Jadi ceritanya pagi-pagi buta di-WhatsApp seorang teman yang blognya baru saja kebanjiran subscribers baru. Loh, harusnya senang kan dapat subscribers? Ternyata, para subscribers ini adalah bot yang berbondong-bondong register di webnya si teman.
Masalah seperti ini sebenarnya bukan hal baru. Beberapa masalah klasik lain seperti komentar berbau spam yang jumlahnya bisa ribuan dan upaya membobol WordPress blog lewat brute-force attack juga lumayan sering muncul. Ini lagi ngomongin blog berbasis WordPress yang dihosting sendiri ya, bukan blog di wordpress.com.
Berarti WordPress nggak aman dong? Well, not really. Risiko-risiko keamanan semacam ini bisa dicegah kok. Dengan beberapa langkah mudah, blog WordPress lo bisa jadi lebih aman. Let’s take a closer look at the steps, shall we?
1. Jangan Pakai Username Yang Pasaran
Coba ngaku, berapa banyak yang masih pakai username ‘admin’ di blognya? Username ini memang default bawaan WordPress ketika pertama kali diinstall. Tapi sebenarnya default username ini bisa – dan seharusnya – diganti.
Kalau sudah terlanjur pakai username ‘admin’, ada baiknya diganti ke username yang lebih unik. Buat dulu user baru dengan username yang unik. Jangan lupa pastikan kalau user role-nya diset ke Administrator.
Selanjutnya tinggal log in dengan username yang baru, kemudian delete user ‘admin’ tadi. Done.
2. Password Yang Lebih Aman
Kebanyakan kasus WordPress blog yang bobol justru karena penggunaan password yang kurang aman. Beberapa kebiasaan seperti menggunakan ‘password’ atau ‘12345678’ sebagai password harusnya dihindari. Kalau masih ada yang begini sih kelewatan.
Jangan pakai password yang terlalu pendek atau terlalu mudah ditebak. Usahakan menggunakan kombinasi huruf besar, huruf kecil, angka, dan tanda baca untuk keamanan maksimal. Paling nggak, para pembobol harus kerja ekstra keras untuk nebak-nebak password yang dipakai.
3. Install Wordfence Security
Perihal brute-force attack alias upaya nebak-nebak password secara cepat dengan bantuan script atau bot, ada cara mudah untuk menanggulanginya: install Wordfence Security. Sebenarnya ada banyak plugin keamanan untuk WordPress yang bisa lo pilih, tapi Wordfence ini termasuk salah satu yang direkomendasikan.
Ada fitur untuk otomatis nge-block IP address yang iseng nebak-nebak password. 3x salah password, maka si pembobol harus menunggu untuk jangka waktu tertentu sebelum bisa mencoba kembali. Waktu tunggu ini juga berlaku kalau lo salah memasukkan password 3x.
Beberapa fitur lain seperti IP filtering juga bisa berguna kalau lo sering mendapatkan spam comments dari sumber tertentu. Tinggal lihat IP asalnya (biasanya muncul di tabel pada menu Comments, di bawah nama, alamat web, dan alamat email) kemudian masukkan ke daftar IP yang di-block.
4. Matikan User Registration
Kalau blog lo tidak membutuhkan fitur user registration, ada baiknya fitur ini dimatikan saja. Caranya gampang banget, tinggal masuk ke menu Settings > General, cari opsi “Anyone can register” kemudian buang centangnya. Jangan lupa klik Save setelah selesai.
5. Gunakan Akismet
Pusing menghadapi komentar spam yang nggak habis-habis? Ini juga sebenarnya mudah diatasi. Lo cukup install dan aktifkan Akismet – biasanya sudah terinstall sejak awal, karena plugin ini memang bawaan WordPress.
Jangan lupa Akismet-nya dikonfigurasi juga. Lo perlu mendaftar untuk mendapatkan API Key. Ada opsi berbayar, tapi Akismet ini bisa juga digunakan secara gratis. Setelah mendaftar, masukkan API Key yang didapat ke Akismet Key Config untuk mengaktifkan spam filter. Filternya sih nggak 100% maknyus, tapi cukup efektif untuk mengurangi komentar spam yang mengganggu.
Masih ada beberapa cara lain untuk membuat WordPress blog lo jadi lebih aman, tapi cara-cara yang sudah kita bahas di bagian ini bisa jadi awal yang bagus untuk menghindari hal-hal yang nggak diinginkan. If you love these tips, be sure to leave a comment down below. Nanti bahasan tentang WordPress security gue lanjutkan dengan tips-tips yang lebih detail.
3 Comments
nyalain ulang akismet, suruh verified masukin nomor kartu kredit, walaupun itu yang pilihan free 🙁
Kalo free, harusnya nggak dicharge. Mungkin hanya untuk verifikasi aja. Saya sendiri belum coba lagi sih, masih pakai API Key lama.
Yang cukup sulit juga mencegah komentar spam otomatis, meski sudah pakai Akismet.