Cara Mengamankan Website WordPress Dari Hacker

Berikut merupakan tips cara mengamankan website wordpress dari serangan hacker terbukti aman dan tutorial ini menjadi terlengkap diulas secara detail. Apakah wordpress merupakan cms teraman didunia? jika di tanya seperti ini pasti banyak praktisi keamanan dan BacklinkDo sendiri akan menjawab tentu tidak terlalu aman dari segi plugins serta themes. Beberapa tahun lalu bahwa dikethui wordpress terkena serangan hacker dimana banyak jutaan user login jatuh ketangan hacker, tidak hanya sebatas dari themes, atau plugins saja. Bahkan dari cms sendiri wordpress memiliki tingkat resiko yang tinggi, terutama pada cms berbasis versi 4 kebawah yang mengalami tingkat kerentangan soal isu keamanan hingga high.

Mengamankan Website WordPress

Keamanan website pada wordpress sendiri cukup beragam, terutama pertama datang dari masalah xss dimana masalah inis ering dijumpai pada plugins-plugins terkenal salah satunya yang paling banyak di gunakan seperti all in seo pack. Bahkan terdapat sql injection pada themes dan plugins. Tidak hanya itu themes juga mengalami banyak masalah terutama pada file upload themes itu sendiri. Kebanyakan mereka mengalami masalah script injection file upload pada themes tinymce.

Mengamankan website wordpress

Berikut beberapa cara untuk mengamankan website wordpress dari hacker, tips ini berlaku untuk website yang sedianya sudah di install pada panel hosting dan juga website yang terinstall dari sisi akses root seperti vps, dedicated server:

  • Pengaturan CHMOD

Pengaturan hak akses paling penting bagaimana dengan hanya fitur hak akses, ahcker bisa mengobrak ngabrik server dari sisi aplikasi dan juga bisa memasuki fitur terdalam dari server yakni akses root perhatikan berikut:

Source : https://id.wikipedia.org/wiki/Pengaturan_akses

Penjelasan akses : https://codex.wordpress.org/Changing_File_Permissions

Pengaturan CHMOD

NB : sesuai dengan direktori webiste anda

chmod 644 /var/www/html/wp-config.php

chmod 600 /var/www/html/readme.html

chmod 755 /var/www/html/wp-content/

  • Proteksi via plugins wordpress

Banyak pengembang melakukan riset dengan menambahkan fitur kemanan pada website default wordpress, bisa menggunakan beberapa plugins yangmemang dikhususkan untuk keamanan wordpress.

Two-Factor Authentication

Via plugins two-factor authentication

Info di web detail fitur : https://backlinkdo.com/two-factor-authentication-plugins-wordpress.html

Download : https://wordpress.org/plugins/miniorange-2-factor-authentication/

Bisa di kaloborasi dengan plugins lainnya cari di

https://wordpress.org/plugins/search.php?q=security

Bisa rekomendasi menambahkan dengan plugins:

  1. Wordfence Security
  2. BulletProof Security
  3. All In One WP Security & Firewall
  • Disable File Editor Plugins / Themes

Merupakan fitur paling penting yang bisa dimanfaatkan dari sistem wordpress, banyak yang belum mengetahuinya, jika sudah mengetahuinya bisa mencoba beberapa cara dibawah ini:

Cari wp-config.php tambahkan script paling bawah

/** Disalow file edit */

define( ‘DISALLOW_FILE_EDIT’, true );

Info di web : https://backlinkdo.com/cara-disable-theme-dan-plugin-editor-wordpress-admin.html

  • Disable Directory Browsing

Supaya sub folder seperti /wp-content/uplods/ tidak terbaca oleh mesin pencarian dan juga user saat melakukan akses pada sub folder.

Cari .htaccess tambahkan script paling bawah:

# disable directory browsing

Options All -Indexes

Install Mode SSL

  • Secure SSL Untuk Url

Salah satu faktor pelindung dari segi url, dengan fitur enkripsi didalamnya bisa dimanfaatkan di dalam aplikasi berbasis website. SSL ini berupa tampilan url yakni paling sering dijumpai adalah Https://

Info selengkapnya di web : https://backlinkdo.com/tutorial-install-ssl-rapid-apache-ubuntu.html

  • Clear History

Selalu wajib bagi sys administator website untuk clear history di terminal, berguna berjaga agar para hacker blackhat tidak mencuri dari informasi sensitif seperti history pengaturan akses web.

history -c

Banyak user yang tidak menyadari bahwa password berbentuk alay atau tidak karuan itu sangat bermanfaat, sebab banyak para attacker selalu membuat wordlist setiap harinya. Namu para attacker tidak akan menyangka bahwa password yang digunakan bersifat unik gabungan antara angka, huruf dan simbol.

Pastikan password user kuat contoh:

K@MyU@K4C4uD3cH~

Update selalu ke versi baru, karena banyak bug di versi sebelumnya, terlebih lagi menggunakan wordpress cms lama seperti cms wordpress pada versi 4.0 ke bawah. Dan jangan sekali-kali menggunakan cms wordpress versi 2 atau 3 jika tidak memiliki pengetahuan soal keamanan yang high.

Fitur keamanan wordpress vuln : http://www.wordpressexploit.com

  • Manfaatkan fitur wp-config

Sama seperti point mematikan file editor pada plugins dan themes, fitur pada wp-config bisa dimanfaatkan dengan sebaik mungkin agar lebih terjaga soal privasi dan keamanan website.

Bisa menambahkan beberapa script berikut ini:

# Enable all core updates, including minor and major:

define( ‘WP_AUTO_UPDATE_CORE’, true );

#Auto add plugins new

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

#Auto add themes new

add_filter( ‘auto_update_theme’, ‘__return_true’ );

  • Eliminate Php Error Reporting

Mengamankan website wordpress dengan error reporting pastikan hilangkan .php error, ini berakibat fatal buat pemain SQL injection, biasanya banyak pengguna yang tidak menyadari bahwa fitur ini bisa digunakan untuk injecksi seperti xss, sql injection, lfi.

Ebook yang membahas tentang bahayanya SQL Injection : http://bit.ly/1U5bCyg

Masuk wp-config.php tambahkan:

#Disable error php

error_reporting(0);

@ini_set(‘display_errors’, 0);

  • Cek Log Login dan Akses

Bantai IP IP Yang aneh bisa makai fitur bantuan plugins dari wordpress seperti wp-security audit log

Download: https://wordpress.org/plugins/wp-security-audit-log/

Atau bisa menggunakan tambahan file script dari pihak ketiga lainnya seperti honeypot login dari ethic.ninja.

Percaya atau enggak saya sendiri pernah dapet password wordpress self hosting diarea umum, seperti pendidikan. Banyak user pengguna wordpress yang ceroboh dengan memanfaatkan internet gratis dari public.

  • Tambahkan Aplikasi Pihak 3

Bisa menggunakan web application firewall seperti di ethic.ninja dll. dimana menyediakan module pengamanan website untuk semua website frramework php. Cara ini ampuh sekali untuk mengamankan seperti serangan xss, sql injection, ddos, lfi dll. Namun biasanya untuk mendapatkan aplikasi web berbasis firewall ini dikenakan biaya tambahan untuk proses instalasi dan penggunaan aplikasi firewall tersebut. WordPress di hack? solusi bisa menggunakan aplikasi tambahan ini.

  • Disable script via .htaccess

Penggunaan ini sangat efektif untuk mengamankan web wordpress dari script injecksi seperti python dll. Bisa memanfaatkan fitur dari .htaccess, namun ingat jangan matikan script file .php, .css karena bisa error, sebab wordpress sendiri menjalankan .css dan .php.

Penggunaan dan cara dari wordpress: https://codex.wordpress.org/htaccess_for_subdirectories

  • Atur owned group folder

Mengamankan website wordpress dari owned group, pastikan jaga owned group dari folder itu sendiri, anda bisa melihat setingan seperti BacklinkDo untuk megatur owned penggunaan dari folder group, dan jangan gunakan akses root pada folder wordpress.

Security Owned Folder

Perhatikan pada chown -R www-data:www-data zohoverify/ yang berati mengubah akses folder tersebut yang sebelumnya memiliki akses dari root diubah ke group www-data.

Setidaknya cara di atas membantu website berbasis blog, company profil, toko online yang menggunakan cms wordpress mendapatkan keamanan berlapis guna melindungi user dan juga isi dari website.

Note: Untuk penggunaan keamanan cpanel sendiri, emnag website folder dibagi dalam beberapa akses user, untuk melindugi walau security kita sudah benar-benar aman dari segi aplikasi. Pastikan web hsoting tersebut mendisable fitur symlink dan fitur baypass lainnya. Namun perlu diketahui exploit saat ini lebih canggih dari pada keamanan sisi web server atau aplikasi. Walau website bisa dibilang aman 100%, nyatanya 99% aman dan 1% memiliki resiko rentan serangan attacker.

  • Robots.txt

Setting juga pada robots.txt setidaknya membantu website untuk mencegah crawl mesin pencarian terhadap semua folder bisa menambahkan:

User-agent: *

Disallow: /wp-admin

Disallow: /wp-includes

The post Cara Mengamankan Website WordPress Dari Hacker appeared first on BacklinkDo.

Baca juga yang ini Lhooo .....

  • Cara Backup WordPress Dengan dan Tanpa Plugin Cara Backup WordPress Dengan dan Tanpa Plugin – Sebagai webmaster atau pemilik website, kita semua memahami bahwa kita membutuhkan backup website termasuk website dengan CMS WordPress. Namun pertanyaannya adalah bagaimana cara backup wordpress dengan benar. Pada artikel ini, kami […]
  • Cara Menggunakan WordPress SEO Yoast ( Terbaru ) Cara Menggunakan WordPress SEO Yoast – Anda adalah seorang blogger atau penulis konten (content writer) dengan menggunakan CMS WordPress dan membutuhkan bantuan untuk menulis artikel yang sesuai dengan SEO (Search Engine Optimization). Lalu kemudian melakukan bebereapa riset atau […]
  • Belajar WordPress Untuk Para Pemula WordPress merupakan sebuah aplikasi yang sangat populer, aplikasi open sourche dalam aplikasi web blog. WordPress berasal dari sebuah bahasa pemrograman PHP yang dilengkapi dengan MySQL sebagai databasenya. Seiring perkembangannya, blog bukan lagi menjadi web pribadi tetapi sebuah […]
  • 10 Plugin SEO Mempercepat Indeks dan Page Rank WordPress Anda telah menginstal website / blog WordPress Anda. Sebelum memulai penulisan konten anda (artikel, halaman, kategori, tags, dl), berikut adalah 10 plugin SEO yang wajib anda install jika ingin mempercepat indeks dan meningkatkan page rank / peringkat mesin pencari website WordPress […]
  • Cara Menambah Widget di WordPress untuk Iklan Ini adalah sebuah feed artikel di WPKamt.com, pastikan kunjungi artikelnya secara utuh dan berlangganan agar kamu tidak ketinggalan 🙂 Cara menambah widget di WordPress yang akan saya sampaikan kali ini adalah sebuah cara sederhana dan paling mendasar. Berbeda dengan tutorial sebelumnya […]
  • Cara Mengubah URL Login WordPress Cara Mengubah URL Login WordPress –  Wordpress merupakan CMS yang paling populer di dunia dan karena hal tersebutlah maka tidak jarang wordpress menjadi sasaran para hacker untuk mendapatkan akses secara ilegal atau hacking sehingga sangat diperlukan untuk meningkatkan keamanan […]

Tinggalkan Balasan

Alamat surel Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Gambar CAPTCHA

*