6+ Tips Mengamankan WordPress

Catatan : Saya merubah judul artikel menjadi 6+ Tips Mengamankan WordPress karena banyak masukan dari teman-teman yang saya jadikan update artikel. Silahkan baca update terakhir yang ada di bagian bawah artikel.
WordPress adalah sebuah blogging tool ternama dengan jumlah pengguna dan dukungan komunitas yang sangat besar. Namun karena hal tersebut, maka WordPress sering kali menjadi sasaran serangan tangan-tangan jahil. Karena itu tindakan pencegahan untuk menutupi atau setidaknya bisa mengurangi celah keamanan dari WordPress perlu dilakukan.
Dan berikut adalah 6 tips mengamankan WordPress kita.

1. Selalu Update

Ada alasan kenapa WordPress selalu mengupdate CMSnya, semisal WordPress 1.0, WordPress 2.0, WordPress 3.3, WordPress 3.4, dan yang terakhir, WordPress 3.4.1. Selain penambahan fitur-fitur baru, penerbitan versi (atau update versi) tersebut ditujukan untuk memperbaiki atau menutup celah-celah keamanan yang ada di WordPress sebelumnya.
Jadi jika anda peduli dengan keamanan blog, selalu mengupdate versi WordPress adalah salah satu cara termudah yang bisa dilakukan.

2. Memasang Plugin Pengaman WordPress

Selain selalu update, ada juga cara mudah untuk mengamankan WordPress, yaitu dengan memasang plugin pengaman. Dengan menggunakan plugin pengaman, kita tidak terlalu dipusingkan dengan utak-atik file .htaccess dan sebagainya. Cukup centang beberapa opsi yang ada di plugin, maka WordPress kita sudah lebih aman dari kondisi sebelumnya.
Beberapa plugin pengaman WordPress yang menjadi plugin paling direkomendasikan oleh teman-teman blogger antara lain :

• Login Lockdown. Login lockdown berfungsi untuk mengunci akses sebuah IP Address dalam rentang waktu tertentu yang menuju ke halaman login WordPress jika terjadi kesalahan memasukkan nama user atau password dalam beberapa kali percobaan (jumlah kesalahan percobaan serta rentang waktu bisa diatur). Plugin ini sangat berguna untuk menangkal Brute Force.
• Login Security Solution. Memiliki fungsi yang sama dengan Login Lockdown.
• Bullet Proof Security. Plugin ini berfungsi untuk menangkal segala serangan XSS, RFI, CRLF, CSRF, Base64, Code Injection dan SQL Injection. Selain itu, Bullet Proof Security juga memproteksi file wp-config.php, bb-config.php, php.ini, php5.ini, install.php dan readme.html. Tidak cukup di situ, Bullet Proof Security juga akan melindungi root folder serta folder wp-admin. Super komplit.
• Secure WordPress. Plugin ini adalah pemain lama dalam urusan keamanan WordPress. Secure WordPress bekerja dengan menyembunyikan versi WordPress, RSD, Windows Live Writer, serta menyembunyikan peringatan core-update dan plugin-update dari user non-admin, dan lain sebagainya.
• Chap Secure Login. Plugin ini berfungsi untuk meng-enkripsi password yang dikirimkan dari komputer kita menuju ke server/web host WordPress. Sangat berguna bagi blog yang tidak memiliki/menggunakan fasilitas SSL.
• AntiVirus. Bukan hanya komputer saja yang memutuhkan anti virus, WordPress pun membutuhkannya. Dengan plugin AntiVirus, maka blog anda akan dilindungi dari kemungkinan terkena exploits, malware dan spam injections yang mungkin didapat dari theme yang anda install.

3. Password

Tapi 2 hal di atas tidak banyak berguna jika password yang anda gunakan mudah ditebak. Nomor telepon atau tanggal lahir dan hal umum lainnya tidaklah aman sekarang ini (kesalahan umum yang saya sendiri dulu pernah melakukannya).
Jadi pastikan password anda cukup rumit untuk bisa ditebak. Melihat beberapa persyaratan pendaftaran di berbagai situs semacam GMail, Yahoo, atau WordPress sendiri, sekarang ini sangat disarankan untuk membuat password minimal 8 digit.
Mungkin beberapa situs password generator berikut bisa membantu anda dalam membuat password yang cukup rumit sampai sangat rumit.

• Strong Password Generator
• Free Password Generator
• SS 64
• Password Generator

Jika yakin password anda rumit, coba tes dengan Password Haystack. Dalam tes ini kita bisa melihat kekuatan password kita dengan memperkirakan kira-kira sampai berapa lama password kita bisa dibobol. Dari hasil percobaan dengan mencoba memasukkan password lama saya, ternyata password lama saya bisa dipecahkan dalam waktu 4.5 bulan saja. Tidak heran kenapa akun saya dulu bisa dibobol :).
Tapi ketika saya mencoba memasukkan password 30 digit saya dari hasil situs generator password di atas, Brute Force baru bisa memecahkan password saya setelah 68.97 billion trillion trillion trillion centuries (silahkan diterjemahkan sendiri).

4. File .htaccess

Poin ke empat ini sebenarnya tidak perlu dilakukan jika menggunakan plugin pengaman WordPress. Namun anda bisa mengedit file .htaccess jika plugin pengaman WordPress anda tidak menyertakan beberapa snippets berikut :
Backup file .htaccess sebelum melakukan hal-hal di bawah. Jika ada kesalahan, maka anda bisa me-restore .htaccess dengan menggunakan file yang telah anda backup sebelumnya.

4.1. Mengamankan File wp-config.php

File wp-config.php perlu dilindungi karena file ini menyimpan berbagai informasi penting yang berkaitan dengan nama database, username dan password database, serta table prefix. Jika sampai hal ini diketahui orang-orang yang tidak bertanggung jawab, maka akan sangat berbahaya bagi blog/situs kita yang berbasis WordPress.
Karena itu kita harus mengamankan file wp-config.php ini. Caranya copy paste snippet berikut ke dalam file .htaccess.

# Protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

4.2. Menangkal Injeksi Script Berbahaya

# Protect from Malicious Script Injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

4.3. Menangkal Hotlink Gambar

Terkadang jengkel juga ketika ada yang mencuri bandwidth blog/situs kita dengan hotlink gambar. Untuk mengatasinya, gunakan snippet berikut (Sebelumnya buat gambar yang akan ditampilkan di blog/situs yang mencuri gambar. Gambar yang mempromosikan blog/situs kita mungkin bukan ide yang buruk)

# Protect from Hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+.)?example.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

4.4. Menolak Komentar SPAM

Dengan .htaccess kita juga bisa menangkal komentar SPAM. Copy paste snippet berikut ke dalam file .htaccess.

# Protect from Spam Comments
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

4.5. Mengamankan File .htaccess

Setelah kita selesai menambahkan beberapa snippets di file .htaccess untuk mengamankan file wp-config.php, file wp-comments-post.php, dsb. Kita juga harus mengamankan file .htaccess itu sendiri. Gunakan snippet berikut untuk mengamankan file .htaccess :

# Protect htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>

5. File Permissions

File permissions default bawaan WordPress adalah :

• 755 untuk direktori
• 644 untuk file

Tapi untuk memperketat keamanan, kita perlu mengubah / CHMOD file wp-config.php. Untuk mencapai keamanan maksimum, CHMOD file wp-config.php menjadi 600 atau lebih baik lagi CHMOD menjadi 400 jika memungkinkan. Atau jika benar-benar tidak memungkinkan, CHMOD file menjadi 640.

6. Backup

Terkadang, meskipun segala tindakan pengamanan sudah dilakukan, kejadian kurang menguntungkan bisa saja terjadi. Maka untuk mengantisipasi hal-hal tidak terduga, kita harus memback up file di FTP dan database blog.
Bagaimana caranya? Anda bisa melakukannya melalui cPanel. Pilih bagian Files, dan klik Backups. Lakukan ini secara rutin.

Atau jika tidak mau susah, gunakan plugin WP-DBManager atau WP-DB-Backup yang akan membackup file dan database WordPress secara otomatis maupun manual.
Atau anda juga bisa menggunakan WP Backup to Dropbox yang akan membackup file dan database WordPress ke Dropbox (harus memiliki akun Dropbox tentu saja).
Selain itu anda juga bisa menggunakan layanan situs DropMySite atau iDrive.

Dan kita sampai di akhir artikel 6 Tips Mengamankan WordPress. Semoga bermanfaat.

Update 1 :

Mas Faisal Rachmadin menulis artikel Cara Menghilangkan Versi WordPress yang lengkap. Silahkan dibaca.
Kemudian ada tambahan plugin pengaman WP Firewall 2 berdasarkan komentar mas Atep Saepulloh.

Update 2 :

Salt Key

Update ini berdasarkan komentar mas Awan.
Salt dalam bahasa Indonesia berarti garam. Tapi tentu saja di sini saya tidak membahas tentang bumbu dapur.
Dalam kriptografi, salt terdiri bit acak yang digunakan sebagai salah satu masukan untuk kunci fungsi turunan. Masukan lain biasanya kata sandi. Keluaran dari fungsi kunci turunannya disimpan sebagai sandi versi dienkripsi (Wikipedia).
Dan dalam file wp-config.php, WordPress telah menyertakan contoh penempatan salt key yang bisa kita pakai untuk mengamankan WordPress. Mungkin anda bertanya kenapa menggunakan salt key? Karena…

1. Meng-enkripsi cookies (Cookies menyimpan data login, preferences situs, dll. Jadi akan lebih baik jika cookies dienkripsi.)
2. Blog WordPress akan lebih lebih lebih sulit diretas
3. Kombinasi keamanan yang dikombinasikan dengan salt key akan memakan waktu bertahun-tahun untuk bisa dipecahkan

Cara Memasang Salt Key

1. Buka https://api.wordpress.org/secret-key/1.1/salt/. Copy key yang ada.

2. Gunakan program FTP favorit anda, dan buka file wp-config.php di root folder web host.
3. Paste key yang telah di-copy ke dalam file wp-config.php. Dan simpan.

4. Selesai. Anda dapat mengubah salt key kapanpun yang anda inginkan.

Source : http://www.majuter.us/wordpress-tips/6-tips-mengamankan-wordpress.html