Tips Meningkatkan Keamanan Website WordPress
Melalui http://en.wordpress.com/stats/, WordPress mengumumkan ada sejumlah 44,567,560 situs yang tersebar di seluruh dunia dibangun dengan WordPress. Artinya, WordPress merupakan CMS yang sangat populer di mata pengguna internet dunia. Namun ada sebuah hukum tak tertulis di dunia cybercrime yang mengatakan bahwa,“Popularitas sebuah CMS berbanding lurus dengan jumlah tangan-tangan jahil yang mencoba menemukan kerentanan CMS tersebut”.
Artinya, tidak sedikit hacker yang mencoba menemukan celah pada sebuah versi yang memiliki keamanan website yang rendah. Apabila celah itu ditemukan, maka celah tersebut juga berlaku pada 44,567,560 pengguna WordPress lainnya. Makanya, perlu banget bagi pengguna WordPress untuk memberikan pertolongan pertama pada sekuriti situsnya masing-masing. Seperti apa? Berikut beberapa tips yang dapat segera anda terapkan:
1. Jangan gunakan user “admin” atau “administrator”
Common mistake pengguna WordPress adalah penggunaan username default seperti “admin” atau “administrator”. Akibatnya? Tentu saja username yang mudah ditebak dan tidak memberikan keamanan tambahan. Jadi, segera ganti username “admin” dengan kombinasi (untuk melakukan hal ini, anda mungkin perlu setup melalui database). Maka dari itu siapkan keamanan website dengan cara sederhana ini.
2. Tambahkan file index.html buatan sendiri
Yang ini merupakan sistem keamanan website lebih mudah digunakan. WordPress tidak dilengkapi dengan index.html, sehingga direktori website anda jadi mudah sekali diintip. Sedangkan salah satu langkah awal penyusupan adalah dengan mengumpulkan sebanyak mungkin informasi dari calon korban. Makanya, buat sendiri index.html pada folder-folder penting seperti plugin dan themes. Sederhana saja, asal dapat menutupi celah ini. Misalnya:
3. Terapkan file permission yang pas bagi file dan folder anda
Lakukan pemeriksaan berkala pada file permission website anda. Sebab salah satu indikasi hacking adalah berubahnya file permission anda menjadi publik (666 atau 777). Normalnya, terapkan permission 644 untuk file dan 755 untuk folder.
4. Beberapa hal yang perlu anda ketahui tentang trik .htaccess
File .htaccess mampu melindungi folder utama website anda (public_html) dari script injeksi dan melindungi file wp-config.php yang di dalamnya terkandung informasi sensitif seputar database WordPress anda. Berikut adalah script .htaccess default bawaan WordPress:
Script di atas hanya bermanfaat untuk masking URL. Anda bisa membuat perlindungan .htaccess ke level yang lebih tinggi lagi. Misalnya dengan menambahkan beberapa baris berikut untuk memberi perlindungan pada file wp-config.php anda:
Dan script berikut untuk melindungi public_html dari serangan script injeksi:
Dan script berikut untuk melindungi file .htaccess itu sendiri:
4. Berikan keamanan tambahan pada folder wp-admin
Cara berikutnya bersifat lebih teknis. Yaitu menambahkan otentikasi password tambahan pada direktori /wp-admin anda.
Pertama, buat 2 file: file htpass.txt dan .htaccess. File htpass.txt bisa diisi dengan bantuan generator pada alamat: http://www.htaccesstools.com/htpasswd-generator/. Kemudian taruh file tersebut di folder wp-admin (Atau di folder lain yang ingin dilindungi seperti wp-includes dan wp-content, tapi JANGAN di public_html). Kemudian buat file.htaccess di folder wp-admin yang berisi:
Jika sudah, silakan coba akses halaman wp-admin anda. Jika berhasil, maka akan tampil sebuah autentikasi tambahan:
5. Jangan lupa Update. As Soon As Possible.
Untungnya selain populer, WordPress juga merupakan pengembang yang terkenal bertanggungjawab. Dia selalu merilis update terbaru secara berkala. Nah, update versi ini biasanya dilengkapi dengan penutupan terhadap lubang-lubang sekuriti yang ditemukan pada versi terdahulu. Makanya, cek terus halaman admin WordPress anda untuk menemukan apakah ada update terbaru terhadap versi, theme, maupun plugin yang anda gunakan. Termasuk plugin dan theme yang statusnya sedang tidak dipakai (disable).
sekian dulu tips meningkatkan sekuriti WordPress anda. Sebaiknya sebelum memulai penerapan di atas, lakukan backup terlebih dahulu supaya bila terjadi kesalahan dan error bisa dikembalikan ke keadaan semula. Penerapan tips di atas tidak serta merta membuat website anda 100% aman. Namun, setidaknya mampu menjadi upaya pertolongan pertama yang cukup signifikan. Semoga bermanfaat
Tanda-Tanda Website WordPress Di Hacked
Mungkin kamu sering bertanya-tanya bagaimana tandanya website WordPress kita di-hacked? Ada beberapa tanda-tanda yang mengindikasi bahwa website WordPress di hacked, pada artikel kali ini saya akan menunjukannya.
1. Halaman Home di Defaced
Tanda yang paling terlihat yang menandakan website WordPress di hacked adalah halaman home yang di deface. Ketika kita mencoba mengunjungi website kita, tampilan halaman home telah diubah dan biasanya ada pesan dari si peretas, terkadang bahkan ada peretas yang mencoba memeras.
2. Traffic Tiba-Tiba Turun
Jika kamu masuk ke Google Analytic dan melihat traffice website kamu turun mendadak, hal ini bisa menjadi tanda website WordPress di hacked.
Ada banyak malware dan trojan diluar sana yang dapat membajak traffic website dan me-redirect-nya ke website spam. Alasan lain traffic turun tiba-tiba adalah website ditandai berbahaya oleh tool seperti Google safe browsing, pengunjung tidak jadi masuk karena ada peringatan berbahaya dari Google.
3. Tidak Bisa Login ke WordPress
Ketika kamu mencoba masuk ke dashboard website WordPress kamu, kamu tidak bisa login, padahal kamu yakin username dan password telah dimasukan dengan benar. Hal ini juga menjadi pertanda website di hacked, dan peretas mungkin telah menghapus akun admin atau mengganti password.
4. Akun Pengguna Misterius
Tiba-tiba saja website WordPress kamu memiliki banyak pengguna misterius, padahal mungkin kamu sendiri yang menjadi admin dan tidak pernah menambahkan pengguna baru. Jika kamu tidak pernah menambahkan pengguna baru, tinggal hapus saja akun pengguna bari tersebut.
5. File dan Script Misterius di Server
Ketika kamu masuk ke FTP, kamu menemukan ada file dan script misterius, biasanya file ini berada di dalam folder /wp-content/. Biasanya juga file ini memiliki nama dengan unsur WordPress, untuk membuat kita tidak curiga.
6. Website Menjadi Lambat dan Tidak Resfonsif
Banyak website yang telah menjadi korban serangan denial of service. Serangan ini menggunakan banyak komputer dan server yang telah di hacked dari seluruh dunia, untuk mengirimkan request ke server kamu, yang dapat membuat website kita down.
Jika website kamu melambat dan tidak responsif, bisa cek server log untuk mengetahui aktivitas di server.
7. Tidak Bisa Mengirim atau Menerima Email WordPress
Server yang telah di hacked biasanya digunakan untuk spam. Banyak pemilik website yang menggunakan mail server untuk mengirim email WordPress, jika kamu tidak bisa mengirim atau menerima email WordPress, bisa menjadi pertanda mail server kamu dibajak dan digunakan untuk mengirim email spam.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Hacker Dapat Ambil Alih Proses Install WordPress
Hacker menetapkan target baru untuk menyerang proses install WordPress yang baru dipasang, dengan memanfaatkan pengguna yang gagal mengikuti langkah ketika mengkonfigurasi pengaturan server mereka.
Peneliti dari WordFence, yang terkenal dengan plugin keamanan untuk WordPress, mengatakan bahwa mereka mengamati lonjakan serangan yang signifikan yang menargetkan serangan ke akun WordPress dari akhir Mei – pertengahan Juni 2017. Menurut mereka, scan terbanyak, sekitara 7.500 per haru, terhadi pada tanggal 30 Mei 2017.
Menurut Mark Maunder, CEO WordFence, hacker memasang ribuan scan setiap hari yang menargetkan /wp-admin/setup-config.php, sebuah URL yang digunakan untuk proses install WordPress untuk membuat website baru. Disini pengguna telah meng-install WordPress di server mereka, tetapi tidak melakukan konfigurasi.
Tidak akan sulit bagi hacker untuk melakukan serangan, diasumsikan bahwa pengguna tidak selesai men-setting website WordPress mereka, hacker dapat masuk dan menyelesaikan instalasi pengguna untuk mereka. Dengan akses admin, hacker dapat memasukan nama database, username, password-nya sendiri dan bahkan masuk ke server database. Dari sana hacker akan menjalankan instalasi dan memasukan beberapa informasi akun tambahan untuk mendapatkan kontrol atas website pengguna.
Mounder mengatakan akan cukup mudah bagi penyerang untuk mengeksekusi kode PHP, baik melalui theme atau plugin editor, untuk mendapatkan akun hosting korban. Dari sini mereka juga bisa mengupload plugin mereka sendiri dengan kode PHP dan mengaktifkannya.
Selanjutnya penyerang dapat meng-install shell berbahaya di direktori korban untuk mengakses file atau website di akun hosting mereka atau mengakses database atau data aplikasi yang proses install WordPress harus mengaksesnya.
Maunder mengatakan pengguna harus membuat file .htacces berkode khusus di basis web directory untuk memastikan hacker tidak bisa mengakses website mereka pada saat ditengah-tengah proses install WordPress. File .htaccess adalah file konfigurasi server, biasanya terletak di root folder, yang dapat digunakan untuk membuat SSL, melindungi file sensitif, dan hanya mengizinkan akses dari alamat IP tertentu saja.
Maunder menambahkan pengguna dapat install WordPress dengan meng-unzip file-nya atau dengan satu klik install, lalu langsung mengakses website mereka segera dan menyelesaikan proses instalasi. Namun cara ini masih berisiko, terutama jika pengguna lambat.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
15 Fakta Menarik Seputar WordPress
Saya sudah sering sekali menyebutkan bahwa WordPress merupakan CMS atau content management system populer yang banyak digunakan untuk membangun website. Pada artikel kali ini saya akan menulis 15 fakta menarik seputar WordPress.
1. WordPress Lebih Tua Dari Twitter dan Facebook
Versi pertama WordPress dirilis pada 27 Mei 2003. Hal ini membuatnya lebih tua dari Facebook ataupun Twitter.
2. Nama WordPress
Nama WordPress diusulkan oleh Christine Selleck Tremoulet, blogger yang juga sahabat dari Matt Mullenweg, co-founder WordPress.
3. WordPress Menguasai Internet
Menurut survei dari W3Techs, WordPress saat ini digunakan oleh 27% website yang ada di internet.
4. WordPress Open Source dan Gratis
WordPress dirilis dibawah lisensi GNU GPL, yang memungkinkan siapa saja di seluruh dunia untuk mendownload dan menggunakannya secara gratis.
5. WordPress Tidak Dimiliki Oleh Perusahaan Manapun
Untuk melindungi kebebasan open source dari WordPress, Matt Mullenweg membuat WordPress Foundation. Organisasi non-profit ini memiliki merek ‘WordPress,’ dan melindungi kebebasannya.
6. WordPress Tidak Memiliki CEO
Karena WordPress tidak dimiliki oleh perusahaan manapun, jadi tidak ada CEO yang memimpinnya. Proyek WordPress dijalankan oleh pengembang sukarela dari seluruh dunia.
7. 1,48 Milyar Plugin Telah di Download
Di tahun 2016, total ada 1,48 milyar plugin WordPress yang telah didownload.
8. WordPress Banyak Digunakan Pemerintahan di Seluruh Dunia
WordPress digunakan oleh ribuan website pemerintahaan di banyak negara di dunia.
9. WordPress Dalam Pendidikan
Lisensi open source membuat WordPress digunakan oleh siswa dan akademia untuk mempelajarinya, memodifikasinya, dan berkontribusi dalam pengembangannya.
10. Lebih Dari 50.000 Plugin
Plugin seperti aplikasi kecil, saat ini ada sekitar 50.000 plugin yang bisa kita pilih.
11. Tersedia Dalam 68 Bahasa
CMS ini telah diterjemahkan penuh kedalam 68 Bahasa.
12. Saudara WordPress
Komunitas dibalik WordPress juga menjalankan beberapa sister project seperti bbPress, BuddyPress dan GlotPress.
13. WordPress Ditulis Dengan PHP dan MySQL
WordPress ditulis dengan menggunakan bahasa pemrograman PHP dan menggunakan database MySQL.
14. WordPress dan Jazz
Semua rilis WordPress selalu dinamai dengan nama musisi jazz legendaris. Seperti Miles Davis dan Pepper Adams.
15. WordPress.org vs WordPress.com
Banyak sekali yang menganggap bahwa WordPress.org sama dengan WordPress.com, keduanya memang sama-sama gratis tetapi berbeda.
WordPress.org membutuhkan hosting server untuk meng-install file WordPress dan menjalankan website, dan kita harus membeli nama domain. Sementara WordPress.com, tinggal pakai saja, kita tidak perlu lagi pusing dengan hosting server dan nama domain.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Apa Yang Akan Hadir di WordPress 4.8
WordPress menjadwalkan akan merilis update WordPress 4.8 sekitar bulan Juni 2017, diharapkan pada tangga 8 Juni. Update ini akan menjadi update besar pertama yang dirilis di tahun 2017 ini. Dan pada artikel kali ini, saya akan menunjukan beberapa fitur baru yang akan hadir pada WordPress 4.8.
Atau kamu juga bisa mencoba versi beta WordPress 4.8, namun kamu harus mencobanya pada komputer dulu atau pada lingkungan staging dengan menggunakan plugin yang bernama WordPress Beta Tester.
Versi beta resminya akan dirilis hari ini, 12 Mei 2017, jadi kamu bisa mencobanya mulai hari ini. Dan berikut ini adalah fitur-fitur baru yang akan dibawa pada WordPress 4.8.
1. Visual Editor Pada Text Widget
Text widget saat ini hanya berisi text box yang simpel, dimana pengguna dapat menambahkan teks dan kode HTML.
Text widget yang baru hadir dengan visual dan text editor, seperti text editor dimana kita membuat atau mengedit post. Dengan text widget baru ini, pengguna dapat dengan mudah menambahkan link, membuat list, membuat teks dengan bold / italic tanpa menulis kode HTML.
2. Image Widget Baru
Saat ini, jika ingin menampilkan gambar pada WordPress sidebar, kita harus menulis kode HTML atau menggunakan plugin.
WordPress 4.8 memperkenalkan image widget baru yang memungkinkan pengguna lebih mudah menambahkan gambar pada sidebar. Kamu bisa meng-upload gambar langsung dari widget atau memilih gambar yang ada di WordPress media gallery.
3. Video Widget Baru
Selain dapat menambahkan gambar, WordPress 4.8 juga membawa fitur baru video widget. Video widget memungkinkan pengguna dengan mudah untuk meng-upload video ke sidebar, atau menampilkan video dari website video popular seperti YouTube, Vimeo, atau webiste video lainnya.
Note: Saran saya jang pernah meng-upload video ke website WordPress kamu, karena dapat langsung menghabiskan sumber daya server hosting yang kamu pakai. Lebih baik untuk menggunakan video dari website video seperti YouTube, Vimeo atau yang lainnya. Cukup copy URL videonya saja.
4. WordPress News dan Event Dashboard Widget
WordPress 4.8 juga memperkenalkan widget baru WordPress News dan Event Dashboard. Fitur ini akan muncul pada halaman dashboard WordPress kamu, dimana widget ini berisi informasi mengenai berita WordPress dan juga acara WordPress yang dekat dengan lokasi pengguna. Widget baru ini menggantikan widget WordPress news yang lama yang hanya menampilkan berita mengenai WordPress.
Untuk lokasinya berdasarkan lokasi pengguna dengan mengirim timezone, locale dan alamat IP.
5. Peningkatkan WordPress Core
Selain membawa berbagai fitur baru, update WordPress 4.8 juga meningkatkan sistem core dari WordPress.
Customizer pane sekarang akan berukuran proporsional pada layar yang lebih besar.
Namu pengguna ditampilkan dengan jelas pada tampilan edit user.
Fungsi baru get_term_parents_list() akan diperkenalkan sebagai taksonomi versi agnostik dari get_category_parents().
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.