Tips Mengamankan website wordpress dari hack

Salam sukses semua, kali ini saya akan sedikit membuatkan tips untuk mengamankan website kita khususnya yang sering dipakai yaitu CMS wordpress. Meski prakteknya ini memakai wordpress tapp teknik ini juga berlaku untuk cms lain semacam joomla atau atau jenis website lain. Pada dasarnya wordpress adalah sangat aman karena di buat oleh para programmer tingkat dunia dan juga di audit oleh para pemakai di seluruh dunia, namun sayangnya yang membuat wordpress tidak aman adalah sebenarnya kita sendiri.

Dari tutorial ini bukan mengamankan 100% trus website kamu tidak dibobol, tapi hanya sedikit memperkuat pengamanan saja. Karena memang tidak ada keamanan yang sempurna dan selamanya, serta keamanan bukan one time deal yang bisa sekali setting dan ditinggal. Karena mungkin yang sekarang di anggap secure dan besok sudah menjadi yang buggy dan berbahaya mengikuti perkembangan teknologi terbaru.
Pada kali ini saya memakai pada hosting yang pakai litespeed dan apache, mungkin dalam environtment hosting lain salah satu cara ada yang berbeda cara setting/tekniknya:

1. Sebelum melakukan apapun silahkan backup dulu database dan filenya. Database download melalui phpmyadmin dan file bisa anda compress dan download.
2. Selalu update engine wordpress/plugin/themes anda ke yang terbaru
3. JANGAN MEMAKAI plugin/themes nulled atau hasil crack atau bajakan atau plugin/themes premium yang anda dapat secara gratis dari situs nulled.
4. Hapus file/folder theme/plugin yang tidak dipakai
5. Jangan pakai username admin sebagai username anda, usahakan ganti dengan yang lain dan pakai Password yang kuat perbaduan angka huruf (besar-kecil) dan karakter.
6. Ganti database table prefix menjadi yang unique, secara default adalah wp_ silahkan ganti menjadi wp_ak, see_pp, aku_kamu dll untuk gantinya bisa memakai pulgin wp-security scan. (sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix apa.
   
   
   
   Plugin berikut juga dapat mengubah table prefix database:
   -Sucuri Security
   -iThemes Security
   -Change DB Prefix
7. Blok bot untuk crawl folder tertentu,krn orang yang akan deface biasanya hasil scan dr google dengan keyword tertentu untuk mencari bug. Silahkan tambahkan pada robots.txt
   
   Code:

   [I]User-agent: *[/I]
   [I]Disallow: /cgi-bin[/I]
   [I]Disallow: /wp-admin[/I]
   [I]Disallow: /wp-includes[/I]
   [I]Disallow: /wp-content/plugins/[/I]
   [I]Disallow: /wp-content/cache/[/I]
   [I]Disallow: /wp-content/themes/[/I]
   [I]Disallow: */trackback/[/I]
   [I]Disallow: */feed/[/I]
   [I]Disallow: /*/feed/rss/$[/I]
   [I]Disallow: /category/*
   
   [/I]

   Tambahkan kode brikut pada .htaccess
   Code:

   [I]RewriteEngine On
   RewriteCond %{HTTP_USER_AGENT} ^.*(agent1|Wget|Catall Spider).*$ [NC]
   RewriteRule .* - [F,L][/I]

8. Melindungi file wp-config dengan menambah rule berikut pada .htaccess
   
   Code:

   [I]<Files wp-config.php>[/I]
   [I]Order Deny,Allow[/I]
   [I]Deny from all[/I]
   [I]</Files>[/I]

9. Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess
   
   Code:

   [I]<Files ~ "^.*\.([Hh][Tt][Aa])">[/I]
   [I]order allow,deny[/I]
   [I]deny from all[/I]
   [I]satisfy all[/I]
   [I]</Files>[/I]

10. Melarang directory listing browsing, tambahkan pada .htaccess atau buat file index.php pada tiap folder
    
    Code:

    # disable directory browsing
    Options All –Indexes

11. Melarang browsing pada folde includes serta disable editing, tambahkan pada htaccess
    Code:

    # Block the include-only files.
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
    </IfModule>

12. Melarang beberapa script injection# protect from sql injectionOptions +FollowSymLinks
    
    Code:

    [I]RewriteEngine On[/I]
    [I]RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR][/I]
    [I]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR][/I]
    [I]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})[/I]
    [I]RewriteRule ^(.*)$ index.php [F,L][/I]

13. Disable file editing, hal ini berarti file wordpress anda tidak bisa di edit melalui menu “Appearance” - "editor", untuk mendisable editing masuk ke wp-config dan ubah settingnya menjadi:
    
    Code:

    [I]define('DISALLOW_FILE_EDIT', true);[/I]

14. Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
    
    
15. Pasang akismet dan plugin cacptcha untuk melindungi dari comment spam
16. Gunakan file permission yang benar dimana pada umumnya adalah untuk folder 755 atau 750 dan untuk file gunakan 644 atau 640 dan juga CHMOD wp-config menjadi 400 atau 600
    Diatas dari sisi dalam wordpress, next dari sisi hosting
17. Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau .htaccess untuk mendisable fungsi yang mungkin berbahaya
    
    Code:

    Disable register_globals
    Disable allow_url_fopen
    Disble display_errors
    disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

    Dengan mendisable fungsi yang berpotensi berbahaya diatas mungkin saja membuat salah satu script tidak berjalan, jika script tersebut membutuhkan fungsi dari salah satu tersebut diatas.
18. Disable xml-rpc, banyak sekali brute force pada wordpress adalah dari mengekploitasi xml-rpc dan 99% pemakai wordpress sebenarnya tidak membutuhkan fitur xml-rpc sehingga anda bisa mendisablenya, untuk mendisablenya gunakan plugin disable xml-rpc yang banyak tersedia di wordpress, jika anda membutuhkan fitur xml-rpc tidak disarankan untuk mendisablenya.
19. Lakukan backup berkala pada akun hosting atau website anda
20. Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami,semoga kami bisa membantu ataupun memberikan backup anda.
    
    Tutorial ini akan selalu diupdate sesuai di blog https://blog.shehoster.com/tips-mengamankan-website-wordpress/
    Selain itu juga silahkan baca cara mengatasi spam di https://blog.shehoster.com/mencegah-mengatasi-komentar-comment-spam-wordpress/

 

Waaaaaah, saya perlu banget nih belajar security untuk wordpress. Thanks gan sharingnya

- - Dikirim Dari PLANET PLUTO - -

 

Thanks sharing-nya gan. Ane sendiri sempat kena hack gara-gara default setting semua

--Rando

 

makasih bro ilmunya...

 

Sama sama gan,,semoga bermanfaat..

 

Btw kalo ganti username setelah install gimana ya?

 

Yang pernah saya lakukan adalah lewat cpanel, phpmyadmin, pilih table user, tinggal ganti dah username nya, termasuk ganti password juga bisa lewat situ.



Sent From PLANET PLUTO Using Tapatalk 2

 

Mantap gan!
Masalah hack inilah yang dulu ngebuat ane brenti nge Blog
Soalnya sering banget ke hack :'(

 

mantap gan

 

MANTAP

 

Yang seperti ini nih perlu dilakukan ...

Agan ini memang CETAR MEMBAHANA

 

wuaaahhh ribeeettt tapi penting sich

habis kena hack saya jadi kebiasaan backup total harian -__-

 

Matep gan, ini penting sekali nih buat yang mau tambah tameng biar kaga jebol websitenya

 

Ya benar,,sudah dijawab

 

gan ilham, kalo supaya web kita gak bisa di cloning gimana caranya ? saya sebel banget web saya di copy paste orang orang. web jualan lagi, ada yg cloning persis. ada yg niru niru aja.

 

wah kalau itu kurang tau gan,,karena memang yg sudah di WWW itu memang semua orang bisa akses dan mungkin mengcopy

maaf gan anda siapa?
saya pernah melakukan itu ketika ada client ngeyel dan saya nyerah tidak bisa balas serangan perkataanya yg cukup "kotor" krn memang saya tdk ingin cr musuh dan perang kata2,,,jadi saya pustuskan jika tdk mau mngikuti TOS dan tidak sesuai harapannya ya saya refund...

Dan penyebab kasus itu bukan krn hosting saya yg buruk atau apa..tetapi web nya digunakan untuk phising paypal,,tampilan luarnya web amazon,,tp pembayaran diarahkan ke alamat paypal palsu...SO ini sdh tdk sesuai dgn TOS dan hukum didunia manapun so saya dengan terpaksa suspend akunnya..

setelah suspend pun dia minta data webnya dan juga saya berikan,,dan sayapun juga merefund pembayarannya da menyarankan pindah..
maaf sekali krn dia menggunakan kata2 kotor dan sangat tidak sabar,,walaupun reply tiket saya termasuk cepat...dan terus berkata kasar jd saya harus memutuskan untuk tdk berhubungan dgn yg spt itu..
saya pun juga cukup heran,,sdh ketahuan bersalah tp tetap ngotot dan marah2..dan dr log nya pun saya llihat setelah ketahuan dia mengganti alamat dan no HPnya menjadi fiktif..

Tp sdhlah,,tdk usah dibahas,,sekali lagi saya tdk ingin cr musuh,,dan hosting saya ONSHORE yg melarang segala phising,penipuan dll

Jika ada pertanyaan silahkan PM saya tdk enak dibhas disini..krn anda bertanya disini maka terpaksa saya balas disini juga atau jika anda ingin bukti percakapan dan log-lognya masih ada..
salam kenal gan,,sekali lagi saya ingin cr teman tdk ingin cr musuh

 

gak kepikiran belajar security web nih, ikut nyimak gan

 

oh...anda ini shehoster ya, seingat saya temen ane dari Surabaya itu pake hosting anda, dan gak nyaman dengan kata-kata anda yang selalu kontroversial ya, klo ditanyain supportnya jawabanmu "klo gak suka saya balikin saja uangnya, anda pindah ke host lain", hahahaha, udah udah, gak usah dibahas, itu sharing nya lumayan, cb tak kabarin temen ane itu skr

 

siip banget share-nya......

 

Ijin bookmark gan, sapa tahu ntar bisa dipraktekin.., soale ada temen yang hilang income ratusan $ gara2 masalah ini...