Pernahkah terlintas dipikiran anda bahwa situs kesayangan anda diambil alih oleh orang tak dikenal ? Meskipun situs anda adalah situs umum yang tidak banyak memiliki pengunjung bukan alasan bagi ‘orang tertentu’ untuk mencoba mengambil alih situs anda. Bahkan justru karena situs anda tidak begitu terkenal, semakin besar kemungkinan situs anda diambil alih atau biasa disebut hacked.
Bagi sebagian orang, keamanan situsnya tidak terlalu penting karena dirasa situsnya mengandung konten yang tidak terlalu berharga, tidak seperti situs pemerintah, swasta, dan lain sebagainya. Bisa jadi situs anda disalahgunakan yang dapat berakibat buruk bagi anda. Dalam artikel ini akan saya berikan beberapa tips dan cara agar keamanan wordpress anda lebih baik dan tidak terlalu mudah bagi orang-orang tertentu yang mencoba ‘mencuri’ situs anda.
Secara garis besar, tips yang akan saya berikan dibagi atas tiga bagian, yaitu pada level client, application,dan server. Hal ini saya urutkan dari hal yang paling mudah dan paling sering dilupakan/dipandang sebelah mata oleh sebagian orang yang justru dapat menjadi bumerang bagi diri sendiri.
1. Client
Bagi anda yang suka ber-internet ria apalgi suka download, sebaiknya cermati bagian ini dengan baik, karena kasus pencurian website dalam hal ini wordpress dilakukan karena kecerobohan penggunanya dalam menjaga data-data pentingnya.
- Selalu gunakan perbarui atau update setiap software yang anda gunakan, baik sistem operasi, browser, dan terutama anti-virus serta sistem pendukungnya seperti firewall.
- Apabila anda menggunakan public internet, seperti wi-fi area pada cafe atau tempat umum lainnya, pastikan jaringan yang anda gunakan terenkripsi atau gunakan VPN (Virtual Private Network).
- Kurangi atau hindari penggunaan komputer publik seperti pada perpustakaan atau bahkan warnet, karena pada tempat-tempat itulah banyak bersarang virus yang dapat kapan saja mencuri data yang anda buka maupun ketik.
- Jangan pernah gunakan fitur seperti remember me atau sejenisnya yang ketika anda akan login kedalam wordpress/kontol panel server (cPanel, Direct Admin, dll) tanpa perlu memasukkan password lagi. Hal ini sangat riskan akan kasus pencurian password.
- Jangan pernah gunakan login username yang umum, seperti admin, root, daemon, atau nama situs anda. Anda dapat menganti display name anda melalui wp-admin. Username dan display name sebaiknya benar-benar beda.
- Gunakan minimal 8 karakter password merupakan kombinasi angka dan huruf, lebih baik jika menggunakan semua kombinasi yang mungkin, angka, huruf, simbol, dan caps (besar-kecil).
- Sumber utama virus, worm atau sejenisnya adalah penggunaan program bajakan. Menurut beberapa artikel yang saya baca dan menurut pengalaman saya sendiri, hampir setiap program bajakan memiliki “penumpang tambahan”.
- Hindari upload file menggunakan FTP terutama jika berada dalam jaringan public apalagi komputer publik. Karena ketika anda transfer data dengan FTP, maka username, password, dan server tujuan akan mudah dapat dimata-matai karena data-data penting tersebut ditransfer juga sebagai plain text atau sebagai ilustrasinya anda membaca artikel ini, data-data penting anda akan terlihat seperti ini, tidak terenkripsi.
2. Application
Tahap application adalah tahap dimana anda mengamankan aplikasi pada server atau hosting anda, yaitu wordpress dalam hal ini dan segala bentuk pendukungnya seperti plugin dan theme.
- Selalu update wordpress, plugin, dan theme yang anda gunakan.
- Jangan penah memasang dan menggunakan plugin atau theme yang tidak jelas asalnya apalagi yang bajakan. Karena hanya sedikit sekali dari plugin dan theme tersebut yang terdapat fasilitas hash check yang dapat memastikan keabsahan file-file didalamnya bebas dari modifikasi orang lain.
- Hindari penggunaan theme yang terdapat encrypted code, umumnya pada footer yang biasanya berisi link-link tertentu.
- Gunakan plugin “login lockdown” yang dapat membatasi percobaan login agar terhindar dari kemungkinan brute force attack atau sejenisnya dimana terjadi percobaan login secara terus menerus hingga berhasil masuk.
- Bila memungkinkan, anda dapat melihat source code atas plugin atau theme yang akan pasang kedalam situs anda.
- Jangan pernah gunakan table_prefix yang bersifat umum, seperti wp_ atau wordpress_ atau nama situs anda. Sebaiknya gunakan kombinasi angka dan/atau huruf, karena hal ini tidak berpengaruh terhadap isi database atau fungsi wordpress anda.
- Selalu back-up database wordpress anda minimal satu kali dalam satu minggu atau lebih jika anda sering membuat post baru, selain untuk keamanan juga untuk menghindari hal-hal yang tidak diinginkan lainnya. Jangan lupa juga backup file-file wordpress anda.
- Anda juga dapat menggunakan plugin seperti wp firewall atau wp anti virus.
3. Server
Server yang saya maksud disini mulai dari penggunaan fasilitas server itu sendiri seperti password protect directory, .htaccess, dll hingga pemasangan aplikasi tambahan pada tingkatan server/root seperti penggunaan mod_evasive, mod_auth, .dll.
- Selalu update webserver dan semua aplikasi pendukungnya secara rutin (anda dapat menggukanan cron jobs).
- Tambahkan kode Options All –Indexes kedalam .htaccess diaman wp-config.php berada, hal ini untuk menghindari akses kedalam folder yang tidak terdapat index.php, index.html, atau sejenisnya.
- Jangan pernah menggunakan CHMOD 777.
- Gunakan SSL bila memungkinkan.
- Ganti port-port penting seperti SFTP, kloxo, webmin, dll kedalam port lain.
- Pasang anti-virus dan firewall.
- Maksimalkan penggunaan ekstensi kemanan seperti mod_evasive, mod_auth, mod_auth_digest, mod_access, dll.
- Pasang blockbots atau sejenisnya pada webmail.
Mungkin cukup sekian dahulu artikel saya kali ini tentang tips dan cara mengamankan wordpress yang tentunya juga dapat anda lakukan untuk yang lain seperti pada joomla, ipboard, dll. Jangan menunggu lagi untuk menyelamatkan situs anda dari tangan-tangan jahil. Bagi anda pemilik VPS atau dedicated server sebaiknya lebih banyak perbanyak membaca artikel keamanan untuk kelas sever karena beberapa aplikasi pada tingkatan server sangat rentan.
Sumber Referensi:
1. WordPress Ultimate Security.
2. WordPress Security.
3. Apache Documentation.
4. Wordpress Codex
5. SNSDaily staff.
No comments:
Post a Comment
Harap menggunakan bahasa yang baik dan benar serta jelas dalam komentar Anda.