Tutorial Mengamankan CMS WordPress

Mengamankan Security WordPress - WordPress adalah platform open source yang berarti bahwa setiap orang, termasuk hacker dengan niat jahat, dapat menjelajahi source code platform ini untuk mencari celah di keamanan. Itulah sebabnya saya akan menunjukkan kepada Anda beberapa langkah pencegahan yang baik untuk melindungi Anda, Instalasi WordPress Anda dan yang paling penting, pembaca anda.

# 1 Jangan gunakan Superuser Admin

Nah, ini langkah termudah yang bisa Anda lakukan untuk melindungi situs wordpress anda adalah dengan mengubah / menghapus superuser admin. Setiap orang yang menggunakan WordPress tahu bahwa ada user bernama admin dengan izin keamanan tingkat atas, terutama hacker. Jika username adalah admin, sesulit apapun, masih memungkin kan untuk men-crack password tersebuti. Caranya anda bisa membuat akun baru tapi kali ini dengan nama yang berbeda, dan kemudian menghapus account yang dengan nama admin.

Lebih saya saran kan untuk membuat akun dengan username dan password yang sangat susah dan rumit, (seperti x7duEls91 contohnya) sangat kompleks, kemudian menyimpannya di suatu tempat yang aman, dan membuat account lain untuk menulis dan mempublikasikan konten tapi kali ini tidak memiliki hak administratif yang full akses seperti akun admin. Akun seperti editor misalnya, karena akun seperti admin tidak diperlukan untuk sehari-hari, hanya sewaktu-waktu ketika mau mengubah password, tema, mengupdate plugin, thema atau versi wordpress anda saja, sehingga security terhadap bruteforce lebih terjamin.

# 2 Pilih Password yang kuat dan aman

“Perlakukan password Anda seperti sikat gigi Anda. Jangan biarkan orang lain menggunakannya, dan mendapatkan yang baru setiap enam bulan. “ ~ Clifford Stoll

Apapun situsnya, apapun platformnya, meskipun anda tidak menggunakan wordpress anda beresikoterkena serangan bruteforce. Pada langkah pertama kita telah mengamankan situs anda dengan menghapus username admin, nah, dari situ mungkin sebagian besar hacker telah terhalang, tapi tetap saja orang masih bisa tahu password anda. Anda bisa mengamankan nya dengan memilih password yang sangat sulit. Cara yang baik untuk menentukan apakah atau tidak password Anda aman adalah dengan memasukkannya ke dalam sandi checker online seperti passwordmeter.com atau membuat password secara random atau acak.

# 3 Amankan Password Anda

Juga, saya memilih mengambil tindakan pencegahan ekstra untuk melindungi blog saya, contohnya menggunakan plugin yang dapat memblokir alamat IP orang yang berusaha melakukan brute force. Salah satu plugin yang saya anggap sangat berguna adalah LOGIN LockDown. Plugin ini akan mencatat alamat IP dan waktu (timestamp) dari semua login yang gagal, selain itu plugin ini akan memblokir IP tersebut setelah sejumlah login yang gagal. Plugin ini sangat berguna untuk mengamankan situs dari serangan brute force – kebanyakan penyerang yang menggunakan metode bruteforce akan menyerah jika IP  merekea di blokir setiap 5 menit sementara mereka sedang menjalankan program brute force.

# 4 Selalu Update WordPress Anda

Seperti yang saya katakan sebelumnya, WordPress adalah platform open source, sehinggamenjadi  target mudah bagi hacker. Hampir 60 juta situs menggunakan WordPress, ketika pemberitahuan Automattic update keluar , alangkah baiknya anda cepat mengupdatenya, seperti gambar diatas, ketika tim developer membuat update baru (maintenance and security release) mereka juga akan memposting celah keamanan yang diperbaiki dan juga beberapa bugs yang juga diperbaiki di. Bahkan, tidak butuh waktu lama untuk memperbarui instalasi WordPress, menurut WordPress hanya dibutuhkan 5 menit untuk menyelesaikan, sangat singkat untuk meningkatkan security website anda.

# 5 Sembunyikan Versi Wordpress

Andaikan Anda lupa untuk  mengupdate instalasi WordPress Anda, atau anda tidak memiliki 5 menit untuk memperbaharui versi wordpress. Kita bisa mencegah hacker untuk membobol pertahanan dengan menyembunyikan versi WordPress, versi wordpress memberikan hacker jalan yang baik tentang bagaimana mereka bisa meng-hack situs Anda, terutama jika situs itu ketinggalan jawan, segingga security nya kedodoran.

Secara default, WordPress menampilkan versi, karena mereka ingin untuk metrik untuk melihat berapa banyak orang yang menggunakan versi, dll … Namun, ini seperti memasang tanda merah terang pada situs Anda mengatakan hacker apa yang harus dilakukan.
Jika Anda menggunakan tema premium, kemungkinan besar pengembang telah menonaktifkannya untuk Anda, tetapi selalu lebih baik untuk memastikan. Buka file functions.php dan hapus baris kode dibawah:

<Php remove_action (‘wp_head’, ‘wp_generator’);?>

Jika anda mengalami kesulitan, anda dapat dengan mudah menggunakan plugin Secure WordPress,  untuk otomatis menyembunyikan WP Version di halaman website anda.

# 6 Ubah permission File

Sangat penting untuk anda untuk membatasi hak akses file anda menjadi 744 seperti diatas, yang pada dasarnya membuat situs anda read-only untuk semua orang kecuali Anda.

Anda dapat melakukan nya via FTP atau CPanel anda, jika melalui CPanel anda perlu membuka File Manager, lalu klik kanan pada folder atau file dan klik pada “File Permissions”.  Jika ternyata masih hak akses penuh atau 777, Anda sangat beruntung Anda belum terkena hack. Anda harus mengubah nilai CHMOD ke 744, yang hanya memberikan “pemilik” akses penuh.

# 7 Membuat transparentlist

transparentlist memungkinkan Anda untuk mengelola dan mengakses bagian-bagian tertentu dari situs Anda. Yah, seperti membangun Tembok Besar China di sekitar folder admin, sehingga tidak ada seorang pun, kecuali Anda, yang dapat mengakses folder tersebut.

Karena Tips Nomor 7 Ini Menggunakan pembatas IP, diharapkan Tips ini digunakan hanya jika anda TIDAK MENGGUNAKAN INTERNET YANG IP nya DYNAMIC, Seperti  GSM/CDMA modem, Speedy dan paket internet tanpa IP statis, bila anda mengalami kendala atau permasalahan silahkan bertanya melalui komol komentar

Jika anda yakin IP anda statis, silahkan melanjutkan Dari CPanel, anda bisa masuk ke direktori /wp-admin , kemudian memeriksa apakah sudah ada file htaccess disana, Jika tidak ada, anda bisa membuat satu melalui text editor. Jika sudah ada satu di sana, saya sarankan untuk membuat cadangan/BACKUP file.htaccess sebelum melakukan pengeditan.Dan PASTIKAN Anda berada di folder/direktori wp-admin, dan bukan folder root atau public_html anda.

Kemudian Paste kode berikut ke dalam file htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# transparentlist Your IP address
allow from xx.xx.xx.xxx
# transparentlist Your Office’s IP address
allow from xx.xx.xx.xxx
# transparentlist Your IP address While Your Traveling (Delete When You Come Back Home)
allow from xx.xx.xx.xxx
</LIMIT>

Ganti xx dengan alamat IP STATIS Global Anda, anda bisa melihatnya di situs WhatsMyIP.org. Selain dari alamat IP anda, wp-admin tidak akan bisa dibuka oleh siapapun.

# 8 Backup

Sebagus apapun security Website anda, Melakukan backup rutin adalah hal yang wajib. Ada banyak cara untuk melakukan ini, dengan mudah tentunya. Anda dapat membuat cron job, jika Anda perusahaan hosting menyediakan itu. Anda bisa melihatnya di CPanel anda.

Kemudian anda bisa menggunakan perintah ini di cron Job:

Dbname = DB_NAME

Dbpass = DB_PASSWORD

DBUSER = DB_USER

EMAIL = “you@your_email.com”

mysqldump – opt-u $ DBUSER-p $ dbpass $ dbname> backup.sqlgzip backup.sqlDATE = `date +% Y% m% d`, mv backup.sql.gz $ dbname-backup-$ DATE.sql.gzecho ‘BLOG BACKUP: Backup Anda terpasang’ | mutt-a $ dbname-backup-$ DATE.sql.gz $ EMAIL-s “MySQL Backup”rm $ dbname-backup-$ DATE.sql.gz

Dan cara termudah adalah melalui CPanel lalu klik backup.

# 9 Meningkatkan Security WP-Config

File wp-config.php berisi semua konfigurasi dan pengaturan WordPress anda, memperlihatkan file ini ke hacker adalah ancaman yang sangat besar untuk blog Anda, mereka bisa dengan mudah menyuntikkan malware ke dalam blog atau menghapus konten di blog Anda. Solusi untuk ini adalah untuk mencabut izin untuk file konfigurasi. WordPress file konfigurasi wp-config.php yang terletak di root direktori instalasi anda. Ubah izin untuk sesuatu yang aman seperti CHMOD 0600 dengan cara yang sama seperti mengubah permission file diatas, untuk meningkatkan keamanan situs anda.

Sekarang dengan instalasi WordPress yang aman, Anda siap untuk mem-posting konten Anda tanpa harus takut jika Anda gampang di-hack.

Sumber : http://xenophobic404.blogspot.com/2013/11/tutorial-lengkap-mengamankan-security.html