Meetup WPSemarang #15: WordPress Hardening, Tingkatkan Keamanan Website Kamu

Jumat, 19 Juni 2024 – Komunitas WordPresss Meetup Semarang mengadakan sharing bersama di Waroeng Kopi Alam – Singosari, Kota Semarang tentang WordPress Security dan best practice.

Link Meetup: https://www.meetup.com/semarang-wordpress-meetup/events/302053552/

Di pertemuan ini, dengan mas Aan sebagai Host, kami sharing tentang pengalaman kita di hack, kena malware dan opini kita tentang apakah WordPress ini aman atau tidak. Berikut videonya:

Ringkasan Pembahasan

Apakah aspek yang paling penting dari security website?

Yang paling penting adalah “backup”. Dengan adanya backup data kita bisa dikembalikan jika terjadi hal yang tidak diinginkan.

Best practice untuk backup:

• Gunakan plugin, otomatisasi prosesnya. beberapa plugin:
  • BackWPUp
  • Updraft
• Backup ke “off-site”, jangan simpan data backup di server yang sama. Kita bisa menyimpan di:
  • Google drive
  • Dropbox
  • Amazon s3, dsb.

Step by Step Security – by David Chandra

Analoginya bikin website seperti bikin rumah/ruko.

• Server & Hosting: Cari lingkungan yang baik.
  Sama seperti dengan sewa ruko, pastinya kita pingin daerah yang
  • ada tempat parkirnya (bisa handle pengunjung yang banyak),
  • pengaturan listrik, air, sampah yang baik (tidak sering down, mengikuti best practice di industri hosting)
  • ada satpam yang jaga (ada firewall, dan proteksi DDOS)
• WordPress Setup: Bangunan ruko yang baik.
  Sama seperti rumah/ruko yang dibangun dengan baik, kita harus memastikan semuanya diinstal dengan benar, menggunakan fondasi yang benar, plugin dan tema yang baik (bukan bajakan, dll), menggunakan HTTPS/SSL, dsb. Beberapa setup penting di wp-config.php:
  • define( 'DISALLOW_FILE_EDIT', true );
    • untuk menonaktifkan file editing di WordPress
  • define( 'FORCE_SSL_ADMIN', true );
    • memaksa wp-admin untuk hanya bisa diakses menggunakan HTTPS
• Monitoring: pasang CCTV dan gembok tambahan.
  Kita wajib tahu kalau ada “maling” yang mau masuk ke rumah/ruko kita. Jadi kita wajib tahu apa yang terjadi dengan website kita. Jangan sampai website kita di-hack, dan kita baru tahu seminggu kemudian. Beberapa tools yang bisa digunakan:
  • Jetpack Downtime Monitoring: untuk mendapatkan notifikasi jika website kita down.
  • Jetpack Brute Force Protection: untuk melindungi website dari DDoS dan hacker.
  • Stream Plugin: untuk mengetahui aktivitas pengguna/user WordPress kita.
  • Simple History Plugin: untuk mengetahui aktivitas pengguna/user WordPress kita.
  • Two Factor Plugin: untuk menggunakan autentikasi dua langkah/2FA (bisa via email atau Aplikasi Google-Authenticator)
• User Security: ujung-ujungnya, mesti memastikan bahwa pengguna tahu tentang pentingnya keamanan.
  Kalau yang punya ruko/pegawai ruko, suka lupa mengunci/gembok ruko nya (membagikan password, menggunakan password yang lemah, tidak menggunakan 2FA, dsb), semua keamanan yang sudah diterapkan di level Server/Hosting, WordPress, dsb tidak akan berguna. Beberapa tips:
  • Gunakan password yang panjang dan susah ditebak.
  • Gunakan password yang berbeda untuk tiap website/sosial media.
  • Gunakan 2FA/autentikasi dua langkah.
  • Jangan sharing user. WordPress support multiple user, bikin user baru kalau dibutuhkan.

Untuk dokumentasi lengkap tentang “Hardening WordPress”/WordPress security bisa dibaca di dokumentasi WordPress Developer: