10 Cara Utama untuk Mengamankan Instalasi WordPress Biasa

Dalam lebih dari satu dekade, WordPress telah berevolusi dari sistem manajemen konten yang masih baru menjadi solusi online yang paling banyak digunakan. Ketenaran ini, secara umum, baik untuk seluruh komunitas dan telah menghasilkan kelompok pengembang terbesar untuk sistem manajemen konten apa pun yang tersedia saat ini. CMS berubah, berkembang, dan menjadi lebih maju, sebagian besar karena ukuran, cakupan, dan pengaruhnya dalam penerbitan online.

Tetapi hal-hal itulah yang menyebabkan WordPress menjadi target reguler dari upaya peretasan berbahaya dan pelanggaran privasi. Peretas telah mencatat proliferasi CMS di antara situs web independen dan outlet media besar, dan mereka mengeksploitasi sejumlah kerentanan yang memberi mereka akses ke Dasbor dan bahkan database WordPress itu sendiri.

Untungnya, pengguna WordPress tidak hanya "bebek duduk" di lingkungan online yang semakin berbahaya. Ada beberapa hal yang dapat dilakukan untuk secara dramatis meningkatkan keamanan instalasi WordPress dan menggagalkan upaya peretas untuk mengambil alih konten situs web, basis data, dan keandalan keseluruhan.

1. Ubah Awalan Basis Data WordPress

Secara default, setiap instalasi WordPress menempatkan tabelnya ke dalam database MySQL dengan awalan “wp_”. Ini biasanya dilakukan untuk membuatnya lebih intuitif, karena WordPress sering disingkat sebagai "WP" dan tidak ada kebingungan tentang CMS mana yang dimiliki tabel tersebut.

Namun, pengguna Internet yang lebih jahat tahu bahwa WordPress akan menempatkan kontennya ke dalam tabel dengan awalan ini secara default, dan ini adalah salah satu cara pertama mereka membobol instalasi atau menyebabkan masalah dengan database perangkat lunak dari luar.

Prefixnya sendiri di set di wp-config.php sebelum proses instalasi terjadi. Pada saat itu, pemilik situs WordPress harus menggulir file konfigurasi dan mencari baris berikut:

 $table_prefix = 'wp_';

Baris ini harus diubah menjadi apa saja kecuali awalan default. Memilih sesuatu seperti judul situs web, atau nama administrator utama, mungkin merupakan langkah awal yang bagus dalam mengamankan instalasi dan mencegah peretas jahat dari seluruh Internet.

2. Sembunyikan Nomor Versi Instalasi WordPress dari Publik

Setiap template WordPress dilengkapi dengan variabel yang menampilkan informasi dasar WordPress dan memungkinkan modifikasi header yang berkelanjutan melalui plugin. Variabel itu adalah <?php wp_head() ?> dan selalu ditempatkan di antara tag pembuka dan penutup <HEAD> dari file header.php . Salah satu hal utama yang dilakukan oleh variabel ini adalah menampilkan nomor versi instalasi WordPress saat ini kepada publik.

Ini sebenarnya digunakan oleh tim pengembangan Automattic untuk tujuan analitik, karena memungkinkan mereka untuk melihat nomor versi mana yang paling banyak digunakan, dan jika ada banyak pengguna non-saat ini.

Hal ini juga memungkinkan peretas untuk melihat nomor versi instalasi WordPress dan merencanakan serangan mereka sesuai dengan itu. Karena kerentanan keamanan dengan WordPress umumnya spesifik versi, dan diperbaiki di versi berikutnya, dan instalasi usang yang menunjukkan nomor versinya siap untuk diserang oleh mereka yang ingin mendapatkan akses tidak sah ke Dasbor atau database.

Informasi ini dapat, dan harus, dihapus dari variabel “wp_head”; itu dapat dilakukan dengan menambahkan baris kode berikut ke file functions.php tema saat ini:

 remove_action('wp_header', 'wp_generator');

Simpan file itu dan unggah ke server, dan tidak ada yang akan tahu apakah instalasi WordPress saat ini, usang, atau bahkan dalam versi beta. Tidak ada yang akan diiklankan secara publik.

3. Batasi Jumlah Upaya Login yang Gagal

Biasanya, pengguna Internet yang jahat akan mendapatkan akses ke Dasbor WordPress melalui serangan “brute force” yang memasukkan puluhan ribu kata sandi dengan cepat. Serangan ini terlihat menggunakan kata kamus, dan angka umum, untuk mengetahui kredensial keamanan pengguna. Tanpa blok yang tepat pada upaya berulang ini, tidak ada yang bisa menghentikan mereka.

Di situlah plugin Login LockDown masuk. Dengan menggunakan plugin, pengguna WordPress dapat menetapkan batas jumlah upaya login yang gagal yang dapat dilakukan sebelum pada dasarnya terkunci dari Dasbor selama satu jam. Upaya yang gagal itu terkait dengan alamat IP, membuat plugin ini semakin efektif.

4. Administrator Tidak Harus Menamai Diri Sendiri “Admin”

Saat menginstal WordPress baik dari penginstal bawaan, pengguna administrator umumnya bernama “ admin ” secara default. Pengguna Internet yang jahat mengetahui hal ini, dan itulah nama pertama yang akan mereka coba tebak ketika mendapatkan akses brute force ke Dasbor WordPress.

Saat menginstal WordPress untuk pertama kalinya, pastikan untuk memberi nama pengguna administrator sesuatu yang sulit ditebak (mungkin nama panggilan atau yang lainnya). Serangan kata sandi brute force hanya efektif jika nama pengguna administrator diketahui. Jika tidak, tidak mungkin untuk mendapatkan akses dua kali lipat.

5. Tetap Perbarui WordPress Setiap Saat dan Cepat Tentang Ini

Versi baru WordPress biasanya dirilis setiap beberapa minggu atau lebih, dengan pembaruan kecil dan patch keamanan yang berfungsi untuk menjaga pengguna tetap aman dari peretas yang semakin menargetkan Dasbor dan basis data di Internet.

Gagal memperbarui WordPress pada dasarnya seperti memberi peretas undangan terbuka untuk masuk, menghapus beberapa posting, dan membahayakan keamanan situs web. Sangat buruk untuk ketinggalan pembaruan ini, terutama karena tema yang tidak diubah bahkan akan menampilkan nomor versi untuk dilihat oleh pikiran yang ingin tahu.

Sejak versi 3.0, WordPress telah mengaktifkan pembaruan otomatis Dasbor hanya dengan satu klik. Bahkan, Dasbor bahkan secara otomatis memberi tahu pengguna tentang pembaruan dan akan mendesak mereka untuk meningkatkan dalam teks yang cukup tebal dan luar biasa. Ini harus dilakukan segera setelah upgrade tersedia; itu tidak akan mengakibatkan hilangnya file, plugin, tema, atau pengaturan apa pun.

Sebagai gantinya, memperbarui WordPress hanya akan berfungsi untuk mengaktifkan fitur baru dan menambal kerentanan keamanan yang ditemukan sejak versi terakhir dikirim ke 60 juta pengguna perangkat lunak. Selalu ikuti perkembangan terkini dalam upaya untuk menangkis peretas.

6. Sembunyikan File WP-Config.PHP dari Hampir Semua Pengguna Internet

Pengguna WordPress tidak boleh melupakan kekuatan file .htaccess saat berusaha menyembunyikan file dan melindungi integritas Dasbor dan database WordPress mereka. Faktanya, file ini sangat penting untuk memastikan keamanan jangka panjang WordPress dalam beberapa cara. Menggunakan beberapa baris kode sederhana, file ".htaccess" sebenarnya dapat menyembunyikan file sepenuhnya dari pengguna Internet publik, bahkan jika izin file yang tepat tidak diatur pada file itu.

Ini adalah solusi untuk tampilan publik dari file "wp-config.php", yang berisi hal-hal seperti kunci API dan awalan basis data yang diperlukan untuk mengkompromikan instalasi.

Untuk mengamankan file ini dari pengguna Internet jahat, cukup tambahkan baris kode berikut ke file ".htaccess" yang terletak di dalam folder root instalasi WordPress. Jika tidak ada file seperti itu, buat file:

 <File wp-config.php>
pesanan izinkan, tolak
tolak dari semua
</File>

Dengan baris kode ini ditempatkan ke dalam file, simpan dan unggah ke server melalui klien FTP. File konfigurasi untuk instalasi WordPress yang relevan sekarang pada dasarnya akan hilang dari pandangan publik, dan itu hanya bisa berarti hal yang baik untuk keamanan dan ketenangan pikiran.

7. Dan, Berbicara tentang Izin File, Periksa Mereka untuk Memastikan Keamanan

WordPress tidak memerlukan aturan yang sangat permisif untuk akses dan modifikasi file agar berfungsi dengan baik. Memang, semua pengaturan situs dan informasi konten ditulis ke database daripada disimpan dalam file PHP sisi server. Untuk alasan ini, sama sekali tidak ada pembenaran untuk menggunakan nilai 777 CHMOD pada file WordPress apa pun. Sebaliknya, ini hanyalah cara untuk memastikan bahwa peretas memiliki akses mudah ke pengaturan konfigurasi atau file lain yang mungkin membahayakan penginstalan.

Untuk memeriksa izin, dan berpotensi memperbaikinya untuk instalasi yang lebih aman, buka klien FTP dan navigasikan ke direktori root WordPress. Klik kanan pada file PHP mana pun dan cari opsi menu yang berkaitan dengan izin. Di jendela yang dihasilkan, cari nomor yang menunjukkan ketersediaan file. Seharusnya tidak 777 . Dalam banyak kasus, disarankan untuk menggunakan nilai 744 CHMOD yang membatasi akses dan modifikasi file hanya untuk pengguna FTP root server. Ubah pengaturan ini jika perlu, lalu simpan. Server akan memperbarui sesuai.

8. Gunakan File .htaccess untuk Menyembunyikan File .htaccess

Kebanyakan orang tidak menganggap ini kemungkinan, tetapi file .htaccess sebenarnya dapat digunakan untuk menyembunyikan dirinya dari publik. Ini sebagian besar sudah menyelesaikan ini dengan menggunakan nama file yang dimulai dengan titik, tetapi itu tidak akan berfungsi pada komputer berbasis Windows. Mesin tersebut harus menemukan file tidak dapat diakses menggunakan instruksi yang terkandung dalam ".htaccess" itu sendiri. Izin sebenarnya terlihat sangat mirip dengan metode yang digunakan untuk menyembunyikan file konfigurasi PHP WordPress, seperti yang terlihat di sini:

 <File .htaccess>
pesanan izinkan, tolak
tolak dari semua
</File>

Sekali lagi, setelah baris itu ditempatkan ke dalam file, itu dapat disimpan dan diunggah ke server. Sekarang tidak akan terlihat dari hampir semua orang yang mengunjungi situs, kecuali pengguna administrator root.

9. Memahami dan Menggunakan Kekuatan Dokumen HTML Kosong

Setiap orang yang ingin mendapatkan akses ke instalasi WordPress yang disusupi tahu bahwa perangkat lunak menempatkan plugin dan temanya di direktori tertentu. Mereka akan memeriksa direktori ini untuk mencari kekurangan plugin keamanan, atau sejumlah kerentanan berbasis XHTML dan CSS, dan kemudian mereka akan mengeksploitasi hal-hal itu untuk mendapatkan akses. Ini sebenarnya cukup mudah untuk dicegah.

Untuk memastikan bahwa daftar file di direktori ini tidak muncul ke pengguna Internet mana pun, cukup buat dokumen HTML kosong dan letakkan di folder. Dokumen harus sesuatu yang cukup mendasar, dengan tag kepala dan judul yang mengatakan sesuatu seperti " Akses Terbatas ." Judul ini mungkin menunjukkan bahwa administrator situs mengetahui satu atau dua hal tentang keamanan, dan itu akan mengirim pengguna jahat ke situs web lain.

10. Selalu Tersedia Cadangan Terbaru

Cara yang tepat untuk mendekati keamanan instalasi WordPress adalah dengan satu bagian persiapan, dan satu bagian pencegahan.

Aspek "persiapan" dari proses ini datang dalam bentuk cadangan. Baik file WordPress aktual maupun database yang digunakan untuk menyimpan informasi harus dicadangkan secara teratur; ini dapat dilakukan dengan berbagai cara, termasuk beberapa plugin WordPress untuk Dasbor.

Jika metode pencadangan file yang lebih canggih diperlukan, pengguna dapat menggunakan alat pencadangan di area administrasi backend cPanel atau Plesk Panel. Selain itu, administrator dapat mengotomatiskan proses dan membuat pekerjaan Cron sehingga cadangan terbaru selalu tersedia.

Hal penting tentang keamanan WordPress adalah selalu siap menghadapi skenario terburuk. Dalam hal memastikan waktu aktif dan keandalan, bahkan saat diserang oleh peretas jahat, pencadangan situs adalah cara termudah untuk kembali online setelah lubang keamanan ditutup.

Kewaspadaan dan Penggunaan Cerdas adalah Kunci Instalasi WordPress yang Aman

Secara umum, WordPress menjadi lebih aman secara eksponensial dalam beberapa tahun terakhir. Untuk waktu yang singkat, sepertinya ada kerentanan keamanan baru setiap minggu. Pola ini sangat meresahkan bagi pengguna korporat yang lebih besar dan lebih banyak, dan tim di Automattic dengan cepat mulai mengerjakan reboot lengkap.

Reboot itu sebagian besar adalah rilis 3.0, dengan arsitektur yang jauh lebih aman dan alat pembaruan otomatis yang menghilangkan kerja keras untuk tetap mengikuti patch dan perbaikan keamanan terbaru.

Ketika datang untuk tetap aman, rilis ini harus benar-benar tetap terkini dan pengguna harus menggunakan izin, batasan, dan trik keamanan yang ketat, agar tetap aman dari pengguna internet yang jahat.