Dalam membuat web server kita tidak hanya dituntut untuk menampilkan konten dan tampilan yang menarik, tetapi juga harus memikirkan segi keamanan agar tidak mudah untuk dimasuki orang lain terutama para hacker yang mengincar kelemahan yang ada dari sebuah web server untuk kemudian mengeksploitasinya.
Disini akan dijelaskan penambahan keamanan untuk wordpress yang secara umum dapat dipasang agar terhindar dari hal-hal seperti diatas. Untuk itu sebelum anda mempublish web server yang menggunakan wordpress pastikan sebelumnya telah menambahkan hal-hal dibawah ini
1. Jangan memakai nama default admin pakailah nama selain admin, misalnya : petugas, tentu ini juga harus dibarengi dengan memberi password yang lebih aman.
2. Buat database wordpress, dan grant dengan limit access :
Grant Select, Insert, Delete, Update, Create, Drop, Alter ON namadb.* TO 'namauser'@'localhost' Identified By 'password'; Flush Privileges;
3. Buatlah prefix tabel dengan nama lain, jangan default ( wp_xxx ).
4. Akses ke sini: https://api.wordpress.org/secret-key/1.1/salt/ , untuk generate secret key yang baru pada wp-config.php, carilah kode seperti dibawah dan ganti dengan yang baru.
define(‘AUTH_KEY’, ‘secret key yang baru digenerate’); define(‘SECURE_AUTH_KEY’, ‘secret key yang baru digenerate’); define(‘LOGGED_IN_KEY’, ‘secret key yang baru digenerate’); define(‘NONCE_KEY’, ‘secret key yang baru digenerate’);
5. Jika memang diperlukan, paksa admin untuk menggunakan ssl, tambahkan di wp-config.php :
define('FORCE_SSL_ADMIN', true);
6. Buatlah .htaccess didirektori wp-admin jika anda ingin hanya dari ip tertentu yang bisa login, isinya :
Order Deny,Allow Allow from 11.22.33.44 (ip address anda) Deny from all
7. Install WP Security Scan untuk cek installasi , file permission, dan sebagainya.
8. Install Software tambahan untuk keamanan, seperti : Exploit Scanner, Login-lockdown, ChapSecure login, dan security plugin misalnya: Better WP Security, Acunetix Secure WordPress, BulletProff, All in One Firewall, Sucuri Scan dan sebagainya, pilihlah salah satu diantaranya.
9. Buat robots.txt di dokumen root, untuk filter bot agent/spider
# vi robots.txt, isikan kode dibawah : User-agent: * Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins/ Disallow: /wp-content/cache/ Disallow: /wp-content/themes/ Disallow: */trackback/ Disallow: */feed/ Disallow: /*/feed/rss/$ Disallow: /category/*
Disallow: /*?
User-agent: ia_archiver-web.archive.org Disallow: / User-agent: duggmirror Disallow: /
10. Buat file .htaccess di root dokumen (contoh di /var/www/wordpress)
#.htaccess file protection
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
#disable direktori browsing
Options All –Indexes
#protek wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
#protek dari sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
11. Buat .htaccess di direktori wp-content (jika diperlukan, terkadang membuat website sulit untuk diakses)
Order deny,allow Deny from all <Files ~ “\.(xml|css|jpg|jpeg|png|gif|js)$”> Order allow,deny Allow from all </Files>
Dan jangan lupa melihat atau cek untuk upgrade versi wordpress yang terbaru karena disana ada fungsi-fungsi tambahan yang tidak ada pada versi sebelumnya, serta yang terpenting adalah biasakan backup dokumen web dan database anda, paling tidak seminggu atau sebulan sekali.
Mungkin itu saja, mudah-mudahan dengan langka-langkah diatas membuat WordPress lebih secure dan terhindar dari para hacker yang usil, atau untuk lebih mengetahui secara luas bagaimana untuk meningkatkan keamanan website yang menggunakan WordPress, silahkan baca dan cermati link berikut:
http://codex.wordpress.org/Hardening_WordPress
http://codex.wordpress.org/Hardening_WordPress
Terima kasih telah mampir dan membaca tulisan ini, dan Salam.
No comments:
Post a Comment