Check List Keamanan di Instalasi WordPress Anda

Survei dan fakta membuktikan jika WordPress adalah CMS terpopuler di jagad internet. Dari mulai blog curhat hingga toko online lengkap dengan keranjang belanja dan checkout menggunakan paypal, WordPress layak dinobatkan sebagai CMS serbaguna. Antar muka WordPress yang sederhana mendorong penggunanya untuk produktif.

Untuk developer, fungsi-fungsi wordpress terdokumentasi dengan lengkap. Semuanya ada di http://codex.wordpress.org. Nggak semua sih, kadang-kadang ada yang nggak ada, tapi jangan kuatir. Masih ada forum. Apapun masalah anda, pasti ada orang lain yang senasib. Dan jika masih stuck, Google bersedia membantu. Ask and I shall answer, said Google to people who need answers and… light porns.

Tapi sisi gelap ketenaran selalu ada dan biasanya tidak menyenangkan. WordPress adalah pesohor di dunia CMS. Seperti juga pesohor, banyak pihak yang mencarinya. Ada yang memuji, namun ada pula yang melucuti.

Jika anda menggunakan wordpress, prinsip saya adalah: “Better safe than sorry”. Jadi memperhatikan detail-detail kecil sangat dibutuhkan.

Random String/ Salt

Sebelum menginstall WordPress
Buka wp-config.php. Setelah mengatur database lihat baris yang berisi tulisan:

define('AUTH_KEY',         '');
define('SECURE_AUTH_KEY',  '');
define('LOGGED_IN_KEY',    '');
define('NONCE_KEY',        '');
define('AUTH_SALT',        '');
define('SECURE_AUTH_SALT', '');
define('LOGGED_IN_SALT',   '');
define('NONCE_SALT',       '');

Baris tersebut harus diisi dengan karakter-karakter rumit, unik dan membingungkan. Anda bisa men-generate random string tadi dengan mengunjungi https://api.wordpress.org/secret-key/1.1/salt/. Setelah itu keluar seperti ini:

define('AUTH_KEY',         'G6bW8_C`~RI9C~0|RGB@,g(Z@G`qMNgB2L=@)gJ2?q9~[o>rDb(-)S(<G0pElwwg');
define('SECURE_AUTH_KEY',  'j2#SbrD-s*cVBr9tHldc7;^fI<eQR`xpc|{@%-Kx./j4+X#bcw<5#fr!An9>OI3E');
define('LOGGED_IN_KEY',    '3I4-pL7B{2u|1!QvGgEZ.G6-Z$&4M6&L+K`z=C2M%84tMPc-|{M!Or{^|s48|/qv');
define('NONCE_KEY',        'K~nY+x)7+M-!YgP<j;YtO3c%NG76? %VK$|^q,kA<Ct/<U0E{,J`+0<B1R% ZebB'); 
define('AUTH_SALT',        '-ED5@`4JW/jV},fJu`+^/y&nBCP%M5/..>$qb-AH-X#Z2E_hR CHlTurk)~h5zC$');
define('SECURE_AUTH_SALT', '}tk!8-%5Nj,KsXh$19{|smh;#4*q] Z8+$TbD^,)ehkk6TbfFnor$xD r%:okqho');
define('LOGGED_IN_SALT',   '9=yJZ9on|XFz`;AS^TIH+Q7ZBtp!>nTT<+S,L_Bw7|G7H)-6 N7=|jv2WG,_ASB[');
define('NONCE_SALT',       '=mb}Sa*R8:y$%LnE4rOK[j:Tq^4NTdtg)T}PN?sq6jw@ZxR$=7w:5u_9F2 W2lL<');

Kopi paste kode tadi ke wp-config.php (jangan mengkopi kode diatas, anda harus men-generate sendiri).

Table Prefix

Masih di wp-config.php. Setelah selesai dengan random string tadi, cari $table_prefix = 'wp_';. Ubahlah menjadi selain wp_. Misalnya nm_ atau bji_ seperti ini $table_prefix = 'bji_';. Merubah prefix membuat database anda tidak mudah ditebak oleh penyusup.

Admin Username dan Password

Mulailah menginstall WordPress. Setelah itu anda akan diberi form untuk membuat username untuk administrator. Jangan beri nama admin, administrator, _admin_, Admin, dan/ atau yang berhubungan dengan admin. Pilihlah nama-nama yang asoi seperti rumpelstiltskin, eyjafjallajokull, pteranodon, ijiberngenstiau, ik3tunid4lak dan sejenisnya.

Kemudian password jangan tanggal lahir, 123456, kata password itu sendiri, nama pacar, nama ayah, nama ibu, nama presiden kita, nama pengisi suara Nobita, dsb. Intinya jangan nama-nama generik yang mudah ditebak.

Untuk password yang baik sebaiknya tanya teman-teman alay anda. Keahlian mereka mengkombinasikan huruf besar, huruf kecil, angka, dan karakter unik lainnya membuat mereka sangat ahli membuat password yang aman.

Menghilangkan Generator Versi WordPress di Source HTML

Di folder template anda, /wp-content/themes/nama_template, bukalah file functions.php. Masukkan kode berikut ini di baris terakhir.

function rm_generator_filter() {
return '';
}
add_filter('the_generator', 'rm_generator_filter');

Kode ini akan menghilangkan tag di source kode HTML dan feed RSS anda seperti ini <meta name="generator" content="WordPress 3.1.1"/>. Menampilkan versi wordpress memudahkan penyusup menebak sistem atau kelemahan yang terdapat pada versi tersebut.

Timthumb

Jika anda menggunakan timthumb (script resizer gambar on the fly), segeralah update ke versi terbaru di sini http://timthumb.googlecode.com/svn/trunk/timthumb.php.

Update WordPress dan Plugin

Update wordpress dan plugin jika terdapat versi terbaru. Update biasanya memperbaiki lubang-lubang keamanan.

Readme.html

Terakhir jangan lupa hapus readme.html. Disitu isinya jelas-jelas ada versi wordpressnya.

Sementara langkah-langkah diatas adalah langkah awal yang wajib dilakukan, sebetulnya masih banyak lagi, check list security yang bisa kita lakukan untuk lebih memperkuat wordpress dari serangan. Like I said before, “Better safe than sorry”.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s