Siapa bilang tugas membangun website toko online hanya selesai saat website sudah masuk halaman 1 Google? Siapa bilang, memiliki website dengan jumlah kunjungan yang ramai karena website cepat sudah cukup?
Justru kelebihan ini menjadi celah bagi mereka yang tidak bertanggungjawab. Menangkap peluang untuk masuk dan merusak website kita.
Dilansir oleh Internetlivestats.com, jumlah hacker yang berhasil membobol website di seluruh dunia mencapai 45.000 setiap harinya. Angka ini termasuk mereka yang berhasil membobol dan merusak system di dalam website toko online yang menggunakan WordPress.
Lalu bagaimana meningkatkan keamanan data di website toko online kita? Tentu saja tidak bisa hanya menggunakan plugin saja. Ada beberapa tips dan tools yang bisa diterapkan untuk meningkatkan keamanan website WordPress.
Ini dia ulasannya:
Ubah URL login
Untuk mengubah URL login mungkin mudah sekali dilakukan. Secara default, halaman login WordPress dapat diakses dengan mudah melalui WP-Login.php atau WP-admin, ditambahkan ke URL utama website kita. Saat hacker tahu URL yang kita miliki, maka mereka akan mencoba untuk masuk ke dalam website. Bahkan mereka bisa saja masuk dengan mencoba HWDb(Guess Work Database, yaitu saat database nama pengguna dan kata kunci bisa ditebak. Misalnya nama pengguna: admin dan kata sandi p@ssword… Dengan jutaan kombinasi semacam itu, hacker akan lebih mudah masuk).
Dengan pluing iThemes Security, dapat membantu kamu mengubah URL login, seperti:
- Ubah wp-login.php ke sesuatu yang unik, misalnya my_new_login
- Ubah /w-admin ke sesuatu yang unik, misalnya my_new_admin
- Ubah /wp-login.php?action=register ke sesuatu yang unik, misal my_new_registration
Gunakan email sebagai metode untuk login
Secara default, kita hanya akan mengisi nama pengguna untuk login ke halaman admin WordPress bukan? Dengan menggunakan ID email dan bukan sekedar nama pengguna akan meningkatkan keamanan di website kita. Alasan yang cukup jelas, sebab nama pengguna mudah diprediksi, sedangkan ID email tidak. Selain itu setiap akun WordPress selalu dibuat dengan alamat email yang unik, menjadikannya lebih secure. Kamu bisa menggunakan plugin WP Email Login untuk membantumu login dengan email.
Ubah nama admin
Selama instalasi WordPress, jangan pernah menamai diri kita sebagai “Admin” sebagai pemilik administrator utama. Nama pengguna yang mudah ditebak akan bisa didekati oleh hacker. Dan ini tentu saja akan sangat berbahaya.
Berhati-hatilah saat menambahkan akun pengguna lain
Bagi kamu yang memiliki website dengan multi pengguna, seperti halnya portal berita atau website toko online yang memiliki lebih dari 1 admin. Maka cobalah untuk membuat nama pengguna dengan sangat hati-hati. Plugin Force Strong Password bisa menjadi solusi kamu.
Sesuaikan kata sandi websitemu
Buat kamu yang terbiasa membuat password dengan kombinasi 123456789 ata abcdef atau bahkan dengan inisial nama, maka coba untuk mengubahnya. Gunakan password generate untuk mendapatkan password yang terenkripsi dengan baik.
Gunakan password yang kuat untuk database
Sekali lagi, jangan gunakan kombinasi Password yang mudah ditebak oleh orang lain. Gunakan kombinasi mulai dari huruf besar, kecil, angka dan karakter khusus untuk kata sandi WordPressmu.
Jangan abaikan file di dalam database
Memantau penamaan file di WordPress juga bisa membantu kita dalam meningkatkan keamanan WordPress. Jadi, pastikan kamu tahu dan terus memantau setiap perubahan nama file di WordPress.
Ubah nama tabel di dalam database WordPress
Jika kamu sudah familiar dengan WordPress maka file dengan nama awalan WP di dalam database. Cobalah untuk mengubahkan ke nama yang lebih unik lagi dan hanya kamu yang tahu. Seperti misalnya mywp-, wpnew-, dll. Sebab menggunakan nama default dalam database sangat rentan terhadap injeksi SQL.
Terapkan autentikasi 2 Faktor
Two Factor Authentication(2FA) adalah sebuah cara yang digunakan para pemilik WordPress dalam meningkatkan pengamanan data website mereka. Dengan plugin ini, pengguna akan memberikan rincian login untuk 2 komponen secara berbeda. Pemilik website toko online bisa memutuskan menggunakan keduanya. Akan ada banyak tingkatan, seperti pertanyaan rahasia, kode rahasia, sekumpulan kode, dan masih banyak lagi.
Gunakan plugin yang membantu mengunci keamanan website
Sebelum melakukan login, pastikan untuk menggunakan security lebih dulu. Salah satu yang bisa dimaksimalkan adalah dengan menggunakan plugin iThemes Security, misalnya. Sebab salah satu upaya hacking saat hendak masuk ke dalam sebuah website adalah usaha mereka untuk login secara terus menerus. Dengan plugin tersebut, maka WordPress akan melarang alamat IP penyerang yang sudah berusaha berkali-kali untuk login.
Gunakan SSL untuk mengenkripsi data
Menerapkan sertifikat SSL(Secure Socket Layer) pada website WordPress merupakan satu langkah yang cerdas untuk mengamankan panel admin website. SSL akan memastikan transfer data yang aman antara browser pengguna dengan server, sehingga menyulitkan hacker untuk masuk ke dalam halaman admin. Menerapkan SSL berfungsi untuk meningkatkan keamanan data website. Seperti yang disediakan oleh Jagoanhosting.com, SSL yang bisa digunakan untuk website dengan CMS WordPress.
Lakukan backup secara teratur
Tidak peduli seberapa aman website WordPress kamu, cobalah terus untuk meningkatkan keamana website. Salah satu caranya dengan melakukan backupfile secara teratur. Terlihat sangat merepotkan memang, tapi kamu bisa menggunakan jasa layanan WordPress Hosting Indonesia untuk membantumu melakukan backup secara berkala. Ini akan memudahkan kamu dalam meningkatkan keamanan website.
Lindungi WP-Admin directory
Directory WP-admin adalah jantung dari setiap website WordPress. Jika bagian ini dilanggar maka bisa jadi bagian lainnya akan lebih mudah untuk dirusak. Salah satu cara yang bisa digunakan untuk meningkatkan kamanan adalah dengan melindungi directory wp-admin.
Dengan ukuran keamanan seperti itu, pemilik website dapat mengakses dasbor dengan mengirimkan dua kata sandi. Yang pertama untuk melindungi halaman login, dan area admin lainnya. Jika pengguna website diminta mengakses beberapa bagian wp-admin tertentu, kita dapat memblokir bagian tersebut sementara mengunci bagian sisanya.
Disable pengeditan file yang penting
Jangan biarkan siapapun melakukan pengeditan pada file yang WordPressmu miliki. Sebab file yang ada mencakup plugin dan juga tema. Kamu bisa mendisable file penting dengan menambahkan kode pada file wp-config.php:
Define(‘DISALLOW_FILE_EDIT’, true);
Lindungi WP-Config.php
File wp-config.php berisi informasi penting seperti instalasi WordPress, dan ini sebenarnya file yang paling penting di dala directory root website kamu. Dengan melindungi file tersebut maka secara otomatis pun akan melindungi blog WordPress kamu. Dan perlu kamu tahu, akan sulit bagi hacker untuk melanggar keamanan situs Anda, jika file wp-config.php tidak dapat diakses oleh mereka.
Setting hak akses directory dengan hati-hati
Memberikan hak akses directory yang salah bisa berakibat fatal, terutama jika kita berada di lingkungan shared hosting. Dalam kasus ini, mengubah file dan hak akses directory merupakan langkah yang baik untuk meningkatkan keamanan website di tingkat hosting. Seperti mengatur hak akses directory ke “755” dan file ke “644”, maka keseluruhan file akan terlindungi.
Nonaktifkan daftar directory dengan .htaccess
Jika kamu akan membuat directory baru sebagai bagian dari website dan tidak memasukkan file index.html di dalamnya, maka jangan terkejut saat pengunjung tidak mendapatkan daftar directory yang lengkap dari semua yang ada di dalam directorymu. Kamu bisa mencegahnya dengan menambahkan baris kode berikut di dalam file .htaccess:
Option All -Indexesk
Hapus nomor versi WordPress
Kenapa ini menjadi penting? Sebab dengan menghapus nomor versi WordPress, maka ini akan menjaga keamanan WordPress dari hacker. Sebab, jika mereka tahu versi berapa yang kita gunakan, maka lebih mudah bagi mereka untuk menyesuaikan serangan untuk masuk dan merusak website kita. Sembunyikan nomor versi WordPress dengan hampir semua plugin keamanan yang disebutkan di atas.
Pastikan server yang digunakan sudah aman
Saat menyiapkan website, hubungkan server hanya melalui SFTP atau SSH. SFTP selalu lebih memilih FTP tradisional karena fitur keamanannya yang tentu saja tidak dikaitkan dengan FTP. Barang pasti sudah jauh lebih aman. Banyak penyedia layanan hosting, seperti Jagoanhosting.com yang menawarkan layanan ini untuk meningkatkan keamanan di WordPress mereka.
Temukan partner yang pas
Yang terakhir dan yang tidak kalah penting adalah memilih partner yang pas untuk menjaga keamanan website dan membantu agar website kita jauh lebih optimal dalam menjalankan bisnis online. WordPress Hosting Indonesia bisa menjadi partner yang pas. Sebab, selain memang disediakan khusus untuk WordPress, hosting ini memberikan banyak kemudahan. Sehinga kamu yang menjalankan bisnis online akan lebih fokus pada pengembangan bisnis. Dan optimasi kecepatan dan keamanan akan dibantu oleh penyedia layanan WordPress Hosting Indonesia ini.
So, kamu yang masih berpikir bahwa website toko online yang sudah masuk halaman 1 Google sudah cukup untuk membuatmu sukses, maka berpikirlah lagi dan lagi.
Menjaga keamana website menjadi hal yang tidak kalah penting, sebab sudah barang wajib jika kamu ingin mengembangkan bisnis dengan menggunakan website.