WordPress adalah Content Management System (CMS) paling populer di dunia, menggerakkan lebih dari 40% website di internet. Popularitas ini membuatnya menjadi target utama bagi para hacker. Namun, bukan berarti WordPress tidak aman.

Dengan langkah-langkah yang tepat dan konsisten, kamu bisa secara signifikan meningkatkan keamanan website WordPress-mu dan membuatnya tangguh terhadap sebagian besar serangan.

Mengamankan WordPress bukan hanya tentang satu solusi ajaib, melainkan implementasi strategi berlapis. Berikut adalah cara-cara penting untuk melindungi website WordPress-mu dari hacker:

1. Selalu Perbarui WordPress, Tema, dan Plugin

Ini adalah langkah paling fundamental dan krusial. Sebagian besar serangan hacker memanfaatkan kerentanan yang sudah diketahui pada software WordPress itu sendiri, tema, atau plugin yang belum diperbarui.

• Pembaruan Inti WordPress: Aktifkan pembaruan otomatis minor, dan segera perbarui versi mayor saat tersedia. Pembaruan sering kali mencakup perbaikan keamanan penting.
• Tema dan Plugin: Pastikan semua tema dan plugin yang terinstal selalu dalam versi terbaru. Jika kamu tidak menggunakan tema atau plugin tertentu, hapus saja. Jangan hanya menonaktifkan, karena kode berbahaya masih bisa dieksploitasi.
• Sumber Terpercaya: Unduh tema dan plugin hanya dari sumber tepercaya (WordPress.org, repositori pengembang terkemuka, atau pasar tema/plugin yang terkemuka). Hindari menggunakan tema atau plugin bajakan (nulled).

2. Gunakan Kata Sandi yang Kuat dan Otentikasi Dua Faktor (2FA)

Kredensial yang lemah adalah pintu masuk termudah bagi hacker.

• Kata Sandi Kuat: Gunakan kata sandi yang panjang (minimal 12-16 karakter), kompleks (kombinasi huruf besar/kecil, angka, simbol), dan unik untuk setiap akun. Hindari menggunakan kata sandi yang mudah ditebak atau informasi pribadi.
• Otentikasi Dua Faktor (2FA): Aktifkan 2FA untuk semua akun user, terutama administrator. Ini menambahkan lapisan keamanan ekstra di mana pengguna harus memverifikasi identitas mereka melalui perangkat kedua (misalnya kode dari aplikasi otentikator di ponsel) setelah memasukkan kata sandi. Banyak plugin keamanan WordPress menawarkan fitur ini.
• Nama Pengguna: Jangan gunakan username generik seperti "admin" atau nama website sebagai nama pengguna. Buat username yang unik dan sulit ditebak.

3. Lindungi Halaman Login WordPress

Halaman login adalah target utama bagi serangan brute-force (percobaan kata sandi berulang).

• Batasi Upaya Login: Gunakan plugin keamanan yang dapat membatasi jumlah upaya login yang gagal dari satu alamat IP dalam periode waktu tertentu. Setelah batas tercapai, IP tersebut akan diblokir sementara.
• Captcha/reCAPTCHA: Terapkan Captcha atau Google reCAPTCHA di halaman login untuk membedakan antara manusia dan bot.
• Ubah URL Login: Ubah URL login bawaan WordPress (wp-admin atau wp-login.php) ke URL kustom yang unik. Banyak plugin keamanan dapat melakukannya. Ini bukan pertahanan anti-DDoS, tapi mempersulit bot standar.

4. Konfigurasi Firewall Aplikasi Web (WAF) dan CDN

WAF dan CDN bertindak sebagai perisai pertama di depan website kamu.

• Firewall Aplikasi Web (WAF): WAF memantau lalu lintas ke website-mu dan dapat memblokir serangan umum seperti SQL Injection, XSS, dan brute-force sebelum mencapai server-mu. Banyak plugin keamanan WordPress menawarkan fitur WAF di level aplikasi.
• Content Delivery Network (CDN) dengan Proteksi DDoS: Layanan seperti Cloudflare atau Sucuri tidak hanya mempercepat website dengan menyimpan salinan konten di server global, tetapi juga menyediakan perlindungan DDoS yang kuat. Mereka menyaring traffic berbahaya sebelum mencapai server asalmu. Sangat direkomendasikan untuk website berukuran menengah hingga besar.

5. Lakukan Backup Reguler

Backup adalah jaring pengaman terakhirmu. Jika terjadi hal terburuk (website diretas, corrupt, atau server down), kamu bisa memulihkan website-mu dengan cepat.

• Otomatisasi: Gunakan plugin backup WordPress (misalnya UpdraftPlus, Duplicator) atau layanan hosting yang menawarkan backup otomatis.
• Lokasi Penyimpanan: Simpan backup di lokasi terpisah dari server website-mu (misalnya di cloud storage seperti Google Drive, Dropbox, atau Amazon S3) untuk mencegah backup juga ikut terinfeksi jika server diserang.
• Uji Pemulihan: Sesekali, uji proses pemulihan backup untuk memastikan backup-mu berfungsi dengan baik.

6. Amankan File dan Direktori WordPress

Perlindungan level server untuk file WordPress.

• Izin File (File Permissions): Pastikan izin file dan direktori diatur dengan benar.
  • Direktori: 755 (rwxr-xr-x) atau 750
  • File: 644 (rw-r--r--) atau 640
  • wp-config.php: Sangat disarankan 600 atau 400 untuk perlindungan maksimal.
  • Izin yang terlalu longgar (misalnya 777) memungkinkan hacker menulis atau mengeksekusi file berbahaya.
• Nonaktifkan Pengeditan File Theme/Plugin: Tambahkan baris kode define('DISALLOW_FILE_EDIT', true); di file wp-config.php untuk mencegah pengeditan file tema atau plugin langsung dari dashboard WordPress. Ini mencegah hacker yang berhasil masuk ke dashboard untuk menyuntikkan kode berbahaya.
• Lindungi wp-config.php dan .htaccess: Pastikan kedua file ini tidak dapat diakses secara publik dan dikonfigurasi dengan aman.

7. Gunakan Sertifikat SSL/HTTPS

Seperti yang dibahas sebelumnya, HTTPS sangat penting.

• Enkripsi Data: HTTPS mengenkripsi semua data yang ditransfer antara website kamu dan browser pengunjung, melindungi password, informasi pembayaran, dan data sensitif lainnya dari penyadapan.
• Kepercayaan dan SEO: Website HTTPS ditampilkan sebagai "Aman" di browser dan mendapatkan dorongan di peringkat SEO Google.

8. Hapus Tema dan Plugin yang Tidak Digunakan

Setiap tema atau plugin, bahkan yang tidak aktif, adalah potensi kerentanan.

• Bersihkan: Jika kamu tidak menggunakan tema atau plugin, hapus sepenuhnya. Jangan hanya menonaktifkannya. Ini mengurangi surface area serangan yang bisa dieksploitasi.

9. Pemantauan Keamanan dan Audit Reguler

Keamanan adalah proses berkelanjutan, bukan hanya sekali pengaturan.

• Plugin Keamanan: Gunakan plugin keamanan yang baik (misalnya Wordfence, Sucuri Security, iThemes Security) yang menawarkan fitur pemindaian malware, pemantauan integritas file, pemantauan login, dan notifikasi keamanan.
• Audit Log: Aktifkan logging aktivitas user dan event penting di WordPress. Periksa log secara berkala untuk mencari aktivitas mencurigakan.
• Uji Keamanan (Pentest/Vulnerability Scan): Jika memungkinkan, pertimbangkan untuk melakukan penetration testing atau vulnerability scanning oleh ahli keamanan secara berkala, terutama untuk website bisnis penting.

10. Amankan Server Hosting-mu

Keamanan WordPress juga sangat bergantung pada keamanan server di mana website-mu di-host.

• Pilih Hosting Terkemuka: Pilih penyedia hosting WordPress yang memiliki reputasi baik dalam hal keamanan, menawarkan firewall level server, deteksi malware, dan pemantauan jaringan.
• Isolasi Akun: Pastikan hosting kamu mengisolasi akun antar-pengguna (jika shared hosting) sehingga website lain yang diretas di server yang sama tidak mempengaruhi website-mu.
• SSH dan SFTP: Gunakan SSH (Secure Shell) atau SFTP (SSH File Transfer Protocol) untuk akses file server, bukan FTP biasa yang tidak terenkripsi.

Dengan menerapkan langkah-langkah di atas secara menyeluruh dan disiplin, kamu dapat secara drastis mengurangi risiko website WordPress-mu diretas dan melindungi aset digitalmu. Ingat, keamanan adalah perjalanan, bukan tujuan.