Dari proses instalasi, kustomisasi tema dan plugin hingga konfigurasi file .htaccess. Kita tahu bahwa WordPress merupakan salah satu CMS yang cukup terkenal karena cukup powerful dan memiliki beragam plugin serta tema. Namun, terdapat issue yang berkembang bahwa WordPress tidak aman. Hmm… itu tidak benar ya.
Kamu bisa membuat WordPress AMAN dan TERHINDAR dari serangan hacker apabila mengetahui tips dan triknya. Agar WordPress aman maka kamu harus memperhatikan step by step dari mulai tahap instalasi, kustomisasi hingga konfigurasinya.
Tahap Instalasi
Proses instalasi WordPress dapat dilakukan melalui Softaculous atau upload file website secara manual. Namun sebelum melakukan instalasi, kamu perlu memperhatikan hal- hal berikut ini.
1. Aktifkan Fitur Auto Upgrade
Ketika kamu melakukan instalasi WordPress melalui Softaculous, pasti kamu akan menemui pilihan seperti gambar di bawah ini. Pada bagian Advanced Options, usahakan kamu memberi tanda centang pada pilihan Auto Upgrade, Auto Upgrade WordPress Plugin dan Auto Upgrade WordPress Theme. Mengapa? Biasanya, tim development dari pihak WordPress akan selalu melakukan uji terhadap program yang mereka buat.
Nah, dari versi- versi sebelumnya akan ditemukan suatu vulnerable/ celah yang biasanya menjadi “alat” hacker untuk mengobrak- abrik website.
Tentu saja mereka akan memperbaiki vulnerable/ celah tersebut. Untuk itu, kamu harus selalu melakukan upgrade agar WordPress, Theme dan Plugin akan senantiasa dalam versi terbaru. Nah, melalui fitur Auto Upgrade ini, proses upgrade akan menjadi otomatis. Namun perlu diperhatikan ketika ada perubahan total dari versi sebelumnya, terkadang website menjadi error.
2. Jangan Install WordPress di Public_html (Khusus untuk Subdomain/ Add- On Domain)
Kasus ini khusus untuk kamu yang ingin melakukan instalasi website di subdomain atau Add- On Domain. Jadi, pastikan kamu melakukan instalasi website/ meletakkan file website di folder yang terpisah dari public_html (beda folder). Hal ini dikarenakan untuk mengantisipasi ketika ada serangan dari hacker, website yang berada di subdomain/ add- on domain tidak akan diobrak- abrik.
3. Jangan Gunakan Username Default “admin”!
Salah satu cara agar wordpress aman yaitu jangan pernah gunakan username dan password “admin”. Mengapa? Karena para hacker akan dengan mudah melakukan pelacakan apabila username yang kamu gunakan berupa “admin” atau “administrator”. Oiya, jangan gunakan kata yang simpel. Jangan gunakan angka 123456. Usahakan gunakan kata yang kompleks dan mudah diingat. Alangkah lebih baik jika kamu memilih password dengan kombinasi angka, huruf besar, huruf kecil serta karakter.
Tahap Kustomisasi
Nah setelah selesai melakukan instalasi, pasti kamu ingin segera melakukan pengubahan/ kustomisasi website WordPress seperti mengubah tema, menambahkan template dan sebagainya. Namun sebelum itu, kamu perlu memperhatikan hal- hal berikut ini agar website tidak menjadi sasaran “hacker”.
1. Selalu Lakukan Update Tema/ Plugin WordPress
Nah, sebelumnya telah dijelaskan bahwa Theme atau Plugin dapat menjadi celah masuknya hacker untuk meretas website kamu. Untuk itu, selalu lakukan update Tema/ Plugin yang digunakan. Apabila plugin tersebut sudah tidak digunakan lagi, Kami sarankan untuk menghapusnya saja.
2. Jangan Gunakan Tema atau Plugin Sembarangan!
Selalu gunakan tema/ plugin yang berasal dari website WordPress. Atau misalnya kamu membeli Template (tema)/ plugin dari pihak luar, pastikan tidak ada backdoor di dalamnya. Dan pastikan tema/ plugin tersebut aman. Oiya, jangan pernah tertarik untuk menggunakan template gratisan yang bukan berasal dari pihak WordPress ya Adapun tema dan plugin dari WordPress bisa kamu lihat di https://wordpress.org/plugins/
3. Gunakan Plugin Security pada WordPress
WordPress telah mengantisipasi akan adanya serangan yang dilakukan oleh hacker. Untuk itu, WordPress telah menyediakan beberapa plugin yang bisa kamu gunakan seperti All In One WP Security, WordFence, Ninjafirewall dan sebagainya.
- All In One WP Security & Firewall
Plugin ini akan mendeteksi kerentanan/ vulnerable dari website serta memberikan berbagai firewall rules. - WordFence
Plugin ini fungsinya hampir sama dengan All In One WP Security & Firewall. Namun, WordFence akan memberikan notifikasi kepada user ketika ada yang melakukan serangan “bruteforce” atau pelacakan password secara acak oleh hacker. Selain itu, plugin ini dapat mendeteksi malware yang ada pada plugin atau template.
4. Selalu Lakukan Backup Data
Untuk backup data, dapat kamu lakukan langsung dari cPanel atau melalui Softaculous Backup. Untuk melakukan backup data WordPress dari cPanel. Oiya, Saya sarankan untuk melakukan backup data berupa file website, file database maupun file email secara berkala.
Tahap Konfigurasi
Nah ditahap ini biasanya meliputi pengaturan kode hak akses, pengubahan nama wp-admin, pengaturan konten upload dan sebagainya. Eitss.. perhatikan terlebih dahulu hal- hal berikut ini.
1. Hindari Kode Hak Akses 777!
Apabila James Bond menggunakan kode 007, maka untuk folder instalasi WordPress jangan sekali- kali gunakan kode permission (hak akses) 777! Larangan keras ya! Karena dengan kode 777 ini, semua orang bisa mengakses file website kamu secara mudah. Bahkan orang awam saja bisa mengaksesnya. Untuk itu, selalu gunakan kode hak akses 755 untuk folder dan kode hak akses 644 untuk file. Untuk mengubahnya, silahkan buka File Manager di cPanel. Kemudian buka folder instalasi WordPress. Lalu kamu akan menemui folder dan file didalamnya lengkap dengan kode permissions (hak akses). Silahkan klik kode tersebut kemudian ubah menjadi 755 (untuk folder) atau 644 (untuk file) setelah itu klik save.
2.Proteksi Terhadap Script Website
kamu juga bisa melakukan proteksi terhadap script website WordPress agar tidak dapat diubah oleh orang lain. Yaitu menambahkan beberapa script berikut di file .htaccess.
3.Proteksi Terhadap WP-Config
Kamu dapat menambahkan script berikut pada .htaccess untuk mencegah orang lain mengakses file wp-config. Perlu diketahui bahwa file wp-config ini berisi nama database dan username password database.