Advertisement
Mari amankanWordpress, Apa Yang bisa orang dapatkan dari membobol website kita?
Gambar dari humayraa.com
Bagi orang jahat, semua hal bisa saja penting, email kita (yang kita pakai untuk banyak situs lainnya), data komentator atau apa saja bisa mereka gunakan. Lebih bahaya lagi kalau dari membobol blog kita mereka bisa ambil alih keseluruhan server, bisa saja website lain yang berada dalam server yang sama – yang mungkin website sangat penting bagi pemiliknya – jadi kena hack.
Mencegah website wordpress agar tidak kena serangan hacker tentu harus dilakukan semaksimal mungkin, walaupun kita tau bahwa tidak ada sistem yang sempurna. Seiring waktu, selalu saja ada celah yang ditemukan dan itu akhirnya menjadi pintu masuk bagi orang yang tidak semestinya.
1. Hati-hati memilih hosting, pilih yang terpercaya
Pemilihan web hosting merupakan salah satu hal paling penting bagi keamanan website Anda, web hosting bisa menjadi penyebab website kena hack, sekitar 41% penyebab website wordpress terkena hack adalah karena faktor hosting, apalagi jika Anda menggunakan shared hosting, walaupun script website yang kita buat sudah sangat baik dan dirasa aman, namun penyebab website jebol bisa jadi karena lemahnya keamanan website orang lain yang juga dihosting pada tempat yang sama dengan website kita, itulah salah satu kekurangan menggunakan shared hosting. jadi pastikan Anda memilih web hosting yang bagus untuk website Anda, cari referensi, baca testimoni orang tentang sebuah web hosting.
2. Jangan sampai menggunakan user admin
Saat kita pertama menginstall wordpress, maka sudah dibuatkan sebuah akun dengan username admin, sebaiknya nama tersebut diganti dengan yang baru, karena username tersebut sudah diketahui oleh banyak orang. Anda bisa mengganti user admin dari phpmyadmin melalui CPANEL, namun jika ingin lebih mudah bisa mengganti user admin bisa memanfaatkan plugin seperti iThemes Security.
3. Gunakan password yang sulit ditebak (penuh Kombinasi)
Sangat penting untuk memilih password yang kuat agar tidak mudah ditebak dan dijebol, password yang kuat menurut sebagian besar pakar keamanan adalah password yang jumlah karakternya tidak kurang dari 8 karakter, selain itu harus menggunakan gabungan huruf besar, huruf kecil, angka dan simbol. Password yang sulit ditebak ini harus ada di semua user yang ada pada website tersebut.
4. Batasi percobaan login (upaya masuk)
Biasanya pemilik website tidak akan lupa password websitenya sendiri, sekali coba login saja sudah bisa masuk. Namun orang lain belum tentu seperti itu, mereka akan mencoba berbagai kemungkinan, gagal login sekali, mereka akan coba lagi, coba lagi, coba lagi sampai berhasil. Oleh karena itu batasi kesalahan ketika login, misalnya 3 kali gagal login maka akan di blokir. Untuk menggunakan teknik tersebut Anda bisa menggunakan plugin seperti Limit login attemps, atau Login Lockdown.
5. Ganti atau sembunyikan halaman login
Biasanya website WordPress memiliki halaman login yaitu wp-admin, halaman tersebut tentu saja diketahui oleh semua orang, maka ada baiknya halaman tersebut diganti. Untuk itu Anda bisa menggunakan plugin sebagai bantuan, misalnya plugin iThemes Security yang memungkinkan Anda mengganti lokasi wp-admin.
6. Gunakan password untuk folder wp-admin
Password Protect Directory CPANEL
Bukan hanya masuk ke halaman administrator saja yang harus memasukan password, namun ketika ingin folder wp-admin juga bisa diberi password, agar keamanannya jadi ganda.
Anda bisa mengaturnya di CPANEL, masuk ke bagian Security, lalu pilih Password Protect Directory, lalu pada bagian Name the protected directory masukan wp-admin, tuliskan juga username dan passwordnya dibagian Create User yang ada dibawah nya, kemudian klik Save.
Ketika browser mengarah ke domain/wp-admin maka akan muncul popup yang meminta Anda memasukan username dan password tersebut.
7. Batasi hak akses file penting
File wp-config.php adalah file yang berisi settingan username dan password database yang digunakan oleh website wordpress, untuk itu sebaiknya file tersebut jangan sampai diakses oleh orang lain. Batasi hak aksesnya dengan melakukan pengaturan CHMOD.
Caranya mudah, akses file wp-config.php melalui CPANEL atau menggunakan FTP, klik kanan pada file wp-config.php, lalu pilih opsi Change Permission, lalu atur agar menjadi 644, jika Anda sama sekali tidak akan mengubah file tersebut kedepannya, maka bisa di atur menjadi 444 saja agar lebih aman.
change permission CHMOD
Lalu
change permission CHMOD 644
Selain wp-config, lakukan juga pengamanan pada file berikut ini
.htaccess -> ubah permision filenya menjadi 0404
index.php > ubah permision filenya 0400
wp-blog-header.php -> ubah permision filenya 0400
wp-admin -> ubah permision filenya 0705
wp-includes -> ubah permision filenya 0705
wp-content -> ubah permision filenya 0705
8. Jangan gunakan theme sembarangan
Jangan menggunakan theme sembarangan untuk theme website Anda agar tidak terjadi hal yang tidak diinginkan, pastikan Anda mendownlaod theme dari website yang kredibel, jangan mendownload theme dari website yang menyediakan file ilegal, jangan juga menggunakan theme bajakan, karena banyak kasus theme bajakan disusupi oleh script yang tidak aman yang bisa digunakan untuk mengakses website Anda.
9. Jangan gunakan plugin sembarangan
Sama seperti theme, plugin juga rawan untuk disisipi script jahat, oleh karena itu jangan gunakan plugin dari sembarang tempat, jangan gunakan plugin bajakan juga.
10. Hapus theme dan plugin yang tidak perlu
Theme dan plugin yang tidak perlu sebaiknya dihapus saja, jangan biarkan file tersebut berada di website Anda, karena script nya sewaktu-waktu bisa saja menjadi celah masuk hacker yang tentu tidak Anda inginkan.
11. Selalu update theme, plugin, versi wordpress
WordPress selalu melakukan update setiap kali ada bug pada script mereka. Informasi update ini bisa kita lihat melalui dashboard WordPress blog kita masing-masing. Bagitu juga dengan plugins, kebanyakan plugins WordPress melakukan update untuk mengoptimalkan plugins tersebut. Anda harus hati-hati pada sebuah plugin yang tidak pernah ada update, kemungkinan developernya sudah tidak memberikan support atau sudah melupakan plugins mereka.
12. Gunakan metode Two Step Authentication
Agar website lebih aman, maka harus dilakukan pengecekan berulang kali ketika ingin masuk, Anda bisa menggunakan metode Two Step Authentication, dimana ketika ingin login sistem akan mengirim sebuah kode ke email atau ke ponsel Anda melali SMS, kode tersebut berfungsi untuk mengkonfirmasi/memverifikasi bahwa yang login benar-benar Anda. Orang lain tidak akan bisa login, karena setiap dia ingin login harus memasukan kode awal terlebih dahulu, sedangkan kode itu akan dikirim ke SMS Anda.
13. Tutup kolom komentar pada postingan lama
Komentar menjadi tempat diskusi yang bagus untuk postingan website Anda, namun ada baiknya postingan yang sudah cukup lama komentarnya ditutup saja, hal ini tentu bisa untuk mengurangi spam, karena website wordpress rentan sekali terhadap masuknya komentar spam, spam yang membanjiri website Anda bisa mengakibatkan pembengkakan database dan bisa saja berujung pada beratnya website untuk diakses.
14. Cek kemanan website Anda
Anda bisa mengecek apa saja celah keamanan website Anda menggunakan berbagai plugin yang tersedia di repository wordpress. Selain beberapa plugin yang sudah kami sebutkan diatas tadi, berikut ini ada juga beberapa plugin untuk keamanan wordpress Anda.
Wordfence Security (rekomendasi)
Login LockDown
BulletProof Security
Sucuri Security
Acunetix WP SecurityScan
All In One WP Security & Firewall
iThemes Security
6Scan Security
15. Backup website Anda secara rutin
Lakukan backup terhadap website Anda secara rutin, tujuannya tentu untuk menghindari kehilangan data jika terjadi sesuatu pada website. Anda bisa backup melalui fitur yang ada di CPANEL atau menggunakan FTP, atau jika Anda paham bisa juga menggunakan terminal dan command prompt.
Beberapa orang mungkin tidak mau meng-update script WordPress dan plugins mereka karena khawatir akan terjadi crash saat pada saat melakukan update. Tapi akan lebih menyakitkan lagi kalau blog Anda dihack orang karena tidak mengupdate script WordPress blog Anda. Ayo pilih mana?
Berbagai cara diatas bisa Anda gunakan untuk mencegah WordPress Anda agar tidak mudah kena hack, tidak ada sistem yang sempurna, yang kami sebutkan diatas tentu tidak bisa membuat website Anda 100% aman. Namun pencegahan tentu tidak ada salahnya untuk dilakukan.
Source:http://www.jurnalweb.com And www.maxmanroe.com
Advertisement
0 Comments
EmoticonEmoticon