WordPress merupakan CMS (Content Management System) untuk blog yang paling popular saat ini. Hal tersebut karena wordpress merupakan open source project yang dikembangkan oleh komunitas, sehingga sampai saat ini versi wordpress selalu senantiasa ter-update secara rutin baik dari segi tampilan, optimalisasi akses, keamanan dan sebagainya. Walau begitu wordpress bukan berarti tidak memiliki kelemahan, karena hal tersebut saya rasakan sendiri. Berdasar perhitungan saya, karena saya senantiasa mengupdate versi wordpress yang digunakan, maka seharusnya segi keamanan pun juga baik sesuai dengan standar yang diterapkan oleh para pengembang wordpress.

Walau perlu disadari pula, bahwa terkadang yang membuat sebuah web berhasil di”hack” tidak selalu karena core engine yang digunakan, melainkan, mungkin karena kerentanan plugin yang digunakan, atau settingan web hosting yang digunakan, yang mengakibatkan web wordpress yang digunakan menjadi ter-“hack”

Oleh karena itu, tips ini bukan hanya bermanfaat bagi anda pengguna wordpress, namun juga anda pengguna/pemilik web untuk meningkatkan, mengantisipasi terhadap serangan pada web anda.

1. Gantilah user default admin anda.

Biasanya wordpress sewaktu menginstall akan memberikan anda username dengan nama admin. Dengan menggunakan default nama user admin, maka kemungkinan untuk hack dengan cara menebak password dari username admin anda menjadi sangat besar. Hal ini juga berarti bagi anda pengguna CMS lain, agar segera mengganti username yang diberikan default oleh web yang anda gunakan.

2. Lakukanlah setting untuk memblokir host-host yang mencurigakan.

Seperti yang kita ketahui, diluar sana sangatlah banyak host-host yang mencurigakan untuk fungsinya mencari kelemahan hingga menyerang website anda. Sejumlah diantaranya sudah “tercatat” oleh Jim Walker di web HackRepair.com. Tidak ada salahnya anda memasukkan daftar yang terdapat di HackRepair.com untuk diblokir sebagai salah satu cara untuk mengantisipasi host-host yang sudah terbukti mencurigakan.

Tulisan Lain   Menerapkan IP Blocker di Laravel

3. Ubahlah nama direktori core engine anda.

Jika anda menggunakan wordpress, maka direktori core engine nya adalah direktori wp-content.  Karena disanalah terdapat core dari file-file yang dimiliki wordpress. Untuk mengubah ini, anda bisa memanfaatkan plugin yang berfungsi untuk ini. Dan ada baiknya, sebelum mengubahnya, anda melakukan backup terlebih dahulu.

4. Lakukan backup.

Backup merupakan hal yang penting untuk mengantisipasi hal-hal yang terduga. Bisa dikatakan merupakan bagian disaster recovery plan (DRP), rencana jika terjadi bencana untuk memulihkan kembali. Backup bisa dibuat secara rutin secara otomatis atau manual dengan menggunakan plugin yang tersedia.

5. Ubahlah prefix table di database.

CMS wordpress sudah memiliki prefix default yang digunakan oleh seluruh pengguna wordpress. Hal tersebut dapat dimanfaatkan bagi para hack/crack untuk menyerang disisi database wordpress. Oleh karena itu, ubahlah prefix pada table di database wordpress anda. Begitu pun juga anda menggunakan CMS lain, yang juga biasanya memiliki prefix yang sudah default.

6. Ubahlah url admin anda.

Halaman admin merupakan halaman yang krusial. Dengan mengetahui apa halaman admin anda, maka semakin memudahkan penyerang untuk melakukan uji coba mencari kelemahan pada halaman admin web anda. Jadi, ubahlan url halaman admin anda.

7. Deteksi Akses Page  Error (404 error)

Mungkin anda akan bertanya untuk apa? Hal ini untuk mengetahui berapa kali user melakukan kesalahan akses halaman anda, yang bisa diartikan sedang mencoba-coba dengan manipulasi halaman url web anda yang berujung untuk mencari kelemahan web anda. Namun anda pun harus jeli, membedakan mana yang benar-benar Page Error yang karena manipulasi (coba-coba) atau yang tidak.

8. Deteksi perubahan pada file direktori.

Tulisan Lain   Tips : Menonaktifkan / Aktifkan Touchscreen Laptop di Ubuntu/Linux Mint

Hal ini berguna jika web anda disusupi file-file asing atau merubah ukuran file sesungguhnya, karena siapa tahu ternyata file tersebut merupakan backdoor untuk masuk ke web anda.

9. Batas Percobaan Login

Jika anda memiliki halaman login yang sudah diketahui oleh penyerang, dengan percobaan login yang tidak terbatas (unlimited), maka web anda memiliki peluang untuk diserang. Dengan tidak membatasi percobaan login, maka penyerang dapat dengan mudah mencoba ribuan kali untuk mengetahui akses user anda. Dengan membatasi percobaan login, maka anda akan langsung melakukan blokir pada host yang melakukan percobaan login secara otomatis.

10. Server Tweak.

Nah yang terakhir, anda perlu meningkatkan keamanan pada sisi server hosting anda. Seperti: Protect file-file tertentu untuk tidak dapat diakses secara publik, misal: readme.html, readme.txt, dst. Disable browse direktori,

By alfach

Leave a Reply

Your email address will not be published. Required fields are marked *