Langkah jitu agar Wordpress tidak ter-hack

WordPress lagi ya… WordPress lagi. Kali ini kita masih membahas bagaimana cara mudah dan langkah jitu agar wordpress tidak terhack. Karena sudah bosan melihat wordpress yang selalu ke hack.

WordPress sebagai platform multi fungsi blog sekaligus website dan ecommerce adalah suatu keharusan bagi kita untuk memberikan perhatian khusus tentang masalah keamanan. Karena website yang terhack pada dasarnya BUKAN salah penyedia host, melainkan kelalaian dari sisi pelanggan yang tidak pernah memasang fitur keamanan pada website aplikasinya. Asal tahu saja, sejatinya website yang terhack atau terdeface adalah kelalaian webmaster sebagai pengelola website aplikasi.

Semakin tinggi pohon itu berdiri dan tumbuh ke atas, maka semakin besar pula angin yang menghantamnya. Pribahasa tersebut sangat tepat untuk menggambarkan perjalanan wordpress dari platform sederhana blog, hingga kini menjadi sebuah platform multi fungsi dan dipakai hampir seluruh orang di dunia. Tidak tanggung dalam menjalankan bisnis pun wordpress selalu diandalkan karena mudah dan simpel.

Tapi tahukah anda, dibalik kenyamanan itu semua ada bahaya besar yang menanti? Ya, banyak para defacer dan hacker yang menunggu saat anda lengah kemudian website anda diambil alih. Tidak tanggung-tanggung bahkan ada yang sampai menghapus dan mencuri data website anda.

Untuk menanggulinya, kita harus memasang beberapa pencegahan sebelum website tersebut di publish ke orang banyak atau ter index google. Beberapa tips dari penulis :

Gunakan SSL

Percaya atau tidak, penggunaan SSL sangat dianjurkan. Apalagi hal ini sangat berkaitan dengan trust level visitor. Dari skala bisnis sangat dianjurkan, namun blog gubuk seperti milik saya ini tidak terlalu dianjurkan.

Tambahkan kode .htaccess untuk proteksi wp-config.php

Selanjutnya menambahkan kode khusus pada .htaccess untuk file config. Backup file .htaccess anda dulu, baru kemudian tambahkan codingnya seperti ini:

<files wp-config.php>
order allow,deny
deny from all
</files>
Lindungi website dari injections

Ini adalah langkah penting dari artikel ini. Kebanyakan website selalu di inject lewat script aneh-aneh. Oleh karena itu kita harus blok script aneh tersebut. Caranya tambahkan pada file .htaccess ya.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Pasang plugin untuk menolak request script

Pada tahap ini kita harus install atau pasang plugin script dari wordpress untuk menolak request script yang panjangnya lebih dari 255 karakter dan mempunyai string mencurigakan.

Segera pasang plugin bernama “Block Bad Queries” dan langsung aktifkan. Karena plugin tersebut sangat sederhana dan ampuh.

Buang script default wordpress

Ini merupakan langkah yang harus dan penting dilakukan. Kita harus membuang atau menghapus semua file / script yang berbau versi wordpress yang digunakan. Pastikan hapus file bernama readme.html, license.txt dll yang bersifat menampilkan versi wordpress anda. Kalau saya biasanya remove 2 file ini saja.

Jangan pakai username pasaran

Pastikan untuk tidak menggunakan user admin atau semacamnya sebagai level admin user. Biasakan gunakan username seperti sayaaja01 kenapadia78 dll seperti itu lebih di rekomendasikan.

Mungkin itu saja tips yang bisa disampaikan. tips ini dikumpulkan dari berbagai sumber di internet.

Leave a Reply

Your email address will not be published. Required fields are marked *