Hardening Your WordPress Installation

sudah ada banyak sekali tips dan trik yang memberikan berbagai informasi tentang bagaimana kita mengamankan instalasi wordpress yang kita gunakan, mungkin anda bisa mencari di google dengan keyword “securing wordpress installation” dan anda akan menemukan banyak artikel yang sangat baik dan menarik, namun sayangnya sebagian besar masih mengharuskan kita belajar lebih lanjut tentang detail instalasi dan beberapa hal tentang pemrograman, setup server, dan lain-lain. dan apabila kita bisa melakukannya, kenapa tidak?

lalu bagaimana dengan kita yang tidak mengetahui sedikit pun tentang hal-hal itu dan yang mungkin juga tidak punya akses hingga ke level server? berikut adalah beberapa catatan saya tentang beberapa perilaku pencegahan yang mungkin berguna untuk meningkatkan keamanan pada instalasi wordpress kita.

1. don’t use ‘admin’ as your username
username admin dulu merupakan settingan default saat instalasi, namun pada versi terbaru, wordpress memberikan keleluasaan kepada user untuk memilih username-nya sendiri, oleh karena itu lebih baik jangan gunakan username admin atau bahkan jangan gunakan username yang berhubungan dengan diri anda atau paling tidak gunakan kombinasi yang jarang diketahui oleh orang lain.

2. use super strong password
kenapa harus super strong? karena kebanyakan pengguna selalu menggunakan password yang familiar dengan dirinya, dan ini memiliki probabilitas yang sangat tinggi untuk ditebak, dan bisa jadi yang berhasil menebak akan menggunakannya untuk hal-hal yang tidak kita inginkan.

meski susah, alangkah baiknya password menggunakan kombinasi antara huruf dan angka, huruf besar dan huruf kecil, dan mungkin ditambahkan dengan kombinasi karakter-karakter lainnya, dan sangat baik jika tidak menggunakan kombinasi berikut :

  • permutasi, kombinasi, atau anagram dari nama lengkap, username, nama anggota keluarga, atau bahkan nama website
  • kata-kata yang terdapat pada kamus, atau kata yang marak digunakan di masyarakat
  • hanya menggunakan angka atau hanya menggunakan huruf
  • hanya menggunakan sedikit karakter (kalau bisa gunakan 8-10 karakter)

dan kalau bisa sih gunakan password seperti sikat gigi, ganti minimal 6 bulan sekali :D

3. do regular core update and plugins update
selalu pastikan instalasi wordpress menggunakan versi terbaru, demikian juga untuk plugin yang ter-install, mengapa? karena untuk setiap update akan selalu ada bugs atau security holes yang ditutup, dan ketika tidak pernah ada sebuah program yang benar-benar aman, alangkah baiknya kita selalu menjaga instalasi kita dari kemungkinan mudah disusupi.

4. do regular backup
daily or weekly back up menjadi penting untuk menjaga agar data-data yang kita letakkan pada instalasi wordpress memiliki salinan, sehingga apabila terjadi permasalahan baik hilang atau rusak,  kita tidak perlu mengulang dari awal lagi.

5. choose your plugins and themes wisely
ada banyak sekali theme dan plugin yang tersedia untuk wordpress, mulai dari yang gratis hingga berbayar. oleh karena itu ketika memilih harus diperhatikan dengan baik mengenai track record dari theme atau plugin yang bersangkutan, alangkah baiknya untuk tidak menggunakan theme atau plugin yang hanya satu kali rilis dan tanpa update. saran saya untuk yang ini :

  • cari theme dan plugin yang lengkap dokumentasinya
  • cari theme dan plugin yang sudah banyak di-download dan mendapatkan rating yang baik
  • cari theme dan plugin yang memiliki riwayat update dan revisi yang lengkap hingga tanggal terbaru
  • perhatikan kompatibilitas theme dan plugin dengan versi wordpress yang digunakan
  • cari review (baik positif atau negatif) tentang theme dan plugin yang akan digunakan

dokumentasi dan riwayat update akan menunjukkan kredibilitas pembuat theme dan plugin bahwa mereka aware dengan adanya bugs dan security holes pada theme atau plugin yang mereka buat, sehingga secara tidak langsung mereka akan terus awas terhadap segala kemungkinan yang tentu akan membuat instalasi wordpress kita juga aman.

plugin menjadi bagian yang sangat penting dari instalasi wordpress, karena plugin dibuat oleh berbagai orang yang memiliki pola pikir yang berbeda sehingga masing-masing akan memiliki pendekatan yang berbeda, dan ketika hasil dari plugin tersebut memiliki tingkat keamanan yang rendah, maka instalasi wordpress pun akan berkurang tingkat keamanannya.

lalu plugin apa yang aman?

saya sendiri dulu sering mencoba banyak sekali plugin, dalam rangka mencari yang paling cocok, dan alhasil ketika saya tidak sedemikian rupa memperhatikan tentang track record si plugin, sempat bobol lah instalasi wordpress saya. dan sejak itu saya berusaha untuk terus mencari plugin yang benar-benar aman.

di direktori plugin wordpress tersedia banyak sekali plugin sekuritas yang berguna untuk mengamankan instalasi wordpress kita, dan saya paling sering menggunakan 2 (dua) diantaranya, yaitu wordpress firewall dan antivirus. menurut pengalaman saya beberapa waktu terakhir ini, kedua plugin tersebut termasuk handal untuk menangkal serangan-serangan keamanan.

plugin lain yang sering saya gunakan antara lain adalah akismet dan wp-reCaptcha untuk mengurangi kemungkinan celah keamanan melalui form komentar, dan mungkin anda bisa mencoba menggunakan plugin wp security scan secara regular untuk memonitoring tingkat keamanan instalasi wordpress anda.

instalasi wordpress aman, ngeblog pun nyaman :)

Published by

Alit Mahendra Bramantya

Complicatedly simple, not just another internet presence enthusiast. Currently managing Research (including Analytics) Division at Think.Web with Web App Development and Digital Analytics as main responsibility. Views are my own.