berikut ini adalah Tips Mengamankan WordPress Dari Aktifitas Hacking, sekedar untuk anda ketahui WordPress adalah sebuah aplikasi sumber terbuka (open source) yang sangat populer digunakan sebagai mesin blog (blog engine). WordPress dibangun dengan bahasa pemrograman PHP dan basis data MySQL. tepatnya PHP dan MySQL, keduanya merupakan perangkat lunak sumber terbuka (open source software). Selain sebagai blog, WordPress juga mulai digunakan sebagai sebuah CMS (Content Management System) karena kemampuannya untuk dimodifikasi dan disesuaikan dengan kebutuhan penggunanya. WordPress adalah penerus resmi dari b2/cafelog yang dikembangkan oleh Michel Valdrighi. Nama WordPress diusulkan oleh Christine Selleck, teman Matt Mullenweg. WordPress saat ini menjadi platform content management system (CMS) bagi beberapa situs web ternama seperti CNN, Reuters, The New York Times, TechCrunch, dan lainnya. (sumber: wikipedia)

Nah, pada artikel kali ini saya akan berbagi Tips Mengamankan WordPress Dari Aktifitas Hacking. beberapa hal yang harus anda ketahui dalam melakukan troubleshooting wordpress adalah

WordPress Under Attack

1. PENTING! Sebelum melakukan troubleshooting silahkan backup terlebih dahulu file wordpress beserta databasenya.

2. Update wordpress beserta plugin ataupun themes yang anda gunakan. hindari penggunaan themes atau plugin nulled hasil crack.

3. Hapus file dan folder theme atau plugin yang tidak digunakan.

4. Hindari penggunaan user wordpress dengan nama “admin”, usahakan menggunakan username unik dan gunakan password minimal 8 karakter.

5. Gunakan plugin wp-security scan dan jalankan.

6. Ganti database table prefix menjadi yang unik, table prefix default dari wordpress adalah wp_

table_prefix

7. Disable XMLRPC Pingback attack dDOS pada wordpress. untuk mendeteksi XMLRPC Pingback attack silahkan lihat gambar dibawah ini

wordpress-xmlrpc-ddos-attack

Untuk menghindari XMLRPC Pingback attack dDOS, silahkan tambahkan script dibawah ini pada file .htacces anda

# Block attackers by agents

RewriteCond %{HTTP_USER_AGENT} ^.*WinHttp\.WinHttpRequest\.5.*$
RewriteRule .* http://%{REMOTE_ADDR}/ [R,L]


Order Deny,Allow
Deny from all

8. Blok bot untuk crawl folder tertentu, karena intruder yang akan melakukan aktifitas hacking biasanya mencari hasil scan dr google dengan keyword tertentu untuk mencari bug. Silahkan ini pada tambahkan pada file robots.txt

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*  

9. Melindungi file wp-config dengan menambah rule berikut pada .htaccess


Order Deny,Allow
Deny from all
  

10. Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess


Order Allow,Deny
Deny from all

11. Melarang directory listing browsing, tambahkan pada .htaccess atau buat file index.php pada tiap folder

# disable directory browsing
Options All –Indexes  

12. Melarang beberapa script untuk melakukan SQL injection

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]  

13. Mengamankan folder wp-includes, tambahkan script ini pada .htaccess

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]  

14. Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
password

15. Pasang akismet dan plugin re-captcha untuk melindungi dari spam comments attack

16. Disable edit themes/plugin melalui dashboard dengan menambah tag berikut pada wp-config

define('DISALLOW_FILE_EDIT', true); 

17. Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda memperbolehkan) atau .htaccess

Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open  

18. buat permission file wp-config.php menjadi 400 atau 600

19. Lakukan backup berkala pada akun hosting atau website anda

20. Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi pihak hosting, atau anda bisa menggunakan jasa kami

Selamat ngoprek Tips Mengamankan WordPress Dari Aktifitas Hacking!