Semalam saya baca soal Security blog WordPress dari website WPMUDEV. Di sana bahas beberapa masalah keamanan blog wordpress yang sering diabaikan blogger atau pengguna. Nah dari sana saya setidaknya merangkum 4 tips meningkatkan blog wordpress yang bisa kita langsung terapkan.
Security/Keamanan Blog WordPress Self – Hosted
Pertama, apa emang self-hosted wordpress blog alias wordpress.org itu gak aman? Sebenarnya sih sudah ditulis juga sama wordpress sendiri kalau doi juga sangat mengutamakan keamanan website yang menggunakan wordpress sebagai platformnya. Tapi…
Di balik kemudahan install plugins dan theme (gak semua dibuat oleh wordpress) di wordpress self hosted ini, ternyata memungkinkan terjadinya kemungkinan menurunnya keamanan website kita (vulnerable). Dalam tulisan mengenai Hardening WordPress sendiri, kita dikasih tahu untuk selalu mengupdate theme ataupun plugins dan juga core wordpress yang kita gunakan.
Baca juga: Self Hosted Atau Free Hosted Blog
Karena apa? Update yang dilakukan oleh para pembuat plugins dan themes, core wordpress juga tentunya, ya untuk perbaikan-perbaikan.
Baca juga: Yang Baru di WordPress 4.3
4 Tips Meningkatkan Keamanan Blog WordPress
Untuk tips meningkatkan security alias keamanan blog wordpress ini lebih berlaku untuk blog self-hosted ya. Kalau yang sudah TLD tapi hosting di wordpress.com mungkin masih lebih tenang dikit lah ya.
Update Plugins, Theme dan Core WordPress
Salah satu cara untuk meningkatkan keamanan blog wordpress kita ya dengan terus update yang biasanya termasuk perbaikan bugs dan security thingy. Untuk core wordpress updates bisa dilakukan secara otomatis sebenarnya, tapi kalau mengaktifkan ini, harus hati-hati karena kalau kita lagi gak punya jaringan bagus, bisa jadi web atau blog kita tidak bisa diakses (been there hiks).
Makanya sekarang saya memang gak update otomatis tapi setiap login dashboard pasti cek logo di kiri atas yang lingkaran, ada atau gak. Kalau ada angka di sampingnya, artinya ada yang perlu di update seperti di bawah ini:
Jangan Asal Install Plugins Dan Hapus Yang Gak Dipakai
Saya jadi ingat pas bantu install blognya Mbak Ristin kemarin. Tiba-tiba aja ternyata error. Pas dicek itu karena ada plugins yang gak cocok. Nah kalau yang kayak gitu doang sih gak masalah ya, tapi kalau sampai data pribadi kita bocor atau orang bisa login ke blog kita. Aduhh.
Makanya sebelum saya install plugins saya selalu baca review orang lain seperti apa – bagus apa gak. Terus juga baca update terakhirnya kapan. Kalau dah lama gak diupdate, saya akan cari plugins serupa yang lebih update. Kenapa gitu? Karena core wordpress aja update terus, kalau plugins itu gak diupdate-update, bisa jadi gak cocok dengan wordpress yang baru kan.
Nah kalau soal yang menghapus, saya belum nih. Banyak plugins dan theme yang saya udah install tapi gak pakai (untuk sekarang) dan saya belum hapus. Baru deaktifasi doang, padahal katanya itu juga bahaya.
Username dan Password
Nah ini yang mengingatkan saya banget dengan kerjaan dulu di bank gedung biru itu. Salah satu syarat keamanan yang harus dilakukan dalam SOP adalah tentang password dan username ini, tapi saya lupa lakukan pas managing web sebelah dan akhirnya email dihack :'(
Standard tentang Username dan Password yang harus diperhatikan setidaknya:
- Jangan pakai username admin. Kalaupun create username ini, harus segera dihide dari umum. Kalau pas audit dulu sih standard pengecekannya ya user admin dipegang oleh administrator only dan passwordnya dibagi dua. Nah ini saya masih mau cek lagi nih soal user admin di blog gimana hide-nya.
- Password setidaknya 8 karakter dan mengandung (gak perlu 9 bulan lahiran) satu huruf KAPITAL, satu karakter unik (seperti *, %, $ atau yang lainnya) dan kombinasi huruf dan angka. Terus update password setidaknya sebulan sekali – kalau bisa dibuat otomatis.
Backup Blog Secara Rutin
Nah kalau yang ini sudah pernah saya baca di blog-nya Mbak Carra. Dia pernah mengalami beberapa kali masalah dengan blog redcarra.com nya dan dia tulis harus kudu wajib backup blog. Biar gak seperti dia. Tapi… saya sendiri masih belum lakukan nih. Dengan hosting sekarang, agak ribet backup-nya. Jadi saya masih cari backup tools lainnya. Ada info gak?
Kamu juga bisa baca tips lainnya dari Blog Alyamamanalhayekdesign nih: How to Make Your WordPress Site Secure. Lengkap banget guidenya.
Keamanan Blog Itu Penting
Pada akhirnya sih saya berkesimpulan kalau kemanan blog itu penting banget, apalagi yang dimaintain sendiri oleh kita. Saya jadi ingat pas acara BEC Gathering pertama kemarin itu, Dr.WP sudah mengingatkan tapi saya gak gubris terlalu banyak soal ini. 😀
O iya, kemarin Dr WP sempat hubungi saya, kalau ada teman-teman yang ingin dicek kesehatan blog-nya, kabari saja. Dia akan cek opname website (khusus self-hosted wordpress ya) for free.
Itu sih 4 tips meningkatkan keamanan blog wordpress yang bisa kita lakukan – setidaknya sendiri. Ada banyak lagi sebenarnya cara-cara meningkatkan security blog tapi saya belum terlalu paham untuk tulis di sini.
NB: Nantikan Tips terkait keamanan blog lainnya di blog ini ya…