Mengamankan Website/ Blog yang menggunakan CMS Wordpress

Sekarang aku akan share tentang Mengamankan Website/ Blog yang menggunakan CMS Wordpress.
Artikel ini ditulis langsung oleh Mitchell Alexander di Grup Komunitas Blogger Pontianak (doc).
Jadi langsung saja ke TKP.

Ilustrasi: Security Wordpress

1. Selalu periksa apakah ada update terbaru pada Wordpress, theme atau plugin.
2. Cek apakah ada bug pada plugin/ theme di -> http://wordpressexploit.com/
3. Gunakan plugin -> https://wordpress.org/plugins/wp-security-scan/
4. Hapus file, folder theme dan plugin yang tidak dipakai termasuk file readme.html dan licensi.txt pada direktori root wordpress.
5. Jangan pakai username: admin sebagai username anda, usahakan ganti dengan yang lain dan pakai Password yang kuat perpaduan angka, huruf (besar-kecil), dan karakter, bisa dibilang password alay :v
6. Block bot untuk crawl folder tertentu, karena orang yang akan deface biasanya hasil scan dari google dengan keyword tertentu untuk mencari bug.

Tambahkan pada robots.txt

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

7. Tambahkan script di bawah ini pada file functions.php dalam folder themes

// remove the unwanted links
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wp_shortlink_wp_head');

// remove wp version meta tag and from rss feed
function at_remove_wp_ver_meta_rss() {return '';}

add_filter('the_generator', 'at_remove_wp_ver_meta_rss');

8. Tambahkan script di bawah ini pada file functions.php dalam folder themes yang aktif, fungsinya untuk meminimalisir fingerprinting version wordpress yang kita gunakan.

// remove the unwanted  links
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wp_shortlink_wp_head');

// remove wp version meta tag and from rss feed
function at_remove_wp_ver_meta_rss() {
    return '';
}

add_filter('the_generator', 'at_remove_wp_ver_meta_rss');

9. Tambahkan script di bawah ini pada file .htaccess

# disable directory browsing
Options All –Indexes

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

# block file access
order allow,deny
deny from all
order allow,deny
deny from all
order allow,deny
deny from all
ServerSignature Off
LimitRequestBody 10240000
order allow,deny
deny from all

# xmlrpc.php pingback
RedirectMatch 403 /(.*)/xmlrpc.php$

# disable trace track
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

# prevent character string filter
RedirectMatch 403 ,
RedirectMatch 403 :
RedirectMatch 403 ;
RedirectMatch 403 =
RedirectMatch 403 @
RedirectMatch 403 [
RedirectMatch 403 ]
RedirectMatch 403 ^
RedirectMatch 403 ̀
RedirectMatch 403 {
RedirectMatch 403 }
RedirectMatch 403 ~
RedirectMatch 403 "
RedirectMatch 403 $
RedirectMatch 403 <
RedirectMatch 403 >
RedirectMatch 403 |
RedirectMatch 403 ..
RedirectMatch 403 %0
RedirectMatch 403 %A
RedirectMatch 403 %B
RedirectMatch 403 %C
RedirectMatch 403 %D
RedirectMatch 403 %E
RedirectMatch 403 %F
RedirectMatch 403 %22
RedirectMatch 403 %27
RedirectMatch 403 %28
RedirectMatch 403 %29
RedirectMatch 403 %3C
RedirectMatch 403 %3E
RedirectMatch 403 %3F
RedirectMatch 403 %5B
RedirectMatch 403 %5C
RedirectMatch 403 %5D
RedirectMatch 403 %7B
RedirectMatch 403 %7C
RedirectMatch 403 %7D

# prevent query string
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} ("|%22).*(<|>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:).*(;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\|../|`|='$|=%27$) [NC,OR]
RewriteCond %{QUERY_STRING} (;|'|"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if) [NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|[|%) [NC]
RewriteRule .* - [F]

# prevent request string
RedirectMatch 403 (https?|ftp|php)://
RedirectMatch 403 /(https?|ima|ucp)/
RedirectMatch 403 /(Permanent|Better)$
RedirectMatch 403 (=\'|=\%27|/\'/?|).css()$
RedirectMatch 403 (,|)+|/,/|{0}|(/(|...|+++|||\"\")
RedirectMatch 403 .(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register).php$
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107_)
RedirectMatch 403 (eval(|_vti_|(null)|echo.*kae|config.xml)
RedirectMatch 403 .well-known/host-meta
RedirectMatch 403 /function.array-rand
RedirectMatch 403 );$(this).html(
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot.htm)._
RedirectMatch 403 /ref.outcontrol
RedirectMatch 403 com_cropimage
RedirectMatch 403 indonesia.htm
RedirectMatch 403 {$itemURL}
RedirectMatch 403 function()
RedirectMatch 403 labels.rdf
RedirectMatch 403 /playing.php
RedirectMatch 403 muieblackcat

Sekian sedikit tutorial tentang Mengamankan Website/ Blog yang menggunakan CMS Wordpress yang bisa aku bagikan. Semoga bermanfaat.
Sekali lagi terimakasih buat Mitchell Alexander yang memperbolehkan aku untuk posting artikel ini disini.
Sebagian adalah koreksi dan perbaikan dari aku supaya lebih baik untuk dibaca.
Salam Blogger. ;)