twitterfacebookgoogleyoutubemail
PENAWARAN
butuh jasa pembuatan website? klik GarudaCode

Hanya Dua Plugin Keamanan WordPress Ini Situs Anda Aman

Hanya Dua Plugin Keamanan WordPress Ini Situs Anda Aman

Hanya dengan dua plugin keamanan wordPress ini website Anda Aman dari serangan hacker. Login Lockdown WP Admin & Limit Login Attempts adalah dua plugin tersebut.

Para website developer, terutama yang belum menggunakan WordPress sebagai Content Management System (CMS) website buatan mereka, banyak yang beranggapan jika WordPress memiliki sistem yang lemah dari sisi sekuriti/ keamanannya (pengalaman pribadi ngobrol dengan website developer lain).

Entah ini hanya sebuah stigma yang muncul karena para developer, terutama mereka yang membuat codingan dari awal untuk sebuah project website merasa cemburu dengan kerja cepat para developer website menggunakan WordPress, atau memang sistem CMS kesayangan kita ini ternyata rentan terhadap serangan. Baru-baru ini rilis berita dari situs teknologi thehackernews menjelaskan ada celah keamanan yang terbuka dan memungkinkan hacker melakukan serangan SQL injection melalui plugin WordPress SEO by Yoast. Seperti kita ketahui bersama, plugin ini adalah plugin SEO kedua terbanyak didownload para pengguna WordPress setelah All in One SEO Pack. (baca: Plugin WordPress Yoast Rentan Peretas, Segera Amankan!)

Tapi mudah-mudahan pandangan bahwa WordPress itu memiliki sistem keamanan yang lemah adalah salah. Buktinya? Buktinya jelas, hingga saat ini belum ada CMS open source yang bisa mengalahkan jumlah pengguna WordPress di dunia, dan Indonesia merupakan penyumbang keempat terbesar pengguna WordPress. (silahkan baca datanya di situs opensourcecms ini)

Awal-awal menggunakan WordPress sebagai CMS, saya sempat meneraima beberapa kali serangan hacker. Itu beberapa tahun lalu, tapi saat ini semua situs Saya insyaAllah aman dan belum ada yang berhasil menyerang dan ‘ngacak-ngacak’ lagi. Kebanyakan para hacker melalukan teknik deface, hal ini masih agak mudah ditanggulangi dibandingkan dengan para cracker yang terkadang menggunakan hosting kita sebagai sarana mengirim email spam mereka atau menyisipkan malicious yang mengganggu kinerja server/hosting. (baca : Perbedaan Hacker Dengan Cracker)

Untuk mengamankan WordPress kita perlu menginstall dua plugin ini. Pertama Lockdown WP Admin, dan kemudian Limit Attempts. Hanya dua ini? Yap, hanya dua ini jika Anda ingin WordPress Anda tetap aman, tapi dengan syarat bahwa Anda tidak menginstall plugin atau themes bajakan (nulled) dan komputer Anda tidak terjangkiti virus dan semacamnya. Komputer yang terinveksi virus bisa membuat website kita ikut terjangkit ketika melakukan upload file, file transfer, dll.

Kita bahas Lockdown WP Admin, plugin ini akan merubah alamat login Anda, sehingga ‘orang-orang’ iseng tidak akan menemukan alamat standar login WordPress ‘http://namadomainanda.com/wp-admin’ atau ‘http://namadomainanda.com/wp-login.php’.

Plugin Keamanan WordPress Lockdown WP Admin

Langkah memasangnya simpel, coba ikuti beberapa step berikut.

1. Login Dashboard;

2. Install plugin Lockdown WP Admin, download di sini; (asumsi Saya Anda sudah bisa instalasi plugin sendiri)

Plugin-Keamanan-WordPress-12

3. Setelah plugin di instal, Anda akan melihat tambahan pengaturan di dashboard WordPress Anda, cobalah scroll ke bawah, Anda akan menemuka menu Lockdown WP, silahkan klik;

Plugin-Keamanan-WordPress

4. Anda cukup melakukan pengaturan dengan menceklis bagian “Yes, please hide WP Admin from the user when they aren’t logged in” dan kemudian masukkanlah alamat login Anda sendiri pada kolom WordPress Login URL. (note : alamat login bebas, silahkan isi sesuka Anda, dan ingat alamat tersebut, karena jika Anda lupa alamat login Anda sendiri, maka Anda tidak akan bisa masuk ke Dashboard WordPress) Jika suatu saat Anda lupa, Anda harus masuk ke hosting lewat cpanel, dan hapus plugin Login Lockdown WP-Admin dari direktori wp-content/plugins di publick_html Anda untuk bisa login kembali;

Plugin-Keamanan-WordPress-1

5. HTTP Authentication. Untuk bagian ini biarkan saja default. Jika Anda memilih “Private Usernames/Passwords” maka Anda perlu melakukan pengaturan lanjutan dengan memasukkan username dan password di bagian menu Lockdown WP > Private Users;

Plugin Keamanan WordPress Limit Attempts!

Selanjutnya kita bahas bagaimana cara menggunakan Limit Attempts.

1. Login Dashboard;

2. Install plugin Limit Login Attempts, download di sini; (asumsi Saya Anda sudah bisa instalasi plugin sendiri)

Plugin-Keamanan-WordPress-13

3. Setelah plugin di instal, Anda akan melihat tambahan pengaturan di dashboard WordPress Anda, cobalah scroll ke bawah, Anda akan menemukan menu BWS Plugins, silahkan klik. Ada dua sub menu di sini, yang pertama BWS Plugins, menu ini berisi seluruh plugin dan themes milik developer (mungkin ini halaman promosi sang developer jika Anda membutuhkan plugin lain), dan menu yang kedua adalah Limit Attempts, nah bagian inilah punya kita!. Silahkan Anda klik sub menu Limit Attempts tadi;

Plugin-Keamanan-WordPress-14

4. Sebenarnya untuk menggunakan plugin ini Anda tidak perlu melakukan pengaturan lagi, karena ketika plugin ini diinstal dan diaktifkan, ia akan langsung bekerja tanpa perlu setingan. Tapi jika Anda ingin mengaturnya lagi, berikut Saya coba jelaskan. Oia sebelumnya plugin ini memiliki versi Pro (berbayar) tapi dengan versi free (gratis) Anda sudah cukup aman kok;

5. Plugin ini memiliki 8 Tab. Kita mulai dengan tab pertama yaitu tab “Settings”;

a. Block Address. Pada pengaturan Saya, bisa dibaca seperti ini, alamat IP yang mencoba melakukan login dan gagal login sebanyak 5 kali selama dalam kurun waktu 1 jam 30 menit, akan tidak bisa mencoba untuk login lagi selama 2 jam berikutnya;

Plugin-Keamanan-WordPress-3

b. Add to the blacklist. Pada setingan Saya, kira-kira membacanya seperti ini, setelah 3 kali terkena Block Address pada ketentuan menu a, dan dalam waktu hari yang sama (1 hari), maka IP tersebut akan diblacklist;

Plugin-Keamanan-WordPress-15

c. Remove statistics entry in case no failed attempts occurred for. Silahkan seting ‘0’ jika Anda tidak ingin menghapus statistik kegagalan; (Setingan berupa waktu hari)

Plugin-Keamanan-WordPress-4

d. Error Messages. Bagian ini mengatur pesan yang akan ditampilkan kepada alamat IP yang mencoba masuk ke dashboard WordPress tapi gagal login. Silahkan di atur sesuai dengan keinginan. %ATTEMPTS% akan menunjukkan jumlah usaha login yang gagal. Ada tiga tab, For Invalid Attempt (pesan yang akan muncul bagi IP yang gagal login). For Blocked User (pesan yang muncul ketika ada IP yang diblock sistem), For Blacklisted User (pesan yang akan muncul ketika ada IP yang diblacklist);

Plugin-Keamanan-WordPress-5

e. Send email with notification. Jika Anda ingin ada pemberitahuan yang masuk ke email Anda silahkan checklist bagian ini dan klik button Show pada bagian “Additonal options for email with notification“, dan silahkan isi format email pemberitahuan jika ada yang login ke website Anda. Menurut Saya bagian ini biarkan saja default, atau silahkan Anda sesuaikan sendiri isi pesan pemberitahuannya;

Plugin-Keamanan-WordPress-6

f. Jika telah selesai update tab “General” klik Save Changes;

6. Selanjutnya pada tab “Block IP”. Tab ini akan berisi setiap alamat IP yang mencoba melakukan login tapi gagal dan memenuhi kriteria harus diblock sesuai dengan ketentuan Anda di tab “Settings”;

Plugin-Keamanan-WordPress-7

7. Pada tab “Blacklist” Anda akan menemukan alamat IP yang sudah diblacklist oleh plugin ini, jika tidak ada IP yang diblacklist, maka akan terlihat kosong. Jika ada alamat yang diblacklist, Anda bisa melakukan action di sini pada pilihan “Bulk Actions”, silahkan disesuaikan;

Plugin-Keamanan-WordPress-8

8. Tab “Whitelist”. Pada tab ini Anda bisa memasukkan IP Address yang akan masuk ke dalam whitelist. Whitelist maksudnya, IP ini tidak akan diblock atau diblacklist oleh plugin ini ketika ia gagal login sesuai ketentuan pada tab “Settings”;

Plugin-Keamanan-WordPress-9

9. Tab “Log”. note : tab ini untuk versi Pro, tidak akan dibahas di sini;

10. Tab “Statistics” menunjukkan semua data kegagalan login, blokir, dan blacklist pada IP tertentu;

11. Tab “FAQ”. Merujuk pada situs resmi Limit Attempts, untuk Anda yang ingin melakukan tanya jawab dengan developer plugin ini;

DONE. Untuk mengatur plugin ini sebenarnya Anda cukup pada tab “Settings” selebihnya biarkan saja default, karena tab lain akan bekerja jika plugin ini mendeteksi serangan dari hacker yang biasanya berupa “Brute Force Attack“.

Semoga bermanfaat untuk mengamankan website Anda. :D. Situs Saya aman hanya dengan Dua Plugin Keamanan WordPress di atas, tapi tentunya ada pengaturan lain tapi bukan berhubungan dengan plugin, akan Saya bahas di artikel selanjutnya.

Jujur deh Saya cuma pakai dua plugin di atas untuk sekuritas :). Silahkan komentar.

dishare yah :)
Written by Ananda Puja

Penulis saat ini aktif dalam dunia Digital Media. Meliputi pembuatan website, campaign melalui media sosial seperti Facebook, Twitter, Youtube, hingga forum-forum online, SEO dan kontrol terhadap berita media massa. Selain itu penulis juga aktif di organisasi kemahasiswaan dan pemuda.

12 Comments

  1. Reikoarihyoshi · March 31, 2015

    Wah, Cocok buat saya yang baru buat blog di WordPress..

    • kursus website · March 31, 2015

      yap, sebelum mulai make wordpress, jng lupa seting securitynya 😀 langkah preventif

  2. Hamba Allah · April 1, 2015

    jos mbah.. lagi belajar di dunia blogging nih.. mohon kritikannya mbah.. terima kasih atas tutornya…

  3. Anggriyawan · June 19, 2015

    Ini yang saya cari 😀
    Terima kasih mas mantap artikelnya, sampai saat ini saya memang masih ragu untuk menggunakan wp di situs yang di proyeksikan akan menjadi besar kedepannya. Mungkin karna ini open source jadi siapapun tau kode inti wordpress dan mudah2an para pengembang selalu memperbarui sistem keamanan wordpress agar semakin joss…

  4. Look Up · July 14, 2015

    makasi infornya, masih tergolong awam dengan dunia wordpress :3

  5. Youmi Hapsari · May 7, 2016

    Halo mas salam kenal,

    Saya baru belajar wordpress untuk web saya. Saya cek dengn gt metrik, sudah mayan bagus. Yang merah pada bagian CDN, cara ngatur CDN itu bagaimana mas? saya sudah coba instal plugin malah error. terima kasih sebelumnya.

  6. DimasWLP · May 26, 2016

    Wah.. ini yg saya cari, kebetulan saya sedang development web profil jurusan pake wordpress.. sejauh ini password sy kasih gabungan karakter huruf dan karakter unik belum kejebol, pasang jetpack ketahuan 9275kali percobaan login dan itu dicurigai sebagai usaha untuk njebol website yang saya buat.
    Semoga setelah pasang plugin ini bisa berkurang percobaan menembusnya..

  7. Bastian · December 12, 2016

    Bnr bgt Mas. Sbnrnya WordPress ckp aman kok. Bbrp developer mmg agak sirik2 gtu..lantaran cms-nya kalah populer. Utk deface sendiri, joomla jauh lbh rentan ktimbang wordpress.

Leave A Reply