Sembilan Tips Mengamankan WordPress

Submitted by rismaka on July 14, 2009 – 7:00 am46 Comments
This entry was writen by Rismaka, The Admin, Biochemist (sometimes) and Data Management Staff of PT. Ex-WF. [Contact: rismaka[at]rismaka.net]

gembok pengaman wordpressSebuah situs/blog khususnya yang memakai engine wordpress, acapkali menerima serangan-serangan dari seorang hacker (penggunaan kata hacker adalah kurang tepat, yang benar adalah cracker). Seorang cracker mempunyai berbagai macam alasan untuk menyerang dan merusak (deface) sebuah situs, entah itu karena faktor dendam, nasionalis (cinta negara), materi, ataupun hanya untuk kesenangan semata.

Pengguna WordPress seperti laiknya kita harus mewaspadainya. Jangan berpikir hanya karena kita adalah seorang blogger newbie nan kampungan, maka kita dapat mengabaikan keamanan wordpress yang kita pakai. Tentu saja statemen tersebut hanya berangkat dari kemalasan sang blogger itu sendiri.

Ada beberapa macam tips yang dapat kita aplikasikan untuk mengamankan blog kita dari kerusakan-kerusakan yang disebabkan oleh faktor manusia. Sebagian besar tips ini berlaku bagi pengguna wordpress yang dihosting sendiri.

1. Usahakan untuk segera mengupgrade versi WordPress kita dengan versi yang terbaru.

Kenapa wordpress selalu mengeluarkan versi baru dalam selang waktu yang berdekatan? Karena wordpress merupakan engine blog yang sudah populer. Ribuan atau bahkan jutaan orang telah menggunakan wordpress sebagai salah salah satu sofware blog favorit. Dengan kepopulerannya, maka banyak pula cracker-cracker yang ingin membobol keamanannya.

Dengan tetap mengupgrade wordpress dengan versi terbaru, maka blog kita telah selangkah lebih aman daripada blog yang belum diupgrade. Jangan malas mengupgrade. Kini sudah ada plugin automatic upgrade yang sangat cocok bagi blogger pemalas.

2. Hapus atau sembunyikan versi WordPress

Ketika akan membobol sebuah blog WordPress, seorang cracker biasanya akan mencari tahu versi dari engine wordpress yang kita pakai. Alasannya mudah saja, yaitu versi wordpress yang lama pasti lebih mudah untuk dibobol daripada versi terbaru. Tips ini mungkin cocok bagi pengguna wordpress dengan versi yang lama.

Untuk menghapus keterangan versi wordpress yang kita pakai, editlah theme/template yang kita pakai. Edit file header.php, kemudian cari (find) kode berikut:

1
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /></meta>

Setelah itu simpan kembali file header.php yang sudah kita edit. Kemudian edit file function.php, dan tambahkan kode berikut:

1
<?php remove_action('wp_header', 'wp_generator'); ?>

3. Ubah username login

Ketika kita menginstall wordpress, secara default, wordpress akan memberikan username dengan nama “admin“. Nama userame ini tidak bisa diubah dengan cara biasa. Namun ada plugin yang dapat kita gunakan untuk mengubah username “admin” dengan username yang kita inginkan, yaitu dengan mengguanakan plugin wpvn username changer.

Jika anda tak mau menambah koleksi plugin-plugin yang sudah menumpuk, anda bisa menggunakan trik bagus yang telah ditulis oleh rekan ganda manurung di blognya. Silahkan baca dan pahami artikel Change Wordpress Administrator Username Without Using Plugin

4. Pilih password login yang sukar ditebak

Jangan gunakan kata-kata yang mudah ditebak, seperti nama sendiri, tanggal lahir, nama istri, dan lain-lain. Hindarilah menggunakan password dengan jumlah karakter yang sedikit. Bila perlu, kombinasikan karakter huruf dan angka berselang-seling. Tapi sebelumnya pastikan dulu bahwa anda telah benar-benar menghapalnya.

5. Lindungi direktori (folder) yang ada di direktori wp-content

Hal ini perlu dilakukan untuk menghindari seseorang melihat isi dari direktori plugins dan themes. Saya pernah mengalami kebobolan pada direktori themes yang mengakibatkan seseorang dapat mengambil dengan tanpa izin file-file backup dari theme-theme yang saya gunakan.

Untuk mengantisipasinya, buatlah file html atau php kosong. Beri nama sebagai index.html atau index.php. Setelah itu upload file tersebut di setiap direktori yang ada.

Atau bisa juga kita buat file index.html/php tersebut berisikan kode-kode yang bisa kita buat sendiri seperti contoh berikut:

1
2
<html><body bgcolor="#000000" text="#FFFF99">
<table border="0" width="100%" cellspacing="0" cellpadding="0"><tr><td width="20%"></td><td width="60%" colspan="4"><p align="center"><font face="Arial Black" size="6">MAU NGAPAIN LU, MONYET?!</font></p><p align="center"><font face="Arial Black" size="5" color="#FFFFFF"><blink>Dilarang buka-buka direktori tanpa izin sang empunya blog. Dosa tau...!!!</blink></font></p></td><td width="20%"></td></tr></table></body></html>

6. Lindungi file wp-config.php

File wp-config.php terletak di direktori utama blog kita. Di file tersebut terdapat username dan password untuk mengakses database. Jika seorang cracker mampu untuk membuka dan membaca file wp-config.php tersebut, maka yang terjadi ia dapat merusak database yang kita miliki.

Untuk melindungi file wp-config.php, bisa dilakukan dengan cara menambahkan kode berikut pada file .htaccess:

1
2
# protect wpconfig.php
order allow,deny from all

dengan demikian tak ada seorangpun yang dapat mengakses file wp-config.php dari manapun, termasuk admin sendiri.

7. Batasi jumlah akses login

Seorang cracker biasanya akan mencoba-coba menebak username dan password login blog kita. Mereka (yang biasanya masih pemula) akan terus mencoba login berkali-kali. Untuk mengantisipasi hal-hal yang tidak diinginkan, sebaiknya kita membatasi jumlah login. Dengan begitu jika ada orang yang berusaha untuk login, dan dan kita membatasi jumlah akses login untuk jumlah tertentu, maka orang aneh tersebut tidak akan dapat login lagi. Ada plugin bagus untuk membatasi jumlah akses login, yaitu plugin Login LockDown.

8. Batasi akses direktori wp-admin untuk alamat IP tertentu saja

Kita dapat membatasi akses login untuk alamat IP (internet protocol) tertentu dengan menggunakan .htaccess. Tambahkan kode berikut pada file .htaccess:

1
2
3
4
# batasi akses wpadmin utk alamat IP tertentu
order deny, allow
allow from 127.0.0.1
deny from all

Ganti IP 127.0.0.1 dengan alamat IP statis yang anda miliki.

Dengan demikian orang yang berada di luar alamat IP tersebut tidak akan dapat mengakses wp-admin. Harap diperhatikan, bahwa trik ini khusus digunakan bagi pengguna yang mempunyai IP statis. Jika anda adalah pengguna yang mobile, yang sering berpindah-pindah tempat login, maka cara di atas tidak disarankan.

9. Install plugin WP Security Scan

Plugin WP Security Scan berfungsi untuk memindai (scaning) instalasi wordpress yang kita gunakan untuk mendeteksi kemungkinan adanya celah-celah keamanan yang tidak terproteksi. Jika terdapat celah keamanan yang belum kita perbaiki, maka plugin ini akan mendeteksinya dan memberikan peringatan beserta solusi untuk kita lakukan. It’s extremly usefull and recommended plugin.

–o0o–

[rismaka. Dari berbagai sumber]

Artikel yang berhubungan:

  1. Seseorang Telah Mencoba Menembus Ruang Admin RISOFTE
  2. WordPress 2.8.5 Telah Dirilis
  3. WordPress Versi 2.8.4 Telah Dirilis
  4. 6 Tips Memaksimalkan Kecepatan Loading Blog WordPress.Com
  5. Plugin DB Cache Tidak Kompatibel di WordPress Versi 2.8
  6. WordPress Versi 2.8.1 Telah Dirilis
  7. WordPress 2.8.3 Telah Dirilis Sebagai Perbaikan dari Versi Lawasnya

Berlangganan Artikel

Dengan berlangganan, anda akan dikirim artikel terbaru blog ini secara lengkap. Masukkan alamat email anda, kemudian tekan tombol subscribe:

Jika tidak mendapatkan informasi yang diinginkan, anda bisa manfaatkan mode pencarian berikut ini:

46 Comments »

Leave a comment!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.