Plugin Web Security untuk WordPress

Jan 9, 2021 | WORDPRESS | 0 comments

Usaha peretasan terhadap web kita terjadi SETIAP DETIK, dilakukan oleh manusia maupun robot. Itu sebabnya diperlukan berlapis-lapis “satpam” untuk mengamankan web kita.

Jika Anda berpikir bahwa karena web Anda “hanya” blog biasa maka tidak akan pernah diretas, pikirkanlah ulang. Karena sepanjang blog Anda berada dalam jaringan atau internet, maka sepanjang itu pula usaha-usaha peretasan akan selalu ada.

Disclaimer: Web security cakupannya luas sekali, sayangnya saya tidak khusus bergerak di bidang ini. Artikel kali ini hanya insight dari saya sebagai pengguna dan web developer. Jika ada yang mau mengoreksi atau menambahkan, silakan sebutkan di kolom komentar. Thank you.


Bahaya-Bahaya yang Mengintai

Sebelum kita ngobrol tentang cara mengamankan, kita perlu tahu dulu bahaya macam apa yang mengintai web kita agar kita tahu apa yang sedang kita hadapi. Ada beberapa jenis yang sering sekali ditemui di WordPress.

1. Komen Spam

Komen spam berasal dari 2 sumber: robot (bot) dan manusia.

Kenapa berbahaya? Pertama, sudah dijelaskan di Google Webmaster Guidline bahwa web dengan banyak komen spam akan dianggap web spam juga. Spammy web akan diturunkan dari mesin pencari. Kedua, komen spam biasanya berisi link. Kita tidak akan pernah tahu link itu menuju ke mana. Bisa “sekadar” phishing, bisa saja trojan. We never know.

“Emang bahaya banget ya kalau link itu diklik?”

Wuih, jangan salah. Satu link pernah melumpuhkan komputer di 2/3 bagian dunia. So, hati-hati.

2. Brute Force Attack

Brute force attack atau percobaan login. Terjadi sekitar tiga kali/menit pada SEMUA web WordPress dan TERUS-MENERUS. Biasanya, dilakukan oleh robot kecuali memang ada manusia yang berusaha meretas web Anda.

“Kok bisa sih ada yang berusaha meretas web saya? Kan cuma blog biasa, bukan web penting atau web besar.”

Well, seperti yang saya katakan di awal, sepanjang blog kita ada di dalam jaringan, selama itu pula brute force attack akan selalu ada.

Kabar baiknya, usaha peretasan terhadap web, dalam hal ini WordPress bisa diminimalisasi. Tapi ya itu tadi, yang bisa kita lakukan hanya bertahan, memperketat lapis demi lapis keamanan.

3. WordPress Vulnerabilities

Web kita terdiri dari core WP, theme, dan banyak sekali plugin. Masing-masing bisa saja punya celah keamanan/vulnerability. Ibarat lubang kecil di dinding. Jika celah ini ADA dan DITEMUKAN oleh peretas, bisa dieksploitasi sedemikian rupa.

Usaha untuk menambal celah ini disebut patching. Jadi jika ketahuan ada celah, developer akan menambal dengan cara memperbaiki kodingan dan memberikan update pada pengguna. Jadi, PASTIKAN core WP, theme, dan plugin Anda update.

“Kok bisa sih ada celah keamanan? Memangnya developer gak bisa ngoding yang bener?”

Percayalah, kami para developer sudah berusaha sekuat tenaga mengamankan setiap baris kode yang kami tulis. Tapi seperti kata pepatah lama, hacker selalu selangkah lebih depan.

5. Dll

Kenapa dll? Karena banyak sekali bahaya yang mengancam web kita seperti URL injection, SQL injection, gibberish content, yang sayangnya tidak bisa diperbaiki hanya dengan plugin. So, saya cukupkan sekian untuk jenis-jenis bahayanya. Semoga lain kali bisa membahas ini dengan lebih komprehensif.


Plugin Web Security

Jika web kita dianalogikan sebagai rumah, keamanannya tergantung siapa? Satpam doang? Tentu saja tidak, bukan? Keamanannya tergantung pada semua pihak.

1. WordFence

Dilengkapi dengan firewall dan malware scanner. Semua usaha login/brute force attack akan langsung ditangkis. Pakai WordFence tuh ibarat nyewa Kopassus untuk jadi satpam rumah kita.

Sayangnya, sering overreacted. Tidak cocok untuk Anda yang sering lupa password atau tidak sengaja login pakai username yang salah karena Anda akan langsung terkunci di luar. Membuka kuncinya pun susah. Kok tahu? Ya karena saya sering terkunci dan tidak bisa login saking ketatnya WordFence. 😀

2. Sucuri

Hampir sama dengan WordFence, tapi lebih banyak fitur berbayarnya. Kalau Anda sobat hemat, lebih baik gunakan WordFence.

3. Cerber Security

Untuk spam komen, firewall, dll. Saya pakai ini. So far, cukup galak dan tidak membuat saya terkunci di luar seperti WordFence. Sayangnya, karena saya menggunakan theme Divi, plugin ini sering crash dengan Divi.

4. Loginizer

Hanya untuk mengamankan percobaan login/brute force attack, tak lebih.

5. Defender

Firewall, malware scanner. Konon bisa melindungi juga dari SQL injection dan 404 Detection. Sayang tidak ada antispamnya.

6. Antispam Bee

Hanya untuk antispam, tidak lebih. Tapi Antispam Bee cukup efektif, kok. Ringan, tidak ribet, dan saya tidak pernah menemukan conflict dengan theme atau plugin lain.

Catatan: Yang dimaksud antispam di sini BUKAN agar komen spam tidak datang da mau kita kokosehan kayak gimana juga komen spam mah pasti mampir. Antispam artinya plugin mengidentifikasi IP address, server, pola, dan berbagai algoritma untuk MENGENALI komen spam. Komen spam itu akan langsung disaring oleh plugin, dimasukkan ke tab spam atau langsung dihapus.


Frequently Asked Question

Q: Saya boleh pakai semuanya gak supaya web saya lebih aman?

A: Tidak. Nanti malah crash.

Wajib tidak memakai plugin security begini?

A: IMO, wajib sebagai langkah pencegahan karena kalau ada apa-apa dengan web kita, believe me, nyeuri sirah memperbaikinya.

Q: Kalau sudah pakai plugin antispam, berarti boleh dong saya matikan fitur moderasi komentar?

A: Jangan ngadi-ngadi ya, ngana. Nyalakan lagi!
Pengamanan kolom komen:
Lapis 1: captcha (ini bisa diskip)
Lapis 2: moderasi
Lapis 3: plugin

Q: Kenapa masih harus dimoderasi?

A: Karena eh karena, yang komen spam itu tidak selalu robot (bot), sering juga manusia atau act like human. Ini tidak dibisa dikenali oleh plugin sehingga masih perlu moderasi.

Q: Emang WordPress tidak aman?

A: Emang ada web yang benar-benar aman sampai tidak ada celah? Tidak ada.

Q: Backdoor teh apa?

A: Jalan belakang. Celah keamanan dalam koding yang bisa dieksploitasi. Bisa saja dimasukkan malware, URL injection, dll.

Q: Teh, plugin security yang saya pakai sering crash dengan plugin lain.

A: Ganti dengan plugin lain yang tidak crash.

Q: Saya kan udah pakai https, masa masih harus mikirin dan plugin security?

A: SSL hanya satu lapis perlindungan, tapi tidak bisa mencakup semuanya.

Q: Boleh gak saya pakai plugin untuk mengganti URL login jadi gak wp-admin lagi?

A: Boleh.

Q: Teh, web saya jadi tiba-tiba banyak tulisan kanji gitu di search result.

A: Kena gibberish, sayangnya saya tidak tahu cara memperbaikinya.


Sekali lagi, web security adalah peran berbagai pihak. Developer (core WP, theme, plugin) mengamankan kode yang kami tulis, hosting provider mengamankan server, dan Anda sebagai webmaster a.k.a pemilik blog mengamankan blog Anda sendiri.

Salam,
~eL

Related Articles

Mempercepat Loading Speed WordPress

Mempercepat Loading Speed WordPress

Loading speed atau kecepatan loading sebuah website termasuk salah satu ranking factors. Dengan kata lain, kecepatan loading bisa menentukan peringkat web kita di hasil pencarian. Selain itu, juga berpengaruh terhadap user experience atau pengalaman pengguna. Setiap...

Mau Jadi WordPress Theme Developer? Kuasai Dulu Hal-Hal Ini

Mau Jadi WordPress Theme Developer? Kuasai Dulu Hal-Hal Ini

Apa, sih, yang dimaksud dengan WordPress theme developer? Secara sederhana, developer yang membuat theme WordPress (WP). Theme WP from scratch, ya. NGODING, bukan membuat web memakai page builder seperti Divi atau Elementor. Ini juga bukan tentang framework seperti...

Kenapa WordPress Perlu Di-update?

Kenapa WordPress Perlu Di-update?

"Teh, kata A kalau mau tetep pakai classic editor, aku enggak perlu update WordPress. Jadi ya, aku enggak update," ujar seorang blogger dengan nada polos. Benar tidak pendapat A itu? Mari kita ngobrol-ngobrol tentang itu. Alasan Kenapa WordPress Harus Di-update Saat...

Comments

0 Comments

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *