Selamat datang di panduan fitur Kemanan Dasar! Bagian ini berisi serangkaian opsi keamanan esensial yang dirancang untuk memperkuat pertahanan website WordPress Anda dari ancaman umum. Setiap opsi menargetkan potensi celah keamanan spesifik.
Keamanan Akses & Protokol
Nonaktifkan XML-RPC
- Apa fungsinya? Opsi ini mematikan sepenuhnya file
xmlrpc.phpdi website Anda. File ini adalah protokol lama yang memungkinkan aplikasi eksternal (seperti aplikasi mobile WordPress versi lama) berinteraksi dengan situs Anda. - Mengapa ini penting? 🛡️ XML-RPC adalah target favorit para peretas. Mereka sering menggunakannya untuk melancarkan serangan brute force (mencoba ribuan kombinasi username/password) dan serangan DDoS karena satu perintah XML-RPC dapat memicu beban server yang besar. Jika Anda tidak menggunakan aplikasi eksternal untuk mengelola situs Anda, sangat disarankan untuk menonaktifkannya.
Penyembunyian Informasi Sensitif
Blokir User Enumeration
- Apa fungsinya? Mencegah pihak luar menemukan daftar username yang valid di situs Anda melalui URL seperti
/?author=1,/?author=2, dst. - Mengapa ini penting? 🛡️ Jika peretas mengetahui username yang valid, mereka hanya perlu menebak password-nya. Dengan memblokir user enumeration, Anda membuat langkah pertama serangan brute force menjadi jauh lebih sulit.
Nonaktifkan RSS/Atom Feeds
- Apa fungsinya? Mematikan fitur feed bawaan WordPress (
/feed/). Feed ini biasanya digunakan oleh aplikasi pembaca berita (RSS reader) untuk mendapatkan update konten terbaru dari situs Anda. - Mengapa ini penting? 🛡️ Meskipun tidak berbahaya secara langsung, feed dapat digunakan oleh scrapers untuk mencuri konten Anda secara otomatis. Jika situs Anda tidak ditujukan untuk sindikasi konten (seperti blog berita), menonaktifkan feed akan mengurangi beban server dan melindungi konten Anda.
Sembunyikan Versi WP
- Apa fungsinya? Menghapus informasi versi WordPress yang Anda gunakan dari kode sumber situs.
- Mengapa ini penting? 🛡️ Setiap versi WordPress memiliki potensi celah keamanan yang diketahui. Dengan menyembunyikan nomor versi, Anda tidak memberikan informasi mudah kepada peretas tentang celah keamanan spesifik yang mungkin bisa mereka eksploitasi di situs Anda.
Optimasi & Pembersihan Kode
Nonaktifkan Emoji
- Apa fungsinya? Menghapus file JavaScript (
wp-emoji-release.min.js) yang dimuat WordPress untuk memastikan emoji dapat tampil dengan benar di browser lama. - Mengapa ini penting? ✨ Browser modern sudah dapat menampilkan emoji tanpa bantuan skrip ini. Menonaktifkannya akan mengurangi satu permintaan file eksternal, membuat website Anda sedikit lebih cepat tanpa kehilangan fungsionalitas bagi sebagian besar pengunjung.
Nonaktifkan oEmbed / wp-embed
- Apa fungsinya? Mematikan fitur oEmbed yang memungkinkan Anda menyematkan konten (seperti video YouTube atau tweet) hanya dengan menempelkan URL-nya di editor. Ini juga akan menghapus file
wp-embed.min.js. - Mengapa ini penting? ✨ Jika Anda tidak sering menyematkan konten dari sumber lain, menonaktifkan fitur ini akan mengurangi satu permintaan JavaScript dan sedikit membersihkan kode Anda.
Bersihkan <head> (RSD, WLW, shortlink, generator)
- Apa fungsinya? Menghapus beberapa baris meta tag yang jarang digunakan dari bagian
<head>HTML Anda, seperti link RSD (Really Simple Discovery), Windows Live Writer, dan tautan pendek (shortlink) post. - Mengapa ini penting? ✨ Ini adalah praktik “kebersihan” kode yang baik. Menghapus tag yang tidak perlu membuat kode sumber Anda lebih ramping dan rapi, meskipun dampaknya pada kecepatan tidak besar.
Keamanan API & Login
REST API Publik (non-login)
- Apa fungsinya? Membatasi akses ke WordPress REST API. REST API memungkinkan aplikasi berinteraksi dengan data situs Anda (seperti post, user, dll.) dalam format JSON. Opsi ini akan memblokir akses ke data tersebut untuk pengunjung yang tidak login.
- Mengapa ini penting? 🛡️ Secara default, REST API dapat membocorkan informasi seperti daftar username dan data lainnya kepada publik. Membatasinya hanya untuk pengguna yang sudah login adalah langkah pengamanan yang sangat direkomendasikan.
Limit Login Attempts
- Aktifkan: Centang opsi ini untuk mengaktifkan perlindungan terhadap serangan brute force pada halaman login Anda.
- Apa fungsinya? Fitur ini akan memblokir sementara alamat IP yang mencoba login berulang kali dengan kombinasi username/password yang salah. Anda dapat mengatur berapa kali percobaan yang diizinkan dan berapa lama pemblokiran berlangsung (pengaturan detail tersedia di tab terpisah).
- Mengapa ini penting? 🛡️ Ini adalah salah satu lapisan pertahanan terpenting untuk website Anda. Tanpa pembatasan ini, peretas dapat mencoba ribuan password per menit tanpa hambatan.