Cara nak secure WordPress – Ini yang korang perlu tahu

Hari makin hari, semakin ramai user yang gunakan WordPress sebagai engine utama dalam membangunkan website. Jadi penting sangat untuk korang pastikan website korang sentiasa selamat dari serangan siber. Jom tengok antara langkah yang korang boleh buat untuk pastikan WordPress korang sentiasa secure

1. Guna hosting yang reliable

Pilih penyedia hosting yang fokus pada security. Kalau nak yang bagus tapi murah korang boleh pilih Hostinger. Banyak penyedia hosting sekarang ni memang ada sediakan feature keselamatan tambahan seperti firewall, scanning malware, dan support 24/7. Hosting yang baik boleh bantu melindungi website korang dari terkena serangan hacker.

2. Selalu update WordPress

Jangan malas-malas update WordPress, plugin, dan theme korang. Update ni benda yang penting sebab setiap kali ada update, mesti akan ada pembaikan security yang dibuat. Kalau korang tak update, senang je orang nak hijack website korang.

Kenapa kena update

• Improve tahap security: Setiap update biasanya datang dengan pembaikan kepada kelemahan keselamatan yang telah dijumpai. Tanpa update, website korang terdedah kepada serangan baru yang boleh eksploitasi kelemahan ini.
• Ada fungsi baru: Update sering kali memperkenalkan fungsi-fungsi baru yang boleh membantu korang uruskan website dengan lebih mudah dan efisien.
• Meningkatkan performance: Developer sentiasa berusaha untuk tingkatkan prestasi WordPress. Update boleh membantu website korang untuk berfungsi dengan lebih laju dan stabil.
• Compability: Plugin dan theme yang korang guna mungkin juga diupdate dari masa ke semasa. Update WordPress memastikan website korang tetap kompatibel dengan plugin dan tema tersebut.

Apa jadi kalau tak update

• Vulnerability kepada serangan: Tanpa update, website korang lebih terdedah kepada serangan siber. Hacker boleh eksploitasi kelemahan yang diketahui untuk hijack website korang, mencuri data, atau merosakkan website korang.
• Masalah compability: Plugin dan tema yang korang guna mungkin tidak berfungsi dengan betul tanpa update terkini. Ini boleh menyebabkan website korang crash atau mengalami error.
• Kehilangan data: Serangan siber boleh menyebabkan kehilangan data penting. Ini bukan sahaja boleh merugikan korang, tetapi juga boleh mengurangkan kepercayaan pengguna terhadap website korang.
• Pengalaman pengguna akan jadi buruk: Tanpa update, prestasi website korang mungkin menurun. Ini boleh menyebabkan loading time yang lama, error yang kerap, dan akhirnya mengurangkan pengalaman pengguna di website korang.

3. Gunakan password yang complex

Jangan guna password yang senang sangat macam “123456” atau “password”. Gunakan password yang susah sikit—gabung huruf besar, huruf kecil, nombor, dan simbol. Lagi panjang, lagi bagus. Password kuat ni salah satu cara terbaik untuk halang orang lain daripada hack akaun korang.

4. Limitkan percubaan log masuk

Kalau ada orang cuba login banyak kali dengan menggunakan bruteforce, memang bahaya untuk website korang. Install plugin macam Login Lockdown untuk hadkan berapa kali user boleh cuba log masuk. Kalau dah lebih, dia akan block secara automatic. Benda ni memang ni penting untuk elak orang senang-senang teka password korang.

5. Wajib install plugin security

Plugin security ni benda yang penting untuk Wordpress. Korang boleh gunakan plugin macam Wordfence atau Sucuri yang boleh bantu korang monitor dan protect website korang dari ancaman. Plugin ni boleh detect kalau ada aktiviti yang mencurigakan dan bagi amaran awal. Jadi, korang boleh ambil tindakan cepat sebelum apa-apa jadi.

6. Protect file wp-config.php

File wp-config.php ni antara file yang sangat penting sebab dia simpan maklumat sensitif tentang website korang. Pindahkan file ni ke folder yang lebih selamat, luar dari public_html. Dengan cara ni, file ni tak mudah diakses oleh orang yang tak sepatutnya.

7. Install SSL

SSL (Secure Sockets Layer) ni penting sebab dia akan encrypt data yang dihantar antara pelawat dan server korang. Bila korang pasang SSL, alamat website korang akan bertukar dari “http” ke “https”. Ni bukan sahaja buat website korang lebih selamat, tapi juga tingkatkan trust dari pelawat korang.

8. Pastikan selalu backup

Bayangkan kalau tiba-tiba website korang down atau kena hack, semua data hilang. Nightmare betul. Jadi, pastikan korang selalu buat backup. Buat secara berkala dan simpan di tempat yang selamat dan berasingan dari server utama. Kalau ada apa-apa jadi, at least korang ada backup untuk restore balik website korang. Jangan simpan backup dalam server yang sama dengan website korang. Pilih lokasi yang berasingan seperti external hard drive atau cloud storage untuk lebih security.

Kenapa kena backup

• Protect data: Backup menyediakan salinan data yang boleh dipulihkan jika data asal hilang atau rosak. Ni penting untuk elak kehilangan maklumat penting yang boleh jejaskan website korang.
• Keselamatan: Kalau website korang kena hack atau diserang malware, backup boleh membantu korang pulihkan website ke keadaan sebelum diserang. Ini boleh kurangkan downtime dan kerugian.
• Untuk restore dengan mudah: Dengan backup yang betul, korang boleh cepat restore website korang tanpa perlu bina semula dari awal. Ini boleh jimatkan masa dan tenaga korang.

Apa jadi kalau tak backup

• Kehilangan data buat selamanya: Tanpa backup, kalau ada apa-apa jadi pada website korang, semua data boleh hilang tanpa sebarang cara untuk pulihkan balik. Ni boleh jadi malapetaka terutama kalau data tu penting.
• Downtime panjang: Kalau website korang kena serang atau ada masalah teknikal, tanpa backup korang mungkin perlu bina semula website dari awal. Ini boleh ambil masa yang lama dan boleh menyebabkan website korang downtime untuk tempoh yang lama.
• Kos tambahan: Memulihkan website tanpa backup boleh jadi mahal, terutamanya kalau korang perlu hire profesional untuk bantu bina semula atau pulihkan data.

9. Gunakan feature two-factor authentication (2FA)

2FA ni satu lapisan security tambahan. Bila korang aktifkan 2FA, selain daripada password, korang juga perlukan kod tambahan yang biasanya dihantar ke telefon korang untuk log masuk. Dengan cara ni, walaupun ada orang dapat password korang, dia masih tak boleh log masuk tanpa kod tu.

10. Protect direktori wp-admin

Tambah satu lagi lapisan security untuk direktori wp-admin korang dengan meletakkan password tambahan. Korang boleh guna .htpasswd untuk buat benda ni. Jadi, sebelum orang lain boleh access ke page login, dia kena masukkan satu lagi password.

11. Sentiasa monitor aktiviti pengguna

Install plugin untuk pantau aktiviti pengguna di website korang. Plugin ni boleh track apa yang pengguna buat dan detect kalau ada aktiviti yang mencurigakan. Kalau ada apa-apa yang nampak tak betul, korang boleh ambil tindakan cepat.

12. Disable file editing

Disable file editing dalam WordPress ni benda yang penting, supaya hacker tak boleh nak akses atau ubah segala fail-fail penting dalam dashboard admin. Korang boleh buat ni dengan tambahkan satu baris kod dalam fail wp-config.php:

define('DISALLOW_FILE_EDIT', true);.

13. Monitor traffic website

Gunakan tools macam Google Analytics atau Jetpack untuk monitor traffic website korang. Kalau ada peningkatan yang mencurigakan, korang boleh cepat-cepat ambil tindakan untuk protect website korang dari serangan.

14. Jangan gunakan username ‘admin’

Elakkan dari guna username ‘admin’ sebab ini adalah target utama hacker. Tukar username korang kepada sesuatu yang lebih unik dan susah nak diteka. Kalau tak, dengan teknik bruteforce, website korang boleh kena hijack.

15. Protect wp-includes directory

Tambahkan satu lagi lapisan keselamatan dengan protect direktori wp-includes. Korang boleh buat benda ni dengan menambah kod berikut dalam fail .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^wp-includes/ - [F,L]
</IfModule>

16. Limitkan user permissions

Pastikan setiap pengguna hanya ada permission yang dia perlukan je. Jangan bagi full access kepada pengguna yang tak memerlukan. Ini boleh kurangkan risiko dari dalam.

17. Remove theme dan plugin yang tak digunakan

Buang plugin dan tema yang korang tak guna. Plugin dan tema yang tak digunakan tapi masih ada dalam website korang boleh jadi pintu masuk untuk hacker.

18. Implement security headers

Tambah security headers dalam website korang untuk protect dari pelbagai jenis serangan. Korang boleh tambah kod ni dalam fail .htaccess:

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "DENY"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

19. Use a web application firewall (WAF)

Install firewall aplikasi web (WAF) untuk filter dan monitor trafik yang masuk ke dalam website korang. WAF boleh bantu mencegah pelbagai jenis serangan contohnya macam SQL injection dan cross-site scripting (XSS). Kalau korang tak nak install plugin, korang boleh guna kan CDN macam Cloudflare, platform ni memang lengkap sekali dengan WAF.

20. Educate team management

Pastikan semua orang yang ada access kedalam website korang faham tentang betapa pentingnya security. Ajar mereka tentang best practices untuk security dan apa yang perlu dilakukan kalau ada aktiviti yang mencurigakan.

21. Implement reCAPTCHA

Install reCAPTCHA pada page log masuk dan pada form yang penting di website korang. Ini boleh bantu cegah bot daripada cuba nak akses akaun korang.

22. Disable XML-RPC

XML-RPC boleh digunakan untuk hacker buat serangan brute force dan DDoS pada website korang. So, kalau korang tak guna feature ni, better korang disable fungsi ni kalau korang tak perlukan. Caranya, tambahkan kod ini dalam fail .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

23. Sentiasa control file permissions

Pastikan permission fail dan folder di server korang dikonfigurasi dengan betul. Set permission fail kepada 644 dan folder kepada 755. Ini boleh halang orang lain daripada mengubah fail penting.

24. Disable directory listing

Disable directory listing untuk halang orang lain daripada direct masuk dan tengok isi kandungan direktori website korang. Korang kena tambah baris kod ini dalam file .htaccess:

Options -Indexes

25. Wajib secure login page

Protect halaman log masuk website korang dengan menggunakan URL yang unik. Korang boleh guna plugin macam WPS Hide Login untuk tukar URL log masuk daripada “wp-login.php” ke sesuatu yang lebih susah nak diteka. Tapi kalau korang buat membership dalam Wordpress, korang tak perlu pun buat benda ni.

26. Guna password manager

Untuk memastikan password korang kuat dan unik, guna password manager macam LastPass atau 1Password. Password manager boleh generate dan simpan password yang kuat untuk setiap akaun korang.

27. Regular security audits

Buat audit keselamatan secara berkala untuk identify dan fix vulnerabilities di website korang. Korang boleh upah profesional atau guna plugin untuk buat audit ni.

28. Encrypt sensitive data

Pastikan semua data sensitif yang disimpan dalam website korang yang dah diencrypt. Korang boleh guna plugin atau server enkripsi untuk pastikan data pengguna sentiasa dilindungi.

29. Guna CDN yang secure

Content Delivery Network (CDN) macam Cloudflare bukan sahaja boleh mempercepatkan loading website korang, tapi juga boleh enhance security dengan melindungi website korang daripada serangan DDoS dan lain-lain.

Kenapa kena guna CDN yang secure

• Fast website: CDN mengedarkan kandungan website korang ke pelbagai server di seluruh dunia. Bila pelawat akses website korang, mereka akan disambungkan ke server terdekat, yang boleh mengurangkan masa loading dengan ketara.
• Kurangkan beban server: Dengan CDN, trafik website korang diagihkan ke banyak server, yang boleh mengurangkan beban pada server utama korang. Ini boleh meningkatkan kestabilan website dan mengurangkan risiko downtime.
• Protect daripada serangan DDoS: CDN yang secure mempunyai mekanisme perlindungan terhadap serangan DDoS (Distributed Denial of Service). Mereka boleh mengesan dan menapis trafik yang mencurigakan sebelum ia sampai ke server utama korang, memastikan website korang tetap online walaupun ada serangan.
• Enhanced security: CDN boleh menyediakan lapisan keselamatan tambahan seperti firewall aplikasi web (WAF) dan enkripsi SSL. Ini boleh melindungi website korang daripada pelbagai jenis ancaman siber.

Kelebihan guna CDN yang secure

• Kebolehpercayaan: Dengan beban yang diagihkan dan perlindungan terhadap serangan DDoS, website korang boleh lebih kebal terhadap serangan dan tetap online walaupun dalam keadaan trafik tinggi atau diserang.
• Prestasi: Peningkatan kelajuan loading website boleh meningkatkan pengalaman pengguna dan mengurangkan bounce rate. Pelawat lebih cenderung untuk tinggal lebih lama di website yang cepat dan responsif.
• Pengurusan trafik: CDN boleh membantu menguruskan trafik yang tinggi, terutamanya semasa kempen pemasaran atau apabila website korang tiba-tiba jadi viral. Ini memastikan website korang tidak crash akibat trafik yang mendadak.
• Keselamatan data: Dengan enkripsi SSL dan firewall aplikasi web, data yang dihantar antara pelawat dan website korang akan lebih selamat dari ancaman seperti penggodaman dan pencerobohan.

Contoh CDN yang paling top adalah Cloudflare, yang menawarkan pelbagai kelebihan seperti prestasi, keselamatan, dan kebolehpercayaan. Dengan menggunakan CDN yang secure seperti Cloudflare, website korang boleh lebih cepat, lebih selamat, dan lebih stabil.

30. Disable PHP error reporting

Kalau korang biarkan PHP error reporting aktif, hacker boleh dapat info tentang struktur dalam website korang. Pastikan korang disable feature ni dalam file wp-config.php:

error_reporting(0);
@ini_set('display_errors', 0);

31. Secure database Wordpress

Tukar prefix default database dari “wp_” kepada sesuatu yang lebih unik. Ini boleh kurangkan risiko terkena SQL injection. Korang boleh guna plugin macam iThemes Security untuk buatkan benda ni.

32. Gunakan FTP yang secure

Pastikan korang guna SFTP atau FTPS untuk transfer fail ke server korang. FTP yang tak secure boleh bagi peluang kepada hacker untuk intercept data yang korang miliki.

33. Regularly change passwords

Biasakan untuk selalu tukar password. Lagi bagus kalau korang ada rutin untuk tukar password setiap 3-6 bulan. Benda ni akan buatkan lagi hacker susah nak cari password yang korang dah set.

34. Sentiasa monitor file changes

Install plugin macam Wordfence untuk monitor sebarang perubahan dalam file di dalam website korang. Ini boleh bantu korang detect malware atau aktiviti yang mencurigakan.

35. Implement content security policy (CSP)

Guna CSP untuk control resource yang website korang boleh load. Tambah kod ini dalam fail .htaccess:

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:;

36. Hide WordPress version

Jangan bagi tahu orang lain tentang versi WordPress yang korang guna. Ini boleh elak hacker dari eksploitasi vulnerability yang ada pada versi tersebut. Tambahkan kod ini dalam fail functions.php theme korang:

remove_action('wp_head', 'wp_generator');

Dengan langkah-langkah secure ni, korang boleh lebih protect website WordPress korang dari serangan hacking. Selamat mencuba dan semoga berjaya! 🚀