Pastikan agar anda menggunakan
password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan kode simbol seperti
!@#$%^&*(). Ulasan mengenai hal ini dapat anda baca tulisan pada Tips Membuat Password Anti Hacker
Selain itu ada baiknya agar anda mengubah
password anda secara berkala untuk memaksimalkan keamanan website anda.
2. Versi
WordPress
Pastikan agar anda selalu
meng-update versi wordpress anda ke versi terbaru. Karena wordpress
menyempurnakan fitur dan celah keamanan dari versi ke versi selain itu juga
dapat meminimalisir informasi kepada hacker mengenai versi wordpress yang anda
gunakan. Anda dapat melakukan ini melalui dasbuard wordpress anda.
Pada umumnya, pada theme standar
anda dapat menyembunyikan versi wordpress anda melalui Appeareance > Editor.
Lalu editlah pada bagian function.php dan hapus berikut <?php
remove_action(‘wp_head’, ‘wp_generator’); ?> Umumnya tidak semua theme
menyediakan informasi mengenai versi wordpress, namun beberapa theme tetap
meninggalkan informasi ini.
3. File
Permission
File Permission adalah fitur yang
disediakan pada halaman CPanel bagian File Manager pada server hosting
anda yang digunakan untuk merubah parameter standar pada sebuah file satuan
ataupun kumpulan untuk memungkinkan file tersebut diakses, dibaca ataupun
dirubah oleh pengguna. Umumnya hacker yang dapat dikatakan berhasil apabila
telah melakukan inject dan berhasil mereset password admin anda. Untuk
itu anda dapat membatasi hal tersebut dengan mengunci file permission pada
cpanel tersebut. Cara merubah file permission adalah dengan klik kanan pada
file yang bersangkutan lalu akan terdapat 3 baris kotak yang dapat dicentang
atau dihilangkan centangnya. Anda tidak perlu mengubah semua file permision
pada file website anda namun ada baiknya anda mengubah permission pada
file-file berikut dan nilai yang direkomendasikan:
.htaccess – ubah menjadi 444 atau 404
wp-config.php – ubah menjadi 444 atau 400
index.php – 444 atau 400
wp-blog-header.php – 400 atau 444
wp-admin – 755 atau 705
wp-includes – 755 atau 705
wp-content – 755 atau 705
wp-content/bps-backup – 755
4. Sembunyikan
Plugin Anda
Usahakan agar anda menyembunyikan
semua plugin yang anda gunakan. Hal ini untuk menutup kemungkinan dan memberi
ide kepada hacker untuk menemukan mana-mana saja plugin yang dapat dijadikan
celah untuk melakukan hack. Untuk menyembunyikan plugin yang terinstal pada
wordpress anda, dapat meng-upload file index kosong ke dalam folder /wp-content/plugins/
5. White
list pada .htaccess
Untuk mencegah hacker mengotak-atik
folder admin anda ada baiknya anda memasukkan daftar IP Whitelist yang
diperbolehkan untuk mengakses folder-folder penting pada website anda sehingga
tidak akan ada orang yang dapat melihat folder admin kecuali anda dan daftar IP
yang diberikan izin akses. Untuk melakukan hal ini anda dapat menambahkan
beberapa baris script kode pada file .htaccess anda yang terletak pada file
Manager didalam Cpanel. (munculkan bila tersembunyi). Secara default, letak
file .htaccess adalah didalam /wp-admin/
Berikutnya tambahkan kode dibawah
ini untuk melindungi halaman wp-login.php dan wp-config.php anda sehingga hanya
IP tertentu yang dapat mengakses halaman tersebut:
<Files wp-login.php>
Order deny,allow
Deny from All
Allow from xxx.xxx.xxx.xxx
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
ganti xxx. dengan alamat IP anda.
Trik diatas juga dapat melindungi wp-config anda agar tidak dapat dilihat
isinya karena informasi yang tersimpan didalam wp-config sangat vital karena
terdapat username dan password website anda.
Anda dapat mengedit file .htaccess
ini langsung melalui cpanel atau melalui komputer anda namun sebaiknya file ini
anda backup terlebih dahulu.
6. Plugins
Security
Beberapa plugins dibawah ini dapat
berfungsi maksimal untuk melindungi file-file penting yang rentan menjadi
sasaran utama para hacker untuk diserang. Anda dapat menginstal plugin-plugin
berikut:
Login LockDown (untuk melindungi halaman login
anda dari ‘brute force attack’ ,mencatat IP yang berusaha untuk login ke
website anda juga memblok IP yang mencurigakan.)
7. Themes
Upayakan agar anda tidak mendownload
theme yang tidak jelas sumbernya ataupun versi yang Nulled. Karena memungkinkan
bagi hacker untuk menambahkan script-script yang dapat dimanfaatkan untuk
menyusup kedalam website anda.
8. Plugin
Update
Banyak hacker memanfaatkan celah pada
beberapa plugin yang menurut mereka dapat diserang. Oleh karena itulah para
pembuat plugin terus menyempurnakan plugin-plugin mereka selain untuk
memperkaya fitur juga meningkatkan keamanan yang sebelumnya dapat dimanfaatkan
oleh hacker.
9. Backup
Database
Untuk mencegah kemungkinan terburuk
sangat disarankan agar anda melakukan update database pada wordpress anda
dengan bantuan wp-db-backup atau wp-time-machine. wp-time-machine
mempunyai fitur melakukan full backup situs wordpress anda, mulai dari image,
comment, postingan, theme hingga semua plugin anda.
Apabila anda adalah
seorang awam dimana website anda sudah terlajur terkena hack, anda mempunyai 3
opsi untuk memperbaikinya:
- Anda
dapat melakukan restore data backup yang anda simpan dikomputer anda.
Setelah itu segeralah mengganti password anda.
- Mintalah
bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak
hosting mempunyai tenaga ahli untuk menangani hal ini.
- Cara
terakhir, anda dapat mengkontak sang hacker tersebut serta membicarakannya
dengan baik-baik. Umumnya para hacker meninggalkan alamat email yang dapat
dihubungi meskipun beberapa lainnya tidak meninggalkan jejak apa-apa.
Namun biasanya bagi hacker yang meninggalkan jejak email masih
memungkinkan untuk dimintai bantuan agar mengembalikan website anda.
Meskipun kemungkinannya 50-50. Namun pada umumnya komunitas
hacker di Indonesia banyak diantaranya yang melakukan hack dengan tujuan
untuk mengingatkan pengguna agar dapat meningkatkan sekuriti pada website
korban agar dapat melakukan perbaikan selanjutnya. Ya, terkadang hacker
golongan ini memberi masukan berharga kepada kita semua