Table of contents
Serangan hacker terhadap situs WordPress semakin sering terjadi. Platform yang populer ini jadi target empuk karena digunakan oleh jutaan website di seluruh dunia. Tapi, jangan panik dulu. Ada banyak langkah sederhana dan efektif yang bisa kamu lakukan untuk memproteksi WordPress dari hacker tanpa harus jadi ahli IT.
Panduan Proteksi WordPress dari Hacker
Kamu mungkin tidak sadar, tapi banyak celah keamanan kecil yang bisa dimanfaatkan hacker untuk masuk ke situsmu. Nah, berikut ini beberapa langkah penting yang bisa kamu lakukan untuk memperkuat keamanan WordPress.
Update WordPress ke Versi Terbaru
Langkah pertama dan paling mudah adalah selalu memperbarui WordPress ke versi terbaru. Setiap pembaruan biasanya berisi perbaikan bug dan patch keamanan yang menutup celah yang bisa dieksploitasi hacker.
Kalau kamu menggunakan tema atau plugin premium, pastikan semuanya sudah kompatibel sebelum melakukan update agar tidak menimbulkan error.
Gunakan Username dan Password yang Kuat
Hacker sering mencoba masuk dengan username “admin” dan password sederhana seperti “123456” atau “password”. Ganti username default dengan kombinasi unik, misalnya “joko89_admin”, dan buat password yang sulit ditebak.
Kamu bisa gunakan situs seperti strongpasswordgenerator.com untuk membuat kata sandi yang benar-benar kuat. Kombinasikan huruf besar, angka, dan simbol agar lebih aman.
Lindungi File wp-config.php Menggunakan .htaccess
File wp-config.php menyimpan informasi penting, termasuk detail database. Kamu bisa menambahkan skrip pada file .htaccess agar file ini tidak bisa diakses oleh orang lain.
Langkah kecil ini bisa membuat peretas kesulitan mengintip konfigurasi situsmu.
Sembunyikan Informasi Versi WordPress
Informasi versi WordPress bisa dimanfaatkan hacker untuk menargetkan celah tertentu. Kamu bisa menambahkan kode sederhana pada file functions.php untuk menyembunyikan versi tersebut, dan jangan lupa hapus file readme.html di direktori utama (public_html).
Lindungi Folder Sistem dengan robots.txt
Tambahkan baris berikut ke file robots.txt:
Disallow: /wp-
Langkah ini membantu mencegah crawler atau bot jahat mengakses folder penting di instalasi WordPress kamu.
Atur Permission File dan Folder
Pastikan pengaturan permission aman:
- Folder: 755
- File: 644
Dengan begitu, tidak semua pengguna bisa memodifikasi file penting di dalam situsmu.
Kenapa WordPress Rentan Diretas?
WordPress dikenal sebagai platform yang fleksibel dan mudah digunakan, tapi sifat open-source-nya juga membuatnya rentan terhadap berbagai potensi serangan.
Ada beberapa faktor utama yang membuat WordPress lebih mudah diretas dibanding platform lain:
- Tanpa Firewall: Banyak pengguna tidak memasang lapisan keamanan dasar, sehingga situs mudah diserang brute force atau bot otomatis.
- Malware Tersembunyi: Kode berbahaya bisa masuk lewat file, plugin, atau tema yang tidak aman dan kemudian mencuri data atau mengubah file inti.
- Plugin dan Tema Kedaluwarsa: Versi lama biasanya memiliki bug atau celah keamanan yang sudah diketahui publik.
- Password Lemah: Username “admin” dan password sederhana jadi pintu masuk favorit peretas.
- Masih Menggunakan HTTP: Tanpa SSL, data login atau transaksi bisa disadap pihak ketiga.
- XML-RPC Terbuka: Fitur ini sering disalahgunakan untuk serangan brute force.
- Folder Upload Tidak Aman: Izin akses terlalu terbuka memungkinkan file berbahaya disisipkan.
- Akun Lama Tak Terpakai: Akun tidak aktif dengan kredensial lemah bisa jadi jalan masuk hacker.
- Hosting Bersama: Satu situs terinfeksi malware dapat menyebarkan ancaman ke situs lain di server yang sama.
Ciri-Ciri Situs WordPress Sudah Diretas
Kamu mungkin tidak langsung sadar saat situs diretas, tapi ada beberapa tanda yang patut diwaspadai:
- Situs mengarah ke halaman asing. Pengunjung tiba-tiba diarahkan ke website lain tanpa alasan jelas, sering kali berisi iklan atau tautan berbahaya.
- Muncul pop-up aneh atau skrip mencurigakan. Ini bisa menandakan adanya injeksi kode berbahaya yang menyusup ke file tema atau plugin.
- Tidak bisa login ke dashboard. Akun admin mungkin sudah diambil alih, atau kredensialmu diubah oleh pihak tak dikenal.
- Trafik mendadak turun drastis. Google dan pengguna biasanya menghindari situs terinfeksi, sehingga penurunan trafik jadi gejala umum.
- File dan konten berubah tanpa izin. Jika ada halaman baru, postingan hilang, atau script tambahan yang tidak kamu buat, kemungkinan besar situsmu sudah dimodifikasi oleh peretas.
Tips Mencegah WordPress Diretas
Mencegah jauh lebih mudah daripada memperbaiki situs yang sudah diserang. Berikut beberapa langkah praktis yang bisa kamu terapkan agar WordPress tetap aman:
- Gunakan plugin keamanan terpadu.
Pilih plugin seperti MalCare atau Wordfence yang punya fitur lengkap, mulai dari pemindai malware, firewall, hingga pelindung brute force, sehingga kamu tidak perlu repot mengatur satu per satu. - Aktifkan firewall website.
Firewall berfungsi menyaring lalu lintas dan menolak akses mencurigakan sebelum menyentuh server, menjaga performa sekaligus keamanan situs. - Perbarui WordPress, plugin, dan tema secara rutin.
Pembaruan membawa patch keamanan terbaru yang menutup celah dari versi lama. - Gunakan two-factor authentication (2FA).
Setiap login akan membutuhkan verifikasi tambahan, membuat akun admin jauh lebih sulit ditembus. - Manfaatkan password manager dan backup otomatis.
Simpan kata sandi kuat tanpa perlu menghafal, dan pastikan kamu punya salinan situs di lokasi aman jika sewaktu-waktu terjadi serangan.
Kesimpulan
Melindungi WordPress dari hacker bukan hal rumit, asal kamu disiplin menerapkan langkah-langkah keamanan di atas.
Mulailah dari hal kecil seperti memperbarui plugin dan mengaktifkan SSL, lalu tingkatkan perlindungan dengan firewall dan backup rutin.
Kalau kamu ingin keamanan maksimal tanpa repot teknis, gunakan WordPress Hosting dari IDwebhost. Layanan ini sudah dilengkapi sistem keamanan server modern, SSL gratis, serta dukungan teknis 24 jam.
Jadi kamu bisa fokus mengembangkan bisnis, sementara IDwebhost menjaga keamanan websitemu.