneksi secara paksa ini bisa dilakukan dengan 2 cara, yaitu melalui file .htaccess atau menggunakan plugin tertentu. Salah satu yang saya rekomendasikan adalah Force HTTPS.

  2. Memastikan Konfigurasi SSL di Server Menggunakan SSL sendiri tidak serta-merta membuat koneksi menjadi aman, dalam hal ini jika SSL tidak dikonfigurasikan secara baik di server maka celah keamanan akan tetap terbuka.

    SSL dengan rating A

    SSL dengan rating A

    Untuk mengetahui apakah hosting yang kamu gunakan sudah melakukan hal ini dengan baik bisa Kita cek langsung secara online, melalui www.ssllabs.com/ssltest/index.html. Jika ratingnya jelek sebaiknya pertimbangkan untuk pindah ke layanan hosting dan SSL yang lebih baik, lagi-lagi saya sangat merekomendasikan Dewaweb.


Gimana mudah kan? Saya rasa 6 tips dan cara untuk membuat Wordpress lebih aman tadi sudah lebih dari cukup. Sekarang tinggal sejauh mana Kamu mau mempraktekannya.

Sebagai penutup Saya ingin kembali mengingatkan bahwa sebagai pemilik blog atau website punya tanggung jawab penuh atas semua data dan properti miliknya, sekaligus menjaga keamanan dan kenyamanan pengguna atau pengunjungnya.