Ternak Website

Cara Mengamankan File dan Database Website WordPress

Kali ini kami akan jelaskan perihal cara mengamankan file dan database website WordPress. WordPress merupakan salah satu platform / CMS paling populer di dunia. Sayangnya, popularitas WordPress juga tidak lepas dari problem seperti salah satu CMS yang paling banyak dibobol di dunia. Namun, sebenarnya sangat mudah untuk mengamankan WordPress jika Anda mengikuti panduan dan mengimplementasikan beberapa trik yang tersedia di bawah.

Cara Mengamankan File dan Database website WordPress

Anda tentu wajib mengamankan file serta database WordPress dari berbagai macam ancaman. Berikut beberapa cara mengamankan file dan database website WordPress yang bisa Anda lakukan :

a. Disable File Editing

Cara mengamankan file dan database website yang pertama adalah disable file editing. WordPress memungkinkan Anda untuk mengedit file tema dan plugin secara langsung melalui fitur code editor. Walaupun berguna, fitur ini juga bisa membahayakan keamanan WordPress Anda.

Jika hacker berhasil masuk ke dashboard WordPress, mereka dapat mengotak-atik file tema atau plugin Anda. Alhasil website Anda bisa menjadi berantakan karena ulah hacker yang merusak file tema atau plugin. Jadi sebaiknya Anda menonaktifkan izin file editing di WordPress. Caranya cukup mudah. Anda hanya perlu menambahkan baris kode di bawah ini ke file wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

b. Gunakan .htaccess

Cara mengamankan file dan database website yang kedua yaitu pakai .htaccess. Fungsi .htaccess yang umum diketahui adalah untuk memastikan link-link di WordPress agar bekerja dengan benar. Padahal fungsi .htaccess tidak hanya itu. Fungsi lain dari .htaccess adalah untuk meningkatkan keamanan WordPress Anda.

Berikut adalah tiga cara mengamankan file dan database website menggunakan .htaccess:

1. Menghalangi akses ke halaman administrator

Anda bisa membatasi akses halaman administrator dari alamat IP tertentu menggunakan .htaccess. Anda cukup menambahkan kode di bawah ini ke file XXX:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control” AuthType Basic
<LIMIT GET>
order deny,allow deny from all
allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx
</LIMIT>

Isi xx.xx.xx.xxx dengan alamat IP yang ingin Anda perbolehkan untuk mengakses halaman admin WordPress. Tidak ada batasan jumlah alamat IP yang bisa Anda tambahkan. Jadi Anda bisa menambahkan alamat IP sebanyak-banyaknya.

Catatan:

Metode mengamankan file dan database website ini tidak direkomendasikan untuk alamat IP dinamis.

2. Menonaktifkan eksekusi PHP di folder tertentu

Hacker sering memanfaatkan fitur upload folder di WordPress untuk mengunggah backdoor scripts. Padahal fitur upload folder seharusnya hanya untuk mengunggah file media. Anda bisa menutup celah ini dengan menonaktifkan eksekusi PHP di folder tertentu. Caranya adalah dengan menambahkan file .htaccess baru di direktori /wp- content/uploads menggunakan baris kode di bawah ini:

<Files *.php>
deny from all
</Files>

3. Melindungi file wp-config

Di dalam file wp-config terdapat pengaturan inti WordPress dan detail database MySQL. Artinya wp-config adalah file yang sangat penting untuk WordPress Anda. Para hacker seringkali menjadikan file tersebut sebagai target peretasan. Jadi Anda perlu melindungi file tersebut secara ekstra. Anda bisa melindungi file wp-config dengan menggunakan baris kode .htaccess di bawah ini:

<files wp-config.php>
order allow,deny
deny from all
</files>

c. Nonaktifkan Fungsi XML-RPC

Cara mengamankan file dan database website yang ketiga ialah nonaktifkan fungsi XML-RPC. XML-RPC adalah fitur dari WordPress yang memungkinkan penggunanya untuk mengakses dashboard WordPress secara remote. Dengan XML-RPC, pengguna bisa menerbitkan postingan di WordPress melalui email dengan menjalankan trackback dan pingback.

Meskipun terlihat berguna, sayangnya fitur tersebut juga membuka risiko keamanan untuk WordPress Anda. Risiko keamanan pertama adalah fitur ini dapat dimanfaatkan hacker untuk menjalankan serangan brute force attack ke WordPress Anda. Selain itu, hacker juga bisa lebih mudah mengirimkan serangan DDoS melalui pingback yang dijalankan oleh XML-RPC.

Oleh karena itu, sebaiknya Anda menonaktifkan fitur XML-RPC. Terdapat dua cara untuk menonaktifkannya. Cara mengamankan file dan database website dengan XML-RPC yang pertama adalah menggunakan plugin. Ada beberapa plugin yang bisa Anda gunakan seperti Disable XML-RPC, Stop XML-RPC Attack atau Control XML-RPC Publishing. Kedua plugin terakhir digunakan jika hanya ingin menonaktifkan beberapa elemen XML-RPC.

Cara menggunakan plugin Disable XML-RPC, cukup aktifkan plugin. Nanti fitur XML-RPC di WordPress Anda akan otomatis menjadi tidak aktif. Namun, perlu Anda pahami juga bahwa dengan menonaktifkan XML-RPC bisa mempengaruhi kinerja beberapa plugin. Sebab ada beberapa plugin yang kinerjanya berkaitan dengan XML-RPC.

Selain menggunakan plugin, Anda juga bisa menonaktifkan XML-RPC secara manual. Caranya cukup mudah. Anda hanya perlu menyalin kode di bawah ini dan memasukkannya ke file .htaccess Anda:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

d. Disable Directory Browsing

Cara mengamankan file dan database website yang keempat yaitu disable directory browsing. Directory browsing adalah halaman index yang menampilkan informasi penting mengenai plugin, tema, atau bahkan server yang Anda gunakan. Halaman index ini biasanya muncul ketika server tidak bisa menemukan index file seperti index.php atau index.html.

Walaupun terlihat sepele, hacker dapat memanfaatkan informasi penting di directory browsing untuk menemukan celah masuk ke dashboard WordPress Anda. Oleh karena itu, Anda perlu menonaktifkan fitur ini untuk memperkecil celah keamanan WordPress.

Berikut adalah langkah-langkah untuk menonaktifkan directory browsing:

e. Gunakan CDN

Cara mengamankan file dan database website yang kelima yakni pakai CDN (Content Delivery Network). CDN punya banyak manfaat untuk website, salah satunya adalah untuk meningkatkan kualitas keamanan website. Apa saja manfaat CDN untuk keamanan website Anda? Berikut tiga manfaatnya:

Ada banyak perusahaan yang menyediakan layanan CDN, baik gratis maupun berbayar. Jika Anda ingin CDN gratis dengan kualitas yang mumpuni, Cloudflare bisa menjadi pilihan.

f. Lakukan Backup Secara Rutin

Cara mengamankan file dan database website yang keenam adalah backup. Tentu tidak ada yang pernah berharap websitenya diretas. Walaupun begitu, setiap pemilik website harus selalu siap jika kemungkinan terburuk terjadi. Sebab siapa pun bisa terkena serangan berbahaya di internet. Baik website pemerintah, website perusahaan besar, maupun website personal sama-sama bisa terkena serangan online.

Oleh karena itu, Anda harus punya backup semua data website. Jadi jika website Anda terkena serangan malware atau diretas, Anda tidak bisa mengembalikan website kembali seperti semula dengan cepat. Jika Anda menggunakan hosting di Niagahoster, semua data website Anda akan di-backup secara rutin setiap minggu. Walaupun begitu, Anda juga tetap perlu melakukan backup secara mandiri. Dengan begitu Anda punya cadangan backup.

Baca juga: Cara Sewa Hosting di Niagahoster

Niagahoster sendiri menyediakan fitur Jetbackup yang memudahkan Anda untuk melakukan backup mandiri. Jetbackup mendukung lebih banyak fitur dibanding backup cPanel biasa. Cara penggunaannya pun cukup mudah, Anda hanya perlu mengikuti panduan ini untuk melakukan backup menggunakan Jetbackup. Anda bisa melakukan backup mandiri sesuai kebutuhan Anda.

Saking pentingnya backup, mengandalkan backup dari layanan hosting dan backup mandiri saja belum cukup. Sebagai langkah antisipasi, Anda juga bisa memasang plugin backup untuk menjalankan backup otomatis. Salah satu plugin backup otomatis yang bisa Anda manfaatkan adalah UpdraftPlus.

g. Ganti Prefix Database WordPress

Cara mengamankan file dan database website yang ketujuh yakni ganti prefix database. Database WordPress berisi semua informasi dan data penting website sehingga seringkali menjadi target serangan para hacker. Secara default, WordPress menggunakan wp_ sebagai prefix untuk semua tabel di database WordPress Anda.

Penggunaan prefix default ini tentu cukup berbahaya karena mudah diketahui oleh para hacker. Oleh karena itu, Anda perlu menggantinya. Namun, sebelum memulai penggantian prefix database WordPress, pastikan Anda sudah membuat backup-nya terlebih dahulu.

Jika sudah selesai melakukan backup, Anda bisa mulai proses penggantian prefix dengan mengikuti langkah-langkah di bawah ini:

  1. Buka file wp-config.php yang terletak di root directory WordPress Anda.
  2. Ubah kode wp_ menjadi kode lain seperti wp_a123456_. Hasilnya akan menjadi seperti ini: $table_prefix = ‘wp_a123456_’;
  3. Setelah itu, buka phpMyAdmin. Anda bisa mengaksesnya melalui cPanel.
  4. Kemudian buka database WordPress Anda.
  5. Akan tampak beberapa nama tabel yang perlu diubah. Tentu mengubah nama tabel satu per satu cukup merepotkan. Tidak perlu khawatir, Anda bisa memanfaatkan fitur SQL dan menggunakan template di bawah ini :

Catatan:

Sekian info tentang cara mengamankan file dan database website WordPress, semoga artikel kali ini berguna buat sahabat semua. Tolong artikel ini disebarluaskan supaya semakin banyak yang memperoleh manfaat.

Referensi:

Exit mobile version