BLANTERWISDOM101

Cara Amankan WordPress-Web Kamu dari Hacker

Minggu, 04 Oktober 2020

WordPress adalah salah satu CMS paling populer yang banyak digunakan untuk keperluan management blogging para blogger atau penulis web. Banyak keunggulan - keunggulan yang ada pada WordPress. Dengan pengaturan yang membebaskan para penggunanya mengatur sendiri web mereka.



Dengan banyaknya fitur ditambah dengan plugin - plugin untuk mempermudah pengaturan semakin banyak kecintaan orang terhadap CMS ini. Tapi, apakah website ber-CMS WordPress kamu sudah 100% aman? Kalau belum yakin, maka kami merangkum cara - cara mengamankan website WordPress kamu agar tidak disentuh oleh hacker. Apa sajakah itu?? Mari simak.

9 Cara Mengamankan Website ber-CMS Wordpress

1. Gunakan password yang kuat, password yang mudah diingat memang memudahkan kita untuk mengingatnya, namun itu juga kemungkinan bisa bahkan mudah untuk di-bruteforce oleh para hacker yang jago dalam merangkai password. Maka dari itu, gunakanlah password yang kuat dengan simbol - simbol yang sulit untuk ditebak seperti contoh: ##d45hexp_&&$/"45h7.
Untuk mengganti password lihat list menu -> USERS -> ALL USERS lalu kamu bisa mengganti user dengan password yang lemah untuk diganti dengan password yang kuat.

2. Ubah default username admin, yang dilakukan hacker pertamakali untuk mem-bruteforce adalah mengecek username seperti admin,administrator,admin1, dll yang kemungkinan dapat ditembus dengan menggunakan default password nya juga.

3. Amankan wp-login, wp-config, .htaccess dan folder wp-admin, kita dapat mengamankan ketiga file tersebut dan dir wp-admin dengan membuat kode blocking access pada .htaccess. Begini langkahnya:
- Login ke web menggunakan FTP atau langsung dari control panel hosting lalu masuk ke file manager lalu cari file .htaccess pada direktori root web (www atau public_html).
- Jika menggunakan FTP, unduh file tersebut. Jika pada kontrol panel (seperti CPanel) pada file manager, ada tombol untuk mengeditnya.
- Buka file lalu edit
- Tulis kode berikut di line paling atas:
ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"

#mengamankan akses ke .htaccess
<Files .htaccess>
order deny,allow
Deny from all
</Files>

#blokir akses ke wp-login kecuali ip user
<Files wp-login.php>
order deny,allow
Deny from all
allow from [*IP public user]
</Files>

#blokir akses ke wp-config
<Files wp-config.php>
order deny,allow
Deny from all
</Files>

- Simpan file lalu replace file lama.
Untuk memberikan limit access pada wp-admin agar tidak dapat dibypass unauthorized user, maka kita berikan limit aksesnya dengan cara menambahkan kode:
<Limit GET POST PUT>
order deny,allow
deny from all
allow from [*IP Publik user]
</Limit>

*Masukkan ip publik kamu yang dapat mengakses website. Jika user lebih dari satu atau kamu tidak sendiri maka tuliskan setiap ip dengan kata awal "allow from" per line, contoh:
allow from 10.32.177.206
allow from 222.17.100.25
allow from 103.27.1.10
Maka yang dapat mengakses hanyalah user dengan ip tersebut.

4. Amankan xmlrpc.php, hal ini adalah opsional, tapi saya sarankan untuk kamu mengamankannya. Xmlrpc adalah komunikasi untuk mengendalikan WordPress yang langsung diaktifkan default oleh WordPress 3
8. Saat hacker menyerang dengan mengirimkan data request yang banyak, seperti DDoS, bruteforce melalui xmlrpc, hal tersebut dapat menyebabkan website down karena tidak dapat menampung request.
Kamu tidak dapat mematikan xmlrpc jika menggunakan layanan seperti JatPack, pingback, dan trackback. Blokir akses nya seperti kode diatas:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

5. Pastikan versi WordPress dan plugin yang digunakan selalu update, dengan pembaruan sistem, adanya deteksi payload dan eksploit baru, sistem juga harus selalu dalam keadaan update untuk mencegah terjadinya kerusakan baru atau virus baru.

6. Cek "comments" dan form setting, cek berkala dengan cara approve manual apakah ada user yang melakukan spamming atau malah menginputkan kode berbahaya, jika tidak maka barulah kamu allow komennya. Cek juga apakah plugin akismet sudah aktif dan aktifkan captcha untuk form kontak agar tidak terjadi spamming.

7. Cek pengaturan server, lakukan pengecekan terhadap administrator akun apakah sudah menggunakan password yang kuat. Cek juga email notification untuk autorisasi melihat siapa saja yang mengakses website kamu.

8. Pindah hosting ke VPS host terpercaya, layanan atau server host juga memengaruhi kemanannya, dengan menggunakan vps, server menjadi lebih kencang, dapat menampung data request yang lebih banyak, dll.

9. Full backup website, udah capek - capek buat postingan banyak, eh datanya ilang semua. Seperti pada kejadian kemaren salah satu plugin terkena virus dan menyebabkan hilangnya semua data para penggunanya karena telat update. Nah, makadari itu backup database secara berkala paling tidak 1 kali seminggu. Atau kamu dapat menggunakan plugin backup untuk membackupnya secara otomatis kalau kamu seorang yang pemalas dan gak sabaran.

Seperti kata pepatah, When it comes to security, prevention is always better than cure. Maka dari itu, hati - hati sebelum hati - hati tidak menyebabkan sakit hati

Share This :
_/Arya-Kun

Hanya seorang pelajar yang hobi nya membuat kode dan berharap ilmu nya bermanfaat bagi orang lain.

0 komentar