Plugin Web Security untuk WordPress

02 January 2021 WordPress 5 minutes
Plugin web security untuk WordPress

Usaha peretasan terhadap web kita terjadi SETIAP DETIK, dilakukan oleh manusia maupun robot. Itu sebabnya diperlukan berlapis-lapis “satpam” untuk mengamankan web kita.

Jika Anda berpikir bahwa karena web Anda “hanya” blog biasa maka tidak akan pernah diretas, pikirkanlah ulang. Karena sepanjang blog Anda berada dalam jaringan atau internet, maka sepanjang itu pula usaha-usaha peretasan akan selalu ada.

Disclaimer: Web security cakupannya luas sekali, sayangnya saya tidak khusus bergerak di bidang ini. Artikel kali ini hanya insight dari saya sebagai pengguna dan web developer. Jika ada yang mau mengoreksi atau menambahkan, silakan sebutkan di kolom komentar. Thank you.

Bahaya-Bahaya yang Mengintai

Sebelum kita ngobrol tentang cara mengamankan, kita perlu tahu dulu bahaya macam apa yang mengintai web kita agar kita tahu apa yang sedang kita hadapi. Ada beberapa jenis yang sering sekali ditemui di WordPress.

1. Komen Spam

Komen spam berasal dari 2 sumber: robot (bot) dan manusia.

Kenapa berbahaya? Pertama, sudah dijelaskan di Google Webmaster Guidline bahwa web dengan banyak komen spam akan dianggap web spam juga. Spammy web akan diturunkan dari mesin pencari. Kedua, komen spam biasanya berisi link. Kita tidak akan pernah tahu link itu menuju ke mana. Bisa “sekadar” phishing, bisa saja trojan. We never know.

komen spam

“Emang bahaya banget ya kalau link itu diklik?”

Wuih, jangan salah. Satu link pernah melumpuhkan komputer di 2/3 bagian dunia. So, hati-hati.

2. Brute Force Attack

Brute force attack atau percobaan login. Terjadi sekitar tiga kali/menit pada SEMUA web WordPress dan TERUS-MENERUS. Biasanya, dilakukan oleh robot kecuali memang ada manusia yang berusaha meretas web Anda.

“Kok bisa sih ada yang berusaha meretas web saya? Kan cuma blog biasa, bukan web penting atau web besar.”

Well, seperti yang saya katakan di awal, sepanjang blog kita ada di dalam jaringan, selama itu pula brute force attack akan selalu ada.

Kabar baiknya, usaha peretasan terhadap web, dalam hal ini WordPress bisa diminimalisasi. Tapi ya itu tadi, yang bisa kita lakukan hanya bertahan, memperketat lapis demi lapis keamanan.

3. WordPress Vulnerabilities

Web kita terdiri dari core WP, theme, dan banyak sekali plugin. Masing-masing bisa saja punya celah keamanan/vulnerability. Ibarat lubang kecil di dinding. Jika celah ini ADA dan DITEMUKAN oleh peretas, bisa dieksploitasi sedemikian rupa.

Usaha untuk menambal celah ini disebut patching. Jadi jika ketahuan ada celah, developer akan menambal dengan cara memperbaiki kodingan dan memberikan update pada pengguna. Jadi, PASTIKAN core WP, theme, dan plugin Anda update.

“Kok bisa sih ada celah keamanan? Memangnya developer gak bisa ngoding yang bener?”

Percayalah, kami para developer sudah berusaha sekuat tenaga mengamankan setiap baris kode yang kami tulis. Tapi seperti kata pepatah lama, hacker selalu selangkah lebih depan.

5. Dll

Kenapa dll? Karena banyak sekali bahaya yang mengancam web kita seperti URL injection, SQL injection, gibberish content, yang sayangnya tidak bisa diperbaiki hanya dengan plugin. So, saya cukupkan sekian untuk jenis-jenis bahayanya. Semoga lain kali bisa membahas ini dengan lebih komprehensif.

Plugin Web Security

Jika web kita dianalogikan sebagai rumah, keamanannya tergantung siapa? Satpam doang? Tentu saja tidak, bukan? Keamanannya tergantung pada semua pihak.

1. WordFence

WordFence

Dilengkapi dengan firewall dan malware scanner. Semua usaha login/brute force attack akan langsung ditangkis. Pakai WordFence tuh ibarat nyewa Kopassus untuk jadi satpam rumah kita.

Sayangnya, sering overreacted. Tidak cocok untuk Anda yang sering lupa password atau tidak sengaja login pakai username yang salah karena Anda akan langsung terkunci di luar. Membuka kuncinya pun susah. Kok tahu? Ya karena saya sering terkunci dan tidak bisa login saking ketatnya WordFence. :D

2. Sucuri

Plugin web security Sucuri

Hampir sama dengan WordFence, tapi lebih banyak fitur berbayarnya. Kalau Anda sobat hemat, lebih baik gunakan WordFence.

3. Cerber Security

Cerber Security

Untuk spam komen, firewall, dll. Saya pakai ini. So far, cukup galak dan tidak membuat saya terkunci di luar seperti WordFence. Sayangnya, karena saya menggunakan theme Divi, plugin ini sering crash dengan Divi.

4. Loginizer

Loginizer

Hanya untuk mengamankan percobaan login/brute force attack, tak lebih.

5. Defender

Plugin web security Defender

Firewall, malware scanner. Konon bisa melindungi juga dari SQL injection dan 404 Detection. Sayang tidak ada antispamnya.

6. Antispam Bee

Plugin web security Antispam Bee

Hanya untuk antispam, tidak lebih. Tapi Antispam Bee cukup efektif, kok. Ringan, tidak ribet, dan saya tidak pernah menemukan conflict dengan theme atau plugin lain.

Note: Yang dimaksud antispam di sini BUKAN agar komen spam tidak datang da mau kita kokosehan kayak gimana juga komen spam mah pasti mampir. Antispam artinya plugin mengidentifikasi IP address, server, pola, dan berbagai algoritma untuk MENGENALI komen spam. Komen spam itu akan langsung disaring oleh plugin, dimasukkan ke tab spam atau langsung dihapus.

Frequently Asked Question

  1. Saya boleh pakai semuanya gak supaya web saya lebih aman?

    Tidak. Nanti malah crash.

  2. Wajib tidak memakai plugin security begini?

    IMO, wajib sebagai langkah pencegahan karena kalau ada apa-apa dengan web kita, believe me, nyeuri sirah memperbaikinya.

  3. Kalau sudah pakai plugin antispam, berarti boleh dong saya matikan fitur moderasi komentar?

    Tidak. Karena lapisan pengamanan untuk kolom komentar adalah seperti ini: captcha (opsional), moderasi, plugin.

  4. Kenapa masih harus dimoderasi?

    Karena eh karena, yang komen spam itu tidak selalu robot (bot), sering juga manusia atau act like human. Ini tidak dibisa dikenali oleh plugin sehingga masih perlu moderasi.

  5. Emang WordPress tidak aman?

    Emang ada web yang benar-benar aman sampai tidak ada celah? Tidak ada.

  6. Backdoor teh apa?

    Jalan belakang. Celah keamanan dalam koding yang bisa dieksploitasi. Bisa saja dimasukkan malware, URL injection, dll.

  7. Teh, plugin security yang saya pakai sering crash dengan plugin lain.

    Ganti dengan plugin lain yang tidak crash.

  8. Saya kan udah pakai https, masa masih harus mikirin dan plugin security?

    SSL hanya satu lapis perlindungan, tapi tidak bisa mencakup semuanya.

  9. Boleh gak saya pakai plugin untuk mengganti URL login jadi gak wp-admin lagi?

    Boleh.

  10. Teh, web saya jadi tiba-tiba banyak tulisan kanji gitu di search result.

    A: Kena gibberish, sayangnya saya tidak tahu cara memperbaikinya.

Sekali lagi, web security adalah peran berbagai pihak. Developer (core WP, theme, plugin) mengamankan kode yang kami tulis, hosting provider mengamankan server, dan Anda sebagai webmaster a.k.a pemilik blog mengamankan blog Anda sendiri. (eL)

T A G S:
Langit Amaravati

Langit Amaravati

Web developer, graphic designer, techno blogger.

Peminum kopi fundamentalis. Hobi mendengarkan lagu dangdut koplo dan lagu campursari. Jika tidak sedang ngoding dan melayout buku, biasanya Langit melukis, belajar bahasa pemrograman baru, atau meracau di Twitter.

Artikel Lainnya

Kenapa wordpress perlu diupdate?

Kenapa WordPress Perlu Di-update?

Migrasi dari Blogspot ke WordPress

Step by Step Migrasi dari Blogspot ke WordPress Self Hosted

Migrasi dari Blogspot ke WordPress

Persiapan Sebelum Migrasi dari Blogspot ke WordPress Self Hosted

Komentar