Beberapa tahun yang lalu, hanya peretas yang dapat memecahkan situs web dan menurunkannya karena tingkat pengetahuan mereka dalam sistem, jaringan, dan pengkodean. Namun belakangan ini, banyak hal telah berubah dan hampir semua orang dapat menemukan tutorial di Internet yang menunjukkan prosedur langkah demi langkah untuk menembus situs web yang menjalankan perangkat lunak yang rentan.
Di NetComm, kami menjaga keamanan dengan serius, dan telah menerapkan beberapa sistem untuk melindungi aplikasi Anda agar tidak dieksploitasi. Namun, kami tidak dapat melindungi setiap perangkat lunak yang dioperasikan klien di situs mereka, karena tidak ada cara yang dijamin untuk melindungi situs web Anda agar tidak dieksploitasi karena kerentanan akibat tidak meningkatkan ke rilis terbaru, plugin berkode buruk, atau kode kustom.
Tutorial ini bertujuan untuk fokus pada aplikasi web umum yang digunakan oleh klien kami - WordPress. Kami akan memberikan beberapa tip dan saran yang akan membantu Anda menambahkan lapisan keamanan ekstra ke instalasi WordPress Anda.
Poin Penting:
- Selalu perbarui instalasi WordPress Anda, termasuk (yang terpenting!) Plugin apa pun yang telah Anda instal
- Buat pengguna admin baru dengan nama pengguna khusus, lalu hapus pengguna 'admin' default karena banyak serangan akan menargetkan nama pengguna standar
- Ubah kata sandi akun admin Anda secara teratur
- Hanya instal plugin yang ditinjau dengan baik oleh komunitas WordPress, dan dikembangkan secara aktif
- Ubah prefix database default. Semua penginstalan WordPress default menggunakan awalan database "wp_" yang membuat pengeksploitasi apa pun pekerjaan jauh lebih mudah. Anda dapat mengubah awalan ini menjadi sesuatu yang unik - plugin berikut dapat dengan mudah membantu Anda mengubah awalan basis data WordPress dengan beberapa klik: http://wordpress.org/extend/plugins/db-prefix-change/
Mengamankan WordPress
Di bawah ini adalah daftar modifikasi atau penyesuaian yang disarankan untuk dilakukan pada instalasi WordPress Anda. Bacalah dengan cermat dan jika Anda memiliki pertanyaan, jangan ragu untuk menghubungi tim dukungan kami sebelum melanjutkan.
- Sembunyikan versi WP Anda. Menyembunyikan versi WP mempersulit bot mengumpulkan informasi tentang situs Anda dari mengidentifikasi apakah Anda menjalankan versi yang rentan atau tidak. Anda dapat menggunakan plugin berikut untuk melakukannya untuk Anda: http://wordpress.org/extend/plugins/hide-wordpress-version/
- Batasi akses ke area admin (direktori wp-admin) menggunakan alat perlindungan kata sandi di antarmuka cPanel akun Anda
Untuk langkah 3 dan 4, harap diingat bahwa setiap perubahan yang dilakukan pada file .htaccess harus ditempatkan di luar tag # BEGIN WordPress dan # END WordPress. Apa pun yang ditulis di antara tag tersebut, dapat ditimpa oleh aplikasi WordPress. - Akses aman ke file kunci dengan menambahkan baris berikut ke file .htaccess di direktori instalasi WordPress Anda:
<files .htaccess wp-config.php>
order deny,allow
deny from all
</files> - Akses aman ke direktori wp-include Anda. Ini sering digunakan oleh peretas untuk menempatkan file berbahaya ketika mereka menemukan instalasi yang rentan. Tambahkan baris berikut ke file .htaccess di direktori instalasi WordPress Anda:
# Block include-only files.
Perhatikan bahwa ini tidak akan berfungsi dengan baik pada penginstalan WordPress Multisite, karena RewriteRule ^ wp-include / [^ /] + \. Php $ - [F, L] akan mencegah file ms-files.php menghasilkan gambar. Menghilangkan baris itu akan memungkinkan kode berfungsi, tetapi menawarkan keamanan yang lebih sedikit.
RewriteEngine On
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# End block include-only files - Blokir bot mesin pencari dari menjelajahi direktori Anda. Google dan mesin telusur lainnya dapat merayapi url yang tidak diinginkan dan memaparkannya kepada peretas. Sebaiknya cegah bot Google dan bot lain yang mengikuti robots.txt (tidak semuanya) mengindeks apa pun kecuali konten Anda. Robot.txt masuk ke folder root situs Anda dan hanya berupa file teks. Edit / Buat file robots.txt Anda di folder public_html dan pastikan file tersebut memiliki parameter berikut
User-agent: *
Crawl-delay: 5
Disallow: /wp-admin/
Disallow: /wp-admin/admin-ajax.php
Disallow: /cgi-bin/
Disallow: /wp-includes/
Disallow: /wp-content/
Disallow: /xmlrpc.php
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: /trackback/
Disallow: /feed/
Disallow: /comments/
Disallow: /category/
Disallow: /*?
Disallow: /tmp/
Tindakan Pencegahan Ekstra:
Kami menyarankan Anda mempertimbangkan untuk menginstal plugin berikut ke dalam instalasi WordPress Anda untuk menambahkan lapisan keamanan ekstra. Harap diperhatikan bahwa Anda tidak perlu menginstal semuanya, cukup pilih yang paling sesuai untuk Anda:
- http://wordpress.org/extend/plugins/limit-login-attempts/ - Batasi Upaya Masuk: Ini memblokir IP setelah beberapa kegagalan otentikasi.
- http://wordpress.org/extend/plugins/stealth-login-page/ - Mengubah halaman login Anda menjadi alamat yang hanya Anda yang tahu
- http://wordpress.org/extend/plugins/bulletproof-security/ - Perlindungan Keamanan Situs Web WordPress: Keamanan BulletProof melindungi situs WordPress Anda dari upaya peretasan XSS, RFI, CRLF, CSRF, Base64, Injeksi Kode, dan Injeksi SQL.
- http://wordpress.org/extend/plugins/wordfence/ - Wordfence Security adalah plugin keamanan kelas perusahaan gratis yang mencakup firewall, pemindaian anti-malware, pemindaian URL berbahaya, dan lalu lintas langsung termasuk perayap. Wordfence adalah satu-satunya plugin keamanan WordPress yang dapat memverifikasi dan memperbaiki file inti, tema, dan plugin Anda, meskipun Anda tidak memiliki cadangan.
- http://wordpress.org/extend/plugins/better-wp-security/ - iThemes Security (sebelumnya Better WP Security) menggunakan fitur dan teknik keamanan WordPress terbaik dan menggabungkannya dalam satu plugin sehingga memastikan lubang keamanan sebanyak mungkin ditambal tanpa harus khawatir tentang fitur yang bertentangan atau kemungkinan kehilangan apa pun di situs Anda.
Kami harap Anda menikmati tutorial ini. Ingat, tim teknis kami siap membantu 24/7 untuk setiap pertanyaan yang Anda miliki.