Awalnya diterbitkan di: Cara Mengamankan WP-Config.php WordPress • Blog Situstarget
Sebelumnya kami sudah menulis mengenai cara mengamankan toko online, kali ini kita akan membahas bagaimana cara mengamankan wp-config.php.
Penting juga untuk mengamankan file wp-config.php di WordPress, karena semua informasi sensitif berada di file ini. Saat terekspos ke publik, seseorang bisa mengakses database kamu, tentu ini musibah.
Informasi seperti akun, password, e-mail,
1. Mengamankan WP-Config.php dengan .Htaccess
Bagaimana caranya agar file wp-config.php tidak dapat diakses oleh orang lain. Salah satunya yaitu dengan memberikan perintah pada .htaccess agar file wp-config.php tidak boleh diotak-atik oleh siapapun.
Sekarang yang perlu kamu lakukan yaitu login menggunakan FTP, bisa juga melalui CPanel, edit file .htaccess lalu masukkan kode berikut ini:
<files wp-config.php>
order allow,deny
deny from all
</files>2. Atur Izin WP-Config.php ke 444
Tips nomor satu bisa diperkuat lagi dengan mengatur permission untuk file wp-config.php yang tadinya secara default WordPress itu 644. Kamu bisa ubah menjadi 444.
Kamu bisa mengatur permission untuk file wp-config.php, .htaccess, dan nginx.conf. Pengaturan ini bisa dilakukan dengan mudah menggunakan aplikasi Filezilla.
Jika ingin lebih aman lagi atur izin untuk wp-config.php ke 400. Kamu juga bisa melakukan izin file dan direktori menggunakan SSH. Berikut ini perintahnya:
chmod 444 wp-config.php3. Ubah Kunci Keamanan WordPress
Saat pertama kali membuat blog WordPress atau migrasi ke server yang baru. Kamu bisa mengubah kunci keamanan WordPress sekalian.
Ada tools dari WordPress.org untuk menghasilkan kunci keamanan, yang bisa kamu akses melalui laman berikut WordPress Salt Generator.
define('AUTH_KEY', '((tHQ{&[w7.n>g0LShWJJ]/]v-qXC%mn%G2 cp7GG%b5;DZ%8A`Uh6!)dWb$uF!C');
define('SECURE_AUTH_KEY', '-%vf,r%IMcm?pl:q=MO#NO83uv]em#Gu]h4^x:Cinn1|VP-#!H%r|*YZ6h_#:A-@');
define('LOGGED_IN_KEY', ':.q+[V9oW7uopiCD^~h&UshWaFPt8-aMU] M(y}}4f{B1m}iasr1&<Mi|>J9#m.6');
define('NONCE_KEY', '<ci^~?)2s|QH9:ilbi|(=I4{qc*h{(v8,w9p1hX1v@&]fq%0e9/ H(JCpd#z6U)O');
define('AUTH_SALT', 'Z0wYb+tS^X#T<,($gzo[Cea3{HJ|@Hf+a~N#.og^*eY/_`X,{4n(e=_^^i]y0y-c');
define('SECURE_AUTH_SALT', 'oHMlOI/C{kn90K5znP5)zTnMXC<?BKxZYNM7vJKPVgc^nexrn~eJ4+#;:BR)j_JS');
define('LOGGED_IN_SALT', 'gbx,c*X}|6.`yT?l>XDKI=W~{tsM?Xox&z/xaC<Q-G?5 >H-L1u(_$[$e!y%-U:-');
define('NONCE_SALT', '_@|Bfa:++O6[|LS|#2f`_[0Z[NzIn*Apz6N``xF;q6+-H6a G,`ur5|#q/ PGFmY');Kamu tinggal copy dan paste hasil generate tools di atas ke file wp-config.php. Jika sudah ada di wp-config.php tinggal di replace dan save saja.
Setiap kali kamu refresh, secara otomatis kunci keamanannya akan berubah ke yang baru. Jadi tidak mungkin antara situs yang satu dengan yang lainnya bisa sama.
Jika kamu kondisinya sedang login, akun kemungkinan akan secara otomatis logout. Nanti tinggal login kembali saja.
4. Setting SSL di WP-Config.php
Sebelum mengaplikasikan cara di nomor keempat ini, pastikan terlebih dahulu bahwa SSL telah diaktifkan di CPanel, Webmin, Plesk, dst. Kamu juga bisa memanfaatkan CloudFlare.
Ini cuma tahap akhir saja, yaitu kamu hanya perlu melakukan setting agar WordPress menjalankan SSL 100%, caranya tambahkan kode berikut ini di file wp-config.php
define('FORCE_SSL_ADMIN', true);Kamu juga bisa mengukuhkan agar blog diakses hanya melalui https dengan memasukkan kode berikut ini:
define('WP_HOME', 'https://www.situstarget.com');
define('WP_SITEURL', 'https://www.situstarget.com');Ubah nama www.situstarget.com di atas dengan nama domain milik kamu sendiri. Jangan sampai salah ya.
5. Menonaktifkan Pesan Eror
Buat kamu yang hobinya cuma nulis blog dan tidak terlalu suka mikirin urusan teknologi rumit yang ada di balik layar blog WordPress.
Kamu bisa menonaktifkan pesan eror agar peretas tidak bisa memanfaatkan kesalahan konfigurasi atau adanya kesalahan yang dapat dimanfaatkan untuk eksploitasi blog WordPress.
Cara menonaktifkannya mudah, tinggal kamu masukkan kode berikut ini:
define('WP_DEBUG', false);define( 'WP_DEBUG_LOG', false);define( 'WP_DEBUG_DISPLAY', false );@ini_set( 'display_errors', 0 );
Selama fitur blog WordPress masih tahap standar atau biasa saja. Menonaktifkan pesan eror ini tidak jadi masalah yang besar.
Kecuali kalau blog WordPress kamu sudah sangat kompleks dan banyak fitur yang dikustom sendiri, laporan eror dari sistem sangat diperlukan untuk perbaikan saat ini maupun untuk kedepannya.
6. Menonaktifkan Edit Plugin dan Tema
WordPress pada dasarnya mengizinkan administrator untuk melakukan editing plugin dan tema dari laman backend. Sayangnya fitur editor ini kerap dijadikan sasaran empuk untuk menanamkan backdoor.
Backdoor tersebut ditanamkan pada sebuah tema atau plugin yang memiliki bug untuk dieksploitasi dan melakukan disable editing ini bisa mengamankan WordPress.
Saya menyarankan agar fitur ini dinonaktifkan saja, saat ada keperluan untuk melakukan edit kode yang terdapat di plugin dan tema sebaiknya melalui FTPS atau SFTP saja.
Tambahkan kode berikut ini untuk menonaktifkan fitur editing plugin dan tema WordPress:
define('DISALLOW_FILE_EDIT', true);7. Ubah Prefix Basis Data
Sebelum melakukan poin di nomor tujuh ini, pastikan terlebih dahulu kalau kamu sudah membackup database, jika salah langkah bisa jadi blog WordPress tidak bisa diakses sama sekali.
Salah satu cara mengamankan WordPress yaitu dengan mengubah prefix atau awalan pada database. Secara bawaan prefix database WordPress yaitu wp_. Mudah sekali ditebak bukan?
Well, saat sebuah situs akan di takeover secara keseluruhan. Si peretas akan terlebih dahulu berusaha untuk mendapatkan akses akun administrator. Salah satu cara yang digunakan dengan melakukan sedikit otak-atik di database.
Mereka mengincar wp_users, yang isinya tidak hanya email dan username saja. Tetapi juga keseluruhan akun yang ada di Blog WordPress termasuk akun administrator, beserta kata sandi (yang dienkripsi).
Sekarang tinggal kamu persulit saja, agar si peretas tidak mudah menemukan prefix database blog WordPress kamu. Caranya yaitu tinggal kamu tambahkan kode berikut ini:
$table_prefix = 'wp_s3cur3189_';
Setelahnya kamu perlu melakukan perubahan pada database. Selengkapnya bisa kamu lihat pada video berikut ini.
—
Semoga tips mengamankan wp-config.php di atas bisa bermanfaat untuk kamu. Klik tombol subscribe untuk berlangganan artikel.
Bagikan juga tulisan di atas melalui Facebook, Twitter, LinkedIn, WhatsApp, Line, dan Telegram. Klik tombol share untuk membagikannya.