Anda merupakan salah satu dari jutaan blogger pengguna WordPress?
Jika jawabannya adalah “YA”, maka tips dan trick berikut ini semoga
membantu anda untuk meningkatkan keamanan (security) blog anda yang
berbasis self-hosted WordPress.
Tentunya akan
sangat menyakitkan jika blog anda kena hack oleh orang-orang yang tidak
bertanggung jawab yang menganggap diri mereka hacker meskipun tidak
semua hacker kelewat iseng.
Beberapa tips dan trik berikut ini diharapkan akan memperkuat installasi WordPress di hosting anda.
Disclaimer:
Mengikuti, menerapkan, dan menggunakan cara di bawah ini tidak menjamin
keamanan blog anda 100%. Ya setidaknya 99% lah. Logikanya begini, jika
yang sudah ditingkatkan keamanannya saja cuma 99%, apalagi yang standard
dan tidak diapa-apain? 50% atau 10%? Meski demikian, kami juga tidak
bertanggung jawab atas segala potensi kesalahan yang terjadi. So,
proceed with caution.
Yang Paling Utama
Adalah untuk selalu menggunakan WordPress versi terbaru berikut
plugin dan theme yang anda pakai. Jangan remehkan plugin dan theme yang
tidak aktif (disabled), jadi selalu update semua. Gunakan plugin “WP
Notified” yang akan memberi tahu anda setiap ada Plugin, Theme dan versi
terbaru WordPress dirilis. Download
di sini.
1. Gunakan Email Untuk Login
Rata-rata (tidak semua), saat WordPress diinstall untuk
pertamakalinya, nama akun yang sering dipakai adalah “admin”. Tentunya
hal tersebut sangatlah mudah ditebak bukan? Nah solusinya: 1. Hapus user
“admin” 2. Rubah role “admin” dari Administrator menjadi “Subscriber”.
Selain itu, ada baiknya anda menggunakan username yang lebih kompleks
dan susah ditebak. Selain itu, menggunakan alamat email sebagai
username saat login sangbatlah membantu. Caranya, cukup install plugin
“WP Email Login” yang bisa diunduh
di sini.
2. Jangan Tampilkan Versi WordPress Yang Anda Pakai
Umumnya, WordPress akan menampilkan versi berapa yang anda pakai
untuk blog anda. Sayangnya, hal tersebut juga merupakan salah satu celah
keamanan pertama yang akan dilirik. Jadi harus bagaimana donk?
Tambahkan kode berikut di file functions.php theme blog anda:
remove_action('wp_head', 'wp_generator');
function blank_version() {
return '';
}
add_filter('the_generator','blank_version');
?>
Selain itu, hapus juga file readme.html yang berada di folder installasi WordPress anda.
3. Cegah “Write” Permission Di Folder Hosting
Caranya cukup mudah koq, login ke “Shell” atau akses hosting anda
melalui SSH (di HostCantik bisa diaktifkan by request), kemudian
eksekusi kode berikut ini:
find . -type d -perm -o=w
Perintah di atas berguna untuk menampilkan semua “open” directory
dimana siapapun bisa melakukan perubahan terhadap file di hosting anda /
write.
Kemudian jalankan perintah berikut juga:
find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
Permission 755 (rwxr-xr-x):
Artinya hanya sang pemilik (anda) yang bisa melakukan baca dan eksekusi file.
Permission 644 (rw-r–r–):
Artinya sang pemilik (anda) bisa melakukan baca tulis file, selain
pemilik hanya bisa baca file tersebut (tanpa bisa melakukan perubahan).
4. Rename Prefix Tabulasi Database WordPress
Saat anda melakukan installasi WordPress, pengaturan default yang
digunakan sebagai prefix (awalan) nama tabulasi di database adalah
“wp_”. Biar lebih aman, sebenarnya bisa juga koq mengganti “wp_” dengan
prefix apapun yang anda mau misalnya “wpxx_”. Lalu bagaimana kalau
WordPress sudah terlanjur terinstall menggunakan setingan default?
Gunakan saja plugin “Change DB Prefix” yang bisa diunduh
di sini.
5. Cegah Orang Lain Mengakses Semua Directory Blog Anda
Caranya cukup tambahkan file index.html kosong disetiap directory atau cukup tambahkan kode berikut di file .htaccess anda:
Options -Indexes
Tambahkan di bagian paling atas ya..
6. Update WordPress Security Keys
Jika anda menginstall WordPress menggunakan Fantastico atau
Softaculous, Security Keys akan digenerate secara acak dan otomatis (biasanya, tapi coba cek ulang).
Security Keys ini sering juga disebut sebagai WordPress Salt yang
sangat berguna agar WordPress dapat menyimpan password lebih aman.
Tapi jika anda menginstall WordPress secara manual: download filenya,
upload ke hosting, extract, edit wp-config.php lalu install, maka ada
baiknya anda menambahkannya secara manual. Login ke cPanel, buka File
Manager lalu edit file wp-config.php dan tambahkan “salt”-nya. Kunjungi
link berikut untuk mendapatkan kode acak “salt” yang bisa langsung anda pakai.
7. Selalu Rekam WordPress PHP dan Database errors
Hal ini dimaksudkan agar anda selalu waspada dan tahu akan invalid
database queries dan file requests yang terjadi di blog anda. Tentu
nantinya rekam data tersebut berguna untuk mencari petunjuk tentang apa
yang salah sehingga blog anda rentan. Caranya, cukup nstall dan gunakan
plugin “Error Log Monitor” yang bisa diunduh
di sini.
8. Selalu Proteksi Setiap Login ke Dashboard
Memproteksi Admin Dashboard dari blog anda adalah suatu hal yang
sangat penting dan berguna karena tidak ada satupun file di folder
wp-admin tersebut yang ditujukan untuk umum. Selain itu batasi berapa
banyak percobaan login yang diperbolehkan, artinya jika ada orang iseng
yang coba menebak-nebak username dan password login blog anda, dia akan
otomatis terblokir setelah sekian “x” kali percobaan. Caranya, cukup
install plugin “Login LockDown” yang bisa diunduh gratis
di sini.
9. Selalu Monitor Aktifitas Login Di Hosting Blog Anda
Jika anda punya akses melalui SSH, gunakan perintah berikut ini:
last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c
ganti USERNAME dengan username anda di cPanel / server anda ya.. dan
jika anda melihat ada aktifitas login yang mencurigakan (misalnya IP
yang tidak anda kenali), berarti saatnya anda ganti password cPanel /
server anda.
10. Scan Blog Anda Dari Bahaya Exploit
Ada sebagian yang bertanya, kenapa blog saya bisa kena hacked. Apakah
pihak hosting tidak punya antivirus canggih yang bisa mendeteksi virus,
trojan, malware, backdoor, dsb. Sebenatnya bukan disitu masalahnya,
seringkali proses hacking / defacing terjadi karena memanfaatkan adanya
kelemahan celah kemamanan dari sebuag script. Adanya celah kemananan
(bugs) yang bisa dieksploitasi itulah alasan kenapa si pembuat script
mengeluarkan rilis update terbaru. Dan hal tersebut berlaku untuk
WordPress sendiri, Plugin dan semua Theme yang anda pakai.
Ingat, plugin dan theme yang tidak anda pakai (inactive/disable)
bukan berarti tidak wajib diupdate. Saran saya, jika tidak dipakai di
hapus saja atau kalau tidak mau dihapus ya sering-sering update, meski
tidak active.
Selain itu, sangat disarankan untuk menggunakan plugin “Exploit Scanner” yang bisa diunduh gratis
di sini. Plugin tersebut akan melakukan scanning semua file yang ada di installasi WordPress di hosting anda.
11. Install Firewall Dan Virus Scanner
Mungkin anda tidak pernah mengira bahwa ternyata ada plugin gratisan
yang bisa anda pakai dan berfungsi sebagai Firewall, Virus Scanner, dan
Malicious URL Scanning dan sebagainya. Plugin tersebut adalah “Wordfence
Security” yang bisa anda download gratis
di sini.
12. Awasi Setiap Perubahan File
Ada juga baiknya jika anda selalu rajin mengawasi / monitor
perubahan-perubahan yang terjadi pada semua file di blog anda. Dalam
artian anda harus tahu apabila ada file baru ditambahkan (upload), yang
dihapus, atau yang berubah (edited). Sebaiknya anda patut curiga jika
ada file yang berubah. Untuk mempermudah anda dalam melakukan
monitoring, download dan gunakan plugin “WordPress Sentinel”
dari sini.
13. Deteksi Dini Injeksi Kode Di Theme Blog
Yang juga sering terjadi adalah adanya hidden link yang terinjeksi
(code injection) di dalam theme WordPress anda. Sering kali backlink
ghoib alias hidden link yang sebenarnya kurang berbahaya tetapi sangat
mengganggu dari sisi SEO.
Untuk itu, install juga plugin “VIP Scanner” yang bisa diunduh secara gratis
di sini.
14. Tingkatkan Level Keamanan Halaman Login
Siapapun bisa mengakses halaman login blog anda dengan mudah. Cukup
dengan menambahkan /wp-admin setelah domain anda maka siapapun bisa
membuka halaman login. Ada baiknya juga jika anda menambahkan proteksi
tambahan dengan menginstall plugin “Google Authenticator” yang bisa
diunduh gratis
di sini.
15. Periksa Konsistensi Theme Yang Anda Pakai
Caranya, download dan install plugin “TAC (Theme Authenticity
Checker)” yang berguna untuk memeriksa (scan) malicious code pada setiap
file theme. Dan jika ditemukan, plugin tersebut akan menampilkan dimana
letak file yang terinjeksi tersebut beserta pada line berapa kode
mencurigakan tersebut ditemukan. Menarik bukan? Nah download pluginnya
di sini.
Sumber: hostcantik.com
