Tips menjaga dan melindungi keamanan wordpress
Tips menjaga dan melindungi keamanan wordpress, ya judul ini mungkin terasa agak bombastis tapi gak ada salahnya dicoba. Sebuah system keamanan memang gak ada yang sempurna. Di atas langit masih ada langit, bayangkan yang sudah super master aja seperti Google masih bisa kebobolan apalagi kita para newbie. Tapi apa lantas kita menyerah untuk terus mencari cara terbaik untuk melindungi blog kita dari ulah tangan-tangan usil dan iseng? Jawabannya pasti tidak. Untuk itu mari terus kita tingkatkan keamanan blog kita sembari berdoa tentunya semoga tidak ada yang iseng atau menjahili blog kesayangan kita.
Beberapa hal yang perlu kita lakukan yaitu :
1. Gunakan password yang kuat, gunakan plugin WP Security Scan untuk mengecek kekuatan password yang kita gunakan.
2. Segera update wordpress ke versi terbaru, karena jika masih menggunakan versi lama akan rentan terhadap serangan-serangan “tamu tak diundang”, penyusup atau para hacker lebih tepatnya mungkin cracker.
3. Menyembunyikan versi wordpress penjelasan dan caranya bisa dibaca di sini.
4. Mengganti username dan password admin account
Caranya buat user baru dan jadikan sebagai administrator, kemudian log in kembali dengan user baru dan hapus user admin. Atau dengan cara mengganti username dan password wordpress melalui PhpMyAdmin yang ada di Cpanel caranya ada di SINI.
5. Pindahkan File wp-config.php
Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress sejak WordPress 2.6. Caranya pindahkan file wp-config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya.
6. Gunakan Secret Keys
Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenkripsi secara lebih baik. Caranya gunakan online generator pada http://api.wordpress.org/secret-key/1.1/. Di sana akan terlihat 4 Secret Keys yang secara acak terbentuk. Copy Secret Keys tersebut kemudian buka file wp-config.php dan paste ke posisi di mana keempat Secret Keys ini diletakkan.
7. Rubah WordPress table prefix
Standar tabel prefix instalasi WordPress adalah ‘wp_’. Kita dapat merubah $table_prefix value pada file wp-config.php.
Tetapi bila kita menggantinya setelah menginstal WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer. Jangan lupa back up terlebih dahulu sebelum melakukannya.
8. .htaccess lockdown
Cara ini akan melindungi wp-admin direktori melalui .htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file .htaccess.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx
Ganti xxx dengan IP address kita. IP address dapat ditambahkan lebih dari satu dengan menambahkan IP address yang diperbolehkan mengakses wp-admin.
Cara ini khusus bagi pengguna WordPress dengan static IP address. Bila kita menggunakan koneksi internet dengan dynamic IP address, maka cara ini tolong diabaikan, bisa jadi anda malah tidak bisa mengapdet blog kesayangan.
9. Buat file .htaccess di dalam folder wp-admin dengan kode seperti ini :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
10. Sembunyikan Plugin yang defaultnya terletak pada http://domainanda.com/wp-content/plugins. Kenapa harus disembunyikan? Kalau gak diumpetin bisa dimanfaatkan para penyerang bila ada 404 error page. Caranya buat file .htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress
Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.html yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file .htaccess untuk melindungi direktori wp-admin, wp-includes dll anda bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.
Gunakan Plugin untuk menjaga keamanan wordpress di antaranya :
1. Limit Login Attempts
Plugin ini dapat melakukan blok terhadap user selama 20 menit setelah salah memasukan password sebanyak 4 kali (dapat di rubah manual). Hal ini menjadi jalan terbaik untuk mengatasi serangan berupa Brute Force. Download plugin limit login attempts.
2. WP Security Scan
Plugin ini menawarkan beberapa fitur ganda seperti file permission, menyembunyikan versi wordpress, database secutiry dan proteksi terhadap admin. Plugin juga dapat melakukan scanning terhadap direktory web dan memberi report menganai file permission yang seharusnya. Download plugin wp security scan.
3. Sabre
Fungsi plugin ini dapat menghentikan pendaftaran pengguna palsu yang dilakukan oleh bots. Plugin Sabre dapat menambahkan gambar verifikasi atau uji matematika untuk proses registrasi agar dapat memastikan pengguna yang sudah terdaftar tidak palsu.
4. Semisecure Login
Plugin ini berguna untuk meningkatkan keamanan dari proses login dengan menggunakan kunci publik untuk mengenkripsi password pada sisi klien.
5. Secure WordPress
Plugin ini akan menjaga dengan aman instalasi wordpress kita dengan sedikit fungsi bantuan. Dia dapat menyembunyikan informasi mengenai versi instalasi wordpress kita yaitu dengan :
- Menghapus kesalahan-informasi pada halaman login
- Menambahkan indeks.html ke-direktori plugin (virtual)
- Menghapus Really Simple Discovery
- Menghapus wp-versi, kecuali di daerah-admin
- Menghapus tema-update informasi bagi non-admin
- Menghapus Windows Live Writer
- Menambahkan string untuk digunakan WP Scanner
- Menghapus inti memperbarui informasi untuk non-admin
- Menghapus plugin-update informasi bagi non-admin
6. Bad Behavior
Plugin ini sebagai pemeriksa IP pengunjung terhadap Database Proyek Honey Pot untuk melihat apakah itu sebuah spammer. Jika berbahaya, IP dapat blok yang mengakses blog Anda.
Apalagi yaaa …. ada yang mau menambahkan … ??? biar lebih lengkap.
Info yang bermanfaat… :)
Reply
Lengkap abis tipsnya…disave dulu :-)
Reply
mantabh kang,, sangat lengkap,, tapi ane belum begitu ngerti mau mencoba melakukannya,, gimana donk!!1 :(
Reply
keren bgt,,ini yg saya cari,,barusan blog saya kena hack
Reply
kita coba 1 dulu kang…
Reply
Thank you for writing this it was used as a source for a paper I am currently writing for my thesis. Thanks
Reply
Keamanan memang harus yang no satu. pernah punya saudara di acak-acak…..
Reply
Thanks very much for sharing a lot of this great content! Looking forward to seeintg more!
Reply
Very educating blog, saved the blog for interest to see more!
Reply