Widget HTML Atas

Sembilan Tips Penting Untuk Mengamankan WordPress

Sebuah situs/blog khususnya yang memakai engine wordpress, acapkali menerima serangan-serangan dari seorang hacker cracker. Seorang cracker mempunyai berbagai macam alasan untuk menyerang dan merusak (deface) sebuah situs, entah itu karena faktor dendam, nasionalis (cinta negara), materi, ataupun hanya untuk kesenangan semata.


Sembilan Tips Penting Untuk Mengamankan WordPress site

Seperti pengguna WordPress lainnya, kita juga harus mewaspadai hal ini. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statement tersebut hanya berangkat dari kemalasan narablog itu sendiri.

Ada beberapa tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.


9 Tips Mengamankan WordPress

SEGERA UPGRADE VERSI WORDPRESS KITA DENGAN VERSI YANG TERBARU.

Kenapa wordpress selalu mengeluarkan versi baru dalam selang waktu yang berdekatan? Karena wordpress merupakan platform blog yang sudah populer. Ribuan atau bahkan jutaan orang telah menggunakan wordpress sebagai salah salah satu sofware blog favorit. Dengan kepopulerannya, maka banyak pula cracker-cracker yang ingin membobol keamanannya.

Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi narablog yang pemalas.


HAPUS ATAU SEMBUNYIKAN VERSI WORDPRESS

Ketika akan membobol sebuah blog WordPress, seorang cracker biasanya akan mencari tahu versi dari engine wordpress yang kita pakai. Alasannya mudah saja, yaitu versi wordpress yang lama pasti lebih mudah untuk dibobol daripada versi terbaru. Tips ini mungkin cocok bagi pengguna wordpress dengan versi yang lama.

Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php

Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan snippet berikut:

< ?php remove_action('wp_header', 'wp_generator'); ?>


UBAH USERNAME LOGIN

Ketika kita menginstall wordpress, secara default, wordpress akan memberikan username dengan nama “admin“. Username ini tidak bisa diubah dengan cara biasa. Namun ada plugin yang dapat kita gunakan untuk mengubah username “admin” dengan username yang kita inginkan, yaitu dengan mengguanakan plugin wpvn username changer.

PILIH PASSWORD LOGIN YANG SUKAR DITEBAK

Jangan gunakan kata-kata yang mudah ditebak, seperti nama sendiri, tanggal lahir, nama suami/istri, dan lain-lain. Hindarilah menggunakan password dengan jumlah karakter yang sedikit. Bila perlu, kombinasikan karakter huruf dan angka berselang-seling. Tapi sebelumnya pastikan dulu bahwa anda telah benar-benar menghapalnya.


LINDUNGI DIREKTORI (FOLDER) YANG ADA DI DIREKTORI WP-CONTENT

Hal ini perlu dilakukan untuk menghindari seseorang melihat isi dari direktori plugins dan themes. Saya pernah mengalami kebobolan pada direktori themes yang mengakibatkan seseorang dapat mengambil dengan tanpa izin file-file backup dari theme-theme yang saya gunakan.

Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.

Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:

MAU NGAPAIN LU, MONYET?!

Dilarang buka-buka direktori tanpa izin sang empunya blog. Dosa tau...!!!



LINDUNGI FILE WP-CONFIG.PHP

File wp-config.php terletak di direktori utama blog kita. Di file tersebut terdapat username dan password untuk mengakses database. Jika seorang cracker mampu untuk membuka dan membaca file wp-config.php tersebut, maka yang terjadi ia dapat merusak database yang kita miliki.

Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan snippet berikut pada file .htaccess:

# protect wpconfig.php
order allow,deny from all

dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun.


BATASI JUMLAH AKSES LOGIN

Seorang cracker biasanya akan mencoba-coba menebak username dan password login blog kita. Mereka (yang biasanya masih pemula) akan terus mencoba login berkali-kali. Untuk mengantisipasi hal-hal yang tidak diinginkan, sebaiknya kita membatasi jumlah login. Dengan begitu jika ada orang yang berusaha untuk login, dan dan kita membatasi jumlah akses login untuk jumlah tertentu, maka orang aneh itu tidak akan dapat login lagi. Ada plugin bagus untuk membatasi jumlah akses login, yaitu plugin Login LockDown.


BATASI AKSES DIREKTORI WP-ADMIN UNTUK ALAMAT IP TERTENTU SAJA

Kita dapat membatasi akses login untuk alamat IP (internet protocol) tertentu dengan menggunakan .htaccess. Tambahkan kode berikut pada file .htaccess:

# batasi akses wpadmin utk alamat IP tertentu
order deny, allow
allow from 127.0.0.1
deny from all

Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.

Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.


INSTALL PLUGIN WP SECURITY SCAN

Plugin WP Security Scan berfungsi untuk memindai (scaning) instalasi wordpress yang kita gunakan untuk mendeteksi kemungkinan adanya celah-celah keamanan yang tidak terproteksi. Jika terdapat celah keamanan yang belum kita perbaiki, maka plugin ini akan mendeteksinya dan memberikan peringatan beserta solusi untuk kita lakukan. It’s extremly usefull and recommended plugin.
Bynix
Bynix Saya hanyalah blogger pemula yang ingin sukses didunia blogging

Berlangganan via Email