twitterfacebookgoogleyoutubemail
PENAWARAN
butuh jasa pembuatan website? klik GarudaCode

Cara Amankan WordPress Lewat cPanel

Cara Amankan WordPress Lewat cPanel

Selamat gini hari rekan-rekan …

Hari ini Saya akan coba bahas cara mengamankan situs WordPress dari serangan hacker, defacer, atau cracker dan semacamnya, menurut pengalaman Saya pribadi. Cara ini menurut Saya cukup simpel, gampang, tidak banyak, tapi ampuh karena alhamdulillah situs Saya ‘belum’ ada yang kena hack (lagi).

Mengamankan WordPress kita perlu beberapa teknik. Sebelumnya Saya sudah bahas, dengan cukup dua plugin ini, Lockdown WP Admin dan Limit Attempts mudah-mudahan situs kita akan aman. baca : Hanya Dua Plugin Keamanan WordPress Ini Situs Anda Aman

cara amankan wordpress

Postingan kali ini membahas mengamankan WordPress dengan masuk melalui cPanel dan melengkapi tulisan Saya tentang plugin keamanan di atas. Saya sudah ‘mengamalkannya’ pada semua situs Saya. :)

WARNING

Penting untuk diketahui, postingan ini bukan untuk website yang pernah kena hack, artinya cara yang Saya gunakan adalah cara preventif atau pencegahan dan sebaiknya diterapkan sejak pertama kali kita membuat website yang kita inginkan.

Jika Website Anda sudah pernah kena hack, deface, malicious, malware, dll, maka ada hal yang harus Anda lakukan, yaitu memastikan situs Anda sudah benar-benar bersih. Mungkin caranya akan Saya share ditulisan berikutnya.

Mengamankan Website WordPress melalui pengaturan di cPanel ada beberapa cara yang Saya terapkan.

1. Matikan/ NonAktifkan Editor Themes & Plugin

Jika para peretas berhasil masuk ke CMS WordPress kita, maka kita harus melakukan tindakan pencegahan dengan menonaktifkan fitur edit themes dan plugin.

Mengapa harus dinonaktifkan?

Jawabannya jelas agar para peretas tidak bisa melakukan perubahan fatal pada situs kita (paling banter ngacak-ngacak postingan). Kebanyakan kita tidak tahu jika website kita telah disusupi kode tertentu oleh para cracker. (Saya tidak akan bahas para defacer, karena deface hanya percobaan para peretas kelas awal, yang berbahaya adalah para cracker yang berniat buruk)

Cracker biasanya akan memasang script yang memberatkan kerja server, mengirim email spam dari server kita, atau mencuri data rahasia dari situs kita.

Cara NonAktifkan Themes & Plugin Editor

1. Loginlah ke cPanel atau admin hosting Anda masing-masing;

2. Bukalah File Manager;

cara amankan wordpress-1

3. Silahkan tuju tempat penyimpanan data folder dan file website Anda, biasanya di bagian public_html;

4. Jika file WordPress Anda sudah terlihat, akan ada tiga folder wajib bernama wp-admin, wp-content, dan wp-includes dan file-file lain di bawahnya;

cara amankan wordpress-2

5. Silahkan edit file yang bernama wp-config.php;

6. Silahkan tambahkan kode berikut di bagian paling bawah lalu klik Save pada sisi pojok kanan atas.

cara amankan wordpress-3

kodenya :

define(‘DISALLOW_FILE_EDIT’, true);
define(‘DISALLOW_FILE_MODS’, true);

Pengaturan tersebut akan membuat themes dan plugin Anda tidak bisa diedit dan utak-atik melalui Dashboard WordPress.

NOTE : Tindakan ini juga akan menyembunyikan UPDATE dari themes dan plugin yang digunakan, termasuk juga menyembunyikan UPDATE dari CMS WordPressnya sendiri. Saran Saya mengingat pentingnya UPDATE themes, plugins, dan CMS, sekali sebulan, kode di atas coba hapus, dan lihat di CMS Anda apakah ada script yang harus di update. Jika ada silahkan update terlebih dulu, setelah itu baru pasang kembali kodenya. Jadikan tindakan ini sebagai tindakan maintenance website

2. Hapus File Tak Berguna

Hapuslah beberapa file-file ini melalui cPanel Anda, wp-config-sampel.php, license.txt, dan readme, html, selain tidak berguna, file tersebut bisa menjadi celah keamanan yang bisa dimasuki hacker (menurut beberapa sumber).

cara amankan wordpress-4

3. Ubah nama Folder Themes

Banyak para hacker yang menggunakan themes sebagai salah satu cara untuk masuk ke CMS WordPress Anda.

Cara hacker masuk ke dashboard melalui themes

Bagaimana cara kerja para hacker yang masuk lewat themes? Mereka menggunakan Google dork dan mencari situs yang menggunakan themes yang sudah mereka ketahui kelemahannya. Google Dork jenisnya banyak.

Ketika hacker searching dan mencari mangsa melalui google dork, URL dan nama themes akan terlihat di Google, sehingga mereka bisa saja membidik situs Anda. Tuh lihat sendiri, ketahuan langsung situs mana yang menggunakan themes Jarida, dan jika diakses menimbulkan pesan error para peretas biasanya akan tahu data akun cPanel Anda, hal ini bisa lebih gaswat, hehe… Gambar di bawah adalah contoh cara penggunaan google dork yang mendeteksi themes WordPress yang lemah menurut para hacker. note : gambar di bawah cuma contoh, jadi para pengguna Jarida jangan takut themes mereka lemah :D

cara amankan wordpress-5

Pastikan halaman 404.php atau halaman page not found Anda bekerja maksimal sehingga orang yang mencoba mendeteksi file-file yang tidak boleh diakses bisa dialihkan ke halaman itu dan tidak akan memunculkan pesan eror.

Solusi

Ubahlah nama Folder themes Anda dengan nama yang Anda sukai sehingga ketika Anda ternyata menggunakan themes yang lemah, Anda tidak akan terdeteksi dengan melalui google dork. Batasi hak akses crawl Google pada website Anda dengan robots.txt dan .htaccess (cara ini saya akan coba ulas pada tulisan berikutnya).

Cara merubah nama Folder, silahkan ke cPanel Anda tadi, masuklah ke folder wp-content/themes/ lalu pilih themes yang akan diubah, dan klik menu rename di daftar menu atas, dan silahkan Anda rename.

cara amankan wordpress-6

Pengaturan Akses File

Ubahlah setingan file-file Anda dengan setingan berikut sehingga tidak bisa diubah sembarangan.

  • .htacces > ubah permisionnya menjadi 0404
  • wp-config.php > ubah permisionnya menjadi 0400
  • index.php > ubah permisionnya menjadi 0400
  • wp-blog-header.php > ubah permisionnya menjadi 0400
  • wp-admin > ubah permisionnya menjadi 0705
  • wp-includes > ubah permisionnya menjadi 0705
  • wp-content > ubah permisionnya menjadi 0705

WAJIB CARA AMANKAN WORDPRESS

Berikut adalah cara pencegahan terhadap serangan yang paling standar dan harus Anda lakukan terus ketika melakukan maintenance website berbasis WordPress:

  1. UPDATE semua script, hal ini memang remeh tapi sangat penting;
  2. KOMBINASI username dan password yang kuat. Password yang kuat adalah (huruf kecil, besar, angka dan simbol);
  3. FULL BACKUP backuplah rutin database dan file Anda bisa setiap bulan, minggu atau hari tergantung dinamisasi konten website Anda.
dishare yah :)
Written by Ananda Puja

Penulis saat ini aktif dalam dunia Digital Media. Meliputi pembuatan website, campaign melalui media sosial seperti Facebook, Twitter, Youtube, hingga forum-forum online, SEO dan kontrol terhadap berita media massa. Selain itu penulis juga aktif di organisasi kemahasiswaan dan pemuda.

13 Comments

  1. Jefry Dewangga · May 3, 2015

    Bagaimana files readme.txt dan licence.txt dapat menjadi celah keamanan?

    • Ananda Puja · May 3, 2015

      Saya kurang paham cara kerja hacker ya, tp dua file tersebut berisi info tentang CMS yg sedang kt gunakan. Beberapa sumber mengatakan lbh baik dhapus. Semua web yg saya gunakan langsung ngehapus 2 file itu. Alhamdullillah smpai skrng aman, blm ada yg bhasil diisengin hacker (tentunya dg pengaturan pengamanan lain). 😀

  2. sindar soit · June 29, 2016

    boleh gabung gan? wp saya gak aman, bolak balik masuk unit gawat darurat bosan juga, eh masalahnya gitu lagi. gini gan domain saya kalo di akses diandroid nda bisa
    /maaf saya nyambung lewat email ini. kasih bala bantuan saya gan, biasa saya masih pemula gitu. Thanks gan. /soit

    • Ananda Puja · June 29, 2016

      alamat website nya apa? mungkin masih ada backdoor yang ditanam hacker di website agan, jadinya bisa dengan gampang dibobol lagi

  3. ilham hattab · September 1, 2016

    trik nomor 6 berbahaya, website langsung blank putih, walaupun kodenya sudah dihapus, bagaimana solusinya

    • Ananda Puja · September 1, 2016

      klo di ubah tiba2 sedangkan themes tersebut sedang aktif ya jelas blank websitenya mas, coba ke dashboard > themes, dan aktifkan lagi theme dengan nama yang udah di ubah tadi

  4. ilham hattab · September 1, 2016

    ubah nama folder themes otomatis website akan blank putih pada saat di akses, tolong di jelaskan lebih detail

  5. nurul · October 8, 2016

    jika menyembunyikan versi tema dan versi wordpress gimana caranya

    • Ananda Puja · October 27, 2016

      Untuk versi wordpress, silahkan di Googling udah banyak banget yang posting, untuk menyembunyikan versi tema, silahkan hapus di style.css file semua keterangan tentang tema, tapi hapus setelah tema di install, klo sebelum di install, maka tema ga akan terbaca oleh mesin, kecuali di upload secara manual lewat ftp

Leave A Reply