WordPress adalah CMS gratis yang paling banyak digunakan diinternet, Di indonesia sendiri pengguna wordpress menduduki posisi ke 3 di dunia (sumber : vivanews) dengan tumbuh kembang pesatnya dunia wordpress, tak lazim jika wordpress menjadi sasaran utama bagi para hacker untuk Membunuh situs-situs yang dianggap terkenal, beruang, dan berwibawa layaknya psddesain.com
Berikut ini beberapa tips menjaga wordpress dari serangan hacker yang diambil dari beberapa sumber.
1. Mengkunci Folder Wp-admin
Wp-admin adalah salah satu pintu masuk hacker menuju blog wordpress anda, apabila tidak terkunci dengan baik, maka ini akan menjadi sasaran empuk bagi para hacker. Solusinya tambahkan code berikut dan buat file baru .htaccess ke dalam folder wp-admin anda.
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
2. Mengkunci file permission wp-config.php
Selain wp-admin, folder lain yang harus anda jaga adalah wp-config.php. Wp-config.php merupakan root standar yang digunakan untuk mengkunci root folder dari penyusup. Biasanya, file permissionnya 644, namun jika anda pernah mengubah settingnnya (pada saat menginstall plugin tertentu) disarankan agar file permissionnya dikembalikan ke settingan awal, yaitu 644 agar tidak dapat diakses oleh siapapun.
3. Menyembunyikan Plugin yang terinstall pada wordpress
Secara default, plugin untuk wordpress terletak pada /wp-content/plugins/. Lubang ini biasanya digunakan oleh pada hacker saat mengakses error 404 Page. Untuk menyembunyikannya anda bisa menambahkan file baru index.php kosong atau menggunakan .htaccess ke root plugin dengan isian seperti berikut
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress
4. Menghapus file Readme.html
File readme.html akan selalu muncul setiap kali anda menginstall wordpress secara otomatis menggunakan Softacolous atau Fantastico. Dari readme.html ini hacker bisa melihat versi wordpress yang terinstall. Karena setiap versi wordpress ada BUG-nya, maka ini bisa menjadi celah berbahaya yang bisa disusupi hacker. Hapuslah file tersebut sebelum hacker menemukannya.
5. Menghapus versi wordpress
Seperti yang telah di uraikan pada point ke 4, pastikan anda telah menyembunyikan versi wordpress yang terinstall. Salah satu celah lainnya adalah dengan cara view source wordpress, dengan cara klik kanan dan view page source pada browser sang hacker dapat dengan mudah menemukan versi wordpress yang terinstall pada wordpress kita.
Untuk cara menyembunyikannya saya telah membuat postingan tersendiri di Menghilangkan versi wordpress.
Demikian tutorial singkat pada 5 Cara menjaga wordpress dari serangan hacker, semoga situs kita tetap on the air tanpa kendala dan jangan lupa juga untuk membackup file-file penting anda seperti mendownload wp-content wordpress dari hosting.
Punya tips lain yang bermanfaat? Yuk sharing di kolom komentar. :)
