Tips Menjaga Dan Melindungi Keamanan WordPress
Tips menjaga dan melindungi keamanan wordpress, ya judul ini mungkin terasa agak bombastis tapi gak ada salahnya dicoba. Sebuah system keamanan memang gak ada yang sempurna. Di atas langit masih ada langit, bayangkan yang sudah super master aja seperti Google masih bisa kebobolan apalagi kita para newbie. Tapi apa lantas kita menyerah untuk terus mencari cara terbaik untuk melindungi blog kita dari ulah tangan-tangan usil dan iseng? Jawabannya pasti tidak. Untuk itu mari terus kita tingkatkan keamanan blog kita sembari berdoa tentunya semoga tidak ada yang iseng atau menjahili blog kesayangan kita.
Beberapa hal yang perlu kita lakukan yaitu :
1. Gunakan password yang kuat, anda bisa menggunakan plugin WP Security Scan untuk mengecek kekuatan password yang kita gunakan atau bisa memanfaatkan tool online yang banyak bertebaran, silahkan googling aja.
2. Segera update wordpress ke versi terbaru, karena jika masih menggunakan versi lama akan rentan terhadap serangan-serangan “tamu tak diundang”, penyusup atau para hacker lebih tepatnya mungkin cracker.
3. Menyembunyikan versi wordpress penjelasan dan caranya bisa dibaca di postingan ini : cara menyembunyikan versi wordpress.
4. Mengganti username dan password admin account
Caranya buat user baru dan jadikan sebagai administrator, kemudian log in kembali dengan user baru dan hapus user admin. Atau dengan cara mengganti username dan password wordpress melalui PhpMyAdmin yang ada di Cpanel caranya ada di postingan ini : Cara mengganti username dan password wordpress.
5. Pindahkan File wp-config.php
Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress sejak WordPress 2.6. Caranya pindahkan file wp-config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya. Cara ini diasumsikan jika anda menginstall wordpress di direktori tersendiri misalnya /public_html/wordpress dan bukan di root direktori hosting /public_html.
6. Gunakan Secret Keys
Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenskripsi secara lebih baik. Caranya gunakan online generator pada http://api.wordpress.org/secret-key/1.1/. Di sana akan terlihat 4 Secret Keys yang secara acak terbentuk. Copy Secret Keys tersebut kemudian buka file wp-config.php dan paste ke posisi di mana keempat Secret Keys ini diletakkan.
Update :
WordPress saat ini sudah menggunakan 8 Secret Keys, untuk info detailnya bisa dibaca di postingan ini : Optimasi Secret Key pada file wp-config.php
7. Ganti WordPress table prefix default
Standar tabel prefix instalasi WordPress adalah ‘wp_’. Kita dapat mengganti $table_prefix value pada file wp-config.php.
Tetapi bila kita menggantinya setelah menginstall WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer, atau bisa dengan perintah SQL pada database melalui PhpMyAdmin. Jangan lupa back up terlebih dahulu sebelum melakukannya.
8. .htaccess lockdown
Cara ini akan melindungi wp-admin direktori melalui .htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file .htaccess.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx
Ganti xxx dengan IP address kita. IP address dapat ditambahkan lebih dari satu dengan menambahkan IP address yang diperbolehkan mengakses wp-admin.
Cara ini khusus bagi pengguna WordPress dengan static IP address. Bila kita menggunakan koneksi internet dengan dynamic IP address, maka cara ini tolong diabaikan, bisa jadi anda malah tidak bisa mengapdet blog kesayangan.
9. Buat file .htaccess di dalam folder wp-admin dengan kode seperti ini :
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress
10. Sembunyikan Plugin yang defaultnya terletak pada http://domainanda.com/wp-content/plugins. Kenapa harus disembunyikan? Kalau gak diumpetin bisa dimanfaatkan para penyerang bila ada 404 error page. Caranya buat file .htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini :
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # Prevents directory listing IndexIgnore * # END WordPress
Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.php yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file .htaccess untuk melindungi direktori wp-admin, wp-includes dll anda bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.
11. Private Login
Default URL untuk login ke WordPress adalah http://domain.com/wp-login.php atau http://domain.com/wp-admin yang nantinya akan diredirect ke http://domain.com/wp-login.php. Untuk lebih meningkatkan keamanan wordpress, anda bisa mengganti wp-login.php dengan nama lain sesuai selera, caranya silahkan baca postingan teman saya Kang Jhezer di postingan ini : Private Login.
12. Lindungi File .httaccess
Untuk melindungi file .httaccess caranya tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# STRONG HTACCESS PROTECTION <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
13. Lindungi file wp-config.php dan wp-settings.php
Untuk melindungi file wp-config.php caranya tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# protect wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Untuk melindungi file wp-config dan wp-settings.php sekaligus tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# protect wp-config.php & wp-settings.php <FilesMatch "(wp-config|wp-settings)\.php$"> Order deny, allow deny from all </FilesMatch>
14. Gunakan SSL Encryption
SSL Encryption digunakan untuk mengenkripsi kiriman data blog sehingga data akun seperti username, password dll akan lebih aman. Untuk menerapkan SSL Encryption pada blog WordPress anda hanya perlu menambahkan script berikut ini pada pada file wp-config.php yang ada di root direktori hosting :
define ('FORCE_SSL_ADMIN', true);
Gunakan Plugin untuk menjaga keamanan wordpress di antaranya :
1.Limit Login Attempts
Plugin ini dapat melakukan blok terhadap user selama 20 menit setelah salah memasukan password sebanyak 4 kali (dapat di setting manual). Hal ini akan menjadi jalan terbaik untuk mengatasi serangan berupa Brute Force. Download plugin limit login attempts.
2. WP Security Scan
Plugin ini menawarkan beberapa fitur ganda seperti file permission, menyembunyikan versi wordpress, database security dan proteksi terhadap admin area. Plugin ini juga dapat melakukan scanning terhadap direktory web dan memberi report menganai file permission yang seharusnya. Download plugin wp security scan.
3. Sabre
Fungsi plugin ini dapat menghentikan pendaftaran pengguna palsu yang dilakukan oleh bots. Plugin Sabre dapat menambahkan gambar verifikasi atau uji matematika untuk proses registrasi agar dapat memastikan pengguna yang sudah terdaftar tidak palsu.
4. Semisecure Login
Plugin ini berguna untuk meningkatkan keamanan dari proses login dengan menggunakan kunci publik untuk mengenkripsi password pada sisi klien.
5. Secure WordPress
Plugin ini akan menjaga dengan aman instalasi wordpress kita dengan sedikit fungsi bantuan. Dia dapat menyembunyikan informasi mengenai versi instalasi wordpress kita yaitu dengan :
- Menghapus kesalahan-informasi pada halaman login
- Menambahkan indeks.html ke-direktori plugin (virtual)
- Menghapus Really Simple Discovery
- Menghapus wp-versi, kecuali di daerah-admin
- Menghapus tema-update informasi bagi non-admin
- Menghapus Windows Live Writer
- Menambahkan string untuk digunakan WP Scanner
- Menghapus inti memperbarui informasi untuk non-admin
- Menghapus plugin-update informasi bagi non-admin
6. Bad Behavior
Plugin ini sebagai pemeriksa IP pengunjung terhadap Database Proyek Honey Pot untuk melihat apakah itu sebuah spammer. Jika berbahaya, IP tersebut dapat diblokir untuk mengakses blog Anda.
Dan masih banyak lagi cara lainnya, apalagi yaaa …. ada yang mau menambahkan … ??? biar lebih lengkap.
I enjoyed the article and thanks recompense posting such valuable info seeing that all of us to be au fait, I engender less it both effective and educative and I become in the pudding club with to apprehend it as commonly as I can.
Reply
Nek nyang kene, aku kudu mandheg sik, nyimak ilmune mas Alwi Sihab. Suwun ya mas, tak kopas ya mas? Dadi macane nggereng eh bisa katok. :lol:
Reply
kadek Reply:4-02-2010 at 21:45
salam kenal sebelunya mas sebelum saya memberi komen di blog ini.
oya saya hanya bisa menyimak saja artikel mas yang membahas tentang wordpress dan akan saya simpan di hardisk saya siapa tau suatu saat saya butuh, karena sekarang baru bisa ngeblog dengan blogspot.
Reply
Alwi Reply:4-02-2010 at 22:56
@kadek : Ok dech … dilanjut salam kenal juga … thank yaa…
Reply
KangBoed Reply:12-02-2010 at 08:28
pertamaaaaaaaaaaaaaaaaaaxz
Assalamualaikum Kang Alwi!!
Semoga sehat sejahtera dilimpahkan kemurahan rizki dari Allah selalu. tadi kok sempar ada tulisannya server not estabilish ya aku F5 beberapa kali baru masuk, btw Alhamdulillah bisa menelurkan koemntar di blog manis ini
salam hangat selalu
Reply
Alwi Reply:4-02-2010 at 22:58
Dari server hostingannya kadang begitu, kalau pas overload tp sy senang kecekatan layanannya kalau pas ada gangguan.
Thank do’anya, aminnn. Semoga sehat sejahtera juga tuk ruang hati yg senang berbagi
Reply
Salam silaturahim dari Lereng Muria untuk Om Alwi ter-emPIISSSSS :oke:
berkunjung kembali sambil berharap bisa nempelin stiker pertamaaxxsss dan nyodok keatas :lol:
Reply
Alwi Reply:4-02-2010 at 22:59
Monggo ditempelin stikernya …
Reply
Salam Takzim
Kunjungan siang kang, semoga berkenan
Salam Takzim Batavusqu
Reply
Alwi Reply:4-02-2010 at 23:01
Salam Takzim juga …. sukses dg blog barunya
Reply
hadooohh…. blom kluar pertamaaaxxss-e :(
Reply
wah mantaps neh trik mengamankan wordpress nya
secara celah keamanan WP memang terbuka lebar …
btw, yg secret key saya mash blom ngerti ?!?
kan udah muncul di generate, trus saya kopi
nah maksudnya “paste ke posisi di mana keempat Secret Keys ini diletakkan” gmn tuch !?
Reply
Alwi Reply:4-02-2010 at 16:50
Kalau saya keempat Secret Keys lama tak replace dengan keempat Secret Keys yang baru khawatir yg lama bisa kebaca hacker (untuk jaga2).
A secret key is a hashing salt which makes your site harder to hack and access harder to crack by adding random elements to the password.
In simple terms, a secret key is a password with elements that make it harder to generate enough options to break through your security barriers. A password like “password” or “test” is simple and easily broken. A random, unpredictable password such as “88a7da62429ba6ad3cb3c76a09641fc” takes years to come up with the right combination.
Reply
Sangat bermanfaat, pengetahuan baru bagi saya. terima kasih.
Piss
Reply
wah terimakasih atas tipsnya … dapat ilmu baru lagi nih… bisa buat jaga-jaga…. (mencegah lebih baik daripada mengobati)…
Salam persahabatan dari saya Di Kalimantan Tengah.
Reply
Alwi Reply:4-02-2010 at 23:01
Salam juga dari Jakarta untuk yang di Kalteng
Reply
Assalamualaikum Kang Alwi!!
Semoga sehat sejahtera dilimpahkan kemurahan rizki dari Allah SWT
Salam hangat dari Soppeng
Reply
Bang Iwan Reply:4-02-2010 at 18:53
mampir membaca tutorial sekaligus belajar dan menambah perbendaharaan ilmu tentang WP.
makasih banyak Kang
Reply
Alwi Reply:4-02-2010 at 23:03
Sama2, makasih do’anya … sukses juuga tuk Bang Iwan …
Reply