Cara Tambah Security Headers WordPress (htaccess & Plugin)
Oleh
Dinda Fariz Alamsyah
Hai DomaiNesians! Kali ini kita akan membahas cara menambahkan Security Headers WordPress dengan dua metode yang paling sering digunakan, yaitu melalui file .htaccess pada layer server dan melalui plugin pada layer aplikasi. Panduan lengkap ini akan membantu meningkatkan keamanan website WordPress secara signifikan, sekaligus mendukung performa SEO yang lebih baik. Kita akan menelusuri langkah demi langkah agar prosesnya menjadi mudah diikuti.
Mengapa Butuh Security Headers?
Security Headers WordPress adalah kumpulan HTTP response headers yang dikirimkan oleh server ketika website diakses. Header-header ini berfungsi memberikan instruksi khusus kepada browser tentang bagaimana memperlakukan konten yang dimuat, sehingga dapat mencegah berbagai jenis serangan seperti clickjacking, XSS, MIME-type sniffing, dan lain sebagainya.
Keberadaan Security Headers WordPress sangat penting baik dari sisi keamanan maupun SEO. Dari sisi keamanan, header ini menjadi lapisan pertahanan tambahan yang cukup efektif. Dari sisi SEO, Google telah menyatakan bahwa website yang menggunakan HTTPS dan memiliki pengamanan yang baik akan mendapatkan sedikit keuntungan dalam peringkat pencarian.
Pada panduan ini, kita akan membahas dua pendekatan utama dalam menerapkan Security Headers WordPress, yaitu pada layer server melalui file .htaccess dan pada layer aplikasi melalui plugin WordPress. Kedua metode memiliki kelebihan dan kekurangan masing-masing yang akan dijelaskan secara rinci.
Bagi yang ingin merasakan WordPress dengan kecepatan tinggi dan optimasi maksimal, kita bisa memulai dengan WordPress Hosting dari DomaiNesia yang dibanderol mulai dari 25.000 Rupiah per bulan. Kunjungi langsung https://www.domainesia.com/hosting-wordpress/ untuk melihat detail paketnya.
Jika ada pertanyaan seputar penggunaan WordPress Hosting atau implementasi Security Headers WordPress, tim support DomaiNesia selalu siap membantu kapan saja.
Perbedaan Layer Server dan Aplikasi Pada Security Header
Pemasangan Security Headers WordPress dapat dilakukan pada dua layer yang berbeda, yaitu layer server dan layer aplikasi. Berikut perbedaan mendasar antara keduanya:
| Aspek | Layer Server (.htaccess) | Layer Aplikasi (Plugin) |
|---|---|---|
| Lokasi pemasangan | Langsung pada web server (Apache/Nginx) | Di dalam aplikasi WordPress |
| Kecepatan eksekusi | Lebih cepat karena sebelum PHP diproses | Lebih lambat karena setelah PHP |
| Efek pada performa | Tidak membebani PHP | Menambah beban proses PHP |
| Ketahanan | Tetap aktif meski plugin dinonaktifkan | Hilang jika plugin dinonaktifkan |
| Fleksibilitas | Tinggi, bisa sangat spesifik | Terbatas oleh fitur plugin |
| Rekomendasi keamanan | Sangat direkomendasikan | Hanya sebagai alternatif |
Kegunaan dan Resiko Jika Ada Security Headers
Berikut adalah beberapa skenario di mana Security Headers WordPress sangat berguna:
- Mencegah serangan clickjacking melalui header X-Frame-Options dan Content-Security-Policy
- Memaksa penggunaan HTTPS secara permanen dengan HSTS (HTTP Strict Transport Security)
- Mencegah XSS attack dengan X-XSS-Protection dan Content-Security-Policy
- Menghilangkan informasi server yang tidak perlu melalui penghapusan header Server dan X-Powered-By
- Mencegah MIME-type sniffing dengan X-Content-Type-Options nosniff
Berikut adalah risiko yang mungkin terjadi jika Security Headers WordPress tidak diatur dengan benar:
- Website rentan terhadap serangan clickjacking
- Pengunjung bisa mengakses versi HTTP meski HTTPS sudah tersedia
- Potensi XSS attack menjadi lebih tinggi
- Informasi teknologi server mudah diketahui oleh penyerang
- Browser dapat salah menginterpretasikan tipe konten yang dimuat
Panduan ini akan memberikan solusi lengkap untuk mengatasi semua skenario di atas dengan implementasi Security Headers WordPress yang tepat.
Melalui Layer Server (Metode htaccess)
Kita akan memulai dengan metode yang paling direkomendasikan, yaitu menambahkan Security Headers WordPress melalui file .htaccess pada layer server. Metode ini jauh lebih efisien dan aman karena header diterapkan sebelum proses PHP dimulai.
1. Akses Dashboard cPanel
Untuk memulai, kita perlu masuk ke dashboard cPanel terlebih dahulu. Pada contoh ini kita menggunakan layanan dari DomaiNesia, namun langkahnya hampir sama dengan provider lain.
Jika menggunakan shared hosting atau cloud hosting, cukup masuk ke member area DomaiNesia, pilih produk hosting yang aktif, kemudian klik tombol “Login to cPanel”.
Bagi yang menggunakan VPS, akses dapat dilakukan melalui https://IP_VPS:2083 dengan kredential yang telah diberikan. Perlu diingat bahwa tampilan cPanel pada VPS bisa sedikit berbeda tergantung pengaturan dari provider.
2. Akses File Manager
Setelah berhasil masuk ke cPanel, cari menu File Manager melalui kolom pencarian di bagian atas dashboard.
3. Akses File htaccess
Pada File Manager, klik tombol Settings di pojok kanan atas, kemudian centang opsi “Show Hidden Files (dotfiles)” dan simpan pengaturan.
File .htaccess biasanya berada di dalam folder public_html atau di dalam folder instalasi WordPress jika menggunakan subfolder.
4. Ubah dan Simpan htaccess
Klik kanan pada file .htaccess kemudian pilih Edit.
Klik tombol Edit pada jendela pop-up yang muncul.
Tambahkan kode Security Headers WordPress berikut ini tepat setelah baris “# END WordPress”:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# Security headers <IfModule mod_headers.c> Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS Header set X-XSS-Protection "0" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "SAMEORIGIN" Header always set Referrer-Policy "strict-origin-when-cross-origin" Header always set Permissions-Policy "accelerometer=(), autoplay=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=(), xr-spatial-tracking=()" Header set Content-Security-Policy "default-src 'self'; base-uri 'self'; frame-ancestors 'self'; object-src 'none'; frame-src 'none'; upgrade-insecure-requests;" Header always unset X-Powered-By Header always unset Server </IfModule> # END of Security headers |
Setelah selesai, klik tombol Save Changes di pojok kanan atas.
Melalui Layer Aplikasi (Metode Plugin Redirection)
Sebagai alternatif, kita juga bisa menambahkan Security Headers WordPress melalui plugin. Meskipun tidak direkomendasikan sebagai metode utama karena alasan performa dan keamanan, plugin Redirection tetap bisa menjadi solusi sementara.
1. Akses Dashboard Admin WordPress
Masuk ke dashboard admin WordPress dengan menambahkan /wp-admin pada URL website.
2. Unduh Plugin Redirection
Pada menu sebelah kiri, pilih Plugins kemudian klik Add New.
Ketik “Redirection” pada kolom pencarian, kemudian klik Install Now pada plugin yang dikembangkan oleh John Godley.
3. Akses Plugin
Setelah proses instalasi selesai, klik tombol Activate.
Kemudian pada daftar plugin, klik Settings pada plugin Redirection.
4. Pengaturan Awal
Pada halaman Basic Setup, klik Start Setup.
Centang dua opsi yang tersedia kemudian klik Continue.
Lewati proses import dengan klik Continue.
Tunggu hingga status REST API menjadi Good, kemudian klik Finish Setup
Klik Continue pada halaman selanjutnya.
Terakhir, klik Ready to begin!.
5. Ubah Nilai HTTP Headers
Pindah ke tab Site pada menu Redirection.
Pada bagian HTTP Headers, tambahkan semua header yang sama seperti pada metode .htaccess sebelumnya.
Simpan perubahan dengan klik tombol Update.
Uji Security Headers
Untuk memastikan Security Headers WordPress sudah bekerja dengan baik, kita bisa melakukan pengujian melalui website securityheaders.com.
Masukkan URL website kemudian centang Hide Results dan Follow Redirects, lalu klik Scan. Hasil scan akan menampilkan nilai dari A+ hingga F. Nilai A atau A+ menandakan konfigurasi Security Headers WordPress sudah sangat baik.
Nilai Security Headers WordPress Sempurna!
Selamat DomaiNesians! Kita telah berhasil menambahkan Security Headers WordPress dengan dua metode yang berbeda. Dengan implementasi yang tepat, website WordPress kini memiliki lapisan keamanan yang jauh lebih kuat terhadap berbagai jenis serangan umum.
Keamanan website adalah proses berkelanjutan. Pastikan untuk selalu memperbarui WordPress, theme, dan plugin secara rutin. Sampai jumpa di artikel dan panduan DomaiNesia berikutnya!
Dinda Fariz Alamsyah
Hanya seseorang yang suka otak-atik IT dan mengolah data, lagi tertarik soal AI
