TIPS ICW

Mengamankan Blog Wordpress dari Peretas

Dirangkum oleh: Gunung Yudi Pamungkas

WordPress merupakan CMS (Content Management System - semacam software untuk mengelola konten) gratis yang sangat populer dan banyak digunakan oleh orang-orang di seluruh dunia, baik digunakan untuk kepentingan perseorangan (misalnya, situs blog pribadi) maupun organisasi (misalnya, situs blog korporat). Kepopuleran WordPress juga dibarengi dengan banyaknya orang yang berusaha membobol keamanan situs blog WordPress. Untuk mencegah supaya blog Anda tidak dibobol oleh peretas (hacker) yang berniat buruk, berikut kami berikan tip-tip untuk menjaga keamanan situs WordPress Anda.

1. Enkripsi Login

Setiap kali kita log masuk ke halaman admin, kata sandi akan dikirim dengan tidak terenkripsi. Jika Anda berada di jaringan publik, peretas dengan mudah bisa 'mengendus' data kata sandi Anda menggunakan 'pengendus' jaringan (sniffer). Cara terbaik untuk mencegah hal ini adalah untuk melakukan enkripsi kata sandi, salah satunya dengan pengaya (plugin) bernama Chap Secure Login. Pengaya ini menambahkan rangkaian angka dan huruf acak untuk password dan otentikasi login dengan protokol TCP.

Alamat: http://WordPress.org/extend/plugins/chap-secure-login/

2. Hentikan Serangan Membabi Buta

Peretas dapat dengan mudah memecahkan kata sandi admin dan menggunakan serangan membabi buta (brute force attack), yaitu dengan mencoba sekian juta kombinasi kata sandi yang terdiri dari huruf dan angka. Untuk mencegah hal itu terjadi, Anda dapat menginstal pengaya bernama Login Lockdown. Pengaya ini mencatat alamat IP dan waktu dari setiap yang gagal log masuk ke WordPress Anda. Setelah sejumlah usaha yang gagal terdeteksi (misal, 3 kali percobaan gagal), maka secara otomatis fungsi log masuk akan dinonaktifkan untuk semua permintaan dari IP yang bersangkutan.

Alamat: http://WordPress.org/extend/plugins/login-lockdown/

3. Gunakan Kata Sandi yang Kuat

Pastikan Anda menggunakan kata sandi yang kuat yang sulit ditebak oleh orang lain untuk akun admin. Gunakan kombinasi huruf besar, huruf kecil, angka, dan karakter lain (misalnya !@#$%^&*). Untuk mempermudah mengingat sandi tapi tetap memiliki sandi yang cukup aman, Anda dapat mengganti kombinasi huruf dengan karakter non-huruf yang menyerupai huruf, misalnya mengganti huruf "i" menjadi "1" atau "!", "a" menjadi "@" atau "4", "s" menjadi "$" atau "5", "g" menjadi "9", "e" menjadi "3", dan sebagainya. Semakin banyak karakter nonhuruf pada sandi Anda, semakin sulit peretas membobol kata sandi Anda. Namun jangan membuat kata sandi yang terlalu sulit, sehingga Anda sendiri melupakannya. Yang terpenting, jangan menuliskan kata sandi Anda atau memberitahukannya kepada sembarang orang.

4. Lindungi Folder "wp-admin"

Folder "wp-admin" merupakan folder yang berisi informasi penting dan merupakan lokasi yang tidak boleh diakses oleh orang luar. Untuk mencegahnya, Anda bisa membuat file ".htaccess" di folder tersebut yang berisikan perintah untuk membatasi IP tertentu saja yang bisa mengakses direktori ini.

Misalnya:

• order deny,allow
• deny from all
• allow from 192.168.1.123 192.168.1.124

Contoh skrip ".htaccess" di atas artinya kita hanya mengizinkan IP 192.168.1.123 dan 192.168.1.124 mengakses folder "wp-admin". Kita juga harus sering mengubah IP kita setiap kali kita ingin mengakses wp-admin. Untuk mengubah file ".htaccess" ini, Anda dapat menggunakan SFTP atau menggunakan metode pengamanan lain, seperti memberi kata sandi pada Apache Anda.

5. Menggunakan SFTP atau SSH Sebagai Pengganti FTP

Jika kita menggunakan FTP (File Transfer Protocol) biasa, transfer data yang dilakukan tidak akan terenkripsi, sedangkan jika menggunakan SFTP (Secure FTP) atau SSH (Secure Shell), maka transfer data akan lebih aman. Cara penggunaan FTP dan SFTP adalah relatif sama.

6. Hapus Informasi Tentang Versi WordPress Anda

Setiap instalasi WordPress biasanya memiliki informasi tentang versi berapa WordPress yang digunakan. Jika memiliki informasi ini, maka peretas akan dapat dengan mudah untuk membuat rencana serangan yang tepat. Biasanya informasi ini didapat dari tema WordPress dalam meta tagnya.

Sejak WordPress 2.6, versi WordPress secara otomatis dimasukkan di bagian "wp_head". Untuk mengatasinya, Anda harus memasang pengaya bernama Security Scan.

Alamat: http://wordpress.org/extend/plugins/wp-security-scan/

7. Nama Pengguna dan Alamat Email

Jangan gunakan nama pengguna bawaan -- "admin" -- karena mudah ditebak oleh peretas. Selain itu, jangan menggunakan alamat email yang sudah pernah diketahui oleh orang lain karena peretas juga dapat memperoleh informasi ini dengan cukup mudah. Untuk lebih aman, gunakan nama pengguna yang tidak mudah ditebak dan berbeda dengan nama penulis yang terpampang.

8. Cadangkan Basis Data Secara Rutin

Untuk mempersiapkan hal-hal yang terburuk, ada baiknya Anda memasang pengaya bernama Database Backup dan jadwalkan untuk selalu mencadangkan data tulisan Anda secara otomatis.

Alamat: http://wordpress.org/extend/plugins/wp-db-backup/

9. Selalu Memperbarui ke Versi Terakhir

memperbarui secara rutin WordPress dan semua pengayanya. Situs yang menggunakan versi yang lebih lama akan lebih rentan terhadap serangan peretas, karena versi yang lebih lama memiliki celah keamanan yang biasanya sudah beredar luas.

10. Tentukan Hak Akses Pengguna

Jika ada lebih dari satu admin di situs Anda, maka Anda dapat memasang pengaya bernama Role Manager untuk menentukan hak akses dari setiap kelompok pengguna.

Alamat: http://wordpress.org/support/topic/role-manager-plugin

Semoga tip-tip di atas bisa berguna bagi Anda dan untuk kemuliaan Tuhan.

Dirangkum dari:

1. Non Na. "Cara Mengamankan Blog WordPress". Dalam http://forum.kompas.com/
2. __________. Dalam http://www.info-teknologi.com/
3. Reynaldo. "Cara Mengamankan Blog WordPress". Dalam http://www.hong.web.id
4. Syahputra, Toha. "Cara Mengamankan Blog WordPress". Dalam http://tohasyahputra.com/