Berikut adalah tips-tips untuk mengamankan instalasi wordpress. Mengamankan wordpress lebih baik daripada mengobati walaupun tidak menjamin wordpress aman 100%.
1. Komputer
Pastikan komputer yang kamu gunakan untuk mengakses area wp-admin bebas dari:
virus, spyware, malware dan keylogger.
Pastikan web browser anda up to date dan aman dari plugin-plugin aneh
2. Instalasi WordPress
Usahakan wordpress diupdate secara rutin, minimal mengetahui kelemahan dari
versi yang kamu gunakan sekarang
3. Web server
Pastikan kamu menggunakan web hosting yang mumpuni dan minimal berpengalaman
dalam meng-hosting wordpress. Di internet harga tidak selalu berbanding lurus
dengan kualitas, akan tetapi umumnya ada harga maka ada kualitas. Kalo saya biasa hosting disini
4. Template wordpress
Jika kamu ingin menggunakan template yang sudah jadi, demi keamanan wordpress
usahakan template wordpress kamu dapatkan dari sumber yang terpercaya. Bila
kamu bingung mengapa wordpress kamu sering dihack walaupun sepertinya sudah
kamu bersihkan. Mulailah mencari script-script aneh di setiap file dari theme
wordpress kamu (apalagi yang suka pake template inul :p)
5. Plugin wordpress
Hati-hati juga dalam menggunakan plugin yang bertebaran dimana-mana. Paling
tidak plugin yang di-download dari situs resmi wordpress bisa dikatakan bersih.
Sebelum memilih plugin, lihat feedback user, kompatibilitas dengan wordpress
dan support nya.
Gunakan plugin-plugin security yang mumpuni – bisa dicari di wordpress.org
Minimal plugin bisa: Membatasi jumlah login yang salah, menyembunyikan versi
wordpress, menyembunyikan akses wp-admin secara langsung
Bisa dicari di worpress.org dengan keyword: ‘limit login attemps’ atau yang
sejenisnya
6. Password
Gunakan password generator untuk menghasilkan password yang rumit. Usahakan
tidak menggunakan: tanggal lahir, tanggal pacaran, nama anak, dll (hacking
dengan pendekatan sosial). *saya pernah mendapati wordpress saya tiba2
terinstall plugin FTP dan PHPmyadmin, *SWT
Password rumit juga harus diterapkan pada CPANEL hosting (atau SPANEL, dkk).
7. FTP
Hindari melakukan login dari sembarang komputer, dan biasakan menggunakan
software FTP. Login lah dengan koneksi SFTP – Secure FTP
8. Database
Pada awal instalasi wordpress, kamu ditanyakan prefix untuk table wordpress.
Masukkan nilai yang unik, setidaknya nama tabel di database wordpress kamu unik
dan lebih aman dari serangan sql injection.
9. File permission
Ada folder-folder pada instalasi wordpress yang harusnya tidak diakses oleh
sembarang user, yaitu: wp-admin dan wp-includes. Berikut adalah kode .htaccess
yang bisa kamu tempatkan di root folder instalasi wordpress.
RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]
note: .htaccess sebaiknya boleh juga ditempatkan di folder-folder yang
bersangkutan. Bisa googling lebih lanjut dengan keyword : ‘securing wordpress
with htaccess’
10. wp-config.php dan .htaccess
Berikut kode .htaccess untuk mengamankan file tersebut dari mata-mata liar:
<Files wp-config.php> order allow,deny deny from all </Files> <Files .htaccess> order allow,deny deny from all </Files>
11. Versi wordpress
Sembunyikan versi wordpress yang kamu gunakan. Versi wordpress digenerate
dibagian header atau RSS. Dengan menyembunyikan versi wordpress kamu, attacker
harus berfikir dua kali untuk memilih metode yang akan dia gunakan.
cukup masukkan kode ini di function.php dari theme yang kamu gunakan
remove_action('wp_head', 'wp_generator');
function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');
12. Administrator
Jangan menggunakan username default dari wordpress : ‘admin’
13. Backup
Bila kamu merasa settingan wordpress kamu sudah cukup aman pada saat itu,
lakukan backup. Jadi jika suatu saat kebobolan, masih lumayan lah 🙂
Jika ada yang mau nambahin buat point 14 silahkan. Jika informasi ini membantu, silahkan klik like / share yah 🙂
sumber: http://codex.wordpress.org/Hardening_WordPress, http://wp.tutsplus.com/tutorials/11-quick-tips-securing-your-wordpress-site/