Tips Mengamankan WordPress (Instalasi, Kustomisasi dan Konfigurasi)

 

A.Pendahuluan

       Assalammu'alaikum Wr,Wb teman-teman semua.Kali ini saya akan memberikan sebuah Tips Mengamankan WordPress kepada teman-teman semua.Semoga dapat bermanfaat bagi kita semua.

      1.Pengertian

WordPress adalah sebuah aplikasi sumber terbuka (open source) yang sangat populer digunakan sebagai mesin blog (blog engine). WordPress dibangun dengan bahasa pemrograman PHP dan basis data (database) MySQL. PHP dan MySQL, keduanya merupakan perangkat lunak sumber terbuka (open source software).

     2.Latar Belakang

Kita tahu bahwa WordPress merupakan salah satu CMS yang cukup terkenal karena cukup powerful dan memiliki beragam plugin serta tema. Namun, terdapat issue yang berkembang bahwa WordPress tidak aman.Maka dari itu kita harus mengikuti Tips berikut agar terhindar dari serangan para Hacker.

     3.Maksud dan Tujuan

Mengamankan WordPress dari serangan para Hacker atau pihak-pihak yang tidak bertanggung jawab.

     4.Hasil yang Diharapkan

Dapat mengikuti Tips berikut untuk mengamankan WordPress anda.

B.Alat dan Bahan

     1.PC/Laptop

     2.Koneksi Internet

     3.WordPress yang akan diamankan

C.Jangka Waktu

     20 menit

D.Tahap Pelaksanaan

Bagaimana Cara Agar WordPress Aman?

Agar WordPress aman maka anda harus memperhatikan step by step dari mulai tahap instalasi, kustomisasi hingga konfigurasinya.

Tahap Instalasi

Proses instalasi WordPress dapat dilakukan melalui Softaculous atau upload file website secara manual. Apabila anda masih bingung dengan cara install WordPress, kami memiliki panduannya kok DomaiNesians. Silahkan baca di Cara Instal WordPress Melalui Softaculous dan Panduan Upload File Website Manual. Namun sebelum melakukan instalasi, anda perlu memperhatikan hal- hal berikut ini,

1. Aktifkan Fitur Auto Upgrade

Ketika anda melakukan instalasi WordPress melalui Softaculous, pasti anda akan menemui pilihan seperti gambar di bawah ini. Pada bagian Advanced Options, usahakan anda memberi tanda centang pada pilihan Auto Upgrade, Auto Upgrade WordPress Plugin dan Auto Upgrade WordPress Theme. Mengapa? Biasanya, tim development dari pihak WordPress akan selalu melakukan uji terhadap program yang mereka buat. Nah, dari versi- versi sebelumnya akan ditemukan suatu vulnerable/ celah yang biasanya menjadi “alat” hacker untuk mengobrak- abrik website. Tentu saja mereka akan memperbaiki vulnerable/ celah tersebut. Untuk itu, anda harus selalu melakukan upgrade agar WordPress, Theme dan Plugin akan senantiasa dalam versi terbaru. Nah, melalui fitur Auto Upgrade ini, proses upgrade akan menjadi otomatis. Namun perlu diperhatikan ketika ada perubahan total dari versi sebelumnya, terkadang website menjadi error.

2. Jangan Install WordPress di Public_html (Khusus untuk Subdomain/ Add- On Domain)

Kasus ini khusus untuk anda yang ingin melakukan instalasi website di subdomain atau Add- On Domain. Jadi, pastikan anda melakukan instalasi website/ meletakkan file website di folder yang terpisah dari public_html (beda folder). Hal ini dikarenakan untuk mengantisipasi ketika ada serangan dari hacker, website yang berada di subdomain/ add- on domain tidak akan diobrak- abrik.

3. Jangan Gunakan Username Default “admin”!

Salah satu cara agar wordpress aman yaitu jangan pernah gunakan username dan password “admin”. Mengapa? Karena para hacker akan dengan mudah melakukan pelacakan apabila username yang anda gunakan berupa “admin” atau “administrator”. Oiya, jangan gunakan kata yang simpel. Jangan gunakan angka 123456. Usahakan gunakan kata yang kompleks dan mudah diingat. Alangkah lebih baik jika anda memilih password dengan kombinasi angka, huruf besar, huruf kecil serta karakter.

Tahap Kustomisasi

Nah setelah selesai melakukan instalasi, pasti anda ingin segera melakukan pengubahan/ kustomisasi website WordPress seperti mengubah tema, menambahkan template dan sebagainya. Namun sebelum itu, anda perlu memperhatikan hal- hal berikut ini agar website tidak menjadi sasaran “hacker”.

1. Selalu Lakukan Update Tema/ Plugin WordPress

Nah, sebelumnya telah dijelaskan bahwa Theme atau Plugin dapat menjadi celah masuknya hacker untuk meretas website anda. Untuk itu, selalu lakukan update Tema/ Plugin yang digunakan. Apabila plugin tersebut sudah tidak digunakan lagi, Kami sarankan untuk menghapusnya saja.

2. Jangan Gunakan Tema atau Plugin Sembarangan!

Selalu gunakan tema/ plugin yang berasal dari website WordPress. Atau misalnya anda membeli Template (tema)/ plugin dari pihak luar, pastikan tidak ada backdoor di dalamnya. Dan pastikan tema/ plugin tersebut aman. Oiya, jangan pernah tertarik untuk menggunakan template gratisan yang bukan berasal dari pihak WordPress ya DomaiNesians! Adapun tema dan plugin dari WordPress bisa anda lihat di https://wordpress.org

3. Gunakan Plugin Security pada WordPress

WordPress telah mengantisipasi akan adanya serangan yang dilakukan oleh hacker. Untuk itu, WordPress telah menyediakan beberapa plugin yang bisa anda gunakan seperti All In One WP Security, WordFence, Ninjafirewall dan sebagainya.

All In One WP Security & Firewall

Plugin ini akan mendeteksi kerentanan/ vulnerable dari website serta memberikan berbagai firewall rules. Untuk melakukan instalasi silahkan download di Plugin All In One WP Security & Firewall.

WordFence
Plugin ini fungsinya hampir sama dengan All In One WP Security & Firewall. Namun, WordFence akan memberikan notifikasi kepada user ketika ada yang melakukan serangan “bruteforce” atau pelacakan password secara acak oleh hacker. Selain itu, plugin ini dapat mendeteksi malware yang ada pada plugin atau template.

Agar anda lebih mudah dalam proses instalasi, silahkan login SSH kemudian copy paste command berikut ini,

1 2 3 4 5

wp plugin install wordfence --activate --allow-root wp plugin install si-captcha-for-wordpress --activate --allow-root wp plugin install ninjafirewall --activate --allow-root wp plugin install all-in-one-wp-security-and-firewall --activate --allow-root wp plugin install anti-spam --activate --allow-root

4. Selalu Lakukan Backup Data

Untuk backup data, dapat anda lakukan langsung dari cPanel atau melalui Softaculous Backup. Untuk melakukan backup data WordPress dari cPanel, silahkan ikuti Panduan Backup Data di cPanel. Untuk melakukan backup data melalui softaculous, silahkan ikuti Panduan Backup Data Melalui Softaculous. Oiya, Kami sarankan untuk melakukan backup data berupa file website, file database maupun file email secara berkala ya DomaiNesians!

Tahap Konfigurasi

Nah ditahap ini biasanya meliputi pengaturan kode hak akses, pengubahan nama wp-admin, pengaturan konten upload dan sebagainya. Eitss.. sebelumnya ayo perhatikan terlebih dahulu hal- hal berikut ini.

1. Hindari Kode Hak Akses 777!

Apabila James Bond menggunakan kode 007, maka untuk folder instalasi WordPress jangan sekali- kali gunakan kode permission (hak akses) 777! Larangan keras ya DomaiNesians! Karena dengan kode 777 ini, semua orang bisa mengakses file anda secara mudah. Bahkan orang awam saja bisa mengaksesnya. Untuk itu, selalu gunakan kode hak akses 755 untuk folder dan kode hak akses 644 untuk file. Untuk mengubahnya, silahkan buka File Manager di cPanel. Kemudian buka folder instalasi WordPress. Lalu anda akan menemui folder dan file didalamnya lengkap dengan kode permissions (hak akses). Silahkan klik kode tersebut kemudian ubah menjadi 755 (untuk folder) atau 644 (untuk file) setelah itu klik Save.

2. Sembunyikan Folder wp-admin

Salah satu kemudahan WordPress yaitu untuk melakukan login, user hanya cukup menuliskan wp-admin setelah nama domain. Misalnya www.domainesia.com/wp-admin.php. Namun, hal tersebut ternyata juga menjadi salah satu kelemahan WordPress. Untuk itu, anda harus menyembunyikan wp-admin di salah satu folder. Sehingga, ketika anda mengakses wp-admin tidak langsung /namadomain/wp-admin. Bisa saja diubah menjadi /namadomain/websaya/admin atau sebagainya. Anda bisa menggunakan plugin Protect Your Admin untuk menyembunyikan folder wp-admin.

3. Proteksi Terhadap Script Website

Anda juga bisa melakukan proteksi terhadap script website WordPress agar tidak dapat diubah oleh orang lain. Yaitu menambahkan beberapa script berikut di file .htaccess.

1 2 3 4 5 6 7 8 9 10 11

# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule&nbsp;!^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress

4. Proteksi Terhadap File Upload

Upload file merupakan salah satu cara hacker untuk melakukan injeksi shell ke dalam website. Untuk itu, anda harus melakukan proteksi terhadap file upload. Anda dapat manambahkan script berikut di .htaccess folder /UPLOADS. Oiya, ketika script berikut sudah jalan, mungkin tema anda akan sedikit terganggu. Untuk memperbaikinya, silahkan hapus script tersebut.

1 2 3 4

# Kill PHP Execution <Files *.php> deny from all </Files>

5. Proteksi Terhadap WP-Config

Anda dapat menambahkan script berikut pada .htaccess untuk mencegah orang lain mengakses file wp-config. Perlu diketahui bahwa file wp-config ini berisi nama database dan username password database.

1 2 3 4

<files wp-config.php> order allow,deny deny from all </files>

6. Disable File Editing

Nah biasanya, anda dapat mengubah file melalui Dashboard WordPress. Misalnya mengedit file HTML dan sebagainya. Hal tersebut ternyata tidak aman  

 Hacker akan dengan mudah mengubah script/ file via editor saja. Untuk itu, segera lakukan disable file editing dengan menambahkan script berikut pada .htaccess di file wp-config.php

1 2	## Disable Editing in Dashboard define('DISALLOW_FILE_EDIT', true);

 Nah,sudah tahukan apa yang harus dilakukan agar terhindar dari serangan para Hacker tersebut.Sekian dari saya dan terima kasih.

E.Hasil yang Didapatkan

Dapat memahami apa yang harus dilakukan agar terhindar dari serangan para Hacker tersebut.

Kesimpulan

Jadi,agar WordPress kita menjadi lebih aman maka ikutilah Tips tersebut agar WordPress anda dapat terhindar dari serangan para Hacker.

Referensi

https://www.domainesia.com/panduan/cara-agar-wordpress-aman/