Pengaturan Keamanan VPS WHM untuk WordPress

Berikut adalah beberapa langkah penting untuk mengamankan website WordPress Anda melalui WHM:

Konfigurasi Firewall

  • ConfigServer Security & Firewall (CSF): Pastikan CSF terinstal dan dikonfigurasi dengan benar. Blokir semua port yang tidak digunakan dan hanya buka port yang diperlukan.
  • Login Failure Daemon (LFD): Aktifkan LFD di CSF untuk mendeteksi dan memblokir upaya login yang gagal.

Proteksi Login

  • Limit Login Attempts: Gunakan plugin seperti “Limit Login Attempts” untuk membatasi jumlah percobaan login.
  • Two-Factor Authentication (2FA): Aktifkan 2FA untuk semua akun administrator.

Perbarui Secara Berkala

  • WordPress Core, Themes, and Plugins: Pastikan WordPress, tema, dan plugin selalu diperbarui ke versi terbaru.
  • Server Software: Selalu perbarui Apache, PHP, dan perangkat lunak server lainnya.

Proteksi File dan Folder

  • Permissions: Setel izin file dan folder dengan benar (misalnya, 644 untuk file dan 755 untuk folder).
  • .htaccess Protection: Tambahkan aturan di file .htaccess untuk melindungi file wp-config.php dan direktori wp-admin.

Secure wp-config.php

  • Move wp-config.php: Pindahkan file wp-config.php ke direktori yang lebih tinggi dari root web untuk meningkatkan Keamanan. Pindahkan file wp-config.php ke lokasi yang berada di luar root web publik (misalnya di satu direktori di atas root web Anda). Sebagai contoh, jika root web Anda berada di /home/user/public_html/, pindahkan file wp-config.php ke /home/user/. Setelah memindahkan file, Anda perlu memberi tahu WordPress lokasi baru dari wp-config.php. Buka file index.php di root web Anda (public_html/), dan tambahkan kode berikut di bagian paling atas. Periksa apakah situs Anda berfungsi dengan baik setelah memindahkan file wp-config.php. Pastikan semua halaman dan fitur bekerja sebagaimana mestinya.
if (file_exists(dirname(__FILE__) . '/../wp-config.php')) {
require_once(dirname(__FILE__) . '/../wp-config.php');
} else {
die('File wp-config.php tidak ditemukan.');
}
  • Set wp-config permission: Pastikan izin file dan direktori sudah diset dengan benar untuk menghindari akses yang tidak diinginkan. Umumnya, izin untuk wp-config.php harus diset ke 400 atau 440, atau setidaknya 600.
  • Disable File Editing: Tambahkan define('DISALLOW_FILE_EDIT', true); di wp-config.php untuk menonaktifkan pengeditan file tema dan plugin dari dashboard WordPress.
# performance
define('WP_MEMORY_LIMIT', '256M');

#security
define( 'WP_AUTO_UPDATE_CORE', true );
define('DISALLOW_FILE_EDIT', true);
define('FORCE_SSL_ADMIN', true);

Database Security

  • Database Prefix: Ganti prefix tabel database WordPress dari wp_ ke sesuatu yang lebih unik.
  • Secure Database Access: Pastikan akses ke database hanya diperbolehkan dari server web.

Proteksi DDoS

  • ModSecurity: Aktifkan dan konfigurasikan ModSecurity untuk mencegah serangan DDoS dan serangan lainnya.
  • Cloudflare or Similar Service: Gunakan layanan seperti Cloudflare untuk perlindungan tambahan terhadap serangan DDoS.

Backup Berkala

  • Automated Backups: Konfigurasikan backup otomatis menggunakan plugin atau layanan seperti Acronis Cyber Protect yang sudah Anda gunakan.
  • Offsite Storage: Simpan backup di lokasi yang terpisah dari server utama.

Security Plugins

  • Wordfence / Sucuri: Instal plugin keamanan seperti Wordfence atau Sucuri untuk pemantauan dan proteksi real-time.

SSL/TLS

  • Install SSL Certificate: Pastikan semua situs Anda menggunakan HTTPS dengan memasang sertifikat SSL.
  • Force HTTPS: Konfigurasikan .htaccess atau plugin untuk memaksa penggunaan HTTPS di seluruh situs.

Disable XML-RPC

  • Block XML-RPC: Nonaktifkan XML-RPC jika tidak diperlukan untuk mencegah serangan brute force dan DDoS.

Security Headers

  • Add Security Headers: Tambahkan header keamanan seperti Content Security Policy (CSP), X-Content-Type-Options, X-Frame-Options, dan Strict-Transport-Security (HSTS).

Audit Log

  • Enable Logging: Aktifkan logging untuk memantau aktivitas pengguna dan mendeteksi aktivitas mencurigakan.
  • Review Regularly: Tinjau log secara berkala untuk mendeteksi dan merespons ancaman dengan cepat.

Dengan langkah-langkah di atas, Anda dapat meningkatkan keamanan situs WordPress Anda secara signifikan. Pastikan untuk terus memantau dan memperbarui konfigurasi keamanan sesuai dengan perkembangan terbaru dalam keamanan siber.

Bagikan: