Waktu Baca : 3 menit

Web wordpress Anda sering kena hack ? Maka Anda wajib membaca artikel ini. Jika web wordpress Anda biarkan begitu saja tanpa optimasi security, maka dipastikan cepat atau lambat akan sangat mudah dibobol oleh hacker.

Meskipun selalu ada update terbaru dari wordpress, terkadang malah muncul bug-bug baru yang dengan cepat tersebar luas. Jadi informasi ini bisa jadi ketinggalan jika muncul celah-celah baru.

Dan gara-gara sering kehack, beberapa blogger maupun pengelola web jadi trauma. Padahal jika mereka mau tahu caranya dan mau mempratekkan, sedikit banyak hal ini akan mengurangi beban mereka.

Optimasi security memang ada 2 sisi, yaitu di sisi server dan di sisi script. Jika Anda adalah pengguna shared hosting, maka yang bisa Anda lakukan adalah di sisi script saja. Tapi Anda juga harus bisa memilih mana hosting yang securitynya bagus, karena bisa saja Anda sudah optimasi scriptnya tapi ternyata tetap saja kena hack akibat JUMPING.

Jumping / loncat maksudnya adalah  : jika ada 1 web yang berhasil dibobol, lalu ditaruh shell, maka dengan shell itu juga bisa menjebol web/akun cpanel lain dalam satu server tersebut. Untuk mengantisipasi jumping bisa dengan menggunakan fitur cageFS dari cloudlinux.

Tutorial ini tidak bisa mengamankan 100% website Anda, tapi paling tidak menutup celah-celah keamanan. Tidak ada keamanan yang sempurna dan selamanya, artinya tidak bisa sekali setting lalu dibiarkan saja karena mungkin yang sekarang dianggap aman besok sudah menjadi tidak aman lagi (bug).

Pada kasus ini kita menggunakan OS linux dengan webserver apache. Berikut ini langkah-langkah untuk optimasi keamaan wordpress Anda :

1. Lakukan full backup

Agar Anda bisa segera mengembalikan ke keadaaan semula jika terjadi error, maka lakukan full backup akun cPanel Anda. Caranya : login ke cpanel, lalu klik tombol “backup”, lalu pilih “full backup”, dan pilih “home”. Masukkan email Anda agar dapat notifikasi jika backup sudah selesai.

 

2. Instal 3 Plugins berikut dan aktifkan

– Better WP Security

– Bulletproof Security

– Automatic Updater

 

3. Tambahkan User Admin baru yang aman

a. Pada dashboard Anda, klik “Users” – “Add New”. Gunakan kombinasi huruf besar, huruf kecil dan angka pada username dan passwordnya, masing-masing minimal 8 karakter.

b. Setelah Anda buat admin user baru, silahkan logout dari dashboard Anda. Lalu login ke dashboard lagi dengan user baru tersebut.

c. Klik “Users” – “All Users”,  pada user lama silahkan klik EDIT, lalu ubah RULE nya menjadi “no role for this site”. Lalu klik SAVE.

 

4. Setting plugin Better WP Security

a. Klik “Security” dashboard wordpress Anda, lalu klik “backup…”

b. Klik untuk mengijinkan “..Plugin to Change WordPress Core files”

c. Pilih “Secure My Site from Basic Attacks‟

d. Pada tab “Ban”, klik “Enabled default banned list

e. Pada tab “Prefix‟, pilih “Change Database Table Prefix”

f. Pada tab “Hide”, ubah login, register & admin slugs ke kata yang mudah anda ingat.

g. Pada tab “Detect”, pilih “Enable 404 Detection”, “Enable Email 404 Notifications”, Set Cek Period ke 10, Set Errorthreshold ke 7, Set Lockout period ke 1440, cek blacklist repeat offender.

Enable: File Check Detection, Enable File Change Admin Warning, Enable Email File Change Notifications, tambahkan email anda lalu klik “Save Changes”

h. Pada tab “Login”, Enable Login limits, Set Max login Attempts per host ke 5, Set Max Login Attempts perUser ke 7, Set login Time Period ke 1440, Set Lockout Time Period ke 1440, cek Blacklist Repeat Offender, SetBlacklist Threshold ke 5, tambahkan email Anda dan klik “save changes”

i. Pada tab “Tweaks”, centang semua opsi lalu klik “SAVE”.

 

5. Setting plugin Bulletproof Security

a. Klik “BPS Security” di admin panel Anda.

b. Pada tab “Secure Modes”, klik tombol “Create Secure .htaccess file”.

c. Scroll ke bawah dan aktifkan Security Modes, pilih “Bulletprof Mode” pada masing-masing ke empat mode tersebut dan klik “active”.

 

6. Ubah file permission

a. Login ke cPanel, lalu klik “File Manager”.

b. Ubah file permission .htaccess ke 0404

c. Ubah file permission wp-blog-header.php, wp-config.php, index.php menjadi 0400

d. Ubah permission folder wp-admin, wp-content, wp-includes ke 0705

 

7. Setting plugin Automatic Updater

a. Pada dashboard wordpress Anda, klik “Settings” -> “Automatic Updater”. Centang pada “Update wordpress core automaticly”, masukkan alamat email, lalu centang “show debug information in the notification email”. Klik “Save changes”.

 

Penjelasan lebih detail ada di ebook selanjutnya.