Mengamankan website wordpress Anda menjadi hal yang sangat penting untuk menghindari ulah tangan-tangan yang tidak bertanggungjawab. Postingan ini saya buat mengingat banyaknya serangan pada website berbasis wordpress pada temen-temen blogger atau pengembang yang menggunakan wordpress sebagai engine websitenya.
Karena berbasis opensource, maka pengamanan website berbasis wordpress yang kita install harus benar-benar di perhatikan, sehingga tidak mudah di usili oleh orang lain. Berikut tips sederhana untuk mengamankan website wordpress kita dari serangan hacker dan orang-orang yang tidak bertanggung jawab, sehingga dapat memperkecil kemungkinan dapat di bobol.
Cara Mengamankan Website WordPress Anda
- Pastikan versi wordpress Anda, Plugin, dan Themes yang Anda gunakan menggunakan update pada versi terbaru, segera update jika ada indikator ketersediaan update.
- Hapus file readme.html yang ada di halaman website Anda. File ini akan menginformasikan versi wordpress yang Anda gunakan
- Rubah mode permission wp-config.php menjadi 600
- Gunakan themes dan plugin yang benar-benar aman, hindari penggunaan plugin atau themes nulled tanpa pemahaman scripting yang benar. sebab bisa jadi dalam plugin atau themes tersebut di tanam backdoor yang justru akan merugikan kita sendiri.
- Install minimal 3 plugin ini:
1. Login lockdown: untuk mencegah serangan brute force password + user name.
2. WordPress Firewall: untuk mencegah serangan hacker.
3. Block bad queries (BBQ): untuk mencegah serangan hacker - Ubah setting default wordPress dengan menambahkan kode ini didalam file wp-config.php, tepat setelah baris kode
<?php ini_set("display_errors", 0); error_reporting(0);
Fungsi ini adalah untuk menyembunyikan pesan error yang timbul dari pengunjung. Pesan error biasanya mengandung nama akun cpanel kita.
- Jangan menggunakan user Admin, dan gunakan username baru yg susah di tebak. Ubah display name user baru tadi menjadi Admin, agar seolah2 kita tetap menggunakan user name Admin.
Caranya: buatlah dahulu user baru degan nama yang unik, kemudian beri dia hak akses administrator, dan ubahlah display namenya menjadi: Admin/Administrator/Nama kamu, yang penting berbeda dengan usernamenya. Setelah itu, login memakai user baru tadi, dan hapuslah user name Admin. - Gantilah table prefix database dari wp_ menjadi sesuatu yang unik seperti: wp9xx_ dll.
Caranya: Anda bisa menggunakan plugin WordPress Table Prefix Rename atau plugin WP Table Prefix Changer - Buatlah file .htaccess baru di folder /wp-admin yang isinya :
order deny,allow
deny from all
allow from 192.168.10.10
192.168.10.10 adalah contoh alamat IP yang sedang kita gunakan.
Gunanya yaitu hanya ip tersebut yang berhak masuk ke halaman admin, sedangkan pengguna dengan alamat ip yang berbeda akan mendapatkan error 404 (Page not found). jadi bagi yang memakai alamat ip yang selalu berubah-ubah (dinamic ip), maka harus di edit dahulu file .htaccess memakai ftp/cpanel dan diganti dengan ip yang sedang dipakai saat itu. Untuk mengetahui alamat ip yang sedang kita pakai dapat mengunjungi http://whatismyipaddress.com
Jadi bagi yang memakai alamat ip yang selalu berubah-ubah memang jadi agak susah masuk ke halaman admin, yah daripada blog kesayangan kita di ambil orang, mending agak susah nya dianggap jalan terbaik. - Tambahkan kode berikut ini ke dalam file .htaccess yg ada di root folder:
# PROTECT WP-CONFIG.PHP & WP-SETTINGS.PHP <filesmatch "(wp-config|wp-settings).php$"> Order deny,allow deny from all </filesmatch> # STRONG HTACCESS PROTECTION <files ~ "^.*.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files> # DISABLE DIRECTORY BROWSING Options All -Indexes # PREVENT FOLDER LISTING IndexIgnore * # PROTECT AGAINST DOS ATTACKS BY LIMITING FILE UPLOAD SIZE LimitRequestBody 10240000
Selamat Mencoba
Tinggalkan Balasan