BACADIGITAL.COM WordPress adalah CMS (Content Management System) yang banyak sekali digunakan oleh banyak orang. baik dari institusi, perusahaan dan pendidikan karena mudah dalam pengoperasian dan tidak perlu memikirkan coding cukup membeli thema yang diinginkan, user tinggal mensetup melalui menu yang disediakan oleh CMS WordPress agar sesuai dengan keinginan. Karena CMS WordPress banyak yang telah menggunakan maka banyak sekali aktifitas serangan terhadap website berbasis cms wordpress. Penulis baru baru ini sering mengalami serangan malware yang masuk melalui CMS WordPress sehingga membuat pusing (maklum pemula :D) dan mencari cara agar tidak sering disusupi malware. Setelah melakukan penelitian akhirnya penulis mengambil kesimpulan bahwa keamanan wordpress harus ditingkatkan lagi dan mudah-mudahan cara berikut dapat membantu user pemula yang mengelola website wordpress agar lebih aman dan nyaman.
1. BACKUP WEBSITE
Langkah pertama adalah membackup website terlebih dahulu agar hal yang tidak diinginkan atau bila terjadi perubahan yang mengakibatkan website error atau rusak bisa dikembalikan kembali (restore) sehingga mencegah penyesalan yang tak berujung :D.
2. MENGGUNAKAN TEMA WORDPRESS ORIGINAL BUKAN BAJAKAN
Menggunakan tema wordpress original selain terjamin keamanannya dan juga mendapatkan support dan update keamanan pada tema itu sendiri. Menggunakan versi bajakan selain tidak mendapatkan support dan juga rentan akan keamanan karena telah dimodifikasi tema tersebut sehingga para peretas dapat memanfaatkan kerentanan tersebut selain itu juga apabila tema tersebut dideteksi oleh pembuat asli bukan tidak mungkin tema tersebut tidak bisa dijalankan.
3. JANGAN SEMBARANGAN MENGUPLOAD APLIKASI DI HOSTING YANG RENTAN UNTUK KEAMANAN
Apabila anda mempunyai hosting dan menginstal WORDPRESS untuk company profile atau web sekolah berbasis wordpress, serta menggunakan aplikasi berbasis web lainnya (contoh : aplikasi elearning, aplikasi kelulusan dll) maka harus diperhatikan keamanan dari aplikasi tersebut karena sering sekali penulis mendapatkan celah pada beberapa aplikasi web yang dijual secara murah bahkan gratis dan tidak ada support update atau perbaikan keamanan dari developer itu sendiri.
4. INSTAL PLUGIN KEAMANAN WORDPRESS WORDFENCE
Tools plugin keamanan WORDFENCE adalah plugin yang berguna untuk meningkatkan keamanan wordpress dan membersihkan malware yang ada di dalam website. WORDFENCE tersedia dengan fitur gratis dan premium yang menurut penulis fitur gratis sudah cukup untuk meningkatkan keamanan website. Adapun fitur gratis yaitu : Scan terjadwal setiap 3 hari, Pemantauan kerentanan thema / plugin yang diinstal di wordpress, Deteksi perubahan pada file, Peringatan keamanan, Proteksi Brute Force, Login Keamanan 2FA dan Recapcha.
A. MENGGUNAKAN WORDFENCE
Instal plugin pada menu PLUGIN kemudian TAMBAH BARU seperti pada gambar
Tampil halaman instal plugin kemudian ketik “WORDFENCE” pada menu pencarian lalu pilih aplikasi wordfence dan klik INSTAL SEKARANG. Tunggu beberapa saat sampai dengan selesai. Apabila sudah aktif dan selesai instalasi maka akan terdapat keterangan instalasi aktif dan muncul menu Wordfence seperti pada gambar
B. MELAKUKAN SCANNING FILE
Setelah instalasi selesai maka scanning file terlebih dahulu agar file malware dapat ditemukan dan dihapus. Caranya dengan memilih menu SCAN pada menu Wordfence
Kemudian tampil halaman dashboard scan pada aplikasi wordfence sesuai gambar
Lalu pilih SCAN OPTIONS AND SCHEDULING dan tampil halaman lanjutan seperti pada gambar dibawah ini
Lalu checklist STANDARD SCAN kemudian pilih checklist sesuai pada gambar
dan pilih SAVE CHANGES,
pada halaman SCAN pilih START NEW SCAN seperti pada gambar
Untuk melakukan scanning pada file website, lama atau tidaknya proses scanning tergantung banyak atau tidak file website anda jadi harap bersabar dan bisa dilakukan sembari ngopi atau ditinggalkan terlebih dahulu. Apabila sudah selesai proses akan menampilkan file yang terinfeksi pada kolom RESULT FOUND dan apabila ada file asing yang masuk ke dalam file website anda dan tidak termasuk dalam file website anda bisa memilih DELETE ALL DELETABLE FILES, jika file yang termasuk dalam file website anda tetapi disusupi code malware bisa memilih REPAIR ALL DELETABLE FILES.
C. SETTING PENGATURAN FIREWALL PADA WORDFENCE
Untuk versi gratis Firewall sudah dilakukan otomatis oleh wordfence sehingga memudahkan user untuk melakukan setting. Pada instal pertama kali WORDFENCE ada pengaturan untuk optimasi firewall seperti pada gambar.
Pilih CLICK HERE TO CONFIGURE dan tampilan lanjutan seperti pada gambar
Terlihat pada gambar untuk mendownload backup .htaccess dan .user ini dan pilih CONTINUE untuk melanjutkan dan mensetting .htaccess pada wordpress anda.
D. BLOCKING IP ADDRESS PADA WORDFENCE
Untuk fitur premium ada fitur blocking otomatis sehingga dapat otomatis memblok IP Address yang mencurigakan dan untuk versi gratis bisa melakukan secara berkala dan manual dengan cara sebagai berikut :
Melihat Live Trafik pada menu Wordfence
pilih TOOLS akan terlihat live traffic beserta keterangan dari negara dan IP mana saja yang melakukan aktivitas mencurigakan dan icon bullets berwarna hijau, abu-abu, warning dan block seperti pada gambar dibawah
Kemudian Pilih trafik dari IP dan Negara yang mencurigakan dan kemudian pilih BLOCK IP sesuai pada gambar
Setelah semua selesai di BLOCK maka IP yang di blok tersebut berada di menu BLOCKING dan terlihat IP yang sudah dilakukan blocking seperti pada gambar
Checklist terlebih dahulu IP yang dipilih kemudiah Pilih MAKE PERMANENT untuk memblock IP secara permanen dan EXPORT ALL IPS untuk mendownload IP mana saja yang dicurigai telah melakukan aktivitas mencurigakan ini berguna sekali untuk mensetting firewal jika menggunakan VPS dengan Panel (contoh : aapanel, fastpanel, cpanel).
5. MENGUBAH LOGIN ADMIN MENGGUNAKAN PLUGIN WPS HIDE LOGIN
Pada umumnya login default admin pada wordpress adalah https://namawebsite/wp-admin, dan ini merupakan celah yang biasa dilakukan oleh peretas dengan menggunakan metode bruteforce dengan mengetahui login admin tersebut. Ada baiknya url login admin dirubah contoh menjadi https://namawebsite/semaugue. Sehingga menyulitkan peretas untuk mendapatkan url login admin. Salah satu plugin tersebut yang penulis gunakan adalah WPS HIDE LOGIN. Adapun cara menginstal plugin wordpress sudah dijelaskan diatas seperti terlihat pada gambar.
Setelah sukses diinstal dan aktif kemudian pada menu PENGATURAN pilih WPS HIDE LOGIN dan akan tampil beberapa pengaturan dan ubah pada bagian Login Url isikan yang menurut anda suka (contoh : semaugue) seperti pada gambar.
Untuk REDIRECTION URL biarkan saja secara default. Kemudian pilih SIMPAN PERUBAHAN. Kemudian logout terlebih dahulu dan login kembali dengan url admin yang telah dibuat contoh https://namawebsite/semaugue.
6. LOGIN ADMIN SECURITY MENGGUNAKAN PLUGIN SIMPLE GOOGLE RECAPTCHA
Untuk meningkatkan keamanan tidak ada salahnya untuk menginstal plugin google recaptcha agar mencegah bot dan juga brute force pada login admin. Adapun cara instal plugin SIMPLE GOOGLE RECAPTCHA hampir sama dengan menginstal plugin wordpress pada umumnya.
Setelah terinstal pilih menu PENGATURAN kemudian pilih Google reCAPTCHA masukkan SITE KEY dan SECRET KEY yang telah dibuat di web google recaptcha. Silahkan untuk menchecklist Disable on Login Form (tidak perlu checklist biarkan default), Enable reCAPTCHA v3 (jika menggunakan recaptcha v3), hide ReCAPTCHA v3 badge (biarkan default tidak perlu dichecklist) seperti pada gambar.
Logout terlebih dahulu akun admin wordpress dan setelah sukses menginstal google recaptcha maka akan tampil halaman login seperti pada gambar.
7. MEMBUAT GOOGLE RECAPTCHA
Untuk membuat google recaptcha caranya sangat mudah dan gratis. Terlebih dahulu anda harus mempunyai akun google untuk membuat google recapcha pada https://www.google.com/recaptcha/admin?hl=id
Kemudian pilih CREATE ditandai dengan icon ( + ) dan tampil halaman create sebagai berikut :
Berikan nama judul pada menu label (contoh : namaweb.com) kemudian pilih opsi reCAPTCHA v3 jika menggunakan v3, pilih reCAPTCHA v2 jika ingin menggunakan v2. Dalam kasus ini penulis memilih opsi reCAPTCHA v2 dikarenakan lebih simpel dan gak ribet dalam menginput capcha. Kemudian pilih opsi “I’m not a robot” checkbox masukkan nama domain (contoh : namaweb.com) kemudian Accept the reCAPTCHA Terms of Service (di checklist / centang) dan SEND ALERTS TO OWNERS (opsional : bisa checklist / dicentang maupun tidak dichecklist / tidak dicentang) lalu pilih SUBMIT seperti pada gambar
kemudian akan tampil kode SITE KEY dan SECRET KEY pada website yang telah dibuat untuk Google Recaptcha. Copy SITE KEY dan SECRET KEY lalu pastekan kode pada plugin wordpress anda (contoh plugin : Simple Google reCAPTCHA)
8. MENGEDIT FILE .HTACCESS
Jangan lupa untuk membackup file .htaccess dan silahkan untuk mengedit file .htaccess anda pada baris setelah modifikasi .htaccess oleh plugin wordfence, atau bisa juga mengupload ulang file .htaccess dengan file modifikasi .htaccess versi penulis (peringatan : file .htaccess ini wajib menggunakan plugin WORDFENCE) di versi link yang sudah saya buatkan
Perlu diketahui jika ada konfigurasi file .htaccess yang mengakibatkan web tersebut tidak berjalan atau tidak tampil silahkan untuk mengedit manual konfigurasi mana yang mengakibatkan web tersebut tidak berjalan dengan menghapus baris kode setelah #END Wordfence WAF sesuai pada gambar.
Disini saya sediakan 3 file .htaccess yang mana pengaturan untuk panel gratis yaitu fastpanel, dan aapanel. Silahkan untuk melakukan percobaan jika dirasa tidak bermasalah maka silahkan untuk dilanjutkan.
9. DISABLE XMLRPC.PHP DENGAN MENGEDIT FILE FUNCTION.PHP DAN .HTACCESS
Hacker seringkali memanfaatkan file XMLRPC.PHP untuk melakukan serangan DDOS dengan mengirimkan pingback ke website wordpress secara terus menerus dan dalam jumlah besar. Hal tersebut menyebabkan beban server yang meningkat dan tidak mungkin website anda down dan di block oleh penyedia hosting akibat serangan tersebut. Untuk mencegah atau mendisable file XMLRPC.PHP ini adalah dengan cara mengedit file function.php pada tema wordpress yang sedang anda gunakan.
Masukkan kode berikut pada file function.php anda
add_filter( 'xmlrpc_enabled', '__return_false' );
Pilih menu TAMPILAN kemudian pilih EDITOR BERKAS TEMA kemudian pilih file function.php
Seperti pada gambar dibawah
Setelah mengedit function.php bisa juga dengan menambahkan kode script pada .htaccess dengan mengedit file .htaccess yang berada di hosting dan tambahkan script berikut :
# xmlrpc wordpress
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
# END
Seperti contoh pada gambar dibawah, kemudian simpan perubahannya.
10. MENGUJI NILAI KEAMANAN WEB SEBELUM DAN SESUDAH DIMODIFIKASI
Untuk melakukan pengujian pada website anda sebelum modifikasi maupun yang sudah dimodifikasi bisa menggunakan tool online di https://webpagest.org masukkan url link web hasil bisa dilihat pada gambar.
Hasil test sebelum modifikasi
Hasil test setelah melakukan modifikasi
Demikianlah tutorial sederhana mengamankan website dengan beberapa plugin wordpress dan mengedit file .htaccess semoga berguna bagi pengguna wordpress untuk meningkatkan keamanan website sehingga mencegah peretas atau malware masuk berdasarkan pengalaman menulis. Tunggu artikel selanjutnya dan terima kasih telah membaca tutorial ini.
Bahan Inspirasi :
https://www.wpnesia.id/xmlrpc-wordpress/
konfigurasi-htaccess-untuk-mengamankan-memperkuat-wordpress/
Pengalaman penulis