Meningkatkan Keamanan Website WordPress (WP Security)


Bila anda adalah pengguna WordPress Self Hosting, ada banyak hal yang perlu anda ketahui mengenai lubang keamanan wordpress (WP Security). Dengan mengenali lubang apa saja yang menjadi pintu masuk keamanan blog WordPress anda, maka setidaknya anda bisa melakukan pengamanan dari sekarang. Berikut adalah 10 Lubang Keamanan WordPress yang harus di waspadai:

1. Readme.html

File ini akan selalu muncul setiap kali anda menginstall WordPress melalui Fantastico atau Softaculous. Dari readme.html ini seseorang bisa melihat versi WordPress yang terinstall. Karena setiap versi WordPress selalu ada BUG-nya maka ini bisa menjadi lubang keamanan WordPress.

Saran: Hapus/ Rename

2. WordPress Version (View Source)

Hampir sama dengan readme.html, dari sini seseorang bisa melihat versi WordPress yang digunakan pada blog anda. Dan percaya atau tidak, dari sini juga awal seorang cracker menandai targetnya dengan cara melihat “view source” di homepage blog anda.

WordPress Version – View Source
Saran saya silahkan anda hapus baris <meta name=”generator” … yang ada di header.php.

3. Install.php

Letaknya berada di root /wp-admin/install.php. File ini akan selalu muncul setiap kali anda menginstall WordPress, dan file ini bisa menjadi jalan menuju lubang keamanan WordPress.

Saran: Hapus/ Rename

4. Install-helper.php

Sama dengan Install.php, file ini terletak di root /wp-admin/install-helper.php dan sepertinya juga tidak cukup penting.

Saran: Hapus/ Rename

5. Setup-config.php

Masih di dalam root /wp-admin/setup-config.php, menurut info celah ini baru di temukan pada WordPress 3.3.1. Meskipun lubang ini sangat jarang dimanfaatkan oleh cracker tapi alangkah baiknya dilakukan tindakan untuk pencegahan.

Saran: Hapus/ Rename

6. Prefix Database Standart ( wp_ )

Bila anda memakai Fantastico atau Softaculous, maka secara otomatis prefix database akan ter-create menjadi “wp_”. Celah inilah yang biasa dimanfaatkan oleh cracker untuk melakukan suntikan atau SQL Injection. Sangat disarankan untuk mengganti prefix “wp_” dengan prefix pilihan anda sendiri melalui $table_prefix value pada file wp-config.php atau anda bisa memanfaatkan plugin WP Security Scan untuk mudahnya.

7. Folder WP-Admin.php Tidak Terkunci

WP-Admin.php adalah pintu masuk utama untuk menuju blog anda. Biasanya ini menjadi saran empuk para cracker apabila folder ini tidak terkunci dengan baik. Sebagai solusinya anda bisa menambahkan file .htaccess ke dalam folder wp-admin.php

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress

8. File Permission di WP-Config.php Tidak Terkunci

WP-Config merupakan root standart yang digunakan untuk mengunci root folder dari penyusup. Biasanya file permissionnya sudah di setting ke 644, namun apabila anda pernah merubah settingannya (pada saat menginstall plugin tertentu) sangat disarankan agar anda kembalikan lagi kesettingan awal yaitu 644 agar tidak dapat diakses oleh siapapun.

9. Plugin Tidak Disembunyikan

Secara default plugin terletak di root /wp-content/plugins/. Lubang ini bisa dimanfaatkan cracker pada saat terjadi Error 404 Page. Untuk menyembunyikannya anda bisa menambahkan file index.php kosong atau menggunakan .htaccess ke root plugins.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress

10. Plugins dan Themes yang Mengandung Malcious Code

Sebisa mungkin menghindari penggunaan plugins dan themes premium hasil CRACK-an (NULLED). Plugins dan Themes Nulled biasanya dapat di tandai dengan adanya kode-kode ter-enkripsi yang tidak jarang mengandung Malcious, bahkan terkadang juga di susupi dengan Cookies Stuffing. Jadi, berhatilah-hatilah bila anda masih nekad menggunakan plugins dan themes Nulled.
Itulah 10 lubang keamanan WordPress yang perlu anda waspadai, meskipun masih sebagian kecil saja karena masih banyak lubang-lubang yang belum di ketahui, namun setidaknya dengan ini anda sudah bisa meningkatkan keamanan blog WordPress anda. Semoga bermanfaat.

Sumber : http://www.vellimarwan.com/lubang-keamanan-wordpress-wp-security/

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s