Saya telah menerjemahkan saran keamanan WordPress yang disampaikan oleh Matt Mullenweg pada artikel sebelumnya. Tapi itu saja, kadang tidak cukup bila blog anda tergolong penting. Anda butuh pengamanan ekstra. Apa saja itu?
Metode Sederhana
Jangan gunakan username ‘admin’
Silahkan memakai username apa saja, bahkan kalau bisa kombinasikan dengan angka. Misalnya gue86 sebagai username. Ini akan menyulitkan perentas karena mereka harus mencari dua kata.
Selalu gunakan versi terbaru
Ini sudah saya sampaikan di artikel yang lalu. Tiap ada informasi update, pastikan anda melakukannya sesegera mungkin. Jangan menunggu besok apalagi lusa.
Hapus Readme.html
Berkas readme.html mengandung versi WordPress anda. Hapus saja berkas ini sesaat setelah anda melakukan upgrade WordPress.
Hapus file Install.php
Berkas wp-admin/install.php
hanya dipakai saat menginstall WordPress saja. Anda sudah tidak memerlukannya lagi bila WordPress sudah berjalan. So, hapus juga berkas ini dari system WordPress anda.
Gunakan Password yang Kuat
Buatlah sebuah password yang kuat. Anda bisa menggunakan http://strongpasswordgenerator.com/ untuk mendapatkan password yang kuat.
Hacking WordPress
Lindungi wp-config.php
Kita harus membuat file ini tidak bisa diakses oleh siapapun juga. Mudah saja, tinggal masukkan kode ini di file .htaccess
anda:
order allow,deny deny from all
Blockir folder wp-xxxxxx
Kita tidak ingin folder-folder dalam system WordPress dijelajahi oleh siapapun. Jadi, masukkan kode ini di file robot.txt
Disallow: /wp-
Hilangkan versi WordPress
Caranya juga mudah, cukup masukkan kode ini di file functions.php pada themes anda:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' );
Rubah Table Prefix
Cara ini sangat efektif, tapi agak susah terutama bila blog anda sudah berjalan. Dulu ketika saya mengubah table prefix blog ini, saya membackup dulu database yang lama. Dengan bantuan Notepad++, saya lakukan find and replace. Jika awalnya wp_
, maka saya coba ubah ke prefix lain misalnya newp_
.
Setelah selesai, saya impor deh SQL-nya ke phpmyadmin sehingga disana akan ada 2 macam tabel. Yang satu diawali wp_ dan yang lain newp_ Yang lama tidak saya hapus agar saya bisa mengujicoba dulu.
Jika proses pengubahan selesai, kini tinggal mengganti table prefix yang ada di wp-config.php
. Cari kode ini:
$table_prefix = 'wp_';
Lalu ganti dengan table prefix anda sendiri. Misalnya kita memilih newp_, maka kodenya menjadi seperti ini:
$table_prefix = 'newp_';
Sekarang ujicoba blog anda. Coba kirim komentar, buka beberapa halaman dan coba buat artikel baru. Jika sudah sip, anda boleh hapus table dengan prefix lama. Tapi membiarkannya disana juga tidak masalah biar peretas makin bingung.
Nah, langkah-langkah diatas mungkin tidak menjamin 100% blog anda aman. Tapi setidaknya bisa membuat peretas mengalami kesulitan untuk menyerang blog anda. Dan untuk lebih mengamankan blog anda, pastikan password CPanel juga anda rubah menjadi strong password juga. Usahakan berbeda antara password blog dan password cpanel.
Oh iya, kadang peretas terlebih dahulu menyerang akun email anda. Dari email, dia kemudian baru menyerang blog anda. Maka pastikan juga email anda cukup aman ya? Jika anda menggunakan gmail, maka gunakan verifikasi via HP untuk fasilitas lost passwordnya.
43 replies on “Keamanan Maksimal WordPress”
nice info gan, thx
makasih atas infona…
wah, kalau yang ini aja udah diterapkan tapi ga mempan. Bagaimana yang ga make ya?
Mas, mau tanya nih?
1. file robot.txt itu dimana sih posisinya? aku uda nyari2 gk ketemu wktu dibagian file manager? trus kode Disallow: /wp- ditaruh diantara kode apa di file robot.txt nya?
2. Kode ini:
order allow,deny
deny from all
dimasukkan di .htaccess di antara bagian kode apa? soalnya didlmnya file .htaccess ada kode
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Oke mas sekian dulu pertanyaan dari saya? thanks ya…
1. File robot.txt di wordpress secara default dibuat virtual alias tidak ada file fisiknya. Kalau mau membuat file robots.txt modif, anda harus membuat file sendiri dengan nama robots.txt lalu isi dengan kode yang anda inginkan
2. Biasanya diletakkan di paling bawah
info yang sangat bermanfaat bro,haha
ijon copas ya ke blog saya…:)
makasih banyak bro…
Terimakasih atas sarannya. Tips Di Atas Sudah Saya terapkan.
info menarik gan..lngsung coba!!
mas,,mav sbelumnya,,dri smua info atas mohon kasih alamt file jelasnya donk, cz aq mo edit/hpus/… jd ragu2. file/patch/submenu mana yg harus dihapus (takutnya ada file yg sama).terima ksih banyak ats semua infonya.
Yang mana?
wp-config.php kan cuma 1
functions.php di themes ya cuma 1
terimakasih sarannya bang lutvi, sangat bermanfaat sekali, dan saya sudah menerapkan semua cara tersebut pada blog saya
manteb sekali mas infonya π
mantap… mantap… sangat bermamfaat π
Saya sudah melakukan hal di atas, di tambah situs telah di audit dengan software acunetix has1lnya: Acunetix Threat Level 0 No vulnerabilities have been discovered by the scanner. Plugin pengaman mulai TAC, firewall, antivirus, dsb dah dipasang. Akses terbatas hanya 1 IP saja sudah dilakukan. HASILNYA? Situs saya tetap bisa dideface malah 3x dlm seminggu. (Untung CPanel masih berfungsi).
Ada saran Mas lutvi ? (Maaf belum sempat gabung cafe bisnis, pasti lainkali)
Lha kalau deface-nya bukan lewat WordPress gimana hayoo? Contohnya blog ini dulu di hack orang dari cpanelnya. Dia ndak ngerusak cpanel, cuma pengen deface aja. Dan cpanel kalau sudah ketahuan usernamenya, tinggal brust force aja untuk dapatkan passwordnya. Kalau password cpanelnya gampang, ya gak butuh waktu lama udah ketemu
Benar, setuju… lha wong index diroot yang diganti. Kata admin hosting disuruh ganti tema (masuk dari sini) duh..saya utak-atik tema butuh waktu berhari-hari jadi sia-sia.
Atau ganti hosting saja ya..
Ketinggalan:
Pernahkan melihat/mendengar ada situs free yang dibuat di wordpress.com di hack/deface ??
Belum pernah kalau deface. Tapi kalau di take over udah banyak cerita π
Mas kalau gth semau blog Wp klw mau aman harus terapkan cara tersebut yah..
mas klw amankan dari virus hack black bagaimana,
masalanya pernah blog NIA terserang juga padahal blog baru seminggu buat
Kalau virus ya pakai antivirus. Komputer yang terserang virus, seringkali ikut terupload saat kita upload file sehingga menginfeksi web juga
Saya pake avast free. Situs yang berbahaya, bahkan file PHP yang mengandung malware, virus langsung diblockir. Lumayan avast free, benar-benar free tapi sedikit ampuh untuk surfing internet.
Mau nanya mas… Pada bagian Rubah Table Prefix, mas ngabisin waktu berapa hari? π
jadi istilahnya sama aja kayak nyolong scriptnya wordpress ya… hehehe
Scriptnya cuma mengubah table prefix di wp-config saja kok. Kalau databasenya, tinggal find and replace. Nggak sampai 1 menit selesai π
Pak Lutvi, kalo wp-admin.php gak bisa diakses, kita kalo login admin dimana dong? Sorry, newbie, pak…
Gak bisa diaksesnya kenapa dulu?
Sepertinya ini bulan yang bener bener parah buat ‘self-hosted’ WORDPRESS versi terakhir.
Saya sudah melakukan semua yang disarankan termasuk CLEAN INSTALL WP, install firewall, dan lain lain, tapi koq masih bisa tembus juga ya?
Barusan ini ada serangan dan doi bisa menonaktifkan semua plugin pertahanan yang ada *ngakak*
btw, settingan SQL database dari administrator web hosting itu pengaruh juga ga ya? jadi ga pedul kita dah amanin si WordPress kalo settinganya dodol yaa bablas juga.
ada yg tau script HoneyPot khusus buat SQL injection ga? Thank you ..
mas, saya sudah delete file readme.html, install.php dan modifikasi htaccess dan function seperti saran mas. tp koq malah jd 500 internal server error ya? mohon bantuannya mas..
akan saya coba mas… terima kasih infonya. semoga dpt aman terkendali
Ok, makasi gan..
nyari2 security buat wordpress, akhirnya terdampar disini.. π
Aku baru mengalami error setelah mengikuti tips mudah mengamankan blog wordpress dari artikel yang ditulis oleh Mas Lutvi, keamanan maksimal wordpress. Kesalahan memang mutlak ada padaku. Lupa backup!
pesannya errornya gini: “Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting ‘)’ in /home/admin/public_html/wp-content/themes/simply-works-core/functions.php on line 56”
Belum kutemukan jawabannya di google. Ide jawabannya kudapat dari blog istimewa ini juga. Thanks Mas Lutvi, sukses buat Mas!
terkadang hacking terjadi karena celah dalam penggunaan plugin yang sembarang, jadi saran jangan terlalu banyak menggunakan plugin yang sembarangan, sebisa mungkin edit via template langsung saja, misalnya, plugin share facebook, dll, dipasang langsung lewat template kan bisa
kalo rubah maksimal upload .xml wordpress gimana caranya, gan???
Terima kasih Pak. Infonya sangat bermanfaat.
Gan,,saya mw tanya bagaimana cara memodifikasi engine wp dan merubah sejumlah direktory menjadi multi server seperti contoh xm[dot]com yg saya lihat di sourcenya…terimakasih.
I simply want to tell you that I’m very new to blogs and really savored your web-site. More than likely Iβm planning to bookmark your blog post . You certainly have impressive writings. With thanks for revealing your webpage.
I just want to say I’m very new to blogging and site-building and actually savored this web blog. Very likely Iβm going to bookmark your site . You certainly have incredible well written articles. Thank you for revealing your blog.
I think this is one of the most important information for me. And i am glad reading your article. But wanna remark on some general things, The website style is perfect, the articles is really nice : D. Good job, cheers
Howdy! I could have sworn Iβve visited your blog before but after browsing through many of the articles I realized itβs new to me. Regardless, Iβm definitely delighted I stumbled upon it and Iβll be book-marking it and checking back regularly!
A few of my dearest buddies by accident learned that their husband is posting terrible announcements on them to female co-staff of those
Thanks used for your concepts. Lone entity truly noticed is that banks along with fiscal institutions have in intellect the spending behavior of consumers plus twig that mainly people do well away their truly belief cards approximately the getaways. They accurately acquire gain of this certain information and arise flooding your peculiar inbox down with snail-mail box along with hundreds of Zero APR credit cards offers just behind the holiday season concludes. Intentional that when you are comparable 98% of the American village, you’ll soar by the opportunity to strengthen pecuniary debt and shift balances for 0 advantage quotient belief cards.
Very nice post. I just stumbled upon your weblog and wished to say that I’ve truly enjoyed browsing your blog posts. In any case Iβll be subscribing to your feed and I hope you write again very soon!
Hi, I do believe this is a great site. I stumbledupon it π I am going to come back once again since i have book marked it. Money and freedom is the greatest way to change, may you be rich and continue to guide others.
Just wish to say your article is as amazing. The clarity in your post is simply excellent and i can assume you’re an expert on this subject. Fine with your permission allow me to grab your feed to keep updated with forthcoming post. Thanks a million and please continue the gratifying work.