Agar WordPress Aman

1.Sebelum melakukan apapun silahkan backup dulu database dan filenya.Database download melalui phpmyadmin dan file bisa anda compress & download.

2.Selalu update engine wordpress/plugin/themes anda ke yang terbaru dan jgn pakai nulled atau hasil krack.

3.Hapus file/folder theme/plugin yang tidak dipakai.

4.Jangan pakai username admin sebagai username anda,usahakan ganti dengan yang lain dan pakai Password yang kuat perbaduan angkahuruf (besar-kecil) dan karakter.

5.Pakai pulgin wp-security scan dan jalankan.

6.Ganti database table prefix menjadi yang unique,secara default adalah wp_ silahkan ganti menjadi wp_ak te_pp dll untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix apa.

7.Blok bot untuk crawl folder tertentu,krn orang yang akan deface biasanya hasil scan dr google dengan keyword tertentu untuk mencari bug.Silahkan tambahkan pada robots.txt

Quote:User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

8.Melindungi file wp-config dengan menambah rule berikut pada .htaccess

Quote:<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

9.Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess

Quote:<Files .htaccess>
Order Allow,Deny
Deny from all
</Files

10.Melarang directory listing browsing,tambahkan pada .htaccess atau buat file index.php pada tiap folder

Quote:# disable directory browsing
Options All –Indexes

11.Melarang beberapa script injection

Quote:# protect from sql injection

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

12.Mengamankan folder include ,tambahkan pada .htaccess

Quote:# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

14.Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin

15.Pasang akismet dan plugin cacptcha untuk melindungi dari comment spam

16.Disable edit themes/plugin melalui dashboar dengan menambah tag berikut pada wp-config

Quote:define(‘DISALLOW_FILE_EDIT’, true);
Dengan menambah tag diatas maka menu edit theme/plugin pada dashbord dihilangkan,sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin

17.CHMOD wp-config menjadi 400 atau 600

Diatas dari sisi dalam wordpress,next dari sisi hosting

18.Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau php_flag .htaccess

Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

Dengan mendisable fungsi diatas mungkin saja membuat salah satu script tidak berjalan,jika script tsb membutuhkan fungsi dari salah satu tersebut diatas.

19.Lakukan backup berkala pada akun hosting atau website anda

20.Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami,semoga kami bisa membantu ataupun memberikan backup anda.

Pos ini dipublikasikan di Teknologi dan tag . Tandai permalink.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s