Beberapa waktu lalu saya dibuat semakin penasaran dengan istilah web hacking, dua situs temen deket sudah dibuat rusak oleh hacker tidak bertanggung jawab...tapi ada bagusnya juga sih, jadi lebih ngebuat kita lebih waspada bahwa web kita masih rendah dari sisi scurity.
Nah, dengan alasan itu saya mencoba untuk mencari tips mengenai penambahan scurity web khususnya website yang menggunakan cms wordpress. Setelah googling ahirnya ketemu juga tipsnya... :)
Pada tulisan ini saya akan sharing tentang tips mengamankan website dari serangan hacker yang saya ambil referensi dari blog.cyber4rt.com
Tutorial ini dikhususkan untuk anda yang menggunakan hosting berbayar. Tidak sedikit orang yang membuat blog di hosting berbayar dengan membuat blog menggunakan script CMS Wordpress, yang blognya terkena deface atau mengubah tampilan blog menjadi hancur berantakan. Di sarankan di dalam menginstall script CMS wordpress JANGAN PERNAH menginstall secara instan, biasanya script di install ke dalam hosting secara otomatis/instan lebih rentan keamanannya. Secara instan disini maksudnya seperti anda menggunakan fasilitas softaculous yang ada di control panel CPANEL hosting untuk menginstall script wordpress ke dalam hosting.

Lebih amannya anda sebaiknya menginstall script wordpress dengan cara manual dan mendownload file script nya langsung ke situs pembuatnya melalu link dibawah ini.
Setelah anda download, anda buat file database terlebih dahulu di dalam control panel hosting. Setelah membuat file database beserta username dan password database, maka langkah selanjutnya anda buka file script wordpress yang terkompress .zip atau .gzip . Anda extrack file wordpress yang terkompress itu ke dalam harddisk anda lalu anda buka file wp-config-sample.php dengan menggunakan notepad saja. Lalu anda masukkan konfigurasi dari nama database, username dan password database yang telah anda buat di control panel hosting. Setelah selesai, anda simpan file wp-config-sample.php tadi dengan nama file baru dengan nama filenya wp-config.php . Setelah tersimpan file wp-config.php, anda delete file wp-config-sample.php.
Untuk memasukkan isian dibawah ini, anda bisa mendapatkan key unik melalui link https://api.wordpress.org/secret-key/1.1/
define(?AUTH_KEY?, ?put your unique phrase here?);
define(?SECURE_AUTH_KEY?, ?put your unique phrase here?);
define(?LOGGED_IN_KEY?, ?put your unique phrase here?);
define(?NONCE_KEY?, ?put your unique phrase here?);
Sebagai contoh setelah saya membuka link https://api.wordpress.org/secret-key/1.1/, maka saya mendapatkan key unique.
Karena key unique diatas sebagai contoh saja, tentu saja kalau anda membuka link https://api.wordpress.org/secret-key/1.1/ ini akan mendapatkan key unique yang berbeda dari contoh diatas.

Untuk lebih amannya lagi sebaiknya nama table prefix standar dari wordpress anda rubah, defaultnya seperti ini
$table_prefix  = ?wp_?;
bisa anda rubah misalkan menjadi
$table_prefix  = ?PE97_?;
silahkan anda rubah sesuai keinginan anda.
Setelah langkah diatas selesai di lakukan anda bisa upload keseluruhan script wordpress ke dalam hosting anda, bisa menggunakan file manager atau bisa juga menggunakan FTP client. Cara cepat bagi saya menggunakan file manager yang ada di control panel hosting, anda kompress terlebih dahulu semua file script wordpress menjadi .zip lalu anda upload file .zip itu menggunakan file manager yang ada di cpanel, lalu anda extrack file .zip tadi.
Langkah langkah diatas merupakan cara cara yang lebih aman di dalam menginstall script cms wordpress, yang script cms wordpress  ini berguna untuk membuat blog pribadi atau blog komersil.
Apabila anda telah memiliki blog yang telah jadi, langkah berikut adalah cara mengamankan blog supaya lebih aman. Cara cara yang akan saya berikan ini adalah cara untuk meminimalkan dari serangan hacker atau serangan orang iseng terhadap blog milik anda.
Langkah Pertama adalah di dalam membuat password cpanel ataupun password database, termasuk membuat nama file dan username database SQL usahakan gabungan antara karakter huruf besar, huruf kecil, angka dan spesial karakter. Makin panjang karakter makin bagus. Jangan membuat nama file database, username database dan password database yang mudah di tebak oleh orang lain.
Langkah Kedua adalah username default  ?admin? untuk masuk ke dashboard wordpress dirubah dengan username lain, bagusnya gabungan angka , huruf besar, huruf kecil. Makin panjang karakter username makin aman. Cara merubahnya anda bisa buka melalui link ini
http://namadomainanda.com/wp-admin/profile.php
Langkah Ketiga adalah Username / Author yang ingin di tampilkan di setiap postingan artikel di blog harus berbeda dengan username yang di pakai untuk masuk ke dashboard wordpress. Caranya merubah tampilan username di postingan blog sama yaitu di
http://namadomainanda.com/wp-admin/profile.php
Langkah ke empat adalah melindungi file wp-config.php dengan cara menambahkan kode dibawah ke dalam file .htaccess
order allow,deny
deny from all
Jangan lupa pula lindungin file .htaccess nya juga , caranya taruh kode dibawah di dalam .htaccess, taruhnya di posisi teratas.
order allow,deny
deny from all
Untuk pengguna hosting dengan control panel CPANEL, file .htaccess lokasinya ada di
/home/username/public_html
Langkah Ke lima adalah melindungi  file wp-login.php, kalo di file manager bisa di lihat letaknya ada disini :
/home/username/public_html/wp-login.php
Cara melindunginya tambahkan kode dibawah ke dalam .htaccess
RewriteCond %{REQUEST_URI} wp-login.php
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX
RewriteRule .* http://www.namadomainanda.com/ [R,L]
^XXX.XXX.XXX   <== isikan dengan alamat IP ISP yang di pakai
Karena alamat IP bawaan ISP selalu berubah maka oleh sebab itu di  range alamat IP isp yang anda gunakan.
Langkah ke enam melindungi folder wp-admin dengan membuat file .htaccess baru yang lokasi folder ada di
/home/username/public_html/wp-admin/
Buat file .htaccess baru dengan memasukkan kode dibawah ini
Order deny,allow
Deny from All
Allow from xxx.xxx.xxx.xxx
setelah itu file .htaccess yang telah dibuat anda upload ke dalam folder wp-admin.
/home/username/public_html/wp-admin/
Langkah terakhir adalah dengan memasang plugin wordpress bernama Limit Login Attempts. Bisa anda download melalui link dibawah ini
Fungsi dari plugin wordpress Limit Login Attempts adalah memproteksi file wp-login.php agar ada pembatasan di dalam kesalahan memasukkan password. Maksudnya apabila ada orang lain yang mencoba membrute force atau menebak password salah berulang kali, maka alamat ip yang di gunakan akan di kunci. Dan tidak bisa memasukkan password lagi dalam rentang waktu yang telah di tentukan.
Plugin Limit Login Attempts ini sebagai antisipasi saja, apabila ada orang lain yang menggunakan alamat IP isp yang sama dengan alamat IP isp yang anda gunakan.
Bila anda ingin memakai plugin wordpress atau themes wordpress, usahakan anda selalu mendownload dari situs yang bisa di percaya, misalkan di situs wordpress.org. Dilihat apakah plugin wordpress yang ada di dalamnya ada review baik atau review buruk.

2 Comments
  1. Webdesign Belgium 18 Juni 2012 13.03  

    Wonderful Design Blogs, Such a great list. Thanks for sharing all these blogs all are very useful to every one

  2. BJuser 26 Desember 2012 14.10  

    Mantap infonya gan

Related Post