You are here: Home » Wordpress » Tips Mengamankan Wordpress dari Hack

Tips Mengamankan Wordpress dari Hack

Posted by Admin on 24 November 2012

Anda merupakan salah satu dari jutaan blogger pengguna WordPress? Jika jawabannya adalah “YA”, maka tips dan trick berikut ini semoga membantu anda untuk meningkatkan keamanan (security) blog anda yang berbasis self-hosted WordPress. Tentunya akan sangat menyakitkan jika blog anda kena hack oleh orang-orang yang tidak bertanggung jawab yang menganggap diri mereka hacker meskipun tidak semua hacker kelewat iseng.

Beberapa tips dan trik berikut ini diharapkan akan memperkuat installasi WordPress di hosting anda.
Disclaimer:
Mengikuti, menerapkan, dan menggunakan cara di bawah ini tidak menjamin keamanan blog anda 100%. Ya setidaknya 99% lah. Logikanya begini, jika yang sudah ditingkatkan keamanannya saja cuma 99%, apalagi yang standard dan tidak diapa-apain? 50% atau 10%? Meski demikian, kami juga tidak bertanggung jawab atas segala potensi kesalahan yang terjadi. So, proceed with caution.

Yang Paling Utama

Adalah untuk selalu menggunakan WordPress versi terbaru berikut plugin dan theme yang anda pakai. Jangan remehkan plugin dan theme yang tidak aktif (disabled), jadi selalu update semua. Gunakan plugin “WP Notified” yang akan memberi tahu anda setiap ada Plugin, Theme dan versi terbaru WordPress dirilis. Download di sini.

1. Gunakan Email Untuk Login

Rata-rata (tidak semua), saat WordPress diinstall untuk pertamakalinya, nama akun yang sering dipakai adalah “admin”. Tentunya hal tersebut sangatlah mudah ditebak bukan? Nah solusinya: 1. Hapus user “admin” 2. Rubah role “admin” dari Administrator menjadi “Subscriber”.
Selain itu, ada baiknya anda menggunakan username yang lebih kompleks dan susah ditebak. Selain itu, menggunakan alamat email sebagai username saat login sangbatlah membantu. Caranya, cukup install plugin “WP Email Login” yang bisa diunduh di sini.

2. Jangan Tampilkan Versi WordPress Yang Anda Pakai

Umumnya, WordPress akan menampilkan versi berapa yang anda pakai untuk blog anda. Sayangnya, hal tersebut juga merupakan salah satu celah keamanan pertama yang akan dilirik. Jadi harus bagaimana donk?
Tambahkan kode berikut di file functions.php theme blog anda:
remove_action('wp_head', 'wp_generator');
function blank_version() {
return '';
}
add_filter('the_generator','blank_version');
?>
Selain itu, hapus juga file readme.html yang berada di folder installasi WordPress anda.

3. Cegah “Write” Permission Di Folder Hosting

Caranya cukup mudah koq, login ke “Shell” atau akses hosting anda melalui SSH (di HostCantik bisa diaktifkan by request), kemudian eksekusi kode berikut ini:
find . -type d -perm -o=w
Perintah di atas berguna untuk menampilkan semua “open” directory dimana siapapun bisa melakukan perubahan terhadap file di hosting anda / write.
Kemudian jalankan perintah berikut juga:
find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
Permission 755 (rwxr-xr-x):
Artinya hanya sang pemilik (anda) yang bisa melakukan baca dan eksekusi file.
Permission 644 (rw-r–r–):
Artinya sang pemilik (anda) bisa melakukan baca tulis file, selain pemilik hanya bisa baca file tersebut (tanpa bisa melakukan perubahan).

4. Rename Prefix Tabulasi Database WordPress

Saat anda melakukan installasi WordPress, pengaturan default yang digunakan sebagai prefix (awalan) nama tabulasi di database adalah “wp_”. Biar lebih aman, sebenarnya bisa juga koq mengganti “wp_” dengan prefix apapun yang anda mau misalnya “wpxx_”. Lalu bagaimana kalau WordPress sudah terlanjur terinstall menggunakan setingan default? Gunakan saja plugin “Change DB Prefix” yang bisa diunduh di sini.

5. Cegah Orang Lain Mengakses Semua Directory Blog Anda

Caranya cukup tambahkan file index.html kosong disetiap directory atau cukup tambahkan kode berikut di file .htaccess anda:
Options -Indexes
Tambahkan di bagian paling atas ya..

6. Update WordPress Security Keys

Jika anda menginstall WordPress menggunakan Fantastico atau Softaculous, Security Keys akan digenerate secara acak dan otomatis (biasanya, tapi coba cek ulang). Security Keys ini sering juga disebut sebagai WordPress Salt yang sangat berguna agar WordPress dapat menyimpan password lebih aman.
Tapi jika anda menginstall WordPress secara manual: download filenya, upload ke hosting, extract, edit wp-config.php lalu install, maka ada baiknya anda menambahkannya secara manual. Login ke cPanel, buka File Manager lalu edit file wp-config.php dan tambahkan “salt”-nya. Kunjungi link berikut untuk mendapatkan kode acak “salt” yang bisa langsung anda pakai.

7. Selalu Rekam WordPress PHP dan Database errors

Hal ini dimaksudkan agar anda selalu waspada dan tahu akan invalid database queries dan file requests yang terjadi di blog anda. Tentu nantinya rekam data tersebut berguna untuk mencari petunjuk tentang apa yang salah sehingga blog anda rentan. Caranya, cukup nstall dan gunakan plugin “Error Log Monitor” yang bisa diunduh di sini.

8. Selalu Proteksi Setiap Login ke Dashboard

Memproteksi Admin Dashboard dari blog anda adalah suatu hal yang sangat penting dan berguna karena tidak ada satupun file di folder wp-admin tersebut yang ditujukan untuk umum. Selain itu batasi berapa banyak percobaan login yang diperbolehkan, artinya jika ada orang iseng yang coba menebak-nebak username dan password login blog anda, dia akan otomatis terblokir setelah sekian “x” kali percobaan. Caranya, cukup install plugin “Login LockDown” yang bisa diunduh gratis di sini.

9. Selalu Monitor Aktifitas Login Di Hosting Blog Anda

Jika anda punya akses melalui SSH, gunakan perintah berikut ini:
last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c
ganti USERNAME dengan username anda di cPanel / server anda ya.. dan jika anda melihat ada aktifitas login yang mencurigakan (misalnya IP yang tidak anda kenali), berarti saatnya anda ganti password cPanel / server anda.

10. Scan Blog Anda Dari Bahaya Exploit

Ada sebagian yang bertanya, kenapa blog saya bisa kena hacked. Apakah pihak hosting tidak punya antivirus canggih yang bisa mendeteksi virus, trojan, malware, backdoor, dsb. Sebenatnya bukan disitu masalahnya, seringkali proses hacking / defacing terjadi karena memanfaatkan adanya kelemahan celah kemamanan dari sebuag script. Adanya celah kemananan (bugs) yang bisa dieksploitasi itulah alasan kenapa si pembuat script mengeluarkan rilis update terbaru. Dan hal tersebut berlaku untuk WordPress sendiri, Plugin dan semua Theme yang anda pakai.
Ingat, plugin dan theme yang tidak anda pakai (inactive/disable) bukan berarti tidak wajib diupdate. Saran saya, jika tidak dipakai di hapus saja atau kalau tidak mau dihapus ya sering-sering update, meski tidak active.
Selain itu, sangat disarankan untuk menggunakan plugin “Exploit Scanner” yang bisa diunduh gratis di sini. Plugin tersebut akan melakukan scanning semua file yang ada di installasi WordPress di hosting anda.

11. Install Firewall Dan Virus Scanner

Mungkin anda tidak pernah mengira bahwa ternyata ada plugin gratisan yang bisa anda pakai dan berfungsi sebagai Firewall, Virus Scanner, dan Malicious URL Scanning dan sebagainya. Plugin tersebut adalah “Wordfence Security” yang bisa anda download gratis di sini.

12. Awasi Setiap Perubahan File

Ada juga baiknya jika anda selalu rajin mengawasi / monitor perubahan-perubahan yang terjadi pada semua file di blog anda. Dalam artian anda harus tahu apabila ada file baru ditambahkan (upload), yang dihapus, atau yang berubah (edited). Sebaiknya anda patut curiga jika ada file yang berubah. Untuk mempermudah anda dalam melakukan monitoring, download dan gunakan plugin “WordPress Sentinel” dari sini.

13. Deteksi Dini Injeksi Kode Di Theme Blog

Yang juga sering terjadi adalah adanya hidden link yang terinjeksi (code injection) di dalam theme WordPress anda. Sering kali backlink ghoib alias hidden link yang sebenarnya kurang berbahaya tetapi sangat mengganggu dari sisi SEO.
Untuk itu, install juga plugin “VIP Scanner” yang bisa diunduh secara gratis di sini.

14. Tingkatkan Level Keamanan Halaman Login

Siapapun bisa mengakses halaman login blog anda dengan mudah. Cukup dengan menambahkan /wp-admin setelah domain anda maka siapapun bisa membuka halaman login. Ada baiknya juga jika anda menambahkan proteksi tambahan dengan menginstall plugin “Google Authenticator” yang bisa diunduh gratis di sini.

15. Periksa Konsistensi Theme Yang Anda Pakai

Caranya, download dan install plugin “TAC (Theme Authenticity Checker)” yang berguna untuk memeriksa (scan) malicious code pada setiap file theme. Dan jika ditemukan, plugin tersebut akan menampilkan dimana letak file yang terinjeksi tersebut beserta pada line berapa kode mencurigakan tersebut ditemukan. Menarik bukan? Nah download pluginnya di sini.
Sumber: hostcantik.com

Tagged as: ,
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Share This Post

Related posts

What they says

English French German Spain Russian Japanese Arabic Chinese Simplified
Copyright © 2013 Wong Tegal. WP Theme-junkie converted by BloggerTheme9
Blogger template. Proudly Powered by Blogger.
back to top