Tips Mengamankan Website Berbasis WordPress

Pembuka

WordPress dulu dikenal  sebagai sebuah Blog engine, namun saat ini WordPress juga digunakan sebagai CMS (Content Management System) yang sangat powerfull. Terkenal karena kemampuannya untuk dimodifikasi sesuai kebutuhan pengguna, baik secara fungsi maupun tampilan website (visual).

WordPress dewasa ini telah berkembang sangat pesat, dengan dukungan dari pengembang theme dan juga berbagai macam plugin, wordpress saat ini sudah sangat dinamis dan menurut saya pribadi sudah sanggup memenuhi kebutuhan website modern.

Namun tidak dapat dipungkiri saah satu masalah dari website yang berbasis wordpress adalah pada keamanan, bukan berarti keamanan WordPress yang buruk, namun memang karena banyak sekali faktor keamanan yang dapat mengancam sebuah website.

Pada artikel kali ini saya akan membagikan tips mengamanakan website berbasis wordpress. Tips berikut merupakan beberapa metode yang telah saya terapkan sebatas kemampuan saya. Tips mengamankan website berbasis wordpress kali ini akan terdiri dari dua bagian yaitu tips mengamankan website berbasis wordpress dengan metode dasar, dan tips mengamankan website berbasis wordpress dengan metode lanjutan.

Tips Mengamankan Website Berbasis WordPress Dengan Metode Dasar

  • Gunakan Password Yang Kuat

Pastikan selalu menggunakan password yang rumit dan JANGAN pernah menggunakan password berdasarkan tanggal lahir anda, nama anda atau password yang menggunakan angka saja, atau huruf saja. Password anda sebaiknya merupakan kombinasi huruf , angka, dan juga huruf kapital.

ada metode lain untuk membuat password yang sangat rumit bahkan untuk kita sendiri mengingatnya, yaitu dengan menggunkanan password generator. Yaitu sebuah metode membuat password menggunakan random character seperti “6OvY=sbKaToPK:C” password seperti ini akan sulit sekali untuk di tebak karena yang jelas bahkan pemilik website pun akan malas untuk mengafal password seperti ini. Saat ini untuk membuat password yang rumit seperti itu sudah banyak tersedia layanan Password Generator baik yang berupa software maupun yang online seperti strongpasswordgenerator.com.

NB: Pastikan password hasil dari password generator untuk dicatat pada media lain seperti notepad, note pada gadget, dll, agar anda tidak perlu menghafalkan password yang super rumit tersebut, sekaligus mempermudah anda saat akan login karena hanya harus melakukan copy -paste.

  • Jangan Pernah Gunakan Kata “Admin”& “Testing” sebagai Username anda

Jangan pernah menggunakan kata “admin & testing” sebagai Username anda, hal  ini dikarenakan banyak sekali tangan jahil diluar sana yang paham betul bahwa sebagian besar proses pembuatan website akan menggunakan username “admin atau test” pada halaman login nya, karena akan memudahkan untuk login berulang kali pada saat proses pembuatan website, karena kata “admin & testing” mudah diingat. Tidak jarang beberapa web developer atau pembuat web personal lupa atau malas untuk mengubah username.

Selain karena alasan diatas ada juga metode usil dengan cara Brute Force Login yaitu:

sebuah metode serangan terhadap sistem keamanan komputer yang menggunakan percobaan terhadap semua kombinasi password  dengan bebrapa username yang sudah ditentukan. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. Istilah brute force sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya:When in doubt, use brute-force (jika ragu, gunakan brute-force).

Inilah yang menjadi alasan saya menambahkan kata “testing” dalam daftar kata yang dilarang, karena web saya ini dan beberapa web saya yang lain pernah mendapat serangan brute force login, yang berlangsung dalam rentang waktu 72 jam ( 3 hari) dengan jadwal satu username per 24 jam, dan username yang digunakan adalah “admin, testing, dan author name”. Untuk author name atau nama penulis yang secara default di atur oleh wordpress adalah username dari website kita, dapat kita ganti atau kita sembunyikan dari konten yang ada di website kita (akan dibaha pada tips mengamankan website berbasis wordpress dengan metode lanjutan)

  • Selalu Backup Website Anda

Pastikan anda selalu membackup website anda. Beberapa penyedia hosting biasanya menawarkan backup website secara berkala, namun ada baiknya jika kita juga melakukan backup terhadap website kita yang kita simpan sendiri.

  • Pastikan Website Anda Selalu Update

Website berbasis wordpress dapat dipastikan menggunakan theme dan plugin yang memang dimaksudkan untuk memaksimalkan website kita. WordPress sendiri merupakan CMS yang paling sering melakukan update terhadap sistemnya, yang perlu kita lakukan adalah untuk selalu melakukan update terhadap WordPress CMS, Theme yang kita gunakan, dan Plugin yang kita pasang dalam website kita. Kenapa anda perlu melakukan update?? Jawabannya adalah setiap tim pengembang baik dari wordpress,maupun tim yang mendevelop theme & plugin yang kita gunakan dalam website kita akan memperhatikan dan mengembangkan versi terakhir dari produknya, sehingga versi lama tidak akan mendapat perhatian lagi, hal ini akan sangat mudah di eksploitasi oleh orang-orang yang berniat jahat terhadap website kita.

  • Hindari Menggunakan Theme “Gratisan”

Menghindari menggunakan theme gratisan disini bukan berarti anda diharuskan menggunakan theme premium, karena banyak theme gratisan diuar sana yang memiliki kemampuan yang sangat baik. yang dimaksud dengan “Gratisan” adalah theme premium yang anda dapatkan secara gratis atau free download. Hal ini dikarenakan bisa saja theme premium yang anda download secara gratis sudah diselipkan script-script yang memungkinkan empunya script dapat mengeksploitasi website anda.

  • Gunakan Plugin Keamanan

Banyak sekali plugin keamanan yang tersedia saat ini, namun saya tetap akan memberikan informasi berdasarkan apa yang sudah pernah saya coba, ini bukan yang saya rekomendasikan, teman-teman dapat bebas mencoba pugin keamanan yang lain. untuk aldianlo.com saya menggunakan plugin keamanan Wordfence. Untuk informasi kelebihan dan fitur nya silahkan ihat disini.

Tips Mengamankan Website Berbasis WordPress Dengan Metode Lanjutan

  • Mengganti Author Name agar berbeda dengan Username

Secara default Author name dalam website berbasis wordpress adalah sama dengan Username untuk login kedalam website kita. Hal ini tentu saja sangat rentan karena hacker bisa mengetahui username kita dengan sangat mudah, hanya dengan melihat postingan kita pada blog maupun konten lain yang menampikan author name.

Langkah yang kita lakukan untuk mengubah nya adalah dengan masuk ke Cpanel website kita, pilih kolom database dan masuk ke phpMyAdmin, silahkan piih nama database yang digunakan leh website kita kemudian siahkan cari wp_users, piih Edit, lalu kita akan mengedit tabel database wp_users. tips mengamankan website berbasis wordpress

user_login : adalah username yang kita gunakan untuk login ke dalam website kita

display_name : adalah author name yang muncul pada konten website kita.

Silahkan anda ubah salah satu untuk membedakan antara Username dan Author Name, Sehingga hacker tidak dengan mudah mengetahui Username anda.

  • Mengubah url login default wordpress (www.domainanda.com/wp-admin)

Default URL untuk login page wordpress adalah www.domainanda.com/wp-admin. Yang menjadi masalah adalah wp-admin sudah banyak diketahui oleh orang baik seorang bloger biasa, seorang webite developer, apalagi seorang hacker. Saat kita memberitahu dimana letak pintu masuk ke website kita kepada seorang hacker, itu akan sangat membantu mempermudah mereka untuk melakukan kejahatan. oleh karena itu kita sebaiknya mengganti URL default login page website kita dengan cara:

– Masuk Cpanel, lewat ftp juga boleh, atau cara yg lainnya.

– Rename file yg bernama wp-login.php menjadi nama lain, misal : jalan-lain.php

– edit file jalan-lain.php

– Pada editor page silahkan tekan ctrl+f untuk melakukan replace.

– Replace semua wp-login dengan jalan-lain (total ada sekitar 14 kata wp-login yang berubah)

– Save.

– Masuk ke folder wp-includes.

– Cari lalu edit general-template.php.

– Pada halaman editor tekan ctr+f, kemudian cari semua kata wp-login dan ganti dengan jalan-lain (ada 5 kata)

– Setelah itu temukan script berikut ini:

function wp_login_url($redirect = ‘ ‘, $force_reauth = false) {
$login_url = site_url(‘jalan-lain.php’, ‘login’);

hanya yang berwarna merah siahkan anda hapus, sehingga menjadi seperti ini:

function wp_login_url($redirect = ‘ ‘, $force_reauth = false) {
$login_url = site_url(‘’, ‘login’);

– Save

  • Mengamankan website anda menggunakan .htaccess

Berikut ini adalah kode perintah yang perlu ditambahkan ke file .htaccess:

1. Melindungi WP-Config.php
Melindungi file wp-config.php yang berisi informasi nama database, username database, dan password database.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
2.  Directory browsing
Mencegah semua isi direktori bisa terlihat melalui Browser.
# disable directory browsing
Options All -Indexes
3. Melindungi WP-Comment-Post.php dari spam
Mencegah spambot mengakses wp-comment-post.php.
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
Ganti yourblog.com dengan alamat situs kamu.
4. Melindungi file .htaccess
Ini yang paling utama, melindungi .htaccess.
# STRONG HTACCESS PROTECTION
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>
  • Mengubah permission atau hak akses file anda di cpanel 

Mengubah hak akses file pada cpanel adalah sebuah langkah untuk mengamankan file penting anda di cpanel agar tidak bisa di utak atik oleh orang lain. Cara untuk melakukannya adalah dengan masuk ke cpanel, masuk ke root File Manager, kemudian silahkan piih file yang akan diamankan. Menurut saya file penting yang harus diamankan adalah wp-config.php, karena disana tersimpan nama database, username database, dan password database anda. Maka klik kanan pada file wp-config.php piih change permission, kemudian un-check write sehingga permission-nya menjadi 4 4 4.

Demikianah tips mengamankan website berbasis wordpress yang dapat saya berikan. Tips ini berdasarkan apa yang sudah saya lakukan pada beberapa website saya. Apabila ada kekurangan dan  kesaahan mohon koreksinya, terimakasih.

7 replies on “Tips Mengamankan Website Berbasis WordPress

  • Drew

    Good day! Do you know if they make any plugins to assist with Search Engine Optimization? I’m trying
    to get my blog to rank for some targeted keywords
    but I’m not seeing very good success. If you know of any please share.

    Thank you!

    Reply
    • aldianlo

      Hello. I know some plugins to help you. You can try to use this:
      – Yoast SEO (this is the one I recomended for you) you can find the reviews on google. or you can try
      – All in One SEO
      But you need to know that there is no instant process. Make sure you have good content on your blog.

      Reply
  • Alta

    Whats up very cool blog!! Guy .. Excellent ..
    Amazing ..I’ll bookmark your web site and take the fdeds also?
    I am satisfied to find a lot of helpful information right hrre within the publish,
    we’d like work out more techniques on this regard, thank
    you for sharing. . . . . .

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

*