Sembilan Tips Penting Untuk Mengamankan WordPress
Sebuah situs/blog khususnya yang memakai engine wordpress, acapkali menerima serangan-serangan dari seorang hacker cracker. Seorang cracker mempunyai berbagai macam alasan untuk menyerang dan merusak (deface) sebuah situs, entah itu karena faktor dendam, nasionalis (cinta negara), materi, ataupun hanya untuk kesenangan semata.
Seperti pengguna WordPress lainnya, kita juga harus mewaspadai hal ini. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statement tersebut hanya berangkat dari kemalasan narablog itu sendiri.
Ada beberapa tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.
Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi narablog yang pemalas.
Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php
Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan snippet berikut:
< ?php remove_action('wp_header', 'wp_generator'); ?>
Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.
Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:
Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan snippet berikut pada file .htaccess:
# protect wpconfig.php
order allow,deny from all
dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun.
# batasi akses wpadmin utk alamat IP tertentu
order deny, allow
allow from 127.0.0.1
deny from all
Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.
Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.
Seperti pengguna WordPress lainnya, kita juga harus mewaspadai hal ini. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statement tersebut hanya berangkat dari kemalasan narablog itu sendiri.
Ada beberapa tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.
9 Tips Mengamankan WordPress
SEGERA UPGRADE VERSI WORDPRESS KITA DENGAN VERSI YANG TERBARU.
Kenapa wordpress selalu mengeluarkan versi baru dalam selang waktu yang berdekatan? Karena wordpress merupakan platform blog yang sudah populer. Ribuan atau bahkan jutaan orang telah menggunakan wordpress sebagai salah salah satu sofware blog favorit. Dengan kepopulerannya, maka banyak pula cracker-cracker yang ingin membobol keamanannya.Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi narablog yang pemalas.
HAPUS ATAU SEMBUNYIKAN VERSI WORDPRESS
Ketika akan membobol sebuah blog WordPress, seorang cracker biasanya akan mencari tahu versi dari engine wordpress yang kita pakai. Alasannya mudah saja, yaitu versi wordpress yang lama pasti lebih mudah untuk dibobol daripada versi terbaru. Tips ini mungkin cocok bagi pengguna wordpress dengan versi yang lama.Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php
Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan snippet berikut:
< ?php remove_action('wp_header', 'wp_generator'); ?>
UBAH USERNAME LOGIN
Ketika kita menginstall wordpress, secara default, wordpress akan memberikan username dengan nama “admin“. Username ini tidak bisa diubah dengan cara biasa. Namun ada plugin yang dapat kita gunakan untuk mengubah username “admin” dengan username yang kita inginkan, yaitu dengan mengguanakan plugin wpvn username changer.PILIH PASSWORD LOGIN YANG SUKAR DITEBAK
Jangan gunakan kata-kata yang mudah ditebak, seperti nama sendiri, tanggal lahir, nama suami/istri, dan lain-lain. Hindarilah menggunakan password dengan jumlah karakter yang sedikit. Bila perlu, kombinasikan karakter huruf dan angka berselang-seling. Tapi sebelumnya pastikan dulu bahwa anda telah benar-benar menghapalnya.LINDUNGI DIREKTORI (FOLDER) YANG ADA DI DIREKTORI WP-CONTENT
Hal ini perlu dilakukan untuk menghindari seseorang melihat isi dari direktori plugins dan themes. Saya pernah mengalami kebobolan pada direktori themes yang mengakibatkan seseorang dapat mengambil dengan tanpa izin file-file backup dari theme-theme yang saya gunakan.Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.
Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:
MAU NGAPAIN LU, MONYET?!
Dilarang buka-buka direktori tanpa izin sang empunya blog. Dosa tau...!!!
LINDUNGI FILE WP-CONFIG.PHP
File wp-config.php terletak di direktori utama blog kita. Di file tersebut terdapat username dan password untuk mengakses database. Jika seorang cracker mampu untuk membuka dan membaca file wp-config.php tersebut, maka yang terjadi ia dapat merusak database yang kita miliki.Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan snippet berikut pada file .htaccess:
# protect wpconfig.php
order allow,deny from all
dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun.
BATASI JUMLAH AKSES LOGIN
Seorang cracker biasanya akan mencoba-coba menebak username dan password login blog kita. Mereka (yang biasanya masih pemula) akan terus mencoba login berkali-kali. Untuk mengantisipasi hal-hal yang tidak diinginkan, sebaiknya kita membatasi jumlah login. Dengan begitu jika ada orang yang berusaha untuk login, dan dan kita membatasi jumlah akses login untuk jumlah tertentu, maka orang aneh itu tidak akan dapat login lagi. Ada plugin bagus untuk membatasi jumlah akses login, yaitu plugin Login LockDown.BATASI AKSES DIREKTORI WP-ADMIN UNTUK ALAMAT IP TERTENTU SAJA
Kita dapat membatasi akses login untuk alamat IP (internet protocol) tertentu dengan menggunakan .htaccess. Tambahkan kode berikut pada file .htaccess:# batasi akses wpadmin utk alamat IP tertentu
order deny, allow
allow from 127.0.0.1
deny from all
Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.
Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.