Home / Security / Hacking / Website Security untuk wordpress
wp-security

Website Security untuk wordpress

Ketika kita running dalam bisnis online, keamanan website kita merupakan harga mati yang tidak bisa ditolerir. Website security ini merupakan issue penting bagi banyak kalangan netpreneur atau pemain bisnis yang menggantungkan bisnisnya melalui internet, dan tidak sedikit pula para pemain online marketing mengalami kegagalan dalam mengelola bisnis karena websitenya terkena hack ataupun malware.

Ketika kita menjalankan sebuah e-commerce website, pembeli kita harus merasa nyaman untuk berbelanja di website kita karena mereka harus memasukkan data pribadi dalam bertransaksi terlebih lagi jika menggunakan kartu kredit. Jika kita tidak membuat pelanggan merasa aman dan nyaman dalam berbelanja online di website kita maka otomatis penjualan akan menurun, bisnis akan terhambat dan praktis kita akan kehilangan banyak kesempatan dari bisnis online.

Apalagi jika di dalam website kita menggunakan open source CMS seperti wordpress. Setiap hacker pasti sudah mempelajari kode open source yang tercantum dalam open source CMS, dan melalui banyak trial dan error pasti para hacker terus mencoba untuk mencari celah keamanan supaya mereka bisa menembus keamanan aplikasi open source CMS dengan berbagai macam teknik seperti sql injection, phising dan lain sebagainya.

Ada beberapa penyebab yang menjadikan website wordpress kita kurang aman dari sisi security diantaranya:

  1. Aplikasi core wordpress yang tidak up to date, dengan ini kita dapat mengantisipasi untuk terus mengupdate aplikasi wordpress. jadi sudah tidak ada alasan untuk kita tidak update wordpress core, kalaupun ternyata setelah update terjadi error dengan templatenya maka sebaiknya hubungi developer templatenya atau ganti template yang lebih support.
  2. Penyebab yang kedua wordpress kurang aman adalah plugin atau themes yang sudah kadaluarsa, apabila theme dan plugin sudah tidak pernah ada update dari developernya maka sebaiknya dipertimbangkan untuk digunakan lebih lanjut kecuali jika kita mengerti tentang programming dan dapat memodifikasi plugin atau themes yang ada. Checkmarx’s research lab mengindentifikasi bahwa lebih dari 20% plugin yang populer 50 teratas sangat rentan terhadap serangan hacking seperti sql injection, brute force dan lain-lain.
  3. Plugin atau Theme update tapi masih tetap terdapat vulnerability atau celah keamanan yang rentan, banyak theme atau plugin yang menggunakan base64 encoding dalam pola programming mereka, untuk mengantisipasi ini kita bisa menggunakan WAF security seperti: mod security, cloudflare, atau incapsula.
  4. Login detail yang terlalu mainstream, untuk username admin backend apakah kita masih suka menggunakan username: “admin” atau administrator”? kalau iya segera ganti karena hacker dengan gampang akan mudah menebak user akses super admin dan menghajar password dengan metode brute force.
  5. Malware, ya malware juga merupakan salah satu penyebab hancurnya website kita, sayapun pernah mengalaminya, menggunakan computer windows, download aplikasi bajakan kemudian installernya mengundang virus dan malware sehingga ketika kita mengakses ftp atau cpanel kemungkinan besar virus malware akan masuk melalui ftp dan menginfeksi file php. Untuk mengantisipasinya kita harus selalu update OS, gunakan antivirus original, gunakan personal firewall, menggunakan parameter https:// untuk website kita, dan akses ftp menggunakan sftp, amankan server dengan menggunakan SSL certificate.
  6. Vulnerable software server, artinya aplikasi di dalam server yang rentan dan banyak kelemahan dari segi celah keamanan. Misalkan: PHP – CGI Vulnerability (ada dalam versi 5.3.12 dan sebelumnya), MySql / MariaDB vulnerability (ada dalam versi sebelum 5.5.25), apache range header DoS (ada dalam versi sebelum 2.2.20). Cara mengantisipasinya jika anda menggunakan full dedicated software atau VPS, anda bisa meng-update sendiri aplikasi server tersebut, ikut standar keamanan yang ada pada guideline, jika kita menggunakan share hosting, tanyakan pada provider hosting kita apakah aplikasi server tersebut sudah update atau belum.
  7. Konfigurasi sistem server yang tidak benar, mungkin masalah ini jarang kita dengar jika kita menempatkan aplikasi kita di hosting provider yang terpercaya dan profesional
  8. File permission yang salah, banyak contoh ketika kita mengutak-atik wordpress dari ftp server terkadang kita perlu mengkonfigurasi untuk mengatur beberapa plugin atau theme yang diperlukan, nah pengaturan tersebut terkadang melibatkan file permission dari beberapa folder. Dan apabila itu terjadi pastikan konfigurasi folder permission kita kembali ke jalan yang benar: folders (555), files (644), wp-config.php (444). Jika kita menggunakan VPS atau DEDICATED server kita juga bisa menggunakan SSH Command:
    find /wordpress -type d -exec chmod 755 {} \;find /wordpress -type f -exec chmod 644 {} \;parameter /wordpress bisa diganti sesuai dengan nama folder yang tersimpan aplikasi wordpress dalam server kita.
  9. Untuk lebih menyempurnakan lagi security wordpress kita bisa menggunakan security key, info lebih lanjut bisa lihat di: https://api.wordpress.org/secret-key/1.1/salt/, menggunakan SSL untuk wp-login.php, hanya mengizinkan akses admin dari IP tertentu, dengan begini halaman wp-admin hanya bisa diakses oleh IP kita.

selain 9 point di atas kita masih bisa menambahkan banyak cara untuk melindungi website kita dari berbagai macam resiko diantaranya: selalu membuat backup, menggunakan password yang susah untuk ditebak, mengganti table prefix, dengan demikian makan kita akan merasa aman dari berbagai macam kemungkinan resiko dan rasa aman juga dialami oleh calon customer website kita dalam belanja online.

 

Leave a Reply

Your email address will not be published. Required fields are marked *