10 Tips Melindungi Blog WordPress Dari hacker

Gambar

Makin banyak saja hacker berkeliaran di internet,dengan target sasaran tanpa pandang bulu.Untuk melindungi blog wordpress dari serangan hacker sob bisa coba 10 tips menjaga keamanan wordpress dari hacker berikut ini.

1. Melakukan Update wordpress dan semua pluginnya.

update wordpress

Ketika Sob mendapatkan pemberitahuan untuk melakukan update di panel admin,jangan mengabaikannya! Ini adalah cara yang paling efektif untuk mengamankan blog wordpress dari serangan hacker.

2. Ganti Secret keys bawaan instalasi dengan Secret keys yang baru.

Buka file wp-config.php,kemudian temukan kode yang terlihat seperti ini:

define('AUTH_KEY',         'q2My3&h9xP-_]V:-8luwDW31xF9`7B^L+|1_loZRRYfs =/ZbCsqx%<+fvs]$3vf');
define('SECURE_AUTH_KEY',  'S8KGPE(!|9Mae-h-{o8UwviZe/n6o!fP(hm1|u%$TNdnN<$3&|Mn3eiVV,EJ}]E+');
define('LOGGED_IN_KEY',    '&*4jr@.1@@M|rnyYCG~,3@u+rX1$)T38T+X jMjShP+%docRwlCaL5YcYgIva:BR');
define('NONCE_KEY',        'o+rT >N+2&Ydh%t,i]*85CK*I4-|X2E{sqQyg}OfsN# Td$l^cA]K(.>:XST$4/R');
define('AUTH_SALT',        ']i?Ewrq^*I_+hm9 MX=UUFzuT0~38Wc3pOoryDY*FQ89MQua MI@HHv_0x:1lt3g');
define('SECURE_AUTH_SALT', '(|kg*n/hO/Gh)wRcalzu}cj?-[2j)w$5sKu0Q13a-]BIh^hW*M][+Xrz#&} @gI5');
define('LOGGED_IN_SALT',   'P0s^IQ542yTX*!Ub[ 0| xJ*VJ-)xeX5Ei4,[O<zSq? Q@s1*rWYCnRVY-Dy@H-O');
define('NONCE_SALT',       'Fbh<uQNr(}-*w3O58(pw .[+7eqZIbqv_,1{;h1tin{8(~e_FVceVge5r>|]u8-I');

Ganti semua kode di atas dengan yang baru dengan menggambilnya Secret keys di https://api.wordpress.org/secret-key/1.1/salt

3. Mengubah Prefix database

Banyak konfigurasi dasar yang sama dari blog WordPress terutama jika Sob melakukan instalasi menggunakan Auto installer dan ini sangat mudah di ketahui hacker termasuk  database prefix.Jika Sob tidak mengubah awalan database, nama tabel dari database blog dengan mudah diketahui oleh hacker yang mencoba untuk hack blog kamu.

$table_prefix  = 'wp_';

Bisa Sob ganti dengan :

$table_prefix  = '2w37p_';

Kita akan membahas bagaimana mengubah prefix database nanti.

4. Melindungi wp-config.php

Seperti disebutkan sebelumnya, file wp-config.php berisi semua rahasia dari blog kamu,jadi sangat penting untuk melindunginya dari akses hacker.Cara mudah untuk melindungi file ini adalah dengan menempatkan kode berikut dalam file. Htaccess:

<Files wp-config.php>
   order allow,deny
   deny from all
</Files>

5. Melindungi File. Htaccess

Sob dapat melindungi wp-config.php melalui .Htacess, tapi bagaimana melindungi file htaccess itu sendiri.? Jangan khawatir, kita dapat menggunakan file yang sama .Htaccess untuk melindungi file itu sendiri.Tambahkan kode berikut di file .htaccess.

<Files .htaccess>
   order allow,deny
   deny from all
</Files>

6. Sembunyikan Versi WordPress

Tempatkan kode berikut di bawah function.php dari theme yang aktif.

remove_action('wp_head', 'wp_generator');

Kemudian menghapusnya juga dari RSS feed menggunakan ini:

function wpt_remove_version() {
   return '';
}
add_filter('the_generator', 'wpt_remove_version');

7. Instal Plugin WordPress Security Scan

Plugin ini memindai instalasi WordPress dan memberikan saran yang sesuai. Plugin ini akan melakukan pemerikasaan:

  • Password
  • File Permissions
  • Database Security
  • WordPress Admin protection

Download pluginnya di sini.

8. Batasi Jumlah Gagal Login

Sob bisa gunakan plugin ini.

9: Jangan Gunakan “admin atau username yang pernah kamu publikasikan” Sebagai Username (dan gunakan password yang kuat)

10. Backup wordpress

Hal terakhir yang sebaiknya tidak di lupakan adalah melakukan backup blog wordpress kamu.Kita tidak tahu seberapa pintar hacker mampu melakukan serangan terhadap blog wordpress kamu.Sob dapat melakukannya melalui cpanel atau menggunakan plugin Backup WordPress atau WP DB Backup.

9 Cara Mengamankan Website Anda Dari Serangan Hacker

Tulisan ini didedikasikan kepada para pemilik website yang telah maupun belum pernah mengalami kejadian pada websitenya yang terkena hack oleh para hacker. Yang perlu diingat adalah agar jangan pernah menganggap bahwa website kita selamanya aman dari serangan hacker. Tidak hanya website besar yang memiliki ramai pengunjung, bahkan terkadang website kecil-kecilan yang dibuat dengan bentuk sederhana yang mungkin kita sendiri mengganggapnya tak memiliki harga sekalipun kerap menjadi santapan para hacker. Percayalah bahwa hal tersebut akan terjadi pada siapa saja tanpa terduga. :-)

Umumnya para hacker mengambil alih website melalui beberapa cara seperti: Deface, SQL Injection, Malware, XSS, RFI, CRLF, CSRF, Base64 dsb. Berikut ini adalah beberapa trik pencegahan yang dapat anda upayakan untuk mengamankan website anda sebelum website kita menjadi korban hacker:

9-Cara-Mengamankan-Website-Anda-Dari-Serangan-Hacker

Password

Pastikan agar anda menggunakan password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan kode simbol seperti !@#$%^&*(). Ulasan mengenai hal ini dapat anda baca tulisan pada Tips Membuat Password Anti Hacker

Selain itu ada baiknya agar anda mengubah password anda secara berkala untuk memaksimalkan keamanan website anda.

Versi WordPress

Pastikan agar anda selalu meng-update versi wordpress anda ke versi terbaru. Karena wordpress menyempurnakan fitur dan celah keamanan dari versi ke versi selain itu juga dapat meminimalisir informasi kepada hacker mengenai versi wordpress yang anda gunakan. Anda dapat melakukan ini melalui dasbuard wordpress anda.

Pada umumnya, pada theme standar anda dapat menyembunyikan versi wordpress anda melalui Appeareance > Editor. Lalu editlah pada bagian function.php dan hapus berikut <?php remove_action(‘wp_head’, ‘wp_generator’); ?> Umumnya tidak semua theme menyediakan informasi mengenai versi wordpress, namun beberapa theme tetap meninggalkan informasi ini.

File Permission

File Permission adalah fitur yang disediakan pada halaman CPanel bagian File Manager pada server hosting anda yang digunakan untuk merubah parameter standar pada sebuah file satuan ataupun kumpulan untuk memungkinkan file tersebut diakses, dibaca ataupun dirubah oleh pengguna. Umumnya hacker yang dapat dikatakan berhasil apabila telah melakukan inject dan berhasil  mereset password admin anda. Untuk itu anda dapat membatasi hal tersebut dengan mengunci file permission pada cpanel tersebut. Cara merubah file permission adalah dengan klik kanan pada file yang bersangkutan lalu akan terdapat 3 baris kotak yang dapat dicentang atau dihilangkan centangnya. Anda tidak perlu mengubah semua file permision pada file website anda namun ada baiknya anda mengubah permission pada file-file berikut dan nilai yang direkomendasikan:

.htaccess  – ubah menjadi 444 atau 404
wp-config.php
– ubah menjadi 444 atau 400
index.php
– 444 atau 400
wp-blog-header.php
– 400 atau 444
wp-admin
– 755 atau 705
wp-includes
– 755 atau 705
wp-content
– 755 atau 705
wp-content/bps-backup
– 755

Sembunyikan Plugin Anda

Usahakan agar anda menyembunyikan semua plugin yang anda gunakan. Hal ini untuk menutup kemungkinan dan memberi ide kepada hacker untuk menemukan mana-mana saja plugin yang dapat dijadikan celah untuk melakukan hack. Untuk menyembunyikan plugin yang terinstal pada wordpress anda, dapat meng-upload file index kosong ke dalam folder /wp-content/plugins/

White list pada .htaccess

Untuk mencegah hacker mengotak-atik folder admin anda ada baiknya anda memasukkan daftar IP Whitelist yang diperbolehkan untuk mengakses folder-folder penting pada website anda sehingga tidak akan ada orang yang dapat melihat folder admin kecuali anda dan daftar IP yang diberikan izin akses. Untuk melakukan hal ini anda dapat menambahkan beberapa baris script kode pada file .htaccess anda yang terletak pada file Manager didalam Cpanel. (munculkan bila tersembunyi). Secara default, letak file .htaccess adalah didalam /wp-admin/

Berikutnya tambahkan kode dibawah ini untuk melindungi halaman wp-login.php dan wp-config.php anda sehingga hanya IP tertentu yang dapat mengakses halaman tersebut:

<Files wp-login.php>
Order deny,allow
Deny from All
Allow from xxx.xxx.xxx.xxx
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

ganti xxx. dengan alamat IP anda. Trik diatas juga dapat melindungi wp-config anda agar tidak dapat dilihat isinya karena informasi yang tersimpan didalam wp-config sangat vital karena terdapat username dan password website anda.

Anda dapat mengedit file .htaccess ini langsung melalui cpanel atau melalui komputer anda namun sebaiknya file ini anda backup terlebih dahulu.

Plugins Security

Beberapa plugins dibawah ini dapat berfungsi maksimal untuk melindungi file-file penting yang rentan menjadi sasaran utama para hacker untuk diserang. Anda dapat menginstal plugin-plugin berikut:

Bulletproof Security (untuk melindungi file .htaccess dan fitur-fitur security lainnya.

Login LockDown (untuk melindungi halaman login anda dari ‘brute force attack’ ,mencatat IP yang berusaha untuk login ke website anda juga memblok IP yang mencurigakan.)

WordPress Firewall (dapat memblokir script-script dan parameter yang mencurigakan)

Timthumb Vulnerability Scanner (untuk mendeteksi script-script mencurigakan yang ditanam oleh hacker yang ingin memanfaatkan situs anda)

Themes

Upayakan agar anda tidak mendownload theme yang tidak jelas sumbernya ataupun versi yang Nulled. Karena memungkinkan bagi hacker untuk menambahkan script-script yang dapat dimanfaatkan untuk menyusup kedalam website anda.

Plugin Update

Banyak hacker memanfaatkan celah pada beberapa plugin yang menurut mereka dapat diserang. Oleh karena itulah para pembuat plugin terus menyempurnakan plugin-plugin mereka selain untuk memperkaya fitur juga meningkatkan keamanan yang sebelumnya dapat dimanfaatkan oleh hacker.

Backup Database

Untuk mencegah kemungkinan terburuk sangat disarankan agar anda melakukan update database pada wordpress anda dengan bantuan wp-db-backup atau wp-time-machine. wp-time-machine mempunyai fitur melakukan full backup situs wordpress anda, mulai dari image, comment, postingan, theme hingga semua plugin anda.

Demikianlah informasi mengenai 9 Cara Mengamankan Website Anda Dari Serangan Hacker. Apabila anda adalah seorang awam dimana website anda sudah terlajur terkena hack, anda mempunyai 3 opsi untuk memperbaikinya:

  1. Anda dapat melakukan restore data backup yang anda simpan dikomputer anda. Setelah itu segeralah mengganti password anda.
  2. Mintalah bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak hosting mempunyai tenaga ahli untuk menangani hal ini.
  3. Cara terakhir, anda dapat mengkontak sang hacker tersebut serta membicarakannya dengan baik-baik. Umumnya para hacker meninggalkan alamat email yang dapat dihubungi meskipun beberapa lainnya tidak meninggalkan jejak apa-apa. Namun biasanya bagi hacker yang meninggalkan jejak email masih memungkinkan untuk dimintai bantuan agar mengembalikan website anda. Meskipun kemungkinannya 50-50. :-) Namun pada umumnya komunitas hacker di Indonesia banyak diantaranya yang melakukan hack dengan tujuan untuk mengingatkan pengguna agar dapat meningkatkan sekuriti pada website korban agar dapat melakukan perbaikan selanjutnya. Ya, terkadang hacker golongan ini memberi masukan berharga kepada kita semua. ^_^

 

Semoga bermanfaat :-)

Agar Situs/Blog WordPress tidak mudah di hack

 

Beberapa waktu yang lalu saya sudah memposting tentang ” Mencegah dan mengamankan Website/situs dari Heck”  dan juga ” Mengamankan situs/blog WordPress dengan plugin Better WP Security” nah masih terkait dengan hal tersebut kali ini saya ingin berbagi tips untuk  mencegah serangan pada situs/blog wordpress agar tidak mudah di hack
Seperti kita ketahui, sekarang ini marak terjadi pencurian situs maupun perusakan / hacking situs yang dibuat dengan platform WordPress. Ada banyak hal telah kita lihat untuk dapat mengamankan wordpress kita dari serangan hacker, namun jika semua itu belumlah cukup coba anda simak pemaparan saya tentang sebuah cara ampuh untuk mengamankan blog wordpress kita dari serangan hacker.
Kunci WordPress-mu
Kunci Wordpress-mu

Berikut ini cara meningkatkan security wordpress anda agar terhindar dari aksi hacking:

1. Upadete Versi Wordpess anda ke Versi Terbaru
Ini merupakan cara termidah, namun bila anda menggunakan themes premium, perlu anda cek apakah template anda sudah support ke versi terbaru atau belum.
2. Gunakan Username dan password yang kuat
default instalasi wordpress, usernya : admin, Anda bisa merubah username tersebut menjadi lebih rumit, misal joko89 dan pastikan passwordnya kuat, jangan menggunakan password standar sebagai berikut :
(pass, password, admin123, admin). Silakan coba strongpasswordgenerator.com
3. Gunakan .htaccess untuk lindungi wp-config.php
Tambahkan skrip pada file .htaccess yang bertujuan agar orang lain tidak bisa melihat dan mengakses wp-config.php
mencegah hacker
4. Hilangkan informasi WordPress
Agar hacker tidak bisa melihat versi wordpress anda, tambahkan script berikut ini padafunctions.php template anda dan hapus juga file readme.html di dalam public_html
mencegah hacker
5. Disable Folder System WordPress
Disable Folder System WordPress dengan menambahkan skrip “Dissallow: /wp-” (tanpa tanda petik) pada file robot.txt
6. Setting permission
Pastikan permission-nya tertutup, yaitu untuk folder permissionnya 755 dan untuk file permissionnya 644.
Selamat mencoba tips Agar situs/blog wordpress tidak mudah di heck semoga bermanfaat.