15 Cara Penting Mengamankan Situs Wordpress Anda Dari Serangan Hacker

WordPress adalah aplikasi blogging yang paling banyak digunakan dan berkat kerja keras komunitas yang terus berusaha meningkatkan kinerjanya, sekarang WordPress menjadi konten manajemen sistem (CMS / Content Management System) yang handal. Untuk alasan itulah, mungkin menjadi salah satu CMS yang paling sering untuk berusaha di bobol. Pada kasus tertentu, website yang menggunakan WordPress bisa menjadi sangat lambat tanpa adanya konfigurasi dan administrasi yang benar. Seperti yang telah kita ketahui sebelumnya, website yang menggunakan CMS instant seperti WordPress rentan terhadap hacking, malware, dan aktivitas cybercrime lainnya. Untuk itu, butuh pengamanan ekstra terhadap WordPress anda.

Berikut beberapa langkah untuk menambah sistem keamanan (security) WordPress :

1. Tidak Menggunakan Username “admin”.

Karena username “tertinggi” tersebut yang sebetulnya menjadi makanan empuk bagi para hacker. Ada baiknya menggunakan username dengan mengkombinasikan antara huruf dan angka. Misal : “u53r6w”. Terkesan 4L4Y bukan? Namun terkadang kita harus bersikap lebih bervariasi daripada para hacker.

2. Mengupdate ke Versi Terbaru.

Selalu mempunyai website yang terupdate, merupakan langkah bijak bagi para pengguna WordPress. Hal ini untuk menutup celah-celah (hole) yang dapat dimasuki oleh para hacker. Informasi update-an baru biasanya akan tersedia di website utama WordPress [http://wordpress.com/] atau halaman depan administrator (wp-admin).

3. Hapus File “readme.html”.

File “readme.html” berisi versi WordPress anda. Hapus saja file tersebut sesaat setelah anda melakukan upgrade WordPress.

4. Hapus File “install.php”.

File “wp-admin/install.php” hanya dipakai saat menginstall WordPress saja. Sudah tidak diperlukan lagi bila WordPress sudah berjalan. So, hapus juga file tersebut dari sistem WordPress.

5. Gunakan Password Yang Kuat.

Sekali lagi kita harus belajar menjadi manusia yang 4L4Y. Namun hal ini dapat membantu kita jika kekuatan password yang kita miliki maksimal. Bisa juga menggunakan http://strongpasswordgenerator.com/ untuk mendapatkan password yang kuat.

6. Lindungi File “wp-config.php”.

Kita harus membuat file ini tidak bisa diakses oleh siapapun juga. Mudah saja, tinggal masukkan kode ini di file “.htaccess” anda :



Lalu tambahkan kode berikut ini :

# PROTECT WP-CONFIG.PHP & WP-SETTINGS.PHP

Order deny,allow
deny from all

# STRONG HTACCESS PROTECTION

order allow,deny
deny from all
satisfy all

# DISABLE DIRECTORY BROWSING
Options All -Indexes

# PREVENT FOLDER LISTING
IndexIgnore *

# PROTECT AGAINST DOS ATTACKS BY LIMITING FILE UPLOAD SIZE
LimitRequestBody 10240000

7. Sembunyikan Pesan-pesan Error.

Tambahkan kode ini di file wp-config.php, tepat setelah kode <?php

ini_set("display_errors", 0);

error_reporting(0);

Fungsinya menyembunyikan pesan error dari pengunjung. Pesan error biasanya mengandung nama akun cpanel kita.

8. Blokir Folder “wp-xxxxxx”.

Kita tidak ingin folder-folder dalam system WordPress dijelajahi oleh siapapun. Jadi, masukkan kode ini di file “robot.txt” :



9. Hilangkan Versi WordPress.

Masukkan kode ini di file “functions.php” pada themes anda :



10. Ubah Table “Prefix”.

Cara ini cukup efektif, tapi memang agak susah terutama bila website sudah berjalan. Caranya adalah dengan membackup terlebihdahulu database anda. Dengan bantuan Notepad, lakukan “find and replace” dengan merubah setiap awalan “wp_” menjadi prefix lain misalnya “newp_”.

Setelah selesai, import SQL-nya ke phpmyadmin sehingga disana akan ada 2 macam tabel. Yaitu tabel dengan awalan “wp_” dan “newp_”.

Jika proses pengubahan selesai, kini tinggal mengganti table prefix yang ada di “wp-config.php”. Cari kode berikut :



Lalu ganti dengan table prefix “newp_”, maka kodenya menjadi seperti ini :



11. Sesuaikan CHMOD Permission.

Pastikan CHMOD permission pada file dan folder website anda telah sesuai dengan yang disarankan. biasanya permission untuk folder : 755, dan untuk file : 644.

12. Backup Secara Berkala.

Ada baiknya kita mempunyai backup secara berkala. Untuk akun hosting yang menggunakan cPanel, dapat membuat file backup melalui fitur backup yang disediakan oleh cPanel (cPanel->Backups). File backup biasanya berekstensikan .tar.gz, dapat diamankan / disimpan dengan mendownload file tersebut ke komputer pribadi anda. Sehingga jika sewaktu-waktu website anda terkena hack, anda dapat mengupload kembali file backup tersebut, kemudian me-request kepada pihak teknis untuk merestore file backup anda melalui Support Ticket.

13. Pasang Plugin Login Lock-Down

Pugin Login Lock-Down ini menggabungkan alamat IP dan daftar waktu dari setiap login yang gagal, jadi ketika sudah dideteksi sejumlah tindakan dalam waktu yang singkat dari range alamat IP yang sama, maka plugin ini akan menon-aktifkan semua permintaan dari IP tersebut. Hal ini tentunya dapat mencegah tindakan hacking secara Brute of Force.

14. Pasang Plugin Secure WordPress

Plugin ini akan membantu anda untuk mengamankan instalasi WordPress anda. Plugin ini akan membersihkan informasi kesalahan pada halaman login, menambahkan file index.html pada direktori plugin, menghapus wp-version kecuali pada halaman admin.

15. Pasang Plugin Wordpress Firewall 2

Wordpress Firewall 2 akan memblokir aneka cara exploit yang biasa digunakan hacker untuk menyusup. Tapi masalahnya kemudian plugin ini terlalu secure sehingga untuk mengedit themes, anda harus melakukannya di cpanel. Kalau anda coba di dashboard maka akan dianggap sebagai upaya exploit dan langsung di blokir.

———————————————————————————————————————————————————

Langkah-langkah di atas tidak menjamin website WordPress anda aman 100% dari hacker. Untuk lebih menyulitkan para hacker untuk masuk ke website anda, kami sarankan juga menggunakan password yang kuat pada cPanel hosting. Usahakan password pada cPanel dan wp-admin anda menggunakan password yang berbeda.

Semoga tutorial ini dapat membantu anda yang ingin selalu menjaga website tetap aman.