Sembilan Tips Mengamankan WordPress

Sebuah situs/blog khususnya yang memakai engine wordpress, acapkali menerima serangan-serangan dari seorang ~~hacker~~ cracker. Seorang cracker mempunyai berbagai macam alasan untuk menyerang dan merusak (deface) sebuah situs, entah itu karena faktor dendam, nasionalis (cinta negara), materi, ataupun hanya untuk kesenangan semata.

Pengguna WordPress seperti laiknya kita harus mewaspadainya. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statement tersebut hanya berangkat dari kemalasan narablog itu sendiri.

Ada beberapa tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.

9 Tips Mengamankan WordPress

Segera upgrade versi WordPress kita dengan versi yang terbaru.

Kenapa wordpress selalu mengeluarkan versi baru dalam selang waktu yang berdekatan? Karena wordpress merupakan platform blog yang sudah populer. Ribuan atau bahkan jutaan orang telah menggunakan wordpress sebagai salah salah satu sofware blog favorit. Dengan kepopulerannya, maka banyak pula cracker-cracker yang ingin membobol keamanannya.

Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi narablog yang pemalas.
Hapus atau sembunyikan versi WordPress

Ketika akan membobol sebuah blog WordPress, seorang cracker biasanya akan mencari tahu versi dari engine wordpress yang kita pakai. Alasannya mudah saja, yaitu versi wordpress yang lama pasti lebih mudah untuk dibobol daripada versi terbaru. Tips ini mungkin cocok bagi pengguna wordpress dengan versi yang lama.

Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php, kemudian cari (find) snippet berikut:

Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan snippet berikut:

< ?php remove_action('wp_header', 'wp_generator'); ?>
Ubah username login

Ketika kita menginstall wordpress, secara default, wordpress akan memberikan username dengan nama “admin“. Username ini tidak bisa diubah dengan cara biasa. Namun ada plugin yang dapat kita gunakan untuk mengubah username “admin” dengan username yang kita inginkan, yaitu dengan mengguanakan plugin wpvn username changer.

Jika anda tak mau menambah koleksi plugin-plugin yang sudah menumpuk, anda bisa menggunakan trik bagus yang telah ditulis oleh rekan ganda manurung di blognya. Silahkan baca dan pahami artikel Change WordPress Administrator Username Without Using Plugin
Pilih password login yang sukar ditebak

Jangan gunakan kata-kata yang mudah ditebak, seperti nama sendiri, tanggal lahir, nama suami/istri, dan lain-lain. Hindarilah menggunakan password dengan jumlah karakter yang sedikit. Bila perlu, kombinasikan karakter huruf dan angka berselang-seling. Tapi sebelumnya pastikan dulu bahwa anda telah benar-benar menghapalnya.
Lindungi direktori (folder) yang ada di direktori wp-content

Hal ini perlu dilakukan untuk menghindari seseorang melihat isi dari direktori plugins dan themes. Saya pernah mengalami kebobolan pada direktori themes yang mengakibatkan seseorang dapat mengambil dengan tanpa izin file-file backup dari theme-theme yang saya gunakan.

Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.

Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:

MAU NGAPAIN LU, MONYET?! Dilarang buka-buka direktori tanpa izin sang empunya blog. Dosa tau...!!!
Lindungi file wp-config.php

File wp-config.php terletak di direktori utama blog kita. Di file tersebut terdapat username dan password untuk mengakses database. Jika seorang cracker mampu untuk membuka dan membaca file wp-config.php tersebut, maka yang terjadi ia dapat merusak database yang kita miliki.

Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan snippet berikut pada file .htaccess:

# protect wpconfig.php order allow,deny from all

dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun.
Batasi jumlah akses login

Seorang cracker biasanya akan mencoba-coba menebak username dan password login blog kita. Mereka (yang biasanya masih pemula) akan terus mencoba login berkali-kali. Untuk mengantisipasi hal-hal yang tidak diinginkan, sebaiknya kita membatasi jumlah login. Dengan begitu jika ada orang yang berusaha untuk login, dan dan kita membatasi jumlah akses login untuk jumlah tertentu, maka orang aneh itu tidak akan dapat login lagi. Ada plugin bagus untuk membatasi jumlah akses login, yaitu plugin Login LockDown.
Batasi akses direktori wp-admin untuk alamat IP tertentu saja

Kita dapat membatasi akses login untuk alamat IP (internet protocol) tertentu dengan menggunakan .htaccess. Tambahkan kode berikut pada file .htaccess:

# batasi akses wpadmin utk alamat IP tertentu order deny, allow allow from 127.0.0.1 deny from all

Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.

Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.
Install plugin WP Security Scan

Plugin WP Security Scan berfungsi untuk memindai (scaning) instalasi wordpress yang kita gunakan untuk mendeteksi kemungkinan adanya celah-celah keamanan yang tidak terproteksi. Jika terdapat celah keamanan yang belum kita perbaiki, maka plugin ini akan mendeteksinya dan memberikan peringatan beserta solusi untuk kita lakukan. It’s extremly usefull and recommended plugin.

http://mascholik.wordpress.com Abdul Cholik

using Firefox 3.0.11 on Windows XP
Saya yang sudah pernah kursus sutpam(pengusutan pengamanan) malah belum mengamankan dengan detail blog saya lho.Untung ada artikel ini dan akan saya praktekkan hal2 yang bisa,kecuali yang belum bisa dilaksanakan di WP milik dinas(alias gratisan ha..ha..ha)

Untuk pasword saya kayaknya bisa diutak-atik oleh pembobol(jika dia rajin).

Mungkin sebaiknya artikel2 saya di pindah ke flashdisk atau cd ya mas,jadi kalau terjadi sesuatu artikel aman.Sayang lho walau hanya artikel guyonan
Thanks pencerahannya.salam

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Untuk wordpress gratis cukup aman dari segi sistem kok pak, karena pihak wordpress sendirilah yang bertanggung jawab. Kecuali untuk urusan password itu tanggung jawab dari masing-masing user.

Iya, ada baiknya setiap kali kita menulis artikel selalu disimpan dalam perangkat keras lainnya, untuk menghindari data hilang.

http://gandamanurung.com ganda

using Internet Explorer 8.0 on Windows XP
ada baiknya juga halaman wp-login.php di proteksi dari IP kecuali IP kita. sebenarnya saya udah ketemu cara merename nama tabel prefix tanpa plugin. hehehe.. akan saya tulis kok.. :D

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Ditunggu tips2nya :)

http://gandamanurung.com ganda

using Internet Explorer 8.0 on Windows XP
sepertinya akan saya jual artikelnya bang. hehehehe… buat kelangsungan hidup ~~manusia~~ blog saya bang…

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Hahahah. Ide bagus bang. Jangan lupa persenannya, jatah preman nih :D

http://gandamanurung.com ganda

using Internet Explorer 8.0 on Windows XP
Jatah preman simpang 4 ya bang? haahahaha *kabuur*

http://www.indohijau.net Aldy

using Firefox 3.0.11 on Windows XP
Mas, terima kasih artikelnya ini, sungguh berguna buat saya, btw where this inpriration come from ? :D, TQ very much one more.

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Artikel ini sebenarnya saya tulis beberapa hari yang lalu mas. Masih ada beberapa artikel yang siap dipublish buat hari2 ke depan. Saya terbiasa posting dengan dijadwal. Mungkin karena kebetulan saja artikel ini nyambung dengan kejadian semalam :P

http://www.indohijau.net Aldy

using Firefox 3.0.11 on Windows XP
sekarang udah running mas, tapi masih agake lemot. Sampai sekarang gak tahu penyebabnya.

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Sudah dilaporkan ke pihak telkomnya?

http://catatanrudy.com Catatan Rudy

using Opera Mini 4.2.14320 on J2ME/MIDP Device
Wah, bgus bnget mas tipsnya.. Oke dah, ku coba ya..
http://blog.sumberdie.com nomercy

using Firefox 3.0.11 on Linux Mint 7
wah sepertinya blog saya masih sangat rawan ya … hehehe

untuk password ada baiknya dilakukan perubahan secara berkala …

rasanya untuk hal keamanan sudah lebih mudah untuk diantisipasi saat ini, apalagi sudah banyak plugin atau trik yang disediakan *termasuk apa yang diberikan oleh mas Adi pada artikel ini*, semua harus wajib mengikuti apa yang sudah diberikan di sini … tetapi masih ada satu hal yang sebenarnya masih sulit dari sisi user biasa *seperti saya* yaitu mengantisipasi terhadap serangan sql/php injection karena lebih kepda logika database … dan sepertinya bang Ganda pada beberapa artikelnya mulai membahasa hal ini …

http://gandamanurung.com ganda

using Safari 4.0.2 on Windows XP
sepertinya nama saya di sebut yah *pura-pura tidak tahu* * di jitak bang ardy*

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
:laughing:

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Kalau untuk itu solusinya adalah backup database secara rutin. Saya selalu membackup database setiap harinya. Bisa menggunakan plugin database backup, jadi file hasil backup bisa dikirim ke email kita tiap hari.

http://www.blogodolar.com/ Blogodolar

using Internet Explorer 6.0 on Windows XP
Wow…info yang bagus. Terima kasih banyak sobat. Btw, salam kepada semua blogger IPB. Saya alumni IPB, kuliah di Jurusan Kimia, Angkatan 1996. Happy blogging bro :D

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Salam kenal juga mas. Saya juga udah alumni, Tapi angkatan 38. Berarti mas bareng sama Mbak Mega Safitri ya?

http://puspitabangsa.web.id diON

using Firefox 3.0.10 on Windows XP
wah…blognya bagus mas,besok aq amankan deh blog aq. aq jg dah pindah hostig yg tidak gratis lagi. dulu aq juga pakai yg byethost. :)

http://rismaka.net rismaka

using Firefox 3.5 on Windows XP
Terima kasih mas. Semoga bermanfaat :)

http://puspitabangsa.web.id diON

using Opera Mini 3.1.10423 on J2ME/MIDP Device
Mas untuk buat read more gimana ya, aq pake WPress yg hosting sendiri?! Kalau di WP.com kan tinggal nambahin

http://rismaka.net rismaka

using Firefox 3.5.1 on Windows XP
Di index.php, kode nya diganti dengan the_content (‘read more »’)

Pingback: Tips-tips untuk Mengamankan Blog WordPress | Rismaka’s Weblog
http://puspitabangsa.web.id diON

using Nokia Web Browser on Nokia 3220
Iya blog baru mas, masih bingung mau nulis apa gitu belum ada keahlian… :) mas dari IPB ya?! Ni aq jg dekat sm mas Darmawan, tp belum nah ktmu.. :(
http://www.bujangrimbo.com buJaNG

using Firefox 3.0.11 on Windows XP
Terima kasih sekali nih tipsnya. Sangat bermanfaat, langsung saya praktekkan
http://www.bujangrimbo.com buJaNG

using Firefox 3.0.11 on Windows XP
“6. Lindungi file wp-config.php”
Kalau adminnya nggak bisa akses terus gimana dong nanti aksesnya…?

http://rismaka.net rismaka

using Firefox 3.5.1 on Windows XP
Admin bisa mengakses (mengedit) wp-config lewat cPanel

http://puspitabangsa.web.id diON

using Opera 9.64 on Windows XP
Mas yg nmr 6 aq tambahin kok malah eror database ya?? rus aq balikin lagi..hehe..apa aq salah milih htaccess-nya? rus yg no. 5 uda ada sendiri..

http://rismaka.net rismaka

using Firefox 3.5.1 on Windows XP
Sebaiknya ga usah dulu mas. Mungkin saja servernya yang tidak suport.

http://deka.web.id/ Deka

using Firefox 3.0.8 on Windows XP
Info yang sangat bagus sekali. Thank’s
Untuk point no 5, saya punya ide, he…

http://rismaka.net rismaka

using Firefox 3.5.1 on Windows XP
Ide apa mas?

http://deka.web.id/ Deka

using Firefox 3.0.8 on Windows XP
Ide untuk otomatis mentrace orang yang coba mengakses direktori blog saya. btw di blognya mas juga saya lihat masih ada bug untuk mengetahui user di cpanel pada salah satu kode script. coba di cek lagi deh..

http://cerita.rismaka.net/ rismaka

using Firefox 3.5.1 on Windows XP
Oke, Trims atas peringatannya. Nanti saya cek lagi mas.

http://puspitabangsa.web.id diON

using Opera 9.63 on Windows XP
mas buat sitemap kaya punya njenengan pripun caranya? yg kedua, bagaimana caranya bikin postingan ststis? maksudnya tidak digeser oleh postingan yang baru, biar tetep berada di paling atas gituuuuu…lez yahhh!

http://cerita.rismaka.net/ rismaka

using Firefox 3.5.1 on Windows XP
Bisa dilihat di postingan ini mas, cukup lengkap.

Agar postingan bisa tetap di atas bisa menggunakan fitur “sticky post”, ada di bagian edit post.

http://Puspitabangsa.web.id diON

using Opera Mini 3.1.10423 on J2ME/MIDP Device
Gak bisa je mas knapa ya sticky post pnya aq?! Tu ada 3 pilihan kan announcement, sticky post, satunya lupa.

http://cerita.rismaka.net/ rismaka

using Firefox 3.5.1 on Windows XP
Mungkin karena faktor theme yang dipakai. Bisa diedit mas, tapi ribet bagi yang belum tahu PHP. Solusinya ya ganti theme aja :D

http://puspitabangsa.web.id diON

using Nokia Web Browser on Nokia 3220
Iya mas lum tau masalah PHP, tak cari tema dulu.. Kalau valid XHTML untuk apa mas yg ada di footer tu?! Aq klik masuk ke W3C, trus keterangannya banyak yg salah (not allowed).

http://cerita.rismaka.net/ rismaka

using Firefox 3.0.11 on Windows XP
Dulu valid mas XHTMLnya, tapi setelah dioprek-oprek jadi ga valid lagi deh. Masih belum punya waktu buat benerin semuanya…

http://hidayahweb.co.cc hidayahweb

using Firefox 3.5.1 on Windows XP
mas buat ganti username admin wordpress yang gak pakek plugin gmn ya??? yang dari gandamanurung.com pakek bahasa inggris soalnya ==> (bahasa inggris=gak ngerti)
oh ya…. satu lagi..liat blognya kak rismaka pengen migrasi dari joomla ke wordpress ne…..

http://cerita.rismaka.net/ rismaka

using Firefox 3.0.11 on Windows XP
Hahaha.. coba tanya bang Ganda aja mas buat lebih jelasnya. Kalau saya sudah default (di cPanel) ga pake plugin maupun trik dari bang ganda tadi.

Makasih mas. Memang WP lebih baik dari joomla dari segi SEO, maupun kemudahan-kemudahan lainnya. :)

http://varplus.info Mochamad Agung Permana

using Firefox 3.5.1 on Windows XP
Thank’s infonya…
http://sasukeplasa.wordpress.com sasukeplasa

using Firefox 3.5.5 on Windows XP
Terima kasih infonya.Walau pun saya ga ngerti gimana caranya melindungi web blog saya dari serangan cracker.
Pingback: Seseorang Telah Mencoba Menembus Ruang Admin RISOFTE | RISOFTE
http://www.iklanpropertijakarta.com ardi at iklanpropertijakarta.com

using Firefox 3.5.7 on Windows XP
Baru aja lagi seneng-senengnya bikin web pake wordpress blog :-)
Eh terserang hacker / cracker :-)

Bilangnya sih nggak di hack, tapi isinya nggak muncul…
nggak bisa login pakai username lama . . .

Terimakasih yah informasinya, nanti dicoba buat benerin and ngantisipasi serangan dimasa depan.

Sukses !!!
Pingback: Mengamankan WordPress | Ddery [dot] com
http://indoherbalfarma.co.cc/ rodent tuber

using Firefox 3.6 on Windows XP
terima kasih saudaraku, anda telah membantu saya mengamankan blogku…HIDUP INDONESIA
http://yohan06.student.ipb.ac.id/ yohan

using Firefox 3.6.3 on Windows 7
thanks tutorialnya :)
https://melyanao06.student.ipb.ac.id mel

using Firefox 3.5.2 on Windows 7
makasih buat tipsnya
sangat membantu..
http://arieff06.student.ipb.ac.id arieff

using Firefox 3.6.3 on Windows 7
okay..ditunggu info selanjutnya
http://arifr06.student.ipb.ac.id ardhan

using Firefox 3.6.6 on Windows 7
masih banyak cara lainnya, ditunggu yang lainnya y
http://tric06.student.ipb.ac.id utari

using Firefox 3.6.6 on Windows 7
makasih banget infonya, bermanfaat buat blog saya ini
http://bambang.wijonarko08.student.ipb.ac.id wij

using Firefox 3.6 on Windows 7
oke banget nih infonya..
buat antisipasi keamanan..
thanks ya..
http://karimul.makhtidi08.student.ipb.ac.id dety

using Firefox 3.6.6 on Windows 7
makasih gan infonya. sebgai newbie gw sangat terbantu. ditunggu artikel selanjutnya
http://oki.maulana08.student.ipb.ac.id oky

using Firefox 3.5 on Windows XP
thanks buat infonya gan… bagus banget dan nambah wawasan….
Pingback: bimbinganintensifbelajar
http://www.digitalseed.info/ DG

using Firefox 4.0 on Windows 7
Bagus banget nih tipsnya, cocok buat newbie seperti saya… Makasih bro.
http://studiot.web.id Studiot

using Firefox 3.6 on Windows Server 2003
yang versi Indonesia juga udah ada bos.. kemaren saya baca-baca artikel, donlod di http://guide911/indowpscan.zip

http://studiot.web.id Studiot

using Firefox 3.6 on Windows Server 2003
oops.. maap.. maksud saya di http://guide911.com/indowpscan.zip ehehehe….

http://math-studio.com candra

using Firefox 3.6.22 on Windows XP
thank’s bro infonya btw aku coba dulu…..mudah2an berhasil dan gak ter-hack….amin…..

lemah teles…Gusti ALLAH yang bales….
http://kamalsy.com Kamal

using Firefox 10.0.2 on Windows 7
Terima kasih atas informasinya… akan saya praktekkan, sekalian saya jadikan juga referensi untuk kompilasi tulisan cara mengamankan wordpress

rismaka .NET

Me, Netizen, & Blogosphere

9 Tips Mengamankan WordPress

Segera upgrade versi WordPress kita dengan versi yang terbaru.

Hapus atau sembunyikan versi WordPress

Ubah username login

Pilih password login yang sukar ditebak

Lindungi direktori (folder) yang ada di direktori wp-content

Lindungi file wp-config.php

Batasi jumlah akses login

Batasi akses direktori wp-admin untuk alamat IP tertentu saja

Install plugin WP Security Scan

Tulisan yang Terkait

Bagikan Ke: