• Home
  • Keamanan
  • Tips Mengamankan WordPress (Instalasi, Kustomisasi dan Konfigurasi)

Tips Mengamankan WordPress (Instalasi, Kustomisasi dan Konfigurasi)

Oleh Mutiara Auliya

Hi DomaiNesians! Pada panduan ini akan membahas mengenai cara agar wordpress aman dari serangan hacker. Oiya di panduan sebelumnya, Kami telah membahas mengenai tips mengamankan WordPress secara umum. Bagi yang belum membacanya silahkan cek di Cara Mengamankan WordPress dengan Mudah. Nah, pada panduan kali ini akan dibahas mengenai tips mengamankan WordPress secara lebih detail. Dari proses instalasi, kustomisasi tema dan plugin hingga konfigurasi file .htaccess. Kita tahu bahwa WordPress merupakan salah satu CMS yang cukup terkenal karena cukup powerful dan memiliki beragam plugin serta tema. Namun, terdapat issue yang berkembang bahwa WordPress tidak aman. Hmm… itu tidak benar ya DomaiNesians! Anda bisa membuat WordPress AMAN dan TERHINDAR dari serangan hacker apabila mengetahui tips dan triknya. Mau tahu cara agar wordpress aman? Ayo ikuti langkah- langkah berikut.

Bagaimana Cara Agar WordPress Aman?

Agar WordPress aman maka anda harus memperhatikan step by step dari mulai tahap instalasi, kustomisasi hingga konfigurasinya.

Tahap Instalasi

Proses instalasi WordPress dapat dilakukan melalui Softaculous atau upload file website secara manual. Apabila anda masih bingung dengan cara install WordPress, kami memiliki panduannya kok DomaiNesians. Silahkan baca di Cara Instal WordPress Melalui Softaculous dan Panduan Upload File Website Manual. Namun sebelum melakukan instalasi, anda perlu memperhatikan hal- hal berikut ini,

1. Aktifkan Fitur Auto Upgrade

Ketika anda melakukan instalasi WordPress melalui Softaculous, pasti anda akan menemui pilihan seperti gambar di bawah ini. Pada bagian Advanced Options, usahakan anda memberi tanda centang pada pilihan Auto Upgrade, Auto Upgrade WordPress Plugin dan Auto Upgrade WordPress Theme. Mengapa? Biasanya, tim development dari pihak WordPress akan selalu melakukan uji terhadap program yang mereka buat. Nah, dari versi- versi sebelumnya akan ditemukan suatu vulnerable/ celah yang biasanya menjadi “alat” hacker untuk mengobrak- abrik website. Tentu saja mereka akan memperbaiki vulnerable/ celah tersebut. Untuk itu, anda harus selalu melakukan upgrade agar WordPress, Theme dan Plugin akan senantiasa dalam versi terbaru. Nah, melalui fitur Auto Upgrade ini, proses upgrade akan menjadi otomatis. Namun perlu diperhatikan ketika ada perubahan total dari versi sebelumnya, terkadang website menjadi error.

cara agar wordpress aman

2. Jangan Install WordPress di Public_html (Khusus untuk Subdomain/ Add- On Domain)

Kasus ini khusus untuk anda yang ingin melakukan instalasi website di subdomain atau Add- On Domain. Jadi, pastikan anda melakukan instalasi website/ meletakkan file website di folder yang terpisah dari public_html (beda folder). Hal ini dikarenakan untuk mengantisipasi ketika ada serangan dari hacker, website yang berada di subdomain/ add- on domain tidak akan diobrak- abrik.

cara agar wordpress aman

3. Jangan Gunakan Username Default “admin”!

Salah satu cara agar wordpress aman yaitu jangan pernah gunakan username dan password “admin”. Mengapa? Karena para hacker akan dengan mudah melakukan pelacakan apabila username yang anda gunakan berupa “admin” atau “administrator”. Oiya, jangan gunakan kata yang simpel. Jangan gunakan angka 123456. Usahakan gunakan kata yang kompleks dan mudah diingat. Alangkah lebih baik jika anda memilih password dengan kombinasi angka, huruf besar, huruf kecil serta karakter.

cara agar wordpress aman

Tahap Kustomisasi

Nah setelah selesai melakukan instalasi, pasti anda ingin segera melakukan pengubahan/ kustomisasi website WordPress seperti mengubah tema, menambahkan template dan sebagainya. Namun sebelum itu, anda perlu memperhatikan hal- hal berikut ini agar website tidak menjadi sasaran “hacker”.

1. Selalu Lakukan Update Tema/ Plugin WordPress

Nah, sebelumnya telah dijelaskan bahwa Theme atau Plugin dapat menjadi celah masuknya hacker untuk meretas website anda. Untuk itu, selalu lakukan update Tema/ Plugin yang digunakan. Apabila plugin tersebut sudah tidak digunakan lagi, Kami sarankan untuk menghapusnya saja.

cara agar wordpress aman

2. Jangan Gunakan Tema atau Plugin Sembarangan!

Selalu gunakan tema/ plugin yang berasal dari website WordPress. Atau misalnya anda membeli Template (tema)/ plugin dari pihak luar, pastikan tidak ada backdoor di dalamnya. Dan pastikan tema/ plugin tersebut aman. Oiya, jangan pernah tertarik untuk menggunakan template gratisan yang bukan berasal dari pihak WordPress ya DomaiNesians! Adapun tema dan plugin dari WordPress bisa anda lihat di https://wordpress.org

cara agar wordpress aman

3. Gunakan Plugin Security pada WordPress

WordPress telah mengantisipasi akan adanya serangan yang dilakukan oleh hacker. Untuk itu, WordPress telah menyediakan beberapa plugin yang bisa anda gunakan seperti All In One WP Security, WordFence, Ninjafirewall dan sebagainya.

All In One WP Security & Firewall

Plugin ini akan mendeteksi kerentanan/ vulnerable dari website serta memberikan berbagai firewall rules. Untuk melakukan instalasi silahkan download di Plugin All In One WP Security & Firewall.

cara agar wordpress aman
WordFence
Plugin ini fungsinya hampir sama dengan All In One WP Security & Firewall. Namun, WordFence akan memberikan notifikasi kepada user ketika ada yang melakukan serangan “bruteforce” atau pelacakan password secara acak oleh hacker. Selain itu, plugin ini dapat mendeteksi malware yang ada pada plugin atau template.

cara agar wordpress aman

Agar anda lebih mudah dalam proses instalasi, silahkan login SSH kemudian copy paste command berikut ini,

wp plugin install wordfence --activate --allow-root
wp plugin install si-captcha-for-wordpress --activate --allow-root
wp plugin install ninjafirewall --activate --allow-root
wp plugin install all-in-one-wp-security-and-firewall --activate --allow-root
wp plugin install anti-spam --activate --allow-root

4. Selalu Lakukan Backup Data

Untuk backup data, dapat anda lakukan langsung dari cPanel atau melalui Softaculous Backup. Untuk melakukan backup data WordPress dari cPanel, silahkan ikuti Panduan Backup Data di cPanel. Untuk melakukan backup data melalui softaculous, silahkan ikuti Panduan Backup Data Melalui Softaculous. Oiya, Kami sarankan untuk melakukan backup data berupa file website, file database maupun file email secara berkala ya DomaiNesians!

Tahap Konfigurasi

Nah ditahap ini biasanya meliputi pengaturan kode hak akses, pengubahan nama wp-admin, pengaturan konten upload dan sebagainya. Eitss.. sebelumnya ayo perhatikan terlebih dahulu hal- hal berikut ini.

1. Hindari Kode Hak Akses 777!

Apabila James Bond menggunakan kode 007, maka untuk folder instalasi WordPress jangan sekali- kali gunakan kode permission (hak akses) 777! Larangan keras ya DomaiNesians! Karena dengan kode 777 ini, semua orang bisa mengakses file anda secara mudah. Bahkan orang awam saja bisa mengaksesnya. Untuk itu, selalu gunakan kode hak akses 755 untuk folder dan kode hak akses 644 untuk file. Untuk mengubahnya, silahkan buka File Manager di cPanel. Kemudian buka folder instalasi WordPress. Lalu anda akan menemui folder dan file didalamnya lengkap dengan kode permissions (hak akses). Silahkan klik kode tersebut kemudian ubah menjadi 755 (untuk folder) atau 644 (untuk file) setelah itu klik Save.

2. Sembunyikan Folder wp-admin

Salah satu kemudahan WordPress yaitu untuk melakukan login, user hanya cukup menuliskan wp-admin setelah nama domain. Misalnya www.domainesia.com/wp-admin.php. Namun, hal tersebut ternyata juga menjadi salah satu kelemahan WordPress. Untuk itu, anda harus menyembunyikan wp-admin di salah satu folder. Sehingga, ketika anda mengakses wp-admin tidak langsung /namadomain/wp-admin. Bisa saja diubah menjadi /namadomain/websaya/admin atau sebagainya. Anda bisa menggunakan plugin Protect Your Admin untuk menyembunyikan folder wp-admin.

cara agar wordpress aman

3. Proteksi Terhadap Script Website

Anda juga bisa melakukan proteksi terhadap script website WordPress agar tidak dapat diubah oleh orang lain. Yaitu menambahkan beberapa script berikut di file .htaccess.

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule> 
# BEGIN WordPress

4. Proteksi Terhadap File Upload

Upload file merupakan salah satu cara hacker untuk melakukan injeksi shell ke dalam website. Untuk itu, anda harus melakukan proteksi terhadap file upload. Anda dapat manambahkan script berikut di .htaccess folder /UPLOADS. Oiya, ketika script berikut sudah jalan, mungkin tema anda akan sedikit terganggu. Untuk memperbaikinya, silahkan hapus script tersebut.

# Kill PHP Execution
<Files *.php>
deny from all
</Files>

5. Proteksi Terhadap WP-Config

Anda dapat menambahkan script berikut pada .htaccess untuk mencegah orang lain mengakses file wp-config. Perlu diketahui bahwa file wp-config ini berisi nama database dan username password database.

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Disable File Editing

Nah biasanya, anda dapat mengubah file melalui Dashboard WordPress. Misalnya mengedit file HTML dan sebagainya. Hal tersebut ternyata tidak aman DomaiNesians 😀 Hacker akan dengan mudah mengubah script/ file via editor saja. Untuk itu, segera lakukan disable file editing dengan menambahkan script berikut pada .htaccess di file wp-config.php

## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);

Kesimpulan

Nah, bagaimana DomaiNesians? Sekarang sudah tau kan cara agar wordpress aman? Terdapat beberapa hal yang perlu diperhatikan dari mulai tahap instalasi, kustomisasi hingga konfigurasi. Apabila semua hal di atas anda lakukan, maka prosentase website anda di”hack” pun menjadi sangat kecil. DomaiNesia memiliki fitur Instant Deploy lho agar website anda dapat terinstall secara otomatis di Hosting. Jadi, anda tidak perlu repot jika tidak bisa membuat website. Pengen tahu caranya? Cek aja di INSTANT DEPLOY DomaiNesia. Kami juga memiliki Panduan Instant Deploy DomaiNesia yang bisa anda ikuti. Jadi nggak perlu pake bingung lagi kan ya hehe ?Terima kasih telah menggunakan layanan DomaiNesia!

Mutiara Auliya

Hi! I am Data Analyst and Technical Writer at DomaiNesia. I love Linux, Python, Server, WordPress, Data Analysis and Artificial Intelligence. I will help you making some technically being easy to understand :)

Berlangganan Artikel

Dapatkan artikel, free ebook dan video
terbaru dari DomaiNesia

{{ errors.name }} {{ errors.email }}
Migrasi ke DomaiNesia

Migrasi Hosting ke DomaiNesia Gratis 1 Bulan

Ingin memiliki hosting dengan performa terbaik? Migrasikan hosting Anda ke DomaiNesia. Gratis jasa migrasi dan gratis 1 bulan masa aktif!

Ya, Migrasikan Hosting Saya

Hosting Murah

This will close in 0 seconds