Bagaimana Cara Agar WordPress Aman?
Tahap Instalasi
1. Aktifkan Fitur Auto Upgrade
Ketika anda melakukan instalasi WordPress melalui Softaculous, pasti anda akan menemui pilihan seperti gambar di bawah ini. Pada bagian Advanced Options, usahakan anda memberi tanda centang pada pilihan Auto Upgrade, Auto Upgrade WordPress Plugin dan Auto Upgrade WordPress Theme. Mengapa? Biasanya, tim development dari pihak WordPress akan selalu melakukan uji terhadap program yang mereka buat. Nah, dari versi- versi sebelumnya akan ditemukan suatu vulnerable/ celah yang biasanya menjadi “alat” hacker untuk mengobrak- abrik website. Tentu saja mereka akan memperbaiki vulnerable/ celah tersebut. Untuk itu, anda harus selalu melakukan upgrade agar WordPress, Theme dan Plugin akan senantiasa dalam versi terbaru. Nah, melalui fitur Auto Upgrade ini, proses upgrade akan menjadi otomatis. Namun perlu diperhatikan ketika ada perubahan total dari versi sebelumnya, terkadang website menjadi error.
2. Jangan Install WordPress di Public_html (Khusus untuk Subdomain/ Add- On Domain)
Kasus ini khusus untuk anda yang ingin melakukan instalasi website di subdomain atau Add- On Domain. Jadi, pastikan anda melakukan instalasi website/ meletakkan file website di folder yang terpisah dari public_html (beda folder). Hal ini dikarenakan untuk mengantisipasi ketika ada serangan dari hacker, website yang berada di subdomain/ add- on domain tidak akan diobrak- abrik.
3. Jangan Gunakan Username Default “admin”!
Salah satu cara agar wordpress aman yaitu jangan pernah gunakan username dan password “admin”. Mengapa? Karena para hacker akan dengan mudah melakukan pelacakan apabila username yang anda gunakan berupa “admin” atau “administrator”. Oiya, jangan gunakan kata yang simpel. Jangan gunakan angka 123456. Usahakan gunakan kata yang kompleks dan mudah diingat. Alangkah lebih baik jika anda memilih password dengan kombinasi angka, huruf besar, huruf kecil serta karakter.
Tahap Kustomisasi
Nah setelah selesai melakukan instalasi, pasti anda ingin segera melakukan pengubahan/ kustomisasi website WordPress seperti mengubah tema, menambahkan template dan sebagainya. Namun sebelum itu, anda perlu memperhatikan hal- hal berikut ini agar website tidak menjadi sasaran “hacker”.
1. Selalu Lakukan Update Tema/ Plugin WordPress
Nah, sebelumnya telah dijelaskan bahwa Theme atau Plugin dapat menjadi celah masuknya hacker untuk meretas website anda. Untuk itu, selalu lakukan update Tema/ Plugin yang digunakan. Apabila plugin tersebut sudah tidak digunakan lagi, Kami sarankan untuk menghapusnya saja.
2. Jangan Gunakan Tema atau Plugin Sembarangan!
Selalu gunakan tema/ plugin yang berasal dari website WordPress. Atau misalnya anda membeli Template (tema)/ plugin dari pihak luar, pastikan tidak ada backdoor di dalamnya. Dan pastikan tema/ plugin tersebut aman. Oiya, jangan pernah tertarik untuk menggunakan template gratisan yang bukan berasal dari pihak WordPress ya webhostmurah! Adapun tema dan plugin dari WordPress bisa anda lihat di https://wordpress.org
3. Gunakan Plugin Security pada WordPress
WordPress telah mengantisipasi akan adanya serangan yang dilakukan oleh hacker. Untuk itu, WordPress telah menyediakan beberapa plugin yang bisa anda gunakan seperti All In One WP Security, WordFence, Ninjafirewall dan sebagainya.
All In One WP Security & Firewall
Plugin ini akan mendeteksi kerentanan/ vulnerable dari website serta memberikan berbagai firewall rules. Untuk melakukan instalasi silahkan download di Plugin All In One WP Security & Firewall.
WordFence
Plugin ini fungsinya hampir sama dengan All In One WP Security & Firewall. Namun, WordFence akan memberikan notifikasi kepada user ketika ada yang melakukan serangan “bruteforce” atau pelacakan password secara acak oleh hacker. Selain itu, plugin ini dapat mendeteksi malware yang ada pada plugin atau template.
Agar anda lebih mudah dalam proses instalasi, silahkan login SSH kemudian copy paste command berikut ini,
1 2 3 4 5 | wp plugin install wordfence —activate —allow–root wp plugin install si–captcha–for–wordpress —activate —allow–root wp plugin install ninjafirewall —activate —allow–root wp plugin install all–in–one–wp–security–and–firewall —activate —allow–root wp plugin install anti–spam —activate —allow–root |
4. Selalu Lakukan Backup Data
Untuk backup data, dapat anda lakukan langsung dari cPanel atau melalui Softaculous Backup. Untuk melakukan backup data WordPress dari cPanel, silahkan ikuti Panduan Backup Data di cPanel. Untuk melakukan backup data melalui softaculous, silahkan ikuti Panduan Backup Data Melalui Softaculous. Oiya, Kami sarankan untuk melakukan backup data berupa file website, file database maupun file email secara berkala ya webhostmurah!
Tahap Konfigurasi
Nah ditahap ini biasanya meliputi pengaturan kode hak akses, pengubahan nama wp-admin, pengaturan konten upload dan sebagainya. Eitss.. sebelumnya ayo perhatikan terlebih dahulu hal- hal berikut ini.
1. Hindari Kode Hak Akses 777!
Apabila James Bond menggunakan kode 007, maka untuk folder instalasi WordPress jangan sekali- kali gunakan kode permission (hak akses) 777! Larangan keras ya webhostmurah! Karena dengan kode 777 ini, semua orang bisa mengakses file anda secara mudah. Bahkan orang awam saja bisa mengaksesnya. Untuk itu, selalu gunakan kode hak akses 755 untuk folder dan kode hak akses 644 untuk file. Untuk mengubahnya, silahkan buka File Manager di cPanel. Kemudian buka folder instalasi WordPress. Lalu anda akan menemui folder dan file didalamnya lengkap dengan kode permissions (hak akses). Silahkan klik kode tersebut kemudian ubah menjadi 755 (untuk folder) atau 644 (untuk file) setelah itu klik Save
.
2. Sembunyikan Folder wp-admin
Salah satu kemudahan WordPress yaitu untuk melakukan login, user hanya cukup menuliskan wp-admin setelah nama domain. Misalnya www.webhostmurah.com/wp-admin.php. Namun, hal tersebut ternyata juga menjadi salah satu kelemahan WordPress. Untuk itu, anda harus menyembunyikan wp-admin di salah satu folder. Sehingga, ketika anda mengakses wp-admin tidak langsung /namadomain/wp-admin. Bisa saja diubah menjadi /namadomain/websaya/admin atau sebagainya. Anda bisa menggunakan plugin Protect Your Admin untuk menyembunyikan folder wp-admin.
3. Proteksi Terhadap Script Website
Anda juga bisa melakukan proteksi terhadap script website WordPress agar tidak dapat diubah oleh orang lain. Yaitu menambahkan beberapa script berikut di file .htaccess.
1 2 3 4 5 6 7 8 9 10 11 | # Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp–admin/includes/ – [F,L] RewriteRule !^wp–includes/ – [S=3] RewriteRule ^wp–includes/[^/]+\.php$ – [F,L] RewriteRule ^wp–includes/js/tinymce/langs/.+\.php – [F,L] RewriteRule ^wp–includes/theme–compat/ – [F,L] </IfModule> # BEGIN WordPress |
4. Proteksi Terhadap File Upload
Upload file merupakan salah satu cara hacker untuk melakukan injeksi shell ke dalam website. Untuk itu, anda harus melakukan proteksi terhadap file upload. Anda dapat manambahkan script berikut di .htaccess folder /UPLOADS. Oiya, ketika script berikut sudah jalan, mungkin tema anda akan sedikit terganggu. Untuk memperbaikinya, silahkan hapus script tersebut.
1 2 3 4 | # Kill PHP Execution <Files *.php> deny from all </Files> |
5. Proteksi Terhadap WP-Config
Anda dapat menambahkan script berikut pada .htaccess untuk mencegah orang lain mengakses file wp-config. Perlu diketahui bahwa file wp-config ini berisi nama database dan username password database.
1 2 3 4 | <files wp–config.php> order allow,deny deny from all </files> |
6. Disable File Editing
Nah biasanya, anda dapat mengubah file melalui Dashboard WordPress. Misalnya mengedit file HTML dan sebagainya. Hal tersebut ternyata tidak aman webhostmurah? Hacker akan dengan mudah mengubah script/ file via editor saja. Untuk itu, segera lakukan disable file editing dengan menambahkan script berikut pada .htaccess di file wp-config.php
1 2 | ## Disable Editing in Dashboard define(‘DISALLOW_FILE_EDIT’, true); |