Knowledgebase

Tips Mengamankan Website Wordpress

 

Berikut adalah tips untuk melakukan optimisasi security dari wordpress.

1. Selalu melakukan update versi wordpress ke versi terbaru.
2. Menggunakan password yang kompleks dan tidak berada dalam kamus, gunakan perpaduan angka huruf (besar-kecil) dan karakter 
3. Jangan pernah menggunakan username admin sebagai username Anda.
4. Sembunyikan username, dari author di archive URL
5. Limit Login Attempts. http://wordpress.org/plugins/limit-login-attempts/
6. Disable file editor dari dashboard. Tambahkan line berikut pada file wp-config.php :

define( ‘DISALLOW_FILE_EDIT’, true );

7. Hindari free themes dan nulled atau hasil crack.
8. Hapus file/folder theme/plugins yang tidak di pakai
9. Lakukan backup rutin.
10. Gunakan plugins wp-security scan dan jalankan  https://wordpress.org/plugins/wp-security-scan/
11. Gunakan security Plugins bisa menggunakan dari list berikut :

http://wordpress.org/plugins/better-wp-security/ – offers a wide range of security features.
http://wordpress.org/plugins/bulletproof-security/ – protects your site via .htaccess.
http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – adds a firewall to your site.
http://wordpress.org/plugins/sucuri-scanner/ – scans your site for malware etc.
http://wordpress.org/plugins/wordfence/ – full-featured security plugin.
http://wordpress.org/plugins/websitedefender-wordpress-security/ – comprehensive security tool.
http://wordpress.org/plugins/exploit-scanner/ – searches your database for any suspicious code.

12. Rubah database table prefix menjadi unique, secara default wordpress menggunakan wp_ silahkan ganti menjadi wp_xxx_ atau lainnya, bisa menggunakan plugins wp-security scan. Mohon melakukan mengecekan sebelum merubah. Pada installasi Softaculous pertama kali, ada pilihan table prefix, silahkan gunakan/rubah.

13. Blok bot untuk crawl folder tertentu, karena defacer menggunakan hasil scan dari google untuk keyword tertentu.
Tambahkan pada robots.txt

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

14. Ubah file dan direktori permission.

a. Login ke cPanel, lalu klik “File Manager”.
b. Ubah file permission .htaccess ke 0404
c. Ubah file permission wp-blog-header.php, wp-config.php, index.php menjadi 0400
d. Ubah permission folder wp-admin, wp-content, wp-includes ke 0705

15. Melindungi file wp-config dengan menambah rule pada .htaccess

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

16. Melindugi file .htaccess dengan menambah rule berikut :

<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

17. Memblokir directory listing browse, dengan menambah file .htaccess atau membuat file index.php.

# disable directory browsing
Options All –Indexes

18. Memblokir script injection

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

19. Mengamankan folder include dengan menambahkan rule berikut pada .htaccess

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

20. Tambahkan rule pada file php.ini

Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

Dengan mendisable  fungsi yang berpotensi berbahaya diatas mungkin saja membuat salah satu script tidak berjalan,jika  script tsb membutuhkan fungsi dari salah satu tersebut diatas.

21. Tambahkan password pada direktory wp-admin dengan memberi password melalui cpanel “password protect directory”. 

Tutorial ini tidak menjamin mengamankan 100% website Anda, tapi paling tidak menutup celah-celah keamanan. Tidak ada keamanan yang sempurna dan selamanya, artinya Anda tidak bisa hanya dengan sekali setting lalu membiarkan saja tanpa mengikuti update dan perkembangan keamanan terbaru, sebab mungkin saja yang sekarang dianggap aman besok sudah menjadi tidak aman lagi karena ditemukannya bug baru yang ada dalam engine wordpress.