Tips keamanan web pertama ini merupakan cara terpenting yang tak bisa Anda lewatkan begitu saja. Anda harus pastikan bahwa website Anda sudah berada di hosting yang aman. Sebab, langkah-langkah selanjutnya akan sia-sia saja apabila Anda salah memilih web hosting.
Pastikan Anda memilih hosting aman yang mempunyai keamanan website ekstra, seperti memiliki teknologi keamanan Imunify360. Teknologi tersebut membuat website Anda terlindung dari serangan hacker, malware, dan virus berbahaya setiap saat.
Jika Anda terlanjur memilih hosting yang tidak memiliki teknologi Imunify360, tak usah khawatir karena Anda bisa melakukan transfer hosting. Sudah banyak penyedia web hosting yang menyediakan fitur ini, salah satunya adalah transfer hosting Niagahoster.
2. Install Plugin Keamanan
Website baru tanpa plugin keamanan itu sama saja dengan rumah tanpa tembok; siapapun bisa masuk dan melakukan hal sesuka hati mereka. Jadi, plugin keamanan ini adalah langkah pertama yang wajib bagi website baru. Berikut beberapa rekomendasi plugin keamanan website yang bisa Anda coba:
iThemes Security—tersedia versi gratis dan berbayar. iThemes Security mampu mendeteksi plugin berbahaya, software yang usang, dan password yang lemah.
Wordfence Security—sudah digunakan oleh lebih dari dua juta pengguna. Wordfence Security menawarkan firewall, real-time monitoring, scan plugin, dan masih banyak lainnya.
SecuPress Free—walaupun gratis, tapi berkualitas tinggi. SecuPress mempunyai fitur seperti Anti Brute Force Login, blokir IP, malware scan, dan lain segudang fitur lainnya.
3. Pasang SSL
SSL adalah komponen yang tak terpisahkan dari website di zaman sekarang. SSL membuat pertukaran data antara website Anda dengan pengunjung menjadi aman. Kenapa SSL bisa mengamankan website Anda? Kami berikan contoh di bawah ini.
Misalnya, saat pengunjung memasukkan nomor kartu kredit mereka, SSL akan mengenkripsi data tersebut sehingga hacker tak akan bisa membacanya. Karena hacker tersebut tak memiliki “kunci” untuk membuka gembok enkripsi data itu.
Tertarik memasang SSL di website Anda? Tak usah repot-repot mencari SSL terbaik ke sana kemari. Sebab, Niagahoster sudah menyediakan pilihan SSL yang tak hanya terbaik, tapi juga dengan harga murah.
4. Update Website Anda
Jangan mengabaikan pemberitahuan mengenai versi terbaru WordPress, plugin, hingga tema di dashboard Anda. Update versi terbaru tersebut tak hanya menawarkan fitur-fitur baru, tapi juga peningkatan keamanan website yang lebih baik.
Jika tidak mendapat pemberitahuan atau terjadi error pada dashboard, tak usah khawatir karena Anda tetap masih bisa update website Anda. Bagaimana caranya?
Bagi Anda yang menggunakan Niagahoster, tak perlu pusing karena terdapat opsi update WordPress secara otomatis. Caranya, Anda masuk saja ke member area dan klik WordPress Management. Setelah itu, geser ke bawah hingga menemukan situs WordPress Anda.
Nah, untuk mengupdate WordPress Anda, klik saja tombol refresh di samping keterangan versi. Cara otomatis ini sangat berguna apabila Anda mengelola banyak website sekaligus. Cukup sekali klik dan WordPress langsung terupdate. Mudah, bukan?
5. Gunakan Username dan Password yang Kuat
Apakah Anda termasuk yang masih menggunakan username ‘admin’ dan password 123456’ untuk login website? Memang kombinasi tersebut sangat mudah diingat, tapi juga mudah untuk ditebak hacker.
Hacker mendapatkan informasi login Anda dengan serangan yang disebut dengan brute force attack. Walaupun terdengar menakutkan, tapi ada satu cara simpel untuk mencegahnya, yakni dengan menggunakan username dan password yang kuat.
Anda bisa mengganti password di WordPress dengan memilih menu Users > Your Profile di dashboard. Kemudian scroll ke bawah hingga Anda menemukan tombol Generate Password.
Klik tombol tersebut dan Anda akan secara otomatis diberikan password baru. Jika tak suka dengan password, tersebut Anda juga bisa menggantinya, kok. Tapi, pastikan bahwa keterangan di bawah kolom penggantian password menunjukkan Strong.
Jika belum, ganti password tersebut sampai keterangan Strong muncul. Setelah menemukan password yang kuat, scroll ke bawah dan klik tombol Update Profile untuk menyimpan password baru Anda.
Oh ya, Anda bisa membuat password menjadi Strong dengan memasukkan kombinasi angka, simbol, dan huruf kapital seperti contoh di bawah ini:
6. Install Plugin Backup
Plugin backup berguna untuk mengembalikan kondisi WordPress Anda sebelum serangan hack terjadi. Dengan begini, website Anda tetap bisa berfungsi dengan normal sembari Anda memperbaiki celah keamanan website yang ada.
Jika penyedia hosting menyediakan fitur backup —seperti Niagahoster yang melakukan backup otomatis seminggu sekali— Anda tetap harus menginstall plugin backup ini sebagai upaya pencegahan tambahan. Lebih baik mempunyai dua file backup yang berbeda daripada hanya satu, bukan?
Nah, beberapa plugin backup WordPress yang kami rekomendasikan adalah:
BackupBuddy—sudah lebih dari 1,5 juta pengguna menggunakan plugin backup ini menunjukkan bahwa orang-orang mempercayai kemampuannya. Beberapa fitur utama BackupBuddy adalah backup otomatis, backup terjadwal, dan masih banyak lainnya.
BlogVault—salah satu plugin backup WordPress terpopuler ini mempunyai fitur-fitur keren. Mulai dari backup otomatis setiap hari, backup manual, dan penyimpanan file backup selama 90 hari.
BoldGrid Backup—plugin ini mempunyai fitur sederhana tapi berguna, yakni backup otomatis dan kemudahan restore.
7. Amankan File Website dengan Antivirus Terbaik
Enam tips keamanan website di atas tak akan bekerja optimal jika Anda mengunggah file yang didalamnya terdapat virus atau malware. Maka dari itu, pastikan Anda melakukan scan file-file di komputer menggunakan antivirus terbaik sebelum mengunggahnya ke website.
Di bawah ini beberapa antivirus terbaik yang bisa Anda coba:
Kaspersky Total Security—siapa yang tak kenal dengan antivirus yang satu ini? Kaspersky Total Security merupakan paket komplit dari lini produk Kaspersky. Antivirus ini dibekali dengan berbagai perlindungan yang membuat Anda tenang saat mengunggah file ke website.
BitDefender Antivirus Plus—salah satu fitur utama dari BitDefender Antivirus Plus adalah scan file dilakukan di dalam cloud-nya. Dengan begitu, memori komputer Anda hampir tidak terpengaruh oleh proses scan tersebut.
ESET Smart Security Premium—keunggulan dari ESET Smart Security Premium adalah kemampuannya mendeteksi jenis malware yang belum dikenal. Tak banyak antivirus lain yang punya fitur seperti ini, lho.
Tips keamanan website ini membutuhkan sedikit pengetahuan mengenai WordPress. Jika Anda termasuk orang di kelompok tersebut, pastikan Anda segera menerapkan cara meningkatkan keamanan website di bawah ini.
8. Ganti URL Login
Anda pasti sudah tidak asing dengan url berikut: www.websiteanda.com/wp-admin. URL tersebut merupakan URL login default bagi pengguna WordPress—dan hacker juga tahu mengenai celah keamanan ini.
Biasanya, URL login tersebut rawan diserang oleh brute force attack. Maka dari itu, kami sarankan Anda mengganti URL login tersebut.
9. Terapkan 2-Factor Authentication
2-Factor Authentication (2FA) adalah metode keamanan yang memungkinkan website melakukan verifikasi pengguna secara real-time dengan kode unik yang dibuat saat itu juga. Dashboard WordPress Anda akan diblokir sebelum user memasukkan kode unik tersebut.
2FA ini merupakan metode populer yang sudah diterapkan oleh perusahaan ternama, seperti Gmail, Facebook, Yahoo, dan lain sebagainya. Metode ini mengharuskan pengguna memasukkan username dan password mereka secara normal. Setelah itu, akan muncul kolom baru dimana Anda harus memasukkan kode OTP (one-time password) yang dikirimkan melalui SMS atau e-mail.
10. Batasi Percobaan Login
Brute force attack merupakan serangan yang mencoba memasukkan ribuan kombinasi username dan password agar bisa masuk ke dashboard website Anda. Walaupun terdengar menyeramkan, Anda bisa mencegah brute force attack dengan membatasi percobaan login.
11. Logout Otomatis
Apakah Anda sering langsung menutup tab browser tanpa logout setelah selesai menggunakan dashboard WordPress? Bagaimana kalau ada orang lain yang menggunakan browser tersebut, lalu masuk ke dashboard tanpa login, membuat akun admin baru, dan kemudian mengutak-atik website tanpa Anda ketahui?
Mungkin ini terdengar paranoid bagi Anda, tapi lebih baik sedia payung sebelum hujan, bukan? Nah, Anda bisa mencegah hal-hal di atas dengan membuat akun user melakukan logout otomatis. Logout otomatis ini akan dijalankan apabila akun tersebut sudah tidak aktif dalam jangka waktu tertentu.
Caranya juga tidak sulit, kok. Anda hanya perlu menginstall plugin Inactive Logout. Setelah plugin aktif, pilih menu Settings > Inactive Logout. Anda akan dibawa ke halaman pengaturan seperti gambar di bawah ini:
Pada kolom Idle Timeout, Anda bisa memasukkan berapa lama user akan logout otomatis. Di contoh gambar, kami memasukkan lima menit.
Sementara di kolom Idle Message Content, Anda bisa memberikan pesan pemberitahuan mengenai logout otomatis ini. Sehingga, jika ada user selain Anda tidak akan terkejut saat ia tiba-tiba logout sendiri. Setelah semua terisi, scroll ke bawah dan klik tombol Save Changes.
12. Perlindungan DDos
DDos adalah serangan hacker yang dilakukan dengan cara membanjiri trafik pada server sehingga kelebihan beban (overload). Efeknya, website Anda tak akan bisa diakses sama sekali.
Untungnya, Anda bisa melindungi website dari serangan DDos dengan menggunakan layanan keamanan dari pihak ketiga seperti CloudFlare.
13. Atur Google Analytics dan Search Console
Google memiliki dua tools yang wajib digunakan oleh semua pemilik website, yakni Google Analytics dan Search Console. Selain bisa mengawasi trafik dan ranking di hasil pencarian, kedua tools ini juga bisa mendeteksi serangan hack, lho.
Misalnya pada serangan SEO Spam Hack. Serangan ini memungkinkan hacker untuk memasukkan link milik mereka dan spam keyword pada halaman Anda yang mendapatkan rangking atas di Google. Efeknya, Anda justru mempromosikan website milik hacker tersebut secara gratis.
Nah, dengan Google Analytics Anda bisa mengetahui serangan SEO Spam Hack jika tiba-tiba terdapat keyword aneh yang sebelumnya tidak Anda masukkan. Sementara pada Google Search Console terdapat fitur yang memungkinkan Anda memantau apabila ada masalah keamanan pada website.
Lindungi Keamanan Website Anda dari Hacker
Keamanan web haruslah menjadi salah satu prioritas tertinggi Anda. Jika Anda belum menerapkan salah satu cara di atas sama sekali, bisa dipastikan bahwa website Anda sedang dalam bahaya.
Memang tidak mungkin untuk membuat website 100% aman dari hacker. Sebab, hacker selalu saja mempunyai cara baru untuk menyerang website dan melakukan hal-hal yang mereka inginkan. Namun setidaknya, dengan tips keamanan di atas Anda sudah berusaha membuat hacker kesulitan untuk melakukan aksinya.
Sumber: