WordPress adalah salah satu dari sekian banyak CMS OpenSource,dimana platform ini sangat banyak digunakan untuk membuat Blog atau Website.
disamping populeritas tinggi dengan sumber terbuka maka semakin banyak kemungkinan platform ini mudah di exploitasi, mempunyai akses penuh dalam sebuah kode sumber terbuka semakin mudah seorang Hacker menyusup masuk melalui celah-celah yang ada pada perangkat lunak bersumber terbuka ini.
Disini saya menjelaskan sedikit bagaimana cara mengamankan WordPress, adalah salah satu hal yang penting yang harus di lakukan seorang Administrator untuk mengamankan WordPress anda.
Selalu Mengupdate CMS WordPress anda.
Kebanyakan orang mengabaikan hal penting ini,kita memang tidak tahu apa yang ada di dalam CMS WordPress versi terbaru ketika anda mengupdatenya,tapi pasti ada fitur baru yang terdapat dalam WordPress dan juga ada perbaikan Vulnerability.
tapi tidak menutup kemungkinan versi terbaru tidak ada bug,seperti yang saya bilang sebuah perangkat lunak bersumber terbuka setiap orang dapat dengan mudah melakukan Exploitasi code karna mempunyai hak akses penuh dalam code tersebut.
Jangan menggunakan Username Default.
Seorang hacker selalu berasumsi WordPress standar memiliki Username “admin” pada User Administrator,hal ini biasanya di manfaatkan untuk serangan Brute Force.
Gunakan Password yang aman.
Seperti username,password adalah yang lebih penting.
agar tidak terjadinya serangan seperti Brute Force atau Social Engineering,gunakan selalu password dengan campuran angka atau symbol atau karakter untuk menyulitkan seseorang melakukan Social Engineering dan Brute Force.
Jangan menggunakan “wp_” sebagai table default prefik anda.
Manusia dapat dengan mudah mencari kesalahan orang lain untuk dapat di manfaatkan,begitu juga seorang Hacker, table default mungkin bisa menjadi serangan SQL Injection melakukan exploitasi pada url untuk mencari informasi penting dalam database anda.
Lakukan Backup berkala.
Hal ini mudah tapi kebanyakan orang malas melakukannya,mungkin karna memakan waktu yang cukup lama jika Blog atau Website anda banyak sekali artikel,hal terpenting yang harus di lakukan seorang administrator adalah melakukan backup berkala, mungkin mingguan lebih baik.
untuk persiapan jika sewaktu-waktu ada gangguan pada server atau mengalami serangan pada website anda,anda tinggal mengupload database yang sudah anda backup.
Jenis-jenis serangan yang mungkin terjadi.
dari sekian banyak serangan mungkin dibawah ini yang sering terjadi pada platform wordpress.
SQL Injection
Serangan ini yang banyak sekali terjadi di kalangan website/blog,biasanya dengan mengiputkan parameter sql query berbahaya pada url website anda untuk berusaha mendapatkan informasi-informasi penting di dalam database anda.
jadi saran saya jangan menggunakan permalink Default.
Brute Force
Jenis serangan dimana sebuah bot yang diciptakan untuk terus menerus mencoba login masuk kedalam dashboard WordPress anda,memanfaatkan Password lemah sebagai sasaran empuk.
Spam
Mungkin para pengguna WordPress sudah tau dampak yang di timbulkan dari spammer..
yah seperti itu lah.
Plugin Exploit Code
Dari perangkat lunak berbasis OpenSource seorang dapat akses penuh untuk merubah,mengembangkan dll dan juga mengeksploitasi sebuah code dengan cara mencari kelemahan dari penulisan code seorang developer.
plugin adalah yang sering di manfaatkan untuk attacker masuk menyusup kedalam website anda,jadi jangan anggap secure walaupun WordPress anda atau Plugins anda adalah versi terbarunya.
Penanganan keamanan dengan plugin.
Fitur wordpress sebagai platform berbasis Opensource jadi tak sedikit para pengembang untuk bagian kemanan ini pula tersedia begitu luas dan banyak sekali yang bias di manfaatkan oleh penggunanya.
yah memang tak ada yang aman di dunia maya ini,99.9% keamanan pun,1% dari itu akan di manfaatkan sebagai celahnya.
tapi tak ada salahnya jika kita mengamankan sedikit celah yang ada.
WP Firewall 2
Seperti kebanyakan Firewall lain,dengan plugins ini WordPress anda akan sedikit lebih kebal dari serangan,plugin ini juga berguna merecord setiap jenis serangan,IP attacker dan jenis serangan yang di lakukan.
Stealth Login
Plugins ini berfungsi untuk berubah URL login default dengan memanfaatkan .Htaccess sebagai jalur Redirecting,sedikit mengelabuhi attacker yang ingin login ke halaman dashboard anda.
Secure WordPress
Plugins pintar ini akan menjaga keamanan file instalasi Wp anda,cara kerja plugins ini adalah menghapus informasi kesalahan pada halaman login,menambahkan index.html ke direktori penting, menyembunyikan Versi WordPress anda.
Wp Security Scan
Fungsi dari plugins ini adalah melakukan scan pada wordpress yang mungkin memilki celah keamanan.
Limit Login Attemps
Plugins sangat berguna untuk jenis serangan Brute Force, Berfungsi melakukan Blockir Otomatis kepada Ip yang akan berusaha melakukan Brute Force dalam jangka waktu yang di tentukan.
Memanfaatkan .htaccess sebagai perlindungan kecil.
Apalah artinya sebuah file, .htaccess hanyalah sebuah file biasa,tapi dia merupakan alat kendali dalam sebuah file di didalam server.
Mencegah Malicious Code.
Apapun di lakukan seorang hacker untuk masuk menyusup kedalam website anda salah satunya dengan menginputkan Code jahat ke dalam server.
masukan code dibawah ini ke dalam .htaccess anda,sebagian kecil cara penanganannya.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Proteksi Wp-login dan Wp-admin
Fungsi ini memanfaatkan IP static,maksudnya disini adalah hanya menginjinkan IP anda untuk mengakses halaman tersebut,tidak untuk IP lain,anda harus menambahkan code .htaccess ini kedalam public_html dan wp-admin.
Untuk wp-login .htaccess
<files wp-login.php>
order allow, deny
deny from all
allow from x.x.x.x #isi sebagai IP anda
</files>
Untuk Wp-admin .htaccess
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Kontrol Ke Dashboard Admin”
AuthType Basic
order deny, allow
deny from all
allow from x.x.x.x #masukan Ip anda
semoga setelah anda mencoba sedikit hal di atas dapat membantu anda untuk bias melakukan pengamanan sendiri tanpa harus ada campur tangan dari pihak lain.
tutor diatas adalah sebagai salah satu referensi security dari sekaian banyak referensi yang lebih lengkap,semoga bermanfaat luas bagi semua kalangan.