Agar Website WordPress Aman dari Peretas

November 13, 2014



saya akan memposting cara mengamankan website WordPress, mungkin tidak 100% tapi istilahnya kita bisa meminimalisir para peretas untuk bisa membobol website yang di buat dengan menggunakan cms WordPress.

ini bukan asli postingan saya, tapi postingan dari website http://www.vulnerability.or.id  yang di tulis oleh Willy Arisky.
silahkan simak tips-tipsnya... :)


WordPress merupakan CMS opensource yang paling banyak digunakan untuk membuat blog, profil perusahaan bahkan sudah banyak plugin untuk wordpress yang menjadikan CMS Opensource ini menjadi toko online yang powerfull, saking banyaknya website yang menggunakan wordpress sehingga membuatnya menjadi sasaran favorit bagi para peretas yang tidak bertanggung jawab. Memiliki sebuah situs Wordpress berarti bahwa Anda harus mengambil beberapa upaya ekstra untuk melindungi website anda dari serangan para peretas nakal. Berikut adalah beberapa tips terbaik untuk mengamankan website Wordpress anda. Tips dan tutorial yang saya tulis ini tidak menjamin 100% perlindungan terhadap upaya peretasan, "Nothing Security Is Perfect", tetapi kita bisa mencegah dan memperbaiki sistem keamanan agar memperkecil kemungkinan website kita menjadi korban peretasan.

Update selalu wordpress, plugin dan tema yang anda gunakan
Sangat penting bagi anda untuk selalu update versi wordpress dan plugin beserta tema ke versi terbaru, mengapa? Karena pada versi terbaru itu berisi patch keamanan dan penambalan bug yang di temukan pada versi sebelumnya, jangan pernah mengabaikan notifikasi update pada wordpress dan plugin.
Anda dapat mengikuti bagaimana cara mengupdate cms wordpress anda dan cara mengupdate plugin wordpress.

Lindungi halaman admin wordpress
Batasi akses ke halaman admin WordPress Anda, hanya untuk orang-orang yang benar-benar membutuhkan akses ke halaman tersebut. Jika website Anda tidak memiliki fitur untuk pendaftaran member baru dan front end konten, pengunjung website anda tidak harus dapat mengakses / wp-admin  / folder atau file wp-login.php. Yang terbaik dapat Anda lakukan adalah untuk mendapatkan alamat IP anda (Anda dapat menggunakan situs seperti ipsaya.com untuk mendapatkan alamat IP anda) dan menambahkan baris ini ke file .htaccess di folder wp-admin WordPress Anda. Ganti xx.xxx.xxx.xxx dengan IP Anda alamat.
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>

Jika anda ingin mengizinkan akses ke beberapa komputer (seperti kantor Anda, rumah PC, laptop, dll), hanya menambah Allow from xx.xxx.xxx.xxx pada baris baru.

Jika Anda ingin dapat mengakses admin area Anda dari alamat IP apapun (misalnya, jika Anda sering mengandalkan jaringan Wi-Fi) membatasi admin area Anda ke alamat IP tunggal atau beberapa IP di atas tidak lah efektif karena anda akan kesulitan untuk mengakses halaman admin anda. Dalam kasus seperti ini saya menyarankan Anda membatasi jumlah percobaan login yang salah ke situs Anda. Dengan cara ini Anda akan melindungi situs WordPress Anda dari serangan brute-force dan orang yang mencoba untuk menebak password Anda. Untuk tujuan tersebut, Anda dapat menggunakan plugin Limit login attempts.
Jangan gunakan "admin" sebagai username
Sebagian besar peretas akan menganggap bahwa username Anda adalah "admin". Anda dapat dengan mudah memblokir banyak brute-force dan serangan lainnya hanya dengan menggunakan nama lain sebagai username. Jika Anda menginstal sebuah situs WordPress baru, Anda akan diminta untuk username selama proses instalasi WordPress. Jika Anda sudah memiliki website yang menggunakan WordPress, Anda dapat mengikuti petunjuk di tutorial merubah username wordpress anda
Gunakan password yang kuat
Ribuan orang di dunia masih banyak yang menggunakan kata "password" atau "12345" bahkan "abcde" untuk password mereka, password tersebut mudah sekali di tebak dan menjadi favorit para peretas memasukan kata-kata tersebut ke list brute force mereka, sebaiknya perhatikan lagi password yang anda gunakan. Membuat password yang kuat tidak selalu membuat anda bingung untuk menghafalnya misalnya anda menggunakan kombinasi nama dan tanggal lahir dan sisipkan karakter yang sering anda ketik menjadi "willy@96oct" kata tersebut mungkin tidak terfikirkan oleh para peretas, gunakan lah imajinasi anda untuk membuat password yang kuat tetapi mudah untuk di ingat.
Mempertimbangkan two-factor authentication
Mengaktifkan two-factor authentication untuk website WordPress Anda akan secara signifikan meningkatkan keamanan website Anda. Salah satu cara termudah untuk melakukannya adalah dengan menggunakan Clef untuk mengotentikasi menggunakan ponsel Anda.
Pastikan website wordpress anda menggunakan hosting yang aman
Situs WordPress Anda adalah sebagai aman sebagai account hosting Anda. Jika seseorang dapat mengeksploitasi kerentanan dalam versi PHP tua misalnya atau layanan lain pada platform hosting Anda tidak akan peduli bahwa Anda memiliki versi terbaru WordPress. Inilah sebabnya mengapa penting untuk menjadi host dengan perusahaan yang memiliki keamanan sebagai prioritas. Beberapa fitur yang harus Anda cari adalah:
Dukungan untuk PHP terbaru dan versi MySQL
  • Account isolation
  • Web Application Firewall
  • Intrusion detecting system
Pastikan komputer Anda bebas dari virus dan malware
Jika komputer Anda terinfeksi virus atau malware, peretas berkemungkinan bisa mendapatkan akses rincian login Anda dan membuat login yang valid ke situs Anda melewati semua langkah-langkah yang telah diambil sebelumnya. Inilah sebabnya mengapa sangat penting yang memiliki program antivirus up-to-date dan menjaga keamanan secara keseluruhan dari semua komputer yang Anda gunakan untuk mengakses situs WordPress anda.

link di atas adalah sumber isi dari postingan saya, saya menyantumkan sumber karena saya menghargai tulisan dari kak Willy Arisky sangat berguna untuk para pencinta cms wordpress. :)

Artikel Terkait

Previous
Next Post »