Categories
Keamanan

Keamanan Maksimal WordPress

Saya telah menerjemahkan saran keamanan WordPress yang disampaikan oleh Matt Mullenweg pada artikel sebelumnya. Tapi itu saja, kadang tidak cukup bila blog anda tergolong penting. Anda butuh pengamanan ekstra. Apa saja itu?

Metode Sederhana

Jangan gunakan username ‘admin’

Silahkan memakai username apa saja, bahkan kalau bisa kombinasikan dengan angka. Misalnya gue86 sebagai username. Ini akan menyulitkan perentas karena mereka harus mencari dua kata.

Selalu gunakan versi terbaru

Ini sudah saya sampaikan di artikel yang lalu. Tiap ada informasi update, pastikan anda melakukannya sesegera mungkin. Jangan menunggu besok apalagi lusa.

Hapus Readme.html

Berkas readme.html mengandung versi WordPress anda. Hapus saja berkas ini sesaat setelah anda melakukan upgrade WordPress.

Hapus file Install.php

Berkas wp-admin/install.php hanya dipakai saat menginstall WordPress saja. Anda sudah tidak memerlukannya lagi bila WordPress sudah berjalan. So, hapus juga berkas ini dari system WordPress anda.

Gunakan Password yang Kuat

Buatlah sebuah password yang kuat. Anda bisa menggunakan http://strongpasswordgenerator.com/ untuk mendapatkan password yang kuat.

Hacking WordPress

Lindungi wp-config.php

Kita harus membuat file ini tidak bisa diakses oleh siapapun juga. Mudah saja, tinggal masukkan kode ini di file .htaccess anda:


order allow,deny
deny from all

Blockir folder wp-xxxxxx

Kita tidak ingin folder-folder dalam system WordPress dijelajahi oleh siapapun. Jadi, masukkan kode ini di file robot.txt

Disallow: /wp-

Hilangkan versi WordPress

Caranya juga mudah, cukup masukkan kode ini di file functions.php pada themes anda:

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

Rubah Table Prefix

Cara ini sangat efektif, tapi agak susah terutama bila blog anda sudah berjalan. Dulu ketika saya mengubah table prefix blog ini, saya membackup dulu database yang lama. Dengan bantuan Notepad++, saya lakukan find and replace. Jika awalnya wp_, maka saya coba ubah ke prefix lain misalnya newp_.

Setelah selesai, saya impor deh SQL-nya ke phpmyadmin sehingga disana akan ada 2 macam tabel. Yang satu diawali wp_ dan yang lain newp_ Yang lama tidak saya hapus agar saya bisa mengujicoba dulu.

Jika proses pengubahan selesai, kini tinggal mengganti table prefix yang ada di wp-config.php. Cari kode ini:

$table_prefix  = 'wp_';

Lalu ganti dengan table prefix anda sendiri. Misalnya kita memilih newp_, maka kodenya menjadi seperti ini:

$table_prefix  = 'newp_';

Sekarang ujicoba blog anda. Coba kirim komentar, buka beberapa halaman dan coba buat artikel baru. Jika sudah sip, anda boleh hapus table dengan prefix lama. Tapi membiarkannya disana juga tidak masalah biar peretas makin bingung.

Nah, langkah-langkah diatas mungkin tidak menjamin 100% blog anda aman. Tapi setidaknya bisa membuat peretas mengalami kesulitan untuk menyerang blog anda. Dan untuk lebih mengamankan blog anda, pastikan password CPanel juga anda rubah menjadi strong password juga. Usahakan berbeda antara password blog dan password cpanel.

Oh iya, kadang peretas terlebih dahulu menyerang akun email anda. Dari email, dia kemudian baru menyerang blog anda. Maka pastikan juga email anda cukup aman ya? Jika anda menggunakan gmail, maka gunakan verifikasi via HP untuk fasilitas lost passwordnya.

By Lutvi

Bukan Ustadz, bukan Dai apalagi Kyai. Juga bukan guru. Hanya sekedar santri miskin ilmu yang coba mengamalkan 1 ayat warisan dari para ulama. Saat ini diamanahi menjadi admin web WordPress Indonesia

43 replies on “Keamanan Maksimal WordPress”

Mas, mau tanya nih?
1. file robot.txt itu dimana sih posisinya? aku uda nyari2 gk ketemu wktu dibagian file manager? trus kode Disallow: /wp- ditaruh diantara kode apa di file robot.txt nya?

2. Kode ini:

order allow,deny
deny from all

dimasukkan di .htaccess di antara bagian kode apa? soalnya didlmnya file .htaccess ada kode

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Oke mas sekian dulu pertanyaan dari saya? thanks ya…

1. File robot.txt di wordpress secara default dibuat virtual alias tidak ada file fisiknya. Kalau mau membuat file robots.txt modif, anda harus membuat file sendiri dengan nama robots.txt lalu isi dengan kode yang anda inginkan

2. Biasanya diletakkan di paling bawah

mas,,mav sbelumnya,,dri smua info atas mohon kasih alamt file jelasnya donk, cz aq mo edit/hpus/… jd ragu2. file/patch/submenu mana yg harus dihapus (takutnya ada file yg sama).terima ksih banyak ats semua infonya.

Saya sudah melakukan hal di atas, di tambah situs telah di audit dengan software acunetix has1lnya: Acunetix Threat Level 0 No vulnerabilities have been discovered by the scanner. Plugin pengaman mulai TAC, firewall, antivirus, dsb dah dipasang. Akses terbatas hanya 1 IP saja sudah dilakukan. HASILNYA? Situs saya tetap bisa dideface malah 3x dlm seminggu. (Untung CPanel masih berfungsi).
Ada saran Mas lutvi ? (Maaf belum sempat gabung cafe bisnis, pasti lainkali)

Lha kalau deface-nya bukan lewat WordPress gimana hayoo? Contohnya blog ini dulu di hack orang dari cpanelnya. Dia ndak ngerusak cpanel, cuma pengen deface aja. Dan cpanel kalau sudah ketahuan usernamenya, tinggal brust force aja untuk dapatkan passwordnya. Kalau password cpanelnya gampang, ya gak butuh waktu lama udah ketemu

Benar, setuju… lha wong index diroot yang diganti. Kata admin hosting disuruh ganti tema (masuk dari sini) duh..saya utak-atik tema butuh waktu berhari-hari jadi sia-sia.
Atau ganti hosting saja ya..

Mas kalau gth semau blog Wp klw mau aman harus terapkan cara tersebut yah..

mas klw amankan dari virus hack black bagaimana,
masalanya pernah blog NIA terserang juga padahal blog baru seminggu buat

Saya pake avast free. Situs yang berbahaya, bahkan file PHP yang mengandung malware, virus langsung diblockir. Lumayan avast free, benar-benar free tapi sedikit ampuh untuk surfing internet.

Sepertinya ini bulan yang bener bener parah buat ‘self-hosted’ WORDPRESS versi terakhir.

Saya sudah melakukan semua yang disarankan termasuk CLEAN INSTALL WP, install firewall, dan lain lain, tapi koq masih bisa tembus juga ya?

Barusan ini ada serangan dan doi bisa menonaktifkan semua plugin pertahanan yang ada *ngakak*

btw, settingan SQL database dari administrator web hosting itu pengaruh juga ga ya? jadi ga pedul kita dah amanin si WordPress kalo settinganya dodol yaa bablas juga.

ada yg tau script HoneyPot khusus buat SQL injection ga? Thank you ..

mas, saya sudah delete file readme.html, install.php dan modifikasi htaccess dan function seperti saran mas. tp koq malah jd 500 internal server error ya? mohon bantuannya mas..

Aku baru mengalami error setelah mengikuti tips mudah mengamankan blog wordpress dari artikel yang ditulis oleh Mas Lutvi, keamanan maksimal wordpress. Kesalahan memang mutlak ada padaku. Lupa backup!

pesannya errornya gini: “Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting ‘)’ in /home/admin/public_html/wp-content/themes/simply-works-core/functions.php on line 56”

Belum kutemukan jawabannya di google. Ide jawabannya kudapat dari blog istimewa ini juga. Thanks Mas Lutvi, sukses buat Mas!

terkadang hacking terjadi karena celah dalam penggunaan plugin yang sembarang, jadi saran jangan terlalu banyak menggunakan plugin yang sembarangan, sebisa mungkin edit via template langsung saja, misalnya, plugin share facebook, dll, dipasang langsung lewat template kan bisa

Gan,,saya mw tanya bagaimana cara memodifikasi engine wp dan merubah sejumlah direktory menjadi multi server seperti contoh xm[dot]com yg saya lihat di sourcenya…terimakasih.

I simply want to tell you that I’m very new to blogs and really savored your web-site. More than likely I’m planning to bookmark your blog post . You certainly have impressive writings. With thanks for revealing your webpage.

I just want to say I’m very new to blogging and site-building and actually savored this web blog. Very likely I’m going to bookmark your site . You certainly have incredible well written articles. Thank you for revealing your blog.

I think this is one of the most important information for me. And i am glad reading your article. But wanna remark on some general things, The website style is perfect, the articles is really nice : D. Good job, cheers

Howdy! I could have sworn I’ve visited your blog before but after browsing through many of the articles I realized it’s new to me. Regardless, I’m definitely delighted I stumbled upon it and I’ll be book-marking it and checking back regularly!

Thanks used for your concepts. Lone entity truly noticed is that banks along with fiscal institutions have in intellect the spending behavior of consumers plus twig that mainly people do well away their truly belief cards approximately the getaways. They accurately acquire gain of this certain information and arise flooding your peculiar inbox down with snail-mail box along with hundreds of Zero APR credit cards offers just behind the holiday season concludes. Intentional that when you are comparable 98% of the American village, you’ll soar by the opportunity to strengthen pecuniary debt and shift balances for 0 advantage quotient belief cards.

Very nice post. I just stumbled upon your weblog and wished to say that I’ve truly enjoyed browsing your blog posts. In any case I’ll be subscribing to your feed and I hope you write again very soon!

Hi, I do believe this is a great site. I stumbledupon it πŸ˜‰ I am going to come back once again since i have book marked it. Money and freedom is the greatest way to change, may you be rich and continue to guide others.

Just wish to say your article is as amazing. The clarity in your post is simply excellent and i can assume you’re an expert on this subject. Fine with your permission allow me to grab your feed to keep updated with forthcoming post. Thanks a million and please continue the gratifying work.

Comments are closed.