8 Plugin Keamanan WordPress Terbaik untuk Mengunci Situs Anda

WordPress menguasai lebih dari 35% dari semua situs web di Internet, yang menjadikannya target yang menarik bagi aktor jahat di seluruh dunia.

Jika Anda ingin mengamankan situs web Anda, atau situs web klien Anda, plugin keamanan khusus dapat melakukan banyak pekerjaan berat untuk Anda.

Untuk membantu Anda memilih plugin keamanan WordPress terbaik untuk kebutuhan Anda, kami telah mengumpulkan delapan opsi hebat yang dapat membantu pengerasan keamanan, firewall, dan pemindaian malware.

Mari kita gali, dimulai dengan gambaran singkat tentang apa yang sebenarnya dilakukan sebagian besar plugin keamanan WordPress.

Keamanan WordPress adalah topik yang cukup luas, jadi ketika saya mengatakan "plugin keamanan WordPress", itu dapat mencakup berbagai fitur yang berbeda.

Jadi sebelum saya masuk ke plugin, mari kita bahas apa saja fitur tingkat tinggi yang berbeda itu sehingga Anda tahu apa yang dilakukan masing-masing alat ini.

Pengerasan keamanan dasar adalah semacam menangkap semua untuk "perubahan konfigurasi atau alat yang membuat situs web WordPress Anda lebih aman."

Misalnya, plugin keamanan biasanya akan membantu Anda mengamankan halaman login Anda dengan fitur-fitur seperti:

• Membatasi upaya login
• Otentikasi dua faktor
• Mengubah URL login WordPress
• Menegakkan kata sandi yang kuat
• Mengatur kedaluwarsa kata sandi
• Menambahkan CAPTCHA

Itu semua adalah taktik pengerasan.

Strategi pengerasan populer lainnya termasuk memantau file inti WordPress untuk mendeteksi jika ada yang diubah, menonaktifkan fitur WordPress seperti XML-RPC, menghentikan enumerasi pengguna, dll.

Taktik lain yang akan sering Anda lihat adalah firewall.

Pada dasarnya, firewall situs web adalah sesuatu yang berada di antara situs WordPress Anda dan pengunjungnya. Pengunjung biasa tidak memiliki masalah dalam menggunakan situs Anda, tetapi jika firewall mendeteksi aktivitas jahat (melalui alamat IP, tindakan, dll.), maka firewall akan memblokir pengunjung tersebut sebelum menimbulkan masalah.

Dengan WordPress, Anda akan melihat ini disebut firewall aplikasi web atau WAF.

Penting untuk dicatat bahwa tidak semua firewall sama. Artinya, hanya karena dua plugin sama-sama menawarkan "firewall", itu tidak berarti alat-alat tersebut secara otomatis sama karena firewall hanya sebaik aturan yang diikutinya.

Beberapa plugin keamanan WordPress, seperti Wordfence, terus memperbarui aturan firewall mereka secara real-time untuk menyesuaikan dengan ancaman keamanan yang muncul. Yang lain pada dasarnya adalah seperangkat aturan statis yang tidak pernah berubah. Keduanya dapat berguna – hanya saja yang satu akan lebih efektif dalam melindungi Anda dari jenis kerentanan baru.

Bagian populer lainnya dari plugin keamanan WordPress adalah pemindaian malware. Anda mungkin akrab dengan konsep ini dari menjalankan pemindaian di komputer Anda sendiri.

Pada dasarnya, alat ini akan memindai situs Anda untuk mencari kode berbahaya dan mengembalikan laporan apa pun yang ditemukannya.

Sekali lagi, efektivitas pemindaian malware bergantung pada aturan dan pendekatannya. Artinya, hanya karena dua plugin sama-sama melakukan "pemindaian malware", itu tidak membuat keduanya sama.

Pertama, seperti halnya firewall, Anda memiliki perbedaan dalam aturan pendeteksian. Pemindai malware bergantung pada "tanda tangan malware" untuk mengidentifikasi malware. Jadi, jika pemindai malware Anda tidak memiliki tanda tangan untuk ancaman yang muncul, pemindai itu mungkin tidak dapat mendeteksinya.

Kedua, Anda memiliki pendekatan. Beberapa plugin/alat, seperti alat Sucuri SiteCheck yang populer, hanya memindai bagian depan situs Anda. Ini dapat menangkap malware yang dapat dideteksi dari front-end situs web Anda, tetapi tidak akan mendeteksi malware yang bersembunyi di server Anda.

Untuk mendeteksi malware yang tidak muncul di front-end situs Anda, Anda harus menggunakan pemindai malware yang memindai semua file di server Anda.

Dengan pengenalan itu, mari bantu Anda memilih plugin keamanan WordPress terbaik untuk kebutuhan Anda.

Berikut adalah delapan plugin yang akan kita lihat:

1. Sucuri
2. Keamanan iThemes
3. Keamanan & Firewall WP Semua Dalam Satu
4. Keamanan Anti Peluru
5. paket jet
6. SecuPress
7. Keamanan Cerber
8. pagar kata

Sucuri adalah alat keamanan situs web populer lainnya. Ada dua bagian Sucuri:

1. Plugin gratis di WordPress.org
2. Firewall berbayar, pemantauan, dan layanan pembersihan retas

Plugin gratis di WordPress.org membantu Anda terutama dengan penguatan keamanan dasar.

Ini akan memberi Anda berbagai aturan dan tips yang dapat Anda terapkan, seperti menonaktifkan plugin di dasbor dan pengeditan tema dan memblokir eksekusi PHP di direktori sensitif tertentu.

Fitur keamanan lainnya termasuk kemampuan untuk:

• Pantau integritas file untuk file inti
• Lacak upaya login yang gagal
• Terima pemberitahuan peringatan keamanan untuk berbagai tindakan
• Cantumkan skrip dan iframe di situs Anda.

Selain itu, plugin ini juga dilengkapi dengan layanan Sucuri SiteCheck untuk pemindaian malware. Namun, penting untuk dipahami bahwa layanan ini hanya memindai bagian depan situs Anda untuk mencari masalah – layanan ini tidak akan memindai file di server Anda seperti pemindaian malware lainnya. Anda juga tidak memerlukan plugin untuk menggunakan alat ini – Anda dapat menjalankannya dari situs web Sucuri.

Untuk keamanan lebih, plugin dapat membantu Anda terhubung ke layanan firewall Sucuri berbayar. Firewall ini adalah WAF berbasis cloud dengan aturan yang diperbarui secara berkala dari tim Sucuri. Firewall juga memungkinkan Anda:

• Daftar putih atau daftar hitam alamat IP tertentu
• Blokir seluruh negara
• Amankan area sensitif (seperti dasbor/login WordPress Anda) dengan CAPTCHA, autentikasi dua faktor, atau kata sandi tambahan.

Layanan Sucuri berbayar juga dapat membantu melindungi situs Anda dari serangan DDoS.

Harga: Plugin Sucuri 100% gratis. Firewall Sucuri berharga $19,98 per bulan dan seluruh platform Sucuri (yang mencakup deteksi dan pembersihan malware) berharga $299,99 per tahun.

iThemes Security adalah plugin keamanan freemium dari…iThemes – itulah namanya. Jika Anda tidak terbiasa, iThemes adalah pengembang populer di balik berbagai plugin, termasuk BackupBuddy. iThemes diakuisisi oleh Liquid Web pada tahun 2018.

iThemes Security difokuskan pada pengerasan keamanan WordPress. Itu memungkinkan Anda terhubung ke layanan Sucuri SiteCheck untuk deteksi malware front-end - tetapi Anda bisa menjalankan fitur ini dari situs web Sucuri, jadi ini bukan pemindaian malware bawaan.

Itu tidak mengiklankan firewall, tetapi menyertakan fitur yang memungkinkan Anda memblokir beberapa bot dan alamat IP. Ada juga fitur "perlindungan brute force jaringan" yang secara otomatis dapat memblokir alamat IP yang telah mencoba untuk memaksa situs WordPress lain.

Sedangkan untuk security hardening, iThemes Security dapat membantu Anda mengamankan proses login Anda dengan fitur-fitur seperti:

• Batasi upaya masuk
• Ubah URL login WordPress
• Google reCAPTCHA (berbayar)
• Otentikasi dua faktor (berbayar)
• Penegakan kata sandi yang kuat
• Kedaluwarsa kata sandi (berbayar)

Ini juga menawarkan mode "Jauh" di mana Anda pada dasarnya dapat mengunci situs Anda saat Anda tidak mengaksesnya.

Fitur pengerasan keamanan lainnya meliputi:

• Deteksi perubahan file
• Ubah awalan basis data
• Matikan pengeditan file di dasbor
• Pencatatan tindakan pengguna ( berbayar )
• Ubah jalur konten-wp

Jika Anda perlu mengelola beberapa situs WordPress, itu juga memiliki integrasi dengan iThemes Sync.

Harga: Versi gratis di WordPress.org. Versi berbayar mulai dari $80.

All In One WP Security & Firewall adalah plugin keamanan WordPress populer yang 100% gratis.

Ini membantu Anda menerapkan banyak fitur pengerasan keamanan yang berbeda seperti:

• Ubah awalan basis data WordPress
• Memantau izin file
• Nonaktifkan pengeditan file di dasbor
• Pemantauan integritas file
• Sembunyikan nomor versi WordPress

Ini juga mencakup fitur untuk mengamankan proses login Anda seperti:

• Batasi upaya masuk
• Paksa log out pengguna setelah jangka waktu tertentu
• Tambahkan reCAPTCHA untuk perlindungan login
• Daftar putih alamat IP tertentu
• Hentikan enumerasi pengguna

Ini juga akan memberi Anda "pengukur kekuatan keamanan" untuk membantu Anda meningkatkan keamanan situs Anda.

All In One WP Security & Firewall memang menyertakan apa yang disebutnya firewall, tetapi tidak sekuat sesuatu seperti Wordfence atau Sucuri. Ini lebih merupakan seperangkat aturan statis – tidak beradaptasi dengan ancaman yang muncul seperti plugin lainnya.

Harga: 100% gratis di WordPress.org.

BulletProof Security adalah opsi lain yang menawarkan pendekatan all-in-one untuk keamanan WordPress dengan:

• pengerasan
• Firewall
• Pemindaian malware

Versi gratisnya menawarkan pengerasan dasar seperti:

• Keamanan masuk
• Ubah awalan tabel database
• Pencatatan keamanan
• Cadangan basis data

Ini juga mencakup pemindaian malware dalam versi gratis, sedangkan versi berbayar mencakup perlindungan waktu nyata dengan AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) dari BulletProof Security.

Versi berbayar juga menambahkan fitur lain seperti:

• Pemantauan basis data dan pemeriksaan diferensial
• Unggah perlindungan
• Firewall plugin

Antarmuka pengguna terlihat cukup kuno dan tidak semenyenangkan alat lain, tetapi BulletProof Security dianggap baik dalam hal keefektifannya.

Harga: Versi gratis di WordPress.org. Versi berbayar mulai dari $69,95.

Jetpack adalah plugin all-in-one yang populer dari Automattic, orang yang sama di belakang WordPress.com dan WooCommerce.

Tidak seperti semua plugin lain dalam daftar ini, Jetpack tidak hanya berfokus pada keamanan WordPress, tetapi juga menyertakan banyak fitur keamanan di seluruh paket gratis dan berbayarnya.

Versi gratisnya membantu mengamankan login WordPress Anda dengan perlindungan brute force dan opsi untuk menggunakan login WordPress.com yang aman. Artinya, Anda dapat masuk ke situs WordPress Anda sendiri menggunakan kredensial WordPress.com Anda.

Dengan paket berbayar, Anda juga mendapatkan akses ke pencadangan dan pemindaian malware (fitur ini sebelumnya disebut VaultPress. Sekarang, VaultPress telah bergabung dengan Jetpack).

Fitur pencadangan dan pemindaian terikat bersama, yang merupakan bagian dari keunikannya. Dengan sebagian besar alat pemindaian malware, alat ini memindai file di server WordPress Anda yang sebenarnya. Ini bagus untuk menangkap malware, tetapi juga memakan sumber daya di server situs web langsung Anda.

Dengan Jetpack, Jetpack pertama-tama mencadangkan situs Anda ke lokasi di luar situs. Kemudian, itu memindai salinan cadangan situs Anda untuk mencari malware, yang berarti itu tidak akan memengaruhi kinerja situs web Anda yang aktif.

Sebagai bagian dari pemindaiannya, Jetpack mencari:

• Perubahan pada file inti WordPress
• Kerang berbasis web
• Kerentanan TimThumb

Jika Jetpack menemukan sesuatu yang berbahaya, ini dapat membantu Anda memperbaiki masalah.

Harga: Beberapa fitur tersedia dalam versi gratis. Pemindaian malware tersedia pada paket Premium ke atas, yang dimulai dari $9 per bulan. Ini juga memberi Anda akses ke banyak fitur Jetpack lainnya.

SecuPress adalah plugin keamanan WordPress terkenal lainnya yang hadir dalam versi gratis dan berbayar.

SecuPress awalnya diluncurkan oleh WP Media, perusahaan yang sama di belakang plugin WP Rocket yang populer. Namun, WP Media kemudian melepaskan kepemilikan kepada pemilik saat ini (yang merupakan salah satu pendiri WP Media). Pada dasarnya, itu terlalu jauh untuk mengatakan bahwa Anda akan melihat beberapa kesamaan desain dengan WP Rocket, tetapi keduanya bukan lagi entitas yang sama.

Dengan versi gratis, Anda dapat:

• Blokir alamat IP dan bot jahat
• Lindungi login Anda dari serangan brute force
• Sembunyikan halaman login
• Sembunyikan versi WordPress dan WooCommerce Anda
• Kelola XML-RPC dan REST API
• Catat tindakan pengguna yang penting

Anda juga mendapatkan firewall dalam versi gratis.

Versi premium menambahkan fitur tambahan seperti:

• Otentikasi dua faktor untuk mengamankan login Anda
• Fitur antispam
• Cadangan untuk database dan file
• Deteksi untuk tema atau plugin dengan kerentanan keamanan yang diketahui
• Pemindaian malware PHP
• Pemblokiran negara (geolokasi)
• Penjadwalan tugas

Salah satu fitur menonjol dengan SecuPress adalah antarmuka. Ini memiliki antarmuka paling menyenangkan dari alat apa pun dalam daftar ini, yang sangat bagus jika klien Anda pernah melihatnya. Sekali lagi, Anda pasti dapat melihat pengaruh WP Rocket di antarmuka.

Harga: Versi gratis di WordPress.org. Versi berbayar mulai $65.

Cerber Security adalah plugin keamanan WordPress all-in-one populer lainnya yang hadir dengan:

• Pengerasan keamanan
• Firewall
• Pemindaian malware

Pertama, itu dikemas dengan aturan pengerasan keamanan seperti:

• Mengubah halaman login WordPress
• Nonaktifkan PHP di folder unggahan
• Menghentikan enumerasi pengguna
• Membatasi upaya login
• Memantau integritas file
• Otentikasi dua faktor

Anda juga dapat mengatur aturan, seperti secara otomatis memblokir alamat IP apa pun yang mencoba masuk dengan nama pengguna yang tidak ada. Anda juga dapat membuat kebijakan berbasis peran khusus, seperti mewajibkan dua faktor untuk pengguna admin dan secara otomatis logout setelah jangka waktu tertentu.

Sebagai bagian dari firewall, Anda mendapatkan pemeriksa lalu lintas waktu nyata di mana Anda dapat melihat semua yang terjadi di situs Anda, termasuk memantau sesi masuk dan pengunjung. Anda juga mendapatkan aturan pemblokiran geografis.

Terakhir, Anda mendapatkan pemindaian malware, termasuk kemampuan untuk menjadwalkan pemindaian agar berjalan secara otomatis.

Jika Anda perlu mengelola beberapa situs, itu juga menyertakan fitur Cerber.Hub yang memungkinkan Anda mengelola beberapa situs dari satu dasbor. Dasbor ini dihosting sendiri, tidak seperti Wordfence. Anda akan menetapkan satu situs WordPress sebagai "Master" dan kemudian "Slave" menginstal lainnya ke dasbor master itu.

Harga: Versi gratis di WordPress.org. Versi berbayar mulai dari $99.

Pertama, WordPress menyertakan banyak alat untuk membantu pengerasan keamanan WordPress dasar seperti:

• Menonaktifkan eksekusi kode di direktori unggahan
• Menyembunyikan versi WordPress Anda
• Menghentikan enumerasi pengguna

Anda juga mendapatkan tab Keamanan Masuk khusus tempat Anda dapat mengontrol langkah-langkah keamanan masuk seperti:

• Menggunakan otentikasi dua faktor (untuk semua pengguna atau hanya peran pengguna tertentu)
• Menonaktifkan otentikasi XML-RPC
• Menambahkan reCAPTCHA di halaman login
• Membatasi upaya login yang gagal (ini adalah bagian dari firewall)
• Menegakkan kata sandi yang kuat

Wordfence juga menyertakan WAF -nya sendiri. Tim Wordfence terus menambahkan aturan baru secara real-time untuk menyesuaikan ancaman yang muncul. Anda juga dapat mengonfigurasi cara fungsi firewall, seperti memasukkan alamat dan layanan IP tertentu ke daftar putih.

Anda juga dapat langsung memblokir alamat IP yang mencoba mengakses URL sensitif tertentu. Dan dengan versi premium, Anda dapat memblokir seluruh negara dengan penargetan geografis.

Terakhir, Anda juga mendapatkan pemindaian malware yang mendetail. Pemindaian ini dapat memindai semua file di server Anda, serta memeriksa masalah keamanan lainnya seperti:

• Tautan berbahaya di komentar
• Pengguna admin yang baru dibuat
• Tema atau plugin kedaluwarsa
• Kata sandi yang lemah

Jadi ini semacam "pemindaian kelemahan keamanan WordPress umum" yang juga mencakup pemindaian malware.

Anda juga mendapatkan aturan untuk mengonfigurasi seberapa sering dan seberapa mendalam pemindaian, yang dapat membantu Anda mengontrol sumber daya server yang digunakan pemindaian Anda.

Jika Anda mengelola banyak situs WordPress ( seperti situs klien ), Wordfence juga menyertakan alat Wordfence Central yang memungkinkan Anda mengelola keamanan untuk semua situs Anda dari satu lokasi pusat. Anda juga dapat membuat templat pengaturan Wordfence yang dapat Anda terapkan dengan cepat ke situs baru dan menerima peringatan saat terjadi sesuatu di situs Anda.

Plugin inti Wordfence dan sebagian besar fiturnya gratis. Namun, ada perbedaan mencolok dalam hal aturan yang digunakan Wordfence untuk pemindaian firewall dan malware.

Dengan versi premium, Anda mendapatkan pembaruan waktu nyata untuk aturan tersebut. Jadi, segera setelah Wordfence mendeteksi ancaman ( yang cukup proaktif ), Wordfence segera menambahkan aturan tersebut ke situs Anda.

Namun, dengan versi gratis, pembaruan aturan tersebut tertunda selama 30 hari.

Harga: Wordfence tersedia gratis di WordPress.org. Versi berbayar mulai dari $99 untuk digunakan di satu situs, dengan diskon volume untuk jumlah situs yang lebih besar.

Tidak! Tidak dengan tembakan panjang.

Sementara semua plugin keamanan ini pasti membantu mengamankan situs web Anda, keamanan WordPress tidak sesederhana menginstal plugin dan menyebutnya sehari.

Itu tidak berarti plugin keamanan tidak berguna – itu hanya berarti bahwa jika Anda tidak melakukan hal-hal kecil dengan benar, bahkan plugin keamanan tidak akan dapat menyelamatkan Anda.

Salah satu hal terpenting yang dapat Anda lakukan adalah segera memperbarui perangkat lunak inti WordPress , plugin, dan tema Anda – terutama untuk rilis keamanan kecil (misalnya WordPress 5.4.X ).

Menurut laporan Situs Web Peretasan Sucuri 2019 , sekitar setengah dari semua situs WordPress menjalankan versi perangkat lunak inti yang kedaluwarsa ketika situs mereka terinfeksi. Terlebih lagi, 44% situs web yang diretas menjalankan plugin yang kedaluwarsa.

Singkat cerita, tindakan berikut sama pentingnya, jika tidak lebih penting, daripada menggunakan plugin keamanan WordPress:

• Segera perbarui situs Anda dan ekstensinya untuk rilis keamanan.
• Berhati-hatilah dengan ekstensi yang Anda pilih (dan jangan pernah memasang plugin nulled dari sumber yang meragukan).
• Menggunakan password yang kuat, terutama pada akun admin.

Untuk kiat lainnya, lihat panduan lengkap kami tentang cara mengamankan situs WordPress Anda .

Dan jika Anda tidak yakin plugin mana yang harus dipilih, Anda tentu tidak akan salah memilih Wordfence sebagai opsi pertama.