Header Ads

Breaking News

15 Cara Mengamankan Blog WordPress dari Serangan Hacker


15 Cara Mengamankan Blog WordPress dari Serangan Hacker


Cara mengamankan blog wordpress dari serangan hacker ini tentu perlu diketahui oleh pengguna CMS WordPress. Mencegah website wordpress agar tidak kena serangan hacker tentu harus dilakukan semaksimal mungkin, walaupun kita tau bahwa tidak ada sistem yang sempurna. Seiring waktu, selalu saja ada celah yang ditemukan dan itu akhirnya menjadi pintu masuk bagi orang yang tidak semestinya.
Setidaknya terdapat empat faktor utama penyebab website wordpress terkena serangan hackerseperti yang sudah kita bahas pada artikel sebelumnya, oleh karena itu perlu adanya pencegahan, karena pepatah mengatakan “lebih baik mencegah daripada mengobati”, bukan?
Jika Anda salah satu pemilik website yang menggunakan CMS WordPress, ada baiknya mengikuti beberap panduan berikut ini untuk mencegah agar website Anda tidak mudah terserang hacker yang kami kumpulkan dari berbagai sumber dan dari pengelaman pribadi. Mungkin ini tidak membuat website Anda 100% aman, namun mempersempit kemungkinan terkena serangan tentu harus tetap kita lakukan.

1. Hati-hati memilih hosting, pilih yang terpercaya

Pemilihan web hosting merupakan salah satu hal paling penting bagi keamanan website Anda, web hosting bisa menjadi penyebab website kena hack, sekitar 41% penyebab website wordpress terkena hack adalah karena faktor hosting, apalagi jika Anda menggunakan shared hosting, walaupun script website yang kita buat sudah sangat baik dan dirasa aman, namun penyebab website jebol bisa jadi karena lemahnya keamanan website orang lain yang juga dihosting pada tempat yang sama dengan website kita, itulah salah satu kekurangan menggunakan shared hosting. jadi pastikan Anda memilih web hosting yang bagus untuk website Anda, cari referensi, baca testimoni orang tentang sebuah web hosting.

2. Jangan gunakan user admin

Saat kita pertama menginstall wordpress, maka sudah dibuatkan sebuah akun dengan username admin, sebaiknya nama tersebut diganti dengan yang baru, karena username tersebut sudah diketahui oleh banyak orang. Anda bisa mengganti user admin dari phpmyadmin melalui CPANEL, namun jika ingin lebih mudah bisa mengganti user admin bisa memanfaatkan plugin seperti iThemes Security.

3. Gunakan password yang sulit ditebak

Wordpress security (Image by: capstonelouisvillewebdesign.com)
WordPress security (Image: capstonelouisvillewebdesign.com)
Sangat penting untuk memilih password yang kuat agar tidak mudah ditebak dan dijebol, password yang kuat menurut sebagian besar pakar keamanan adalah password yang jumlah karakternya tidak kurang dari 8 karakter, selain itu harus menggunakan gabungan huruf besar, huruf kecil, angka dan simbol. Password yang sulit ditebak ini harus ada di semua user yang ada pada website tersebut.

4. Batasi percobaan login

Biasanya pemilik website tidak akan lupa password websitenya sendiri, sekali coba login saja sudah bisa masuk. Namun orang lain belum tentu seperti itu, mereka akan mencoba berbagai kemungkinan, gagal login sekali, mereka akan coba lagi, coba lagi, coba lagi sampai berhasil. Oleh karena itu batasi kesalahan ketika login, misalnya 3 kali gagal login maka akan di blokir. Untuk menggunakan teknik tersebut Anda bisa menggunakan plugin seperti Limit login attemps, atau Login Lockdown.

5. Ganti atau sembunyikan halaman login

Biasanya website WordPress memiliki halaman login yaitu wp-admin, halaman tersebut tentu saja diketahui oleh semua orang, maka ada baiknya halaman tersebut diganti. Untuk itu Anda bisa menggunakan plugin sebagai bantuan, misalnya plugin iThemes Security yang memungkinkan Anda mengganti lokasi wp-admin.

6. Gunakan password untuk folder wp-admin

Password Protect Directory CPANEL
Bukan hanya masuk ke halaman administrator saja yang harus memasukan password, namun ketika ingin folder wp-admin juga bisa diberi password, agar keamanannya jadi ganda.
Anda bisa mengaturnya di CPANEL, masuk ke bagian Security, lalu pilih Password Protect Directory, lalu pada bagian Name the protected directory masukan wp-admin, tuliskan juga username dan passwordnya dibagian Create User yang ada dibawah nya, kemudian klik Save.
Ketika browser mengarah ke domain/wp-admin maka akan muncul popup yang meminta Anda memasukan username dan password tersebut.

7. Batasi hak akses file penting

File wp-config.php adalah file yang berisi settingan username dan password database yang digunakan oleh website wordpress, untuk itu sebaiknya file tersebut jangan sampai diakses oleh orang lain. Batasi hak aksesnya dengan melakukan pengaturan CHMOD.
Caranya mudah, akses file wp-config.php melalui CPANEL atau menggunakan FTP, klik kanan pada file wp-config.php, lalu pilih opsi Change Permission, lalu atur agar menjadi 644, jika Anda sama sekali tidak akan mengubah file tersebut kedepannya, maka bisa di atur menjadi 444 saja agar lebih aman.
change permission CHMOD
Lalu
change permission CHMOD 644
Selain wp-config, lakukan juga pengamanan pada file berikut ini
  • .htaccess -> ubah permision filenya menjadi 0404
  • index.php > ubah permision filenya 0400
  • wp-blog-header.php -> ubah permision filenya 0400
  • wp-admin -> ubah permision filenya 0705
  • wp-includes -> ubah permision filenya 0705
  • wp-content -> ubah permision filenya 0705

8. Jangan gunakan theme sembarangan

Jangan menggunakan theme sembarangan untuk theme website Anda agar tidak terjadi hal yang tidak diinginkan, pastikan Anda mendownlaod theme dari website yang kredibel, jangan mendownload theme dari website yang menyediakan file ilegal, jangan juga menggunakan theme bajakan, karena banyak kasus theme bajakan disusupi oleh script yang tidak aman yang bisa digunakan untuk mengakses website Anda.

9. Jangan gunakan plugin sembarangan

Sama seperti theme, plugin juga rawan untuk disisipi script jahat, oleh karena itu jangan gunakan plugin dari sembarang tempat, jangan gunakan plugin bajakan juga.

10. Hapus theme dan plugin yang tidak perlu

Theme dan plugin yang tidak perlu sebaiknya dihapus saja, jangan biarkan file tersebut berada di website Anda, karena script nya sewaktu-waktu bisa saja menjadi celah masuk hacker yang tentu tidak Anda inginkan.

11. Selalu update theme, plugin, versi wordpress

Jika ada permintaan update dari wordpress baik itu untuk core website, theme maupun plugin, maka sebaiknya lakukan saja, karena biasnaya setiap update dilakukan karena ada perbaikan-perbaikan.

12. Gunakan metode Two Step Authentication

Agar website lebih aman, maka harus dilakukan pengecekan berulang kali ketika ingin masuk, Anda bisa menggunakan metode Two Step Authentication, dimana ketika ingin login sistem akan mengirim sebuah kode ke email atau ke ponsel Anda melali SMS, kode tersebut berfungsi untuk mengkonfirmasi/memverifikasi bahwa yang login benar-benar Anda. Orang lain tidak akan bisa login, karena setiap dia ingin login harus memasukan kode awal terlebih dahulu, sedangkan kode itu akan dikirim ke SMS Anda.
Untuk melakukan hal tersebut, Anda bisa membaca panduan yang disediakan oleh WordPress disini.

13. Tutup kolom komentar pada postingan lama

Komentar menjadi tempat diskusi yang bagus untuk postingan website Anda, namun ada baiknya postingan yang sudah cukup lama komentarnya ditutup saja, hal ini tentu bisa untuk mengurangi spam, karena website wordpress rentan sekali terhadap masuknya komentar spam, spam yang membanjiri website Anda bisa mengakibatkan pembengkakan database dan bisa saja berujung pada beratnya website untuk diakses.

14. Cek kemanan website Anda

Anda bisa mengecek apa saja celah keamanan website Anda menggunakan berbagai plugin yang tersedia di repository wordpress. Selain beberapa plugin yang sudah kami sebutkan diatas tadi, berikut ini ada juga beberapa plugin untuk keamanan wordpress Anda.

15. Backup website Anda secara rutin

Lakukan backup terhadap website Anda secara rutin, tujuannya tentu untuk menghindari kehilangan data jika terjadi sesuatu pada website. Anda bisa backup melalui fitur yang ada di CPANEL atau menggunakan FTP, atau jika Anda paham bisa juga menggunakan terminal dan command prompt.
Berbagai cara diatas bisa Anda gunakan untuk mencegah WordPress Anda agar tidak mudah kena hack, tidak ada sistem yang sempurna, yang kami sebutkan diatas tentu tidak bisa membuat website Anda 100% aman. Namun pencegahan tentu tidak ada salahnya untuk dilakukan.

No comments