Pagi ini saya mendapatkan email bahwa ada 16 kali percobaan login ke blog saya. Alhamdulillah semua gagal. Email itu langsung menyadarkan saya bahwa meningkatkan keamanan wordpress kita adalah hal yang sangat mutlak diperlukan. Ancaman hacker benar-benar nyata. Karena itu, pada artikel ini, saya akan membahas cara mengamankan wordpress.

Pasti akan sangat menjengkelkan ketika blogmu artikelnya sudah banyak, pengunjungnya ramai, eh tiba-tiba blog wordpress milikmu kena hacked. Jadi jangan tunggu sampai di hacked baru sibuk melindungi wordpress milikmu. Salah satu cara yang terbaik adalah menggunakan koneksi SSL. Tentu saja kamu perlu menyediakan uang untuk membeli sertifikat SSL. Bagaimana kalo kamu tidak punya uang seperti saya  😀 . Kalo kamu termasuk dalam golongan saya, mari kita manfaatkan saja fasilitas yang ada di hosting yang telah kita sewa, dan gunakan secara maksimal untuk mengamankan wordpress. Betul ga? 🙂

Oke, kembali ke laptop. Untuk melindungi wordpress bisa kita tempuh dengan 9 cara yaitu

Menambahkan Password pada Folder WP-ADMIN

Jika kamu menyewa hosting, biasanya sudah tersedia secara default Password Protect Directories. Jika tidak, coba tanyakan ke admin hostingmu. Nah, kamu bisa menggunakan fasilitas yang telah tersedia untuk mengamankan folder wp-admin. Folder wp-admin adalah folder yang berisi semua file administrator seperti password, dashboard Admin, dll. Kalau hostingmu tidak menyediakan cPanel, kamu bisa menanyakan ke pihak hostingmu. Karena password folder ini adalah fitur dasar jadi seharusnya semua hosting telah menyediakan fitur ini

1. Masuk ke halaman cPanel hostingmu, kemudian cari Password Protect Directories pada bagian security.

   

2. Pilih folder yang akan di beri password. Karena kita akan mengamankan folder wp-admin makan pilih wp-admin

   

3. Bikin username dan password. Tentukan siapa saja yang boleh mengakses ke wp-admin.

   

   Jika sudah, klik Add untuk menambahkan user. Silahkan di tambah sesuai kebutuhan dan keyakinan masing-masing 🙂

4. Sekarang kita mempassword folder wp-admin agar tidak sembarang user yang bisa masuk ke wp-admin

   

   Jangan sampai lupa di klik “Password protect this directory”. Jika sudah diisi seperti gambar di atas, maka klik save. Password dan username sebaiknya berbeda dengan paassword saat login ke blog wordpress.

5. Nah, apa yang terjadi? coba kamu buka kembali folder wp-admin melalui browser. Ketik http://%5Bnama-domain%5D/wp-admin  dan akan muncul window berikut.

   

6. Jadi akan muncul password tambahan saat login sebelum masuk pada halaman login wordpress. Ada sedikit tambahan kerjaan ngetik, tapi melihat pentingnya data-data di folder wp-admin saya rasa tambahan kerjaan ngetik tidaklah menjadi masalah 🙂

Mencegah Brute-force Attacked

Brute-force attacked adalah serangan yang mencoba semua kemungkinan password sampai password yang cocok ditemukan. Nah, untuk mencegah serangan brute-force kita bisa gunakan plugin Limit Login Attempts yang dibuat oleh Johan Eenfeldt.

1. Instal seperti biasa plugin Limit Login Attempts kemudian aktifkan.
2. Masuk ke Setting > Limit Login Attempts untuk melakukan setting. Menurut saya, setting standar sepertinya cukup memadai. Mungkin kamu cuma perlu  menambah “Notify on lockout : Email to Admin …”

   

   Sayangnya plugin ini sudah 2 tahun tidak update sehingga ada kemungkinan tidak compatible dengan wordpress versi sekarang. Tapi jangan kuatir, fitur melindungi dari brute-force attacked adalah fitur dasar yang telah disertakan oleh semua plugin security yang ada. Berikut ini adalah beberapa plugin yang menyertakan perlindungan terhadapa brute-force attacked

   Plugin Wordfence telah menyediakan fitur dasar terhadap brute-force attacked. Install plugin ini, aktifkan, kemudian masuk pada Wordfence Option dan jangan lupa utk mencentang pilihan seperti gambar di bawah ini.

   

   Plugin IThemes Security juga telah menyediakan proteksi terhadap serangan Brute-force attacked. Install plugin ini, masuk ke Dashboard > Security > Settings dan aktifkan Brute Force protection

   

Mengganti File Permission Wp-admin

Sesuai WordPress Codex maka dianjurkan  agar semua File memiliki permission 644 dan folder memiliki permission 755. Tapi, menurut dokumentasi wordpress jika kamu menginstall wordpress sendiri, biasanya folder otomatis memiliki permission 755 dan file dengan permission 644. Mungkin tidak ada salahnya jika kamu mengecek apakah benar file permission sudah seperti yang disarankan pada WordPress Codex.

Untuk mengecek dan mengganti file permission, kamu bisa menggunakan FileZilla yang caranya bisa kamu lihat di sini. Pastikan dalam folder wp-admin, semua file memiliki permission 644 dan folder permission 755.

Menyembunyikan Akses Menuju wp-login.php

Sebenarnya menurut saya menyembunyikan akses menuju wp-login tidak secara langsung meningkatkan security wp-login. Karena kalo blog kamu menggunakan membership maka mau tidak mau kamu harus memberitahukan alamat login kepada mereka. Walaupun begitu, banyak orang yang tetap ingin menyembunyikan url admin, dengan berbagai macam alasan. Kamu bisa menggunakan plugin yang ringan untuk melakukan hal itu. Plugin yang bisa kamu gunakan adalah WPS Hide Login. Install plugin itu kemudian kamu tinggal merubah url link melalui Dashboard > Setting > General > WPS Hide Login.

Setelah kamu mengklik Save, maka url login yang baru telah aktif. Jika seseorang ingin mencoba mengakses melalui wp-login.php maka mereka akan mendapat error 404 Page not Found

Mengamankan WordPress dengan 2 Verifikasi Login

Kelemahan dari semua  cara di atas, adalah semua data yang kamu masukkan hanya berasal dari komputermu menuju ke server blog. Kamu perlu sebuah token tambahan yang selalu berubah setiap kali kamu login dan token tambahan itu hanya untuk sekali pakai. Istilah kerennya adalah Two Way Authentication. Token tambahan itu bisa di kirim melalui email atau smartphone. Kamu menginstall sebuah aplikasi di smartphone dan smartphone langsung berubah menjadi token generator. Cukup keren bukan 🙂 Mekanismenya seperti gambar di bawah ini.

WordPress.com juga telah menggunakan two way authentication untuk menjamin keamanan usernya. Kamu juga bisa membuat two way authentication untuk blogmu. Untuk itu kamu perlu plugin Two-Factor Authentication (Google Authenticator) dari miniOrange. Install plugin itu kemudian kamu harus register dulu free license. Selanjutnya kamu bisa memilih metode verifikasi yang tersedia. Bisa melalu email, soft token, QR code, dll. Petunjuknya cukup lengkap. Jika kamu ingin menjadikan smartphone-mu menjadi token generator maka kamu perlu menginstall aplikasi di smartphonemu. Dari 12 metode verifikasi yang tersedia, 10 di antaranya bisa kamu gunakan secara gratis. Menarik bukan 🙂

Saya menggunakan metode email untuk verifikasi, dan email yang saya dapat adalah seperti ini

Saya tidak akan bisa login sampai saya mengklik “Accept Transaction”.

Menggunakan Plugin Keamanan WordPress

Keamanan wordpress memang masalah yang cukup kompleks, untungnya kamu dimudahkan oleh plugin yang tersedia secara gratis. Ada banyak plugin gratis untuk mengamankan blogmu. Beberapa yang pernah saya coba adalah

• ITheme Security
• Wordfence

Dua plugin itu cukup bagus. Pengalaman saya sampai saat ini sangat memuaskan. Kamu tinggal pilih plugin yang kamu inginkan. Cukup pilih salah satu saja karena kalo pilih dua akan memberatkan kerja server. Kedua plugin itu akan melakukan scan terhadap blogmu dan selanjutnya akan memberikan rekomendasi untuk meningkatkan keamanan blogmu. Jangan lupa untuk selalu mem-backup blog sebelum melakukan rekomendasi tersebut.

Mengamankan file wp-config.php

File wp-config.php berisi data password database. File itu sangat penting dan sangat berbahaya kalo sampai bisa buka oleh hacker yang tidak bertanggung jawab. Saya sudah membuat artike yang terpisah tentang cara mengamankan file wp-config di sini.

Menggunakan SSL Untuk Mengamankan Koneksi Antara Komputermu dengan Blog Server

Perlu di ketahui bahwa komunikasi data antara komputermu dan server blog masih belum terlindungi. Seorang hacker bisa saja mencegat jalur komunikasi antara browser di komputermu dengan blog server. Untuk melindungi jalur komunikasi antara browser dengan server satu-satunya cara adalah dengan membeli sertifikat SSL.Cara kerja SSL adalah semua data yang dikirim/diterima antara Browser dan Server Blog akan di enkripsi.  Jika ada seseorang yang mencegat jalur komunikasi antara browser dan server, dia akan mendapatkan data yang telah terenkripsi.

Sertifikat SSL cukup murah. Harga yang ditawarkan pun cukup murah yaitu sekitar 300 ribuan untuk jangka waktu 3 tahun. Seperti yang di tawarkan oleh Jagoan Hosting atau kamu bisa mencari penyedia sertifikat SSL yang lain.

Backup, Backup, Backup

Akhir kata, tidak ada sistem yang benar-benar aman. Bahkan web besar seperti facebook, google, yahoo, dll tidak mau menganggap remeh tentang backup ini. Walaupun kamu telah menjalankan semua cara di atas, tidak ada satupun yang berani menjamin 100% bahwa blogmu aman dari serangan. Oleh karena itu selalu rutin melakukan backup. Jika sesuatu terjadi, maka kamu tinggal merestore data terakhir dan blogmu akan kembali seperti sediakala sebelum masalah itu terjadi.