Salam sukses semua,kali ini saya akan sedikit membuatkan tips untuk mengamankan website kita khususnya yang sering dipakai yaitu CMS wordpress.Meski prakteknya ini memakai wordpress tp teknik ini juga berlaku untuk cms lain semacam joomla atau atau jenis website lain.



Dari tutorial ini bukan mengamankan 100% trus website kamu tidak dibobol,tapi hanya sedikit memperkuat pengamanan saja.Karena memang tdk ada keamanan yang sempurna dan selamanya,serta keamanan bukan one time deal yang bisa sekali setting dan ditinggal.Karena mungkin yang sekarang di anggap secure besok sudah menjadi yang buggy mengikuti perkembangan technology.

Pada kali ini saya memakai pada hosting yang pakai apache,mungkin dalam environtment hosting lain slah satu cara ada yang berbeda cara setting/tekniknya:



1.Sebelum melakukan apapun silahkan backup dulu database dan filenya.Database download melalui phpmyadmin dan file bisa anda compress dann download.

2.Selalu update engine wordpress/plugin/themes anda ke yang terbaru dan jgn pakai nulled atau hasil krack.

3.Hapus file/folder theme/plugin yang tidak dipakai

4.Jangan pakai username admin sebagai username anda,usahakan ganti dengan yang lain dan pakai Password yang kuat perbaduan angkahuruf (besar-kecil) dan karakter.

5.Pakai pulgin wp-security scan dan jalankan.

6.Ganti database table prefix menjadi yang unique,secara default adalah wp_ silahkan ganti menjadi wp_ak te_pp dll untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix apa.



7.Blok bot untuk crawl folder tertentu,krn orang yang akan deface biasanya hasil scan dr google dengan keyword tertentu untuk mencari bug.Silahkan tambahkan pada robots.txt



8.Melindungi file wp-config dengan menambah rule berikut pada .htaccess




9.Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess





10.Melarang directory listing browsing,tambahkan pada .htaccess atau buat file index.php pada tiap folder





11.Melarang beberapa script injection





12.Mengamankan folder include ,tambahkan pada .htaccess





14.Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin



15.Pasang akismet dan plugin cacptcha untuk melindungi dari comment spam

16.Disable edit themes/plugin melalui dashboar dengan menambah tag berikut pada wp-config


Dengan menambah tag diatas maka menu edit theme/plugin pada dashbord dihilangkan,sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin



17.CHMOD wp-config menjadi 400 atau 600



Diatas dari sisi dalam wordpress,next dari sisi hosting



18.Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau php_flag .htaccess





Dengan mendisable fungsi diatas mungkin saja membuat salah satu script tidak berjalan,jika script tsb membutuhkan fungsi dari salah satu tersebut diatas.

19.Lakukan backup berkala pada akun hosting atau website anda

20.Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami,semoga kami bisa membantu ataupun memberikan backup anda.

Krn kemungkinan update terus,,Untuk yang update bisa di lihat di http://blog.shehoster.com/tips-menga...ite-wordpress/