Seperti halnya yang telah kita ketahui bersama, bahwasanya tidak ada sistem yang sangat ampuh dan seratus persen aman. Tak beda dengan CMS WordPress, meskipun telah banyak pengembangan, akan tetapi tetap saja ada celah yang bisa dimasuki oleh dedemit maya melakukan aksinya. Nah, bagaimana sih supaya agar Mesin WordPress kita aman? Berikut adalah solusinya...
1. Gunakan password yang kuat, anda bisa menggunakan plugin WP Security Scan untuk mengecek kekuatan password yang kita gunakan atau bisa memanfaatkan tool online yang banyak bertebaran, silahkan googling aja. Kombinasi password juga sangat penting, seperti adanya kombinasi antara huruf, angka dan simbol. Contoh: @1l0veu#
1. Gunakan password yang kuat, anda bisa menggunakan plugin WP Security Scan untuk mengecek kekuatan password yang kita gunakan atau bisa memanfaatkan tool online yang banyak bertebaran, silahkan googling aja. Kombinasi password juga sangat penting, seperti adanya kombinasi antara huruf, angka dan simbol. Contoh: @1l0veu#
2. Segera update wordpress ke versi terbaru, karena jika masih menggunakan versi lama akan rentan terhadap serangan-serangan “tamu tak diundang”, penyusup atau para hacker lebih tepatnya mungkin cracker. Periksa setiap bulannya untuk melakukan update baik itu untuk mesin WordPress, theme, dan juga pluginnya.
3. Menyembunyikan versi wordpress Mayoritas penyusup mencari tahu terlebih dahulu versi berapa WordPress yang Anda gunakan. Nah, dari sinilah penyusup bisa menginjeksi website Anda. Cara untuk menyembunyikan versi WordPress sangat mudah, nanti Insya Allah akan saya posting lain waktu.
4. Mengganti username dan password admin account
Caranya buat user baru dan jadikan sebagai administrator, kemudian log in kembali dengan user baru dan hapus user admin. Atau dengan cara mengganti username dan password wordpress melalui PhpMyAdmin yang ada di Cpanel.
5. Pindahkan File wp-config.php
Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress sejak WordPress 2.6. Caranya pindahkan file wp-config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya. Cara ini diasumsikan jika anda menginstall wordpress di direktori tersendiri misalnya /public_html/wordpress dan bukan di root direktori hosting /public_html.
6. Gunakan Secret Keys
Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenskripsi secara lebih baik. Caranya gunakan online generator pada http://api.wordpress.org/secret-key/1.1/. Copy Secret Keys tersebut kemudian buka file wp-config.php
7. Ganti WordPress table prefix default
Standar tabel prefix instalasi WordPress adalah ‘wp_’. Kita dapat mengganti $table_prefix value pada file wp-config.php. Tetapi bila kita menggantinya setelah menginstall WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer, atau bisa dengan perintah SQL pada database melalui PhpMyAdmin. Jangan lupa back up terlebih dahulu sebelum melakukannya. :D
8. .htaccess lockdown
Cara ini akan melindungi wp-admin direktori melalui .htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file .htaccess.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx
Ganti xxx dengan IP address kita. IP address dapat ditambahkan lebih dari satu dengan menambahkan IP address yang diperbolehkan mengakses wp-admin.
Cara ini khusus bagi pengguna WordPress dengan static IP address. Bila kita menggunakan koneksi internet dengan dynamic IP address, maka cara ini tolong diabaikan, bisa jadi anda malah tidak bisa mengupdate blog.
9. Buat file .htaccess di dalam folder wp-admin dengan kode seperti ini :
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress
10. Sembunyikan Plugin yang defaultnya terletak pada http://domainanda.com/wp-content/plugins. Kenapa harus disembunyikan? Kalau gak diumpetin bisa dimanfaatkan para penyerang bila ada 404 error page. Caranya buat file .htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini :
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # Prevents directory listing IndexIgnore * # END WordPress
Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.php yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file .htaccess untuk melindungi direktori wp-admin, wp-includes dll anda bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.
11. Private Login
Default URL untuk login ke WordPress adalah http://domain.com/wp-login.php atau http://domain.com/wp-admin yang nantinya akan diredirect ke http://domain.com/wp-login.php. Untuk lebih meningkatkan keamanan wordpress, anda bisa mengganti wp-login.php dengan nama lain sesuai selera, caranya silahkan baca postingan Kang Jhezer di postingan ini : Private Login.
12. Lindungi File .httaccess
Untuk melindungi file .httaccess caranya tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# STRONG HTACCESS PROTECTION <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>13. Lindungi file wp-config.php dan wp-settings.php
Untuk melindungi file wp-config.php caranya tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# protect wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Untuk melindungi file wp-config dan wp-settings.php sekaligus tambahkan kode berikut ini di dalam file .httaccess yang ada di root direktori WordPress.
# protect wp-config.php & wp-settings.php <FilesMatch "(wp-config|wp-settings)\.php$"> Order deny, allow deny from all </FilesMatch>
14. Setelah langkah-langkah diatas, jangan lupa untuk berdo'a. Doa terkadang bisa menjaga kita dari hal-hal buruk. Kalaupun hal buruk itu terjadi, tentu hal demikian tidak selamanya buruk. Ada saja hikmah yang bisa kita peroleh.
Demikianlah tips-tips menjaga keamanan mesin WordPress Anda, semoga bermanfaat. :D
Demikianlah tips-tips menjaga keamanan mesin WordPress Anda, semoga bermanfaat. :D
ref: http://m-alwi.com
5 komentar:
Hadooh... harus repot gini? tapi yang paling ampuh sebenarnya adalah point 14. Ini mungkin namanya .htaccess langit
setuju gan...
^_^
kalau saya biar lah Allah yang menjaga blog saya, soalnya saya belum bgt ngerti wp,jadi g berani ngutak ngatik
Hem..
Hehehe...
semua perlindungan kepada Allah SWT, tapi bukan berarti harus diam aja lah ada bentuk gerak ato usaha dilakukan man....tapi menarik ini tips, walapaun membinggungkan krn kasih ini dan itu..thanks for tips
Posting Komentar