1. Selalu melakukan update versi wordpress ke versi terbaru.
2. Menggunakan password yang kompleks dan tidak berada dalam kamus, gunakan perpaduan angka huruf (besar-kecil) dan karakter
3. Jangan pernah menggunakan username admin sebagai username Anda.
4. Sembunyikan username, dari author di archive URL
5. Limit Login Attempts. http://wordpress.org/plugins/limit-login-attempts/
6. Disable file editor dari dashboard. Tambahkan line berikut pada file wp-config.php :
define( ‘DISALLOW_FILE_EDIT’, true );7. Hindari free themes dan nulled atau hasil crack.
8. Hapus file/folder theme/plugins yang tidak di pakai
9. Lakukan backup rutin.
10. Gunakan plugins wp-security scan dan jalankan https://wordpress.org/plugins/wp-security-scan/
11. Gunakan security Plugins bisa menggunakan dari list berikut :
https://wordpress.org/plugins/better-wp-security/– offers a wide range of security features.
12. Blok bot untuk crawl folder tertentu, karena defacer menggunakan hasil scan dari google untuk keyword tertentu.
Tambahkan pada robots.txt
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
13. Melindugi file .htaccess dengan menambah rule berikut :
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>
14. Memblokir directory listing browse, dengan menambah file .htaccess atau membuat file index.php.
# disable directory browsing
Options All –Indexes
15. Memblokir script injection
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
16. Mengamankan folder include dengan menambahkan rule berikut pada .htaccess
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
17. Tambahkan rule pada file php.ini
Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Dengan mendisable fungsi yang berpotensi berbahaya diatas mungkin saja membuat salah satu script tidak berjalan,jika script tsb membutuhkan fungsi dari salah satu tersebut diatas.
18. Tambahkan password pada direktory wp-admin dengan memberi password melalui cpanel “password protect directory”. Tutorial Password protect Directories
Tutorial ini tidak menjamin mengamankan 100% website Anda, tapi paling tidak menutup celah-celah keamanan. Tidak ada keamanan yang sempurna dan selamanya, artinya Anda tidak bisa hanya dengan sekali setting lalu membiarkan saja tanpa mengikuti update dan perkembangan keamanan terbaru, sebab mungkin saja yang sekarang dianggap aman besok sudah menjadi tidak aman lagi karena ditemukannya bug baru yang ada dalam engine wordpress.
