Keselamatan laman web WordPress adalah perkara yang tidak boleh dipandang ringan, tidak kira sama ada anda mengurus blog peribadi atau laman e-commerce. Dalam artikel ini, kami akan kongsikan asas keselamatan WordPress yang wajib anda tahu dan amalkan untuk melindungi laman anda daripada serangan siber dan ancaman luar.
Kenapa Asas Keselamatan WordPress Penting?
WordPress adalah sistem pengurusan kandungan (CMS) paling popular di dunia — digunakan oleh lebih 40% laman web. Populariti ini turut menjadikannya sasaran utama penggodam. Dengan mengamalkan asas keselamatan WordPress, anda dapat:
- Melindungi data pelanggan dan pengguna
- Elak laman digodam atau disuntik malware
- Pastikan laman sentiasa stabil & boleh diakses
✅ A. Kemas Kini & Pengurusan
- WordPress core versi terkini
- Semua plugin dikemas kini
- Semua tema dikemas kini
- Buang plugin & tema yang tidak digunakan
✅ B. Pengguna & Kata Laluan
- Akaun admin tidak guna nama ‘admin’
- Semua akaun guna kata laluan kuat
- Akaun tidak aktif dihapuskan
- 2FA (Two Factor Authentication) aktif untuk admin
- Had cubaan login (limit login attempts)
✅ C. Backup & Pemulihan
- Backup fail & database dibuat secara automatik
- Backup disimpan luar server (contoh: Google Drive)
- Proses restore backup sudah diuji
✅ D. Konfigurasi Server
- SSL (HTTPS) dipasang & berfungsi
- Fail wp-config.php permissions 400 atau 440
- Matikan directory listing (
Options -Indexes) - Guna SFTP/SSH (bukan FTP biasa)
✅ E. Database
- Prefix database bukan
wp_ - Akaun MySQL hanya boleh akses dari localhost
- Database backup dibuat (bersama fail WordPress)
✅ F. Firewall & Imbasan Malware
- Wordfence / Sucuri / plugin firewall dipasang
- Imbasan malware dijalankan berkala
- Matikan XML-RPC jika tidak digunakan
✅ G. Tambahan (Opsyenal tetapi bagus)
- Tukar URL login (contoh:
/wp-login.phpjadi/masuk-saya) - Matikan REST API & XML-RPC jika tidak digunakan
- Fail
.htaccess&robots.txtsudah disemak (sekatan wajar) - Security headers ditetapkan (contoh: Content Security Policy)
✅ H. Laporan & Pemantauan
- Log aktiviti pengguna direkod (contoh: WP Activity Log)
- Email notifikasi sekuriti diaktifkan (contoh: Wordfence alert)
- Laman dipantau uptime (contoh: UptimeRobot)
Penutup
Dengan mengamalkan asas keselamatan WordPress ini, anda dapat mengurangkan risiko serangan dan memastikan laman kekal selamat, stabil dan dipercayai. Jangan tunggu laman diserang baru bertindak — audit dan kemas kini keselamatan laman anda secara berkala.
Jika anda mahukan panduan lanjut atau cara audit lebih mendalam, kami sedia membantu. Dapatkan khidmat nasihat percuma tentang keselamatan web anda di ProWebFix. ProWebFix telah banyak membantu usahawan dan syarikat tempatan untuk menguruskan web dan server mereka dengan aman dan selamat.
Selamat mengurus laman WordPress anda!