10 Keamanan WordPress Inovatif Hacks Untuk Melindungi Website Anda

wordpress hacks

Terlepas dari apakah Anda memiliki blog pribadi atau website bisnis yang berisi data-data penting, Anda harus memfokuskan pada keamanan website yang semaksimal mungkin untuk mencegah pengunjung dengan niat jahat untuk mendapatkan akses ke website Anda.

Tidak ada sistem yang aman 100 persen karena selalu ada kemungkinan ‘ancaman’ baru yang muncul. Meskipun tidak mungkin untuk memberantas semua pelanggaran keamanan, tetapi beberapa praktik terbaik dapat membantu Anda dalam meminimalkan potensi kerentanan.

Ada banyak sumber daya yang tersedia yang bisa digunakan untuk mengamankan situs WordPress Anda, seperti tips, tweak, dan tutorial yang di publish pada beberapa website dan blog. Tetapi beberapa mungkin hanya memberikan panduan dasar tentang langkah-langkah keamanan pada WordPress, baik itu upgrade ke versi terbaru, backup, atau menggunakan password admin dengan kompleksitas tinggi. Mungkin Anda akan bertanya “Apa selanjutnya?”.

Artikel ini dimaksudkan untuk memberikan jawaban yang tepat untuk pertanyaan Anda. Disini kita akan membahas 10 langkah keamanan yang inovatif untuk memastikan situs WordPress Anda tetap aman.

1. Gunakan Two-Factor Authentication

Ketika Anda menerapkan Two-Factor Authentication, seseorang yang mencoba masuk ke dashboard WordPress Anda harus memasukkan kode acak yang dihasilkan dari OTP (One Time Password), selain username dan password standar. Fungsi kriptografi digunakan untuk menghasilkan OTP secara real time dan itu dikirim hanya untuk penerima yang dimaksud melalui secure gateway. Dalam hal ini, ponsel adalah perangkat komunikasi yang paling banyak digunakan untuk Two-Factor Authentication.

Jadi, meskipun seorang hacker berhasil mencuri username dan password Anda, mereka tidak akan dapat mengakses panel admin WordPress Anda tanpa One Time Password.

Anda bisa menggunakan plugin OTP apapun untuk menerapkan Two-Factor Authentication di website WordPress Anda. Dua plugin yang direkomendasikan untuk WordPress adalah:

  • Two Factor Auth
  • Duo Two-Factor Authentication

Kedua plugin tersebut sangat mudah dikonfigurasi bahkan untuk pemula.

2. Non-aktifkan Template File Editing

Pengguna WordPress dengan akses administratif dapat mengedit file template website Anda dengan mudah melalui Appearance > Editor. Dalam banyak kasus hacker yang berhasil mendapatkan akses admin, mereka juga bisa memodifikasi file yang diinginkan langsung dari dashboard WordPress. Untuk mencegah hal ini, Anda dapat menonaktifkan editing file dari dashboard WordPress.

Untuk menonaktifkan editing file melalui editor WordPress, Anda perlu menambahkan baris kode untuk file konfigurasi WordPress Anda. Buka file wp-config Anda dan tambahkan baris kode berikut di bagian bawah file.

define( ‘DISALLOW_FILE_EDIT’, true );

3. Sembunyikan Login Error Feedback dari pengunjung

Apa tujuan menampilkan error log kepada pengunjung? Tidak ada. Ketika sesuatu tidak bekerja, hanya Anda sebagai user admin yang harus tahu tentang hal itu. Bahkan, lebih buruk lagi jika Anda membuat error feedback menjadi publik, itu memberikan makanan empuk bagi hacker untuk mencoba hack situs Anda.

Ada metode sederhana untuk mencegah WordPress login error feedback ditampilkan secara publik. Masuk ke panel admin WordPress Anda, buka Appearance > Editor. Buka file function.php dan tambahkan kode berikut di mana saja di dalam file.

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

4. Hapus User ‘Admin’

Default akun user administratif yang dibuat secara otomatis pada saat instalasi WordPress adalah ‘admin’. Itu juga merupakan area yang paling rentan yang bisa dieksploitasi oleh hacker. Jadi, dengan menghapus akun default ‘admin’ dan mengelola website Anda dari akun admin lainnya adalah ide yang sangat baik untuk mencegah hacker mendapatkan akses ke situs Anda.

Terdapat dua cara untuk menghapus user ‘admin’ pada WordPress.

Pertama, jika Anda belum memiliki situs WordPress, Anda bisa menghapus user admin ketika menginstal WordPress. Pada instalasi pertama Anda akan mendapatkan pilihan konfigurasi user. Username adalah salah satu yang dapat di modifikasi. Sebelum mengklik tombol instal di bagian bawah layar, ganti username default ‘admin’ dengan yang Anda inginkan, kemudian lanjut ke proses instalasi.

Kedua, jika Anda telah memiliki situs WordPress, login dengan akun ‘admin’ kemudian buat akun user baru. Pastikan Anda memberikan hak istimewa administratif penuh untuk user baru. Kemudian log out dan kemudian log in kembali menggunakan user akun yang baru dibuat. Buka tab ‘user’ pada dashboard WordPress dan hapus user ‘admin’.

5. Sembunyikan versi WordPress

Setiap versi WordPress memiliki beberapa celah keamanan yang biasanya akan di tambal pada versi terbaru yang dirilis. Jika hacker berhasil mengidentifikasi versi WordPress yang Anda gunakan, maka mereka dapat dengan mudah mengekploitasi celah keamanan yang ada dan memanfaatkannya untuk mendapatkan akses ke situs Anda. Untuk mencegah hal itu, Anda bisa menyembunyikan versi WordPress yang digunakan.

Biasanya nomor versi WordPress dapat dimasukkan ke file header tema melalui fungsi ‘wp-head()’. Namun, menghapus fungsi ini bukan solusi yang tepat, karena fungsi yang sama mungkin juga digunakan oleh beberapa plugin yang Anda instal. Sebaliknya, alternatif yang lebih baik adalah dengan menambahkan potongan kode di bawah ini pada file function.php.

remove_action (‘wp_head’, ‘wp_generator’);

6. Blok akses untuk bots

Bots adalah program komputer otomatis yang digunakan hacker untuk mengambil kontrol situs Anda. Program-program otomatis ini juga dapat memanfaatkan sumber daya web hosting Anda untuk melakukan aktivitas hacking lainnya. Mod rewrite adalah cara yang efektif untuk memblokir akses bot. Gunakan teks editor dan buka file ‘.htaccess’ di dalam direktori root WordPress Anda. Tambahkan kode berikut di akhir file, simpan.

SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out

7. Gunakan File/Folder Permissions yang tepat

File Permissions hanyalah berupa metode pembatasan akses. Dengan menggunakan parameter file permissions yang tepat, Anda dapat mencegah pengunjung mengakses file konfigurasi penting yang berada pada direktori instalasi WordPress Anda.

Berikut pengaturan file dan folder permissions yang direkomendasikan untuk situs WordPress Anda.

  • CHMOD nilai untuk semua file data harus di atur ke 644.
  • CHMOD nilai untuk semua folders dan subfolders harus di atur ke 755.
  • CHMOD nilai untuk file konfigurasi WordPress (wp-config.php) harus di atur ke 640.

8. Batasi percobaan login pengguna

Dalam semua kemungkinan, hacker mencoba menggunakan kombinasi yang berbeda dari username dan password untuk masuk ke dalam panel admin WordPress Anda. Cara paling mudah untuk membatasi jumlah percobaan login pengguna adalah dengan menggunakan plugin open source, Login Attempts. Setelah menginstal dan mengaktifkan plugin ini, Anda dapat menentukan jumlah login gagal pengguna yang diijinkan untuk jangka waktu tertentu.

9. Gunakan mode SSL untuk Login Sessions

Memaksa situs WordPress Anda ke mode SSL untuk login akan menjamin transfer data yang aman antara web browser pengguna dan server. Web browser akan mengenkripsi username dan password sebelum mengirimkannya ke sistem server Anda melalui saluran yang aman ketika SSL digunakan.

Hal pertama dan terpenting adalah Anda harus memiliki sertifikat SSL yang valid terinstal pada web server Anda. Untuk memaksa mode SSL untuk semua login pengguna, Anda harus menentukan preferensi SSL login pada file konfigurasi WordPress (wp-config.php). Anda bisa memaksa mode SSL hanya untuk user admin atau untuk semua user. Buka file wp-config.php, kemudian tambahkan salah satu kode dibawah ini sesuai keinginan Anda.

Login hanya untuk admin
define(‘FORCE_SSL_ADMIN’, true);

Untuk semua login sessions
define(‘FORCE_SSL_LOGIN’, true);

10. Nonaktifkan akses ke folder ‘wp-content’

Semua gambar dan file yang Anda upload pada situs WordPress disimpan dalam folder ‘wp-content’. Folder ini juga berisi semua file plugin. Hacker dapat menggunakannya sebagai titik masuk untuk menanamkan elemen-elemen berbahaya ke website Anda. Jadi, sangat disarankan untuk Anda memblokir akses publik ke direktori ini.

Anda dapat menambahkan rule pada file .htaccess untuk mencegah akses ke semua jenis file yang ada dalam folder ‘wp-content’. Perlu diingat bahwa file CSS dan JavaScript, termasuk gambar (jpg, png, gif), berada pada risiko tertinggi untuk dieksploitasi oleh hacker.

Order Allow,Deny
Deny from all
<files ?.(jpg|gif|png|js|css)$? ~>
Allow from all

Leave a Reply

Your email address will not be published. Required fields are marked *