Cara Mengamankan Situs WordPress

Untuk teman-teman yang memiliki website atau blog menggunakan CMS WordPress, harus sangat memperhatikan keamanan website, karena kamu berdiri sendiri tanpa bantuan dari pihak WordPress untuk mengamankan website yang kamu punya.

Sebenarnya tutorial ini tidak sepenuhnya mengamankan 100%, namun cara ini dapat membantu teman-teman agar website tidak mudah dibobol, dan memperkuat pengamanannya. Karena memang tidak ada keamanan yang sempurna  100%, serta keamanan bukan one time deal yang bisa hanya sekali setting dan ditinggal. Karena mungkin yang sekarang dianggap aman, nambun besok bisa saja sudah menjadi yang rentan bug karena perkembangan teknologi semakin canggih.

Pada kali ini saya menggunakan hosting dengan webserver menggunakan apache,

1. Sebelum melakukan development, silahkan backup terlebih dahulu database dan filenya. Database dapat di download manual melalui phpmyadmin dan file bisa kamu download dari cpanel langsung dengan mengkompres file dan folder wordpress atau juga bisa menggunakan bantuan plugin backup.

2. Selalu mengupdate versi wordpress, plugin dan tema terbaru,

3. Hapus file atau folder tema dan plugin yang tidak dipakai.

4. Hindari pemakaian username admin sebagai username kamu, usahakan ganti dengan nama yang lain dan pakai password yang kuat dari perpaduan angka, huruf (besar-kecil) dan karakter.

5. Tambahan Install plugin security.

6. Ganti database table prefix menjadi yang unique, secara default adalah ‘wp_’ silahkan ganti menjadi ‘in_’ ‘we_’, ‘po_’, dan lain-lain. Untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).

7. Blok bot untuk crawl folder tertentu, karena orang yang akan suka bermain deface biasanya hasil dari scan menggunakan Google search engine menggunakan keyword tertentu untuk mencari bug pada website. Silahkan tambahkan perintah berikut ini pada file robots.txt

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

8. Melindungi file wp-config dengan menambah rule berikut pada file .htaccess

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

9. Melindungi file htaccess  itu sendiri dengan menambah rule berikut pada .htaccess

<Files ~ “^.*.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

10. Melarang directory listing browsing, tambahkan pada .htaccess atau buat file index.php pada tiap folder.

# disable directory browsing
Options All –Indexes

11. Melarang beberapa script injection.

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

12. Mengamankan folder include tambahkan pada .htaccess

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

14.Jika diperlukan kamu bisa membuat password lagi pada directory wp-admin dengan memberi password melalui Cpanel “password protect directory” silahkan diberi password pada folder wp-admin.

15. Pasang plugin akismet dan plugin captcha untuk melindungi dari komentar spam.

16. Menonaktifkan atau disable fitur edit tema atau plugin melalui dashboard dengan menambah tag berikut pada file wp-config.php

define('DISALLOW_FILE_EDIT', true);

Dengan menambah tag di atas, maka menu edit theme/plugin pada dashbord dihilangkan, sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin.

17. Mengubah akses permisi file, dengan memberikan perintah CHMOD pada file wp-config menjadi 400 atau 600.

18. Untuk melakukan ini bisa kamu tambahkan melalui php.ini (jika hosting kamu ada dan memperbolehkan) atau .htaccess

Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

19. Lakukan backup berkala pada akun hosting atau website kamu.

Komentar

Leave a Reply

Your email address will not be published. Required fields are marked *

Inwepo adalah media platform yang membantu setiap orang untuk belajar dan berbagi tutorial, tips dan trik cara penyelesaian suatu masalah di kehidupan sehari-hari dalam bentuk teks, gambar. dan video.

Dengan bergabung bersama kami dan membuat 1 tutorial terbaik yang kamu miliki dapat membantu jutaan orang di Indonesia untuk mendapatkan solusinya. Ayo berbagi tutorial terbaikmu.

Ikuti Kami di Sosmed

Copyright © 2020 Inwepo - All Rights Reserved.

To Top