Jika kita cari di search engine tentang bagaimana melindungi situs wordpress Anda dari google dengan beberapa jenis keyword seperti “ how ...
Jika kita cari di search engine tentang bagaimana melindungi situs wordpress Anda dari google dengan beberapa jenis keyword seperti “how to prevent wordpress from hack“, atau dengan kata kunci berbahasa indonesia seperti “mencegah serangan hacker pada wordpress“, akan didapat ratusan ribu blog bahkan jutaan yang membahas tentang hal ini.
ini menunjukkan betapa seringnya website berbasis wordpress diserang hacker. Namun apakah ini menunjukkan bahwa wordpress rawan dari serangan dan banyak celah keamanannya? tentu saja tidak. Justru kitalah yang membuka celah tersebut secara tidak disadari hingga mengundang hacker untuk masuk.
ini menunjukkan betapa seringnya website berbasis wordpress diserang hacker. Namun apakah ini menunjukkan bahwa wordpress rawan dari serangan dan banyak celah keamanannya? tentu saja tidak. Justru kitalah yang membuka celah tersebut secara tidak disadari hingga mengundang hacker untuk masuk.
Berikut ini adalah beberapa tips atau langkah yang dapat Anda terapkan untuk memproteksi web anda dari serangan hacker.
1. Buat Backup.
Untuk web dengan fasilitas cpanel dan softacolous, telah dilengkapi dengan fasilitas backup yang mencakup backup directory dan database. Anda bisa memilih salah satu atau keduanya. Backup sangatlah penting karena dengan backup proses restore website bisa lebih cepat, terutama untuk orang awwam seperti kita. cukup sekali klik di menu softacolous, website sudah kembali normal. Anda tidak perlu repot-repot mencari file yang telah diedit oleh hacker dan memperbaikinya. Lakukan backup sesering mungkin setiap kali dilakukan update terhadap content web.
2.Update versi wordpress Anda
Langkah selanjutnya setelah backup contentwordpress adalah selalu mengupdate versi wordpress. Dimenu dashboard, wordpress telah dilengkapi dengan oneclick update, sehingga dengan fasilitas tambahan ini, kita tidak perlu repor-repot lagi melakukan upload dari awal. Update bisa juga dilakukan melalui menu update dari softacolous. setelah Anda mengupdate, jangan lupa lakukan backup.
3. Ganti username login dan password Anda
Username default “admin” adalah username yang sangat disukai oleh para hacker. karena dengan username ini para hacker tidak perlu repot-repot mencoba beberapa kemungkinan username yang lain. hacker hanya tinggal mencari password untuk username admin ini. Karena itu, hindari nama admin untuk login. Gunakan nama lain seperti jhombloe2 atau nama-nama lain yang diluar dugaan hacker.
Untuk password, gunakan password yang baik, yaitu berupa gabungan dari karakter, angka dan tanda baca seperti P45sw0dD!. Kebanyakan hacker mencari kemungkinan password dengan cara brute force. sehingga semakin sulit password yang Anda buat, semakin lama hacker bisa menemukannya.
Untuk password, gunakan password yang baik, yaitu berupa gabungan dari karakter, angka dan tanda baca seperti P45sw0dD!. Kebanyakan hacker mencari kemungkinan password dengan cara brute force. sehingga semakin sulit password yang Anda buat, semakin lama hacker bisa menemukannya.
4. WordPress key dalam file wp-config.php
wordpress key berfungsi sebagai kode enkripsi yang akan menambah tingkat pengamanan database Anda. Gunakan wordpress key generator untuk mendapatkannya.
Berikut ini contoh dari wordpress key :
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
5. Install plugin wp-security scan
Plugin ini sangat penting bagi Anda, karena plugin ini mampu melakukan SCAN terhadap Blog wordpress Anda.
6.Ganti tabel prefix
Secara default worpress akan membuat tabel dengan prefiks wp_. Ganti dengan nama lain misal su54h_. Hal ini akan mencegah masuknya SQL Injection ke database Anda.
Perhatian : Sebelum Anda melakukan langkah ke-6 ini, sebaiknya backup situs Anda untuk menghindari hal-hal yang tidak kita inginkan
7.Cegah WordPress dari hacker dengan memblok folder admin dari search engine
Search engine mampu mengindeks semua indeks direktory dari website Anda. Cegah hal ini dengan sedikit memodifikasi file di robot.txt di root directory website Anda:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
8.Penyerangan Hacker terhadap file .hraccess
file .htaccess (hypertext access) adalah file untuk mengkonfigurasi level directory yang mengizinkan adanya desentralisasi di tiap directory. file .htaccess digunakan untuk memberikan spesifikasi pengamanan di setiap directory. Pembahasan mengenai file /htaccess yang lebih mendalam akan kami bahas dalam bahasan selanjutnya.
9. Melindungi file .htaccess dari serangan hacker
Karena file .htaccess itu sendiri adalah file yang mengatur level keamanan dari setiap directory, maka kita perlu melindungi file ini dari hacker agar terlindungi. Caranya cukup simple yaitu dengan menambahkan beberapa baris berikut di file .htaccess itu sendiri di root directory :
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
10. Disable directory Browsing
Directory browsing akan mempermudah hacker dalam menganalisa struktur directory di website kita. cegah hal ini dengan menambahkan 2 baris perintah di file .htaccess sebagai berikut:
# disable directory browsing
Options All -Indexes
11. Lindungi file wp-config.php Anda dari serangan hacker
File wp-config.php berisi informasi mengenai database kita. Jika file ini berhasil dilihat oleh hacker, maka website kita diambang kehancuran. Lindungi file ini dengan memberikan hak akses (CHMOD) 400 agar orang lain tidak bisa membaca dan mengeditnya. Tambahkan juga beberapa perintah berikut di file.htaccess di root directory Anda :
# protect wp-config.php
Order deny,allow
Deny from all
12. Batasi akses ke directory wp-content
Directory wp-content berisi beberapa file penting yang harus Anda amankan. Anda pasti tidak mau pengunjung web Anda mendapatkan hak akses yang tidak Anda inginkan. Sebaiknya data yang ada di directory ini hanya bisa dilihat. Tambahkan beberapa baris perintah berikut di file .htaccess di directory wp-content (buka di root directory):
Order deny,allow
Deny from all
Allow from all
COMMENTS