Sembilan Tips Mengamankan WordPress
This entry was writen by Rismaka, The Admin, Biochemist (sometimes) and Data Management Staff of PT. Ex-WF. [Contact: rismaka[at]rismaka.net]
Sebuah situs/blog khususnya yang memakai engine wordpress, acapkali menerima serangan-serangan dari seorang hacker (penggunaan kata hacker adalah kurang tepat, yang benar adalah cracker). Seorang cracker mempunyai berbagai macam alasan untuk menyerang dan merusak (deface) sebuah situs, entah itu karena faktor dendam, nasionalis (cinta negara), materi, ataupun hanya untuk kesenangan semata.
Pengguna WordPress seperti laiknya kita harus mewaspadainya. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statemen tersebut hanya berangkat dari kemalasan sang blogger itu sendiri.
Ada beberapa macam tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.
1. Usahakan untuk segera mengupgrade versi WordPress kita dengan versi yang terbaru.
Kenapa wordpress selalu mengeluarkan versi baru dalam selang waktu yang berdekatan? Karena wordpress merupakan engine blog yang sudah populer. Ribuan atau bahkan jutaan orang telah menggunakan wordpress sebagai salah salah satu sofware blog favorit. Dengan kepopulerannya, maka banyak pula cracker-cracker yang ingin membobol keamanannya.
Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi blogger pemalas.
2. Hapus atau sembunyikan versi WordPress
Ketika akan membobol sebuah blog WordPress, seorang cracker biasanya akan mencari tahu versi dari engine wordpress yang kita pakai. Alasannya mudah saja, yaitu versi wordpress yang lama pasti lebih mudah untuk dibobol daripada versi terbaru. Tips ini mungkin cocok bagi pengguna wordpress dengan versi yang lama.
Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php, kemudian cari (find) kode berikut:
1 | <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /></meta> |
Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan kode berikut:
1 | <?php remove_action('wp_header', 'wp_generator'); ?> |
3. Ubah username login
Ketika kita menginstall wordpress, secara default, wordpress akan memberikan username dengan nama “admin“. Nama userame ini tidak bisa diubah dengan cara biasa. Namun ada plugin yang dapat kita gunakan untuk mengubah username “admin” dengan username yang kita inginkan, yaitu dengan mengguanakan plugin wpvn username changer.
Jika anda tak mau menambah koleksi plugin-plugin yang sudah menumpuk, anda bisa menggunakan trik bagus yang telah ditulis oleh rekan ganda manurung di blognya. Silahkan baca dan pahami artikel Change Wordpress Administrator Username Without Using Plugin
4. Pilih password login yang sukar ditebak
Jangan gunakan kata-kata yang mudah ditebak, seperti nama sendiri, tanggal lahir, nama istri, dan lain-lain. Hindarilah menggunakan password dengan jumlah karakter yang sedikit. Bila perlu, kombinasikan karakter huruf dan angka berselang-seling. Tapi sebelumnya pastikan dulu bahwa anda telah benar-benar menghapalnya.
5. Lindungi direktori (folder) yang ada di direktori wp-content
Hal ini perlu dilakukan untuk menghindari seseorang melihat isi dari direktori plugins dan themes. Saya pernah mengalami kebobolan pada direktori themes yang mengakibatkan seseorang dapat mengambil dengan tanpa izin file-file backup dari theme-theme yang saya gunakan.
Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.
Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:
1 2 | <html><body bgcolor="#000000" text="#FFFF99"> <table border="0" width="100%" cellspacing="0" cellpadding="0"><tr><td width="20%"></td><td width="60%" colspan="4"><p align="center"><font face="Arial Black" size="6">MAU NGAPAIN LU, MONYET?!</font></p><p align="center"><font face="Arial Black" size="5" color="#FFFFFF"><blink>Dilarang buka-buka direktori tanpa izin sang empunya blog. Dosa tau...!!!</blink></font></p></td><td width="20%"></td></tr></table></body></html> |
6. Lindungi file wp-config.php
File wp-config.php terletak di direktori utama blog kita. Di file tersebut terdapat username dan password untuk mengakses database. Jika seorang cracker mampu untuk membuka dan membaca file wp-config.php tersebut, maka yang terjadi ia dapat merusak database yang kita miliki.
Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan kode berikut pada file .htaccess:
1 2 | # protect wpconfig.php order allow,deny from all |
dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun, termasuk admin sendiri.
7. Batasi jumlah akses login
Seorang cracker biasanya akan mencoba-coba menebak username dan password login blog kita. Mereka (yang biasanya masih pemula) akan terus mencoba login berkali-kali. Untuk mengantisipasi hal-hal yang tidak diinginkan, sebaiknya kita membatasi jumlah login. Dengan begitu jika ada orang yang berusaha untuk login, dan dan kita membatasi jumlah akses login untuk jumlah tertentu, maka orang aneh tersebut tidak akan dapat login lagi. Ada plugin bagus untuk membatasi jumlah akses login, yaitu plugin Login LockDown.
8. Batasi akses direktori wp-admin untuk alamat IP tertentu saja
Kita dapat membatasi akses login untuk alamat IP (internet protocol) tertentu dengan menggunakan .htaccess. Tambahkan kode berikut pada file .htaccess:
1 2 3 4 | # batasi akses wpadmin utk alamat IP tertentu order deny, allow allow from 127.0.0.1 deny from all |
Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.
Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.
9. Install plugin WP Security Scan
Plugin WP Security Scan berfungsi untuk memindai (scaning) instalasi wordpress yang kita gunakan untuk mendeteksi kemungkinan adanya celah-celah keamanan yang tidak terproteksi. Jika terdapat celah keamanan yang belum kita perbaiki, maka plugin ini akan mendeteksinya dan memberikan peringatan beserta solusi untuk kita lakukan. It’s extremly usefull and recommended plugin.
–o0o–
[rismaka. Dari berbagai sumber]
Artikel yang berhubungan:
- Seseorang Telah Mencoba Menembus Ruang Admin RISOFTE
- WordPress 2.8.5 Telah Dirilis
- WordPress Versi 2.8.4 Telah Dirilis
- 6 Tips Memaksimalkan Kecepatan Loading Blog WordPress.Com
- Plugin DB Cache Tidak Kompatibel di WordPress Versi 2.8
- WordPress Versi 2.8.1 Telah Dirilis
- WordPress 2.8.3 Telah Dirilis Sebagai Perbaikan dari Versi Lawasnya
Berlangganan Artikel
Dengan berlangganan, anda akan dikirim artikel terbaru blog ini secara lengkap. Masukkan alamat email anda, kemudian tekan tombol subscribe:
Nuryanto (5)
yunanto (2)
4ndr3 (1)
abunnisa (1)
anya (1)
Saya yang sudah pernah kursus sutpam(pengusutan pengamanan) malah belum mengamankan dengan detail blog saya lho.Untung ada artikel ini dan akan saya praktekkan hal2 yang bisa,kecuali yang belum bisa dilaksanakan di WP milik dinas(alias gratisan ha..ha..ha)
Untuk pasword saya kayaknya bisa diutak-atik oleh pembobol(jika dia rajin).
Mungkin sebaiknya artikel2 saya di pindah ke flashdisk atau cd ya mas,jadi kalau terjadi sesuatu artikel aman.Sayang lho walau hanya artikel guyonan
Thanks pencerahannya.salam
Untuk wordpress gratis cukup aman dari segi sistem kok pak, karena pihak wordpress sendirilah yang bertanggung jawab. Kecuali untuk urusan password itu tanggung jawab dari masing-masing user.
Iya, ada baiknya setiap kali kita menulis artikel selalu disimpan dalam perangkat keras lainnya, untuk menghindari data hilang.
ada baiknya juga halaman wp-login.php di proteksi dari IP kecuali IP kita. sebenarnya saya udah ketemu cara merename nama tabel prefix tanpa plugin. hehehe.. akan saya tulis kok..
Ditunggu tips2nya
sepertinya akan saya jual artikelnya bang. hehehehe… buat kelangsungan hidup
manusiablog saya bang…Hahahah. Ide bagus bang. Jangan lupa persenannya, jatah preman nih
Jatah preman simpang 4 ya bang? haahahaha *kabuur*
Mas, terima kasih artikelnya ini, sungguh berguna buat saya, btw where this inpriration come from ? :D, TQ very much one more.
Artikel ini sebenarnya saya tulis beberapa hari yang lalu mas. Masih ada beberapa artikel yang siap dipublish buat hari2 ke depan. Saya terbiasa posting dengan dijadwal. Mungkin karena kebetulan saja artikel ini nyambung dengan kejadian semalam
sekarang udah running mas, tapi masih agake lemot. Sampai sekarang gak tahu penyebabnya.
Sudah dilaporkan ke pihak telkomnya?
Wah, bgus bnget mas tipsnya.. Oke dah, ku coba ya..
wah sepertinya blog saya masih sangat rawan ya … hehehe
untuk password ada baiknya dilakukan perubahan secara berkala …
rasanya untuk hal keamanan sudah lebih mudah untuk diantisipasi saat ini, apalagi sudah banyak plugin atau trik yang disediakan *termasuk apa yang diberikan oleh mas Adi pada artikel ini*, semua harus wajib mengikuti apa yang sudah diberikan di sini … tetapi masih ada satu hal yang sebenarnya masih sulit dari sisi user biasa *seperti saya* yaitu mengantisipasi terhadap serangan sql/php injection karena lebih kepda logika database … dan sepertinya bang Ganda pada beberapa artikelnya mulai membahasa hal ini …
sepertinya nama saya di sebut yah *pura-pura tidak tahu* * di jitak bang ardy*
Kalau untuk itu solusinya adalah backup database secara rutin. Saya selalu membackup database setiap harinya. Bisa menggunakan plugin database backup, jadi file hasil backup bisa dikirim ke email kita tiap hari.
Wow…info yang bagus. Terima kasih banyak sobat. Btw, salam kepada semua blogger IPB. Saya alumni IPB, kuliah di Jurusan Kimia, Angkatan 1996. Happy blogging bro
Salam kenal juga mas. Saya juga udah alumni, Tapi angkatan 38. Berarti mas bareng sama Mbak Mega Safitri ya?
wah…blognya bagus mas,besok aq amankan deh blog aq. aq jg dah pindah hostig yg tidak gratis lagi. dulu aq juga pakai yg byethost.
Terima kasih mas. Semoga bermanfaat
Mas untuk buat read more gimana ya, aq pake WPress yg hosting sendiri?! Kalau di WP.com kan tinggal nambahin
Di index.php, kode nya diganti dengan the_content (‘read more »’)
[...] tips-tips di atas bisa anda baca di artikel saya yang berjudul Sembilan Tips Mengamankan WordPress di RISOFTE. Semoga [...]
Iya blog baru mas, masih bingung mau nulis apa gitu belum ada keahlian…
mas dari IPB ya?! Ni aq jg dekat sm mas Darmawan, tp belum nah ktmu.. 
Terima kasih sekali nih tipsnya. Sangat bermanfaat, langsung saya praktekkan
“6. Lindungi file wp-config.php”
Kalau adminnya nggak bisa akses terus gimana dong nanti aksesnya…?
Admin bisa mengakses (mengedit) wp-config lewat cPanel
Mas yg nmr 6 aq tambahin kok malah eror database ya?? rus aq balikin lagi..hehe..apa aq salah milih htaccess-nya? rus yg no. 5 uda ada sendiri..
Sebaiknya ga usah dulu mas. Mungkin saja servernya yang tidak suport.
Info yang sangat bagus sekali. Thank’s
Untuk point no 5, saya punya ide, he…
Ide apa mas?
Ide untuk otomatis mentrace orang yang coba mengakses direktori blog saya. btw di blognya mas juga saya lihat masih ada bug untuk mengetahui user di cpanel pada salah satu kode script. coba di cek lagi deh..
Oke, Trims atas peringatannya. Nanti saya cek lagi mas.
mas buat sitemap kaya punya njenengan pripun caranya? yg kedua, bagaimana caranya bikin postingan ststis? maksudnya tidak digeser oleh postingan yang baru, biar tetep berada di paling atas gituuuuu…lez yahhh!
Bisa dilihat di postingan ini mas, cukup lengkap.
Agar postingan bisa tetap di atas bisa menggunakan fitur “sticky post”, ada di bagian edit post.
Gak bisa je mas knapa ya sticky post pnya aq?! Tu ada 3 pilihan kan announcement, sticky post, satunya lupa.
Mungkin karena faktor theme yang dipakai. Bisa diedit mas, tapi ribet bagi yang belum tahu PHP. Solusinya ya ganti theme aja
Iya mas lum tau masalah PHP, tak cari tema dulu.. Kalau valid XHTML untuk apa mas yg ada di footer tu?! Aq klik masuk ke W3C, trus keterangannya banyak yg salah (not allowed).
Dulu valid mas XHTMLnya, tapi setelah dioprek-oprek jadi ga valid lagi deh. Masih belum punya waktu buat benerin semuanya…
mas buat ganti username admin wordpress yang gak pakek plugin gmn ya??? yang dari gandamanurung.com pakek bahasa inggris soalnya ==> (bahasa inggris=gak ngerti)
oh ya…. satu lagi..liat blognya kak rismaka pengen migrasi dari joomla ke wordpress ne…..
Hahaha.. coba tanya bang Ganda aja mas buat lebih jelasnya. Kalau saya sudah default (di cPanel) ga pake plugin maupun trik dari bang ganda tadi.
Makasih mas. Memang WP lebih baik dari joomla dari segi SEO, maupun kemudahan-kemudahan lainnya.
Thank’s infonya…
Terima kasih infonya.Walau pun saya ga ngerti gimana caranya melindungi web blog saya dari serangan cracker.
[...] mengenai penjelasan dari tips-tips di atas bisa anda baca di sini. Semoga [...]
Baru aja lagi seneng-senengnya bikin web pake wordpress blog
Eh terserang hacker / cracker
Bilangnya sih nggak di hack, tapi isinya nggak muncul…
nggak bisa login pakai username lama . . .
Terimakasih yah informasinya, nanti dicoba buat benerin and ngantisipasi serangan dimasa depan.
Sukses !!!
[...] rismaka.net fanari-id.com Blogging, Technology, Tips and Trick, [...]