Cara Mengamankan Blog WordPress Dari Serangan Hacker

Saya pernah punya pengalaman buruk pada salah satu blog WordPress yang saya bangun untuk affiliasi Amazon. Blog tersebut punya pengunjung yang cukup stabil dan sudah menghasilkan. Tapi tiba-tiba suatu hari blog tersebut kena hack. Parahnya, saat itu saya sedang keluar kota selama seminggu lebih dan tidak menghetahui bahwa website saya tersebut berhasil diserang oleh hacker. Akibatnya, blog tersebut mengalami penurunan SERP yang sangat signifikan dan kehilangan trafik. Anda pernah mengalami hal yang sama? Tahu kan rasanya gimana? DONGKOL!

Menurut data yang saya dapat per bulan Januari 2014, ada 100 – 200 upaya login tanpa authorisasi ke website Maxmanroe.com setiap harinya. Rata-rata upaya yang dilakukan oleh para hackers untuk masuk ke website ini adalah dengan tehnik brute force. Pada saat ini, mungkin saja website Anda juga menjadi salah satu target para hacker tersebut…hayoo! Lalu bagaimana cara mengamankan blog WordPress?

Image dari copyblogger.com

Menjaga keamanan sebuah blog WordPress itu dilihat dari dua sisi, yaitu keamanan dari servernya dan juga dari script WordPressnya. Blog Maxmanroe.com saat ini menggunakan Virtual Private Server (VPS) sehingga saya harus mengoptimalkan sendiri keamanan server saya. Berbeda dengan blog WordPress pada shared hosting, cukup hanya mengoptimalkan pada sisi script WordPress-nya saja. Oh ya, waktu itu saya khusus menyewa orang untuk mengoptimalkan keamanan VPS saya, soalnya untuk pekerjaan yang satu ini sangat vital dan harus dilakukan oleh orang yang kompeten. Nah, di artikel ini saya khusus membahas optimasi keamanan blog WP dari sisi script WordPress-nya.

Artikel lain: Mengapa blog saya menggunakan WordPress

Berikut ini adalah beberapa langkah untuk mengamankan blog WordPress dari serangan hacker:

1. Full Back up File Blog WordPress

Langkah pertama yang wajib kita lakukan sebelum melakukan hal lainnya adalah melakukan full back up terhadap seluruh file blog Anda. Hal ini sangat diperlukan jika terjadi kesalahan atau error sewaktu Anda melakukan setting keamanan blog. Anda bisa melakukan full back up file melalui cPanel.

2. Gunakan Password Yang Kuat

Langkah ini sebenarnya yang paling mudah, dan saking mudahnya orang sering lupa melakukannya. Buatlah password yang kuat untuk login ke WP admin dan cPanel blog Anda. Sebagian orang mungkin tidak ingin pusing membuat password yang kuat untuk blog mereka, tapi akan terasa sangat pusing bahkan pusing tujuh keliling jika blog Anda dihack orang lain karena password blog Anda tidak kuat.

Kalau Anda bingung bagaimana cara membuat password yang kuat, silahkan baca artikel saya sebelumnya, yaitu tips membuat password yang lebih kuat. Tapi mohon jangan menggunakan password yang ada di artikel tersebut, banyak orang yang sudah membacanya hehehe.

3. Gunakan Admin User Dengan Nama Yang Unik

Ketika kita menginstal WordPress ke hosting, secara default nama admin user nya adalah “Admin”. Ini bukan pilihan nama Admin yang unik karena sangat mudah ditebak hacker. Jika Anda terlanjur menggunakan user name “Admin” saat menginstal WordPress, saya sarankan untuk mengganti nama adminnya dengan yang lebih unik. Ini bisa dilakukan dengan cara menambahkan user Admin baru yang lebih aman:

a. Pada dashboard Anda, klik “Users” – “Add New”. Gunakan kombinasi huruf besar, huruf kecil dan angka pada username dan passwordnya, masing-masing minimal 8 karakter.
b. Setelah Anda buat admin user baru, silahkan logout dari dashboard Anda. Lalu login ke dashboard lagi dengan user baru tersebut.
c. Klik “Users” – “All Users”, pada user lama silahkan klik EDIT, lalu ubah RULE nya menjadi “no role for this site”. Lalu klik SAVE. (credit to klikhost.com)

4. Install Plugins Untuk Keamanan

Sebenarnya WordPress itu sendiri sudah memiliki keamanan yang sangat baik. Namun, tentu saja setiap website yang menggunakan script WordPress membutuhkan pengaturan keamanannya sendiri. Nah, untuk itu kita perlu menginstal beberapa plugins berikut ini:

A. Better WP Security 

Plugin ini membantu melindungi instalasi WordPress Anda dari penyerang. Memperkuat standar keamanan WordPress dengan menyembunyikan daerah vital situs Anda, melindungi akses ke file penting melalui htaccess, mencegah usaha login brute-force, mendeteksi upaya serangan, dan banyak lagi.

Update: Saya sudah tidak menggunakan plugin Better WP Security karena update terbaru (berganti nama jadi iTheme Security) yang dirilis oleh developernya ternyata membuat server saya bermasalah.

B. BulletProof Security

BulletProof Security melindungi situs Anda dari XSS, RFI, CRLF, CSRF, Base64, Kode Injection dan SQL Injection, upaya hacking. Melindungi wp-config.php, bb-config.php, php.ini, php5.ini, install.php dan README.html dengan melindungi keamanan htaccess, dan lain-lain.

C. Login LockDown

Menambahkan beberapa keamanan ekstra untuk WordPress dengan membatasi jumlah gagal login dan kapan dapat kembali mencoba lagi dari berbagai IP yang diberikan.

Cara seting ketiga plugins ini bisa dilihat di sini

D. Wordpress Firewall

Plugin ini akan mem-blok permintaan yang tampak mencurigakan ke WordPress. Cara setting plugin ini sangat mudah, sebenarnya plugin ini dibiarkan default saja sudah bekerja dengan baik.

Update: Saya sudah tidak menggunakan plugin ini, saya ganti dengan plugin Wordfence yang memiliki fitur yang lebih lengkap.

E. Wordfence Security

Wordfence sangat mudah digunakan. Setelah menginstalnya, Anda bisa memeriksa apakah situs Anda terinfeksi malware. Plugin ini melakukan server-side scan secara mendalam mulai dari source code website Anda dan membandingkannya dengan repositori resmi WordPress untuk core, tema dan plugin. Wordfence mengamankan situs Anda dan membuatnya 50 kali lebih cepat.

5. Ubah File Permision di cPanel

Langkah selanjutnya adalah dengan mengubah permision untuk beberapa file di dalam cPanel blog WordPress Anda. Diantaranya:

• .htacces > ubah permisionnya menjadi 0404
• wp-config.php > ubah permisionnya menjadi 0400
• index.php > ubah permisionnya menjadi 0400
• wp-blog-header.php > ubah permisionnya menjadi 0400
• wp-admin > ubah permisionnya menjadi 0705
• wp-includes > ubah permisionnya menjadi 0705
• wp-content > ubah permisionnya menjadi 0705
• wp-content/bps-backup > ubah permisionnya menjadi 0755

6. Lakukan Update Pada WordPress dan Plugins

WordPress selalu melakukan update setiap kali ada bug pada script mereka. Informasi update ini bisa kita lihat melalui dashboard WordPress blog kita masing-masing. Bagitu juga dengan plugins, kebanyakan plugins WordPress melakukan update untuk mengoptimalkan plugins tersebut. Anda harus hati-hati pada sebuah plugin yang tidak pernah ada update, kemungkinan developernya sudah tidak memberikan support atau sudah melupakan plugins mereka.

Beberapa orang mungkin tidak mau meng-update script WordPress dan plugins mereka karena khawatir akan terjadi crash saat pada saat melakukan update. Tapi akan lebih menyakitkan lagi kalau blog Anda dihack orang karena tidak mengupdate script WordPress blog Anda. Ayo pilih mana?

Baca juga: Membuat website versi mobile dengan WP Touch Pro

7. Menyewa Hosting Yang Handal

Seperti yang saya sebutkan di awal, keamanan blog WordPress kita juga tergantung dari sisi servernya. Karena blog saya menggunakan VPS, saya juga harus memperhatikan keamanan servernya. Saat ini saya menggunakan VPS dari Hawkhost (Maxmanroe.com sudah pindah server ke VPS Gignode) dimana salah satu fitur paket yang saya beli dilengkapi dengan fitur keamanan.

Berbeda jika Anda menggunakan shared hosting, Anda hanya fokus pada keamana dari sisi script WordPress-nya. Kalau Anda ingin menggunakan shared hosting, sebaiknya pilihlah hosting yang berkualitas dengan tingkat keamanan yang baik.

Ok, di atas tadi adalah beberapa langkah yang saya lakukan untuk meningkatkan keamanan blog WordPress saya. Saya tidak mengatakan bahwa dengan melakukan langkah di atas maka blog WordPress Anda akan aman 100%. Tapi setidaknya, cara tersebut dapat membuat blog WordPress Anda jauh lebih aman dari sebelumnya.