Achmad Julianto

Membuat Wordpress Lebih Secure (Aman)

Dalam membuat web server kita tidak hanya dituntut untuk menampilkan konten dan tampilan yang menarik, tetapi juga harus memikirkan segi keamanan agar tidak mudah untuk dimasuki orang lain terutama para hacker yang mengincar kelemahan yang ada dari sebuah web server untuk kemudian mengeksploitasinya.

Disini akan dijelaskan penambahan keamanan untuk wordpress yang secara umum dapat dipasang agar terhindar dari hal-hal seperti diatas. Untuk itu sebelum anda mempublish web server yang menggunakan wordpress pastikan sebelumnya telah menambahkan hal-hal dibawah ini

1. Jangan memakai nama default admin  pakailah nama selain admin, misalnya : petugas, tentu ini juga harus dibarengi dengan memberi password yang lebih aman.

2. Buat database wordpress, dan grant dengan limit access :

Grant Select, Insert, Delete, Update, Create, Drop, Alter
ON namadb.* TO 'namauser'@'localhost' Identified By 'password';
Flush Privileges;

3. Buatlah prefix tabel dengan nama lain, jangan default ( wp_xxx ).

4. Akses ke sini: https://api.wordpress.org/secret-key/1.1/salt/ , untuk generate secret key yang baru pada wp-config.php, carilah kode seperti dibawah dan ganti dengan yang baru.

define(‘AUTH_KEY’, ‘secret key yang baru digenerate’);
define(‘SECURE_AUTH_KEY’, ‘secret key yang baru digenerate’);
define(‘LOGGED_IN_KEY’, ‘secret key yang baru digenerate’);
define(‘NONCE_KEY’, ‘secret key yang baru digenerate’);

5. Jika memang diperlukan, paksa admin untuk menggunakan ssl, tambahkan di wp-config.php :

define('FORCE_SSL_ADMIN', true);

6. Buatlah .htaccess didirektori wp-admin jika anda ingin hanya dari ip tertentu yang bisa login, isinya :

Order Deny,Allow
Allow from 11.22.33.44 (ip address anda)
Deny from all

7. Install WP Security Scan untuk cek installasi , file permission, dan sebagainya.

8. Install Software tambahan untuk keamanan, seperti : Exploit Scanner,  Login-lockdown,  ChapSecure login, dan security plugin misalnya: Better WP Security, Acunetix Secure WordPress, BulletProff, All in One Firewall, Sucuri Scan dan sebagainya, pilihlah salah satu diantaranya.

9. Buat robots.txt di dokumen root, untuk filter bot agent/spider

# vi robots.txt, isikan kode dibawah :
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

Disallow: /*? 

User-agent: ia_archiver-web.archive.org
Disallow: /

User-agent: duggmirror
Disallow: / 

10. Buat file .htaccess di root dokumen (contoh di /var/www/wordpress)

#.htaccess file protection

  order allow,deny
  deny from all
  satisfy all

#disable direktori browsing
Options All –Indexes
#protek wp-config.php

  Order deny,allow
  Deny from all

#protek dari sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

11. Buat .htaccess di direktori wp-content (jika diperlukan, terkadang membuat website sulit untuk diakses)

Order deny,allow
Deny from all

  Order allow,deny
  Allow from all

Dan jangan lupa melihat atau cek untuk upgrade versi wordpress yang terbaru karena disana ada fungsi-fungsi tambahan yang tidak ada pada versi sebelumnya, serta yang terpenting adalah biasakan backup dokumen web dan database anda, paling tidak seminggu atau sebulan sekali.

Mungkin itu saja, mudah-mudahan dengan langka-langkah diatas web server kita dapat lebih aman dan terhindar dari para hacker yang usil, atau untuk lebih mengetahui secara luas bagaimana untuk meningkatkan keamanan website yang menggunakan WordPress, silahkan baca dan cermati link berikut:

http://codex.wordpress.org/Hardening_WordPress

dikutip dari  http://cb-aneka.blogspot.com/2012/04/membuat-wordpress-lebih-secure-aman.html
pada : 5 nov 2013 : 08:31