Tips Meningkatkan Keamanan Website WordPress

cara membuat security wordpress amanMelalui http://en.wordpress.com/stats/, WordPress mengumumkan ada sejumlah 44,567,560 situs yang tersebar di seluruh dunia dibangun dengan WordPress. Artinya, WordPress merupakan CMS yang sangat populer di mata pengguna internet dunia. Namun ada sebuah hukum tak tertulis di dunia cybercrime yang mengatakan bahwa,“Popularitas sebuah CMS berbanding lurus dengan jumlah tangan-tangan jahil yang mencoba menemukan kerentanan CMS tersebut”.

Artinya, tidak sedikit hacker yang mencoba menemukan celah pada sebuah versi. Apabila celah itu ditemukan, maka celah tersebut juga berlaku pada 44,567,560 pengguna WordPress lainnya. Makanya, perlu banget bagi pengguna WordPress untuk memberikan pertolongan pertama pada sekuriti situsnya masing-masing. Seperti apa? Berikut beberapa tips yang dapat segera anda terapkan:

1. Jangan gunakan user “admin” atau “administrator”

Common mistake pengguna WordPress adalah penggunaan username default seperti “admin”  atau “administrator”. Akibatnya? Tentu saja username yang mudah ditebak dan tidak memberikan keamanan tambahan. Jadi, segera ganti username “admin” dengan kombinasi (untuk melakukan hal ini, anda mungkin perlu setup melalui database).

2. Tambahkan file index.html buatan sendiri

WordPress tidak dilengkapi dengan index.html, sehingga direktori website anda jadi mudah sekali diintip. Sedangkan salah satu langkah awal penyusupan adalah dengan mengumpulkan sebanyak mungkin informasi dari calon korban. Makanya, buat sendiri index.html pada folder-folder penting seperti plugin dan themes. Sederhana saja, asal dapat menutupi celah ini. Misalnya:

wp1

3. Terapkan file permission yang pas bagi file dan folder anda

Lakukan pemeriksaan berkala pada file permission website anda. Sebab salah satu indikasi hacking adalah berubahnya file permission anda menjadi publik (666 atau 777). Normalnya, terapkan permission 644 untuk file dan 755 untuk folder.

4. Beberapa hal yang perlu anda ketahui tentang trik .htaccess

File .htaccess mampu melindungi folder utama website anda (public_html) dari script injeksi dan melindungi file wp-config.php yang di dalamnya terkandung informasi sensitif seputar database WordPress anda. Berikut adalah script .htaccess default bawaan WordPress:

wp2

Script di atas hanya bermanfaat untuk masking URL. Anda bisa membuat perlindungan .htaccess ke level yang lebih tinggi lagi. Misalnya dengan menambahkan beberapa baris berikut untuk memberi perlindungan pada file wp-config.php anda:

wp3

Dan script berikut untuk melindungi public_html dari serangan script injeksi:

wp4

Dan script berikut untuk melindungi file .htaccess itu sendiri:

wp5

4. Berikan keamanan tambahan pada folder wp-admin

Cara berikutnya bersifat lebih teknis. Yaitu menambahkan otentikasi password tambahan pada direktori /wp-admin anda.

Pertama, buat 2 file: file htpass.txt dan .htaccess. File htpass.txt bisa diisi dengan bantuan generator pada alamat: http://www.htaccesstools.com/htpasswd-generator/. Kemudian taruh file tersebut di folder wp-admin (Atau di folder lain yang ingin dilindungi seperti wp-includes dan wp-content, tapi JANGAN di public_html). Kemudian buat file.htaccess di folder wp-admin yang berisi:

wp6

Jika sudah, silakan coba akses halaman wp-admin anda. Jika berhasil, maka akan tampil sebuah autentikasi tambahan:

wp7

5. Jangan lupa Update. As Soon As Possible.

Untungnya selain populer, WordPress juga merupakan pengembang yang terkenal bertanggungjawab. Dia selalu merilis update terbaru secara berkala. Nah, update versi ini biasanya dilengkapi dengan penutupan terhadap lubang-lubang sekuriti yang ditemukan pada versi terdahulu. Makanya, cek terus halaman admin WordPress anda untuk menemukan apakah ada update terbaru terhadap versi, theme, maupun plugin yang anda gunakan. Termasuk plugin dan theme yang statusnya sedang tidak dipakai (disable).

sekian dulu tips meningkatkan sekuriti WordPress anda. Sebaiknya sebelum memulai penerapan di atas, lakukan backup terlebih dahulu supaya bila terjadi kesalahan dan error bisa dikembalikan ke keadaan semula. Penerapan tips di atas tidak serta merta membuat website anda 100% aman. Namun, setidaknya mampu menjadi upaya pertolongan pertama yang cukup signifikan. Semoga bermanfaat

webhosting berkualitas