Membuat WordPress Lebih Aman

Waktu pertama kali punya niat ingin bikin blog atau website, kebayang deh tuh semua proses yang harus dilalui, mulain dari yang desain template, css, images, bahasa pemrograman yang akan digunakan sampai koneksi ke database. wuiiihh kacau ya.., butuh waktu berapa lama tuh buat mastiin semuanya berjalan bagus dan kelihatan enak dipandang, ternyata setelah mengenal yang namanya CMS semuanya jadi terlihat agak lebih sederhana, mulai deh berburu sama mbah google cari-cari apa sih yang paling enak digunakan, ternyata masing-masing punya kekurangan dan kelebihan. Setelah bingung memilih akhirnya diputuskan untuk mencoba menggunakan WordPress dan ternyata untuk tampilan dan implementasinya tidak terlalu sulit, sekarang tinggal mencari tahu bagaimana membuat website atau blog yang baru dibikin dengan WordPress tersebut menjadi lebih sedikit aman, paling tidak secara standar lah, biar ngak polos-polos banget. Dari semua yang dibaca dan diketahui, akhirnya penulis menyimpulkan beberapa hal yang paling tidak secara default harus terpasang pada WordPress yan baru di create, diantaranya adalah: 1. Ganti default user admin sebagai administrator, dan berikan password yang lebih aman. 2. Grant database WordPress dengan limit yang terbatas, contoh seperti dibawah: Grant Select, Insert, Delete, Update, Create, Drop, Alter ON namadb.* TO namauser@'localhost Identified By password; Flush Privileges; 3. Ganti prefix tabel database default wp_ 4. Jika sobat memerlukannya tambahkan kode dibawah pada wp-config.php untuk memaksa admin menggunakan ssl. define(FORCE_SSL_ADMIN, true); 6. Buat .htaccess pada direktori wp-admin untuk filter IP yang diizinkan login Order Deny,Allow Allow from 555.999.999.999 (ip address anda) Deny from all 7. Buat robots.txt pada dokumen root User-agent: * Disallow: /cgi-bin Disallow: /wp-admin

Disallow: /wp-includes Disallow: /wp-content/plugins/ Disallow: /wp-content/cache/ Disallow: /wp-content/themes/ Disallow: */trackback/ Disallow: */feed/ Disallow: /*/feed/rss/$ Disallow: /category/* Disallow: /*? User-agent: Googlebot-Image Allow: / User-agent: ia_archiver-web.archive.org Disallow: / User-agent: duggmirror Disallow: / 8. Create .htaccess fiel di root dokumen (misalnya di /www/wordpress), isikan kode berikut: #.htaccess file protection <Files ~ ^.*\.([Hh][Tt][Aa])> order allow,deny deny from all satisfy all </Files> #disable direktori browsing Options Indexes #protek wp-config.php <files wp-config.php> Order deny,allow Deny from all </files> #protek dari sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] 9. Buat .htaccess di direktori wp-content

Order deny,allow Deny from all <Files ~ \.(xml|css|jpg|jpeg|png|gif|js)$> Order allow,deny Allow from all </Files> 10. Install dan gunakan WP Security Scan Plugin untuk cek installasi , file permission, dan sebagainya. 11. Tambahkan plugin untuk keamanan, seperti : Exploit Scanner, Login-lockdown, ChapSecure login. 12. Usahakan untuk selalu melakukan upgrade WordPress versi terbaru. 13. Jangan lupa untuk backup website dan database. Mungkin dengan melakukan langkah-langkah diatas bisa membuat WordPress sedikit aman secara sederhana atau default. Demikianlah dan terima kasih sudah mampir, ditunggu komentarnya ya,

Sumber: http://ferdi.blog.unas.ac.id/wordpress-aja/membuat-wordpress-lebih-aman/