Pengaturan Keamanan VPS WHM untuk WordPress
Berikut adalah beberapa langkah penting untuk mengamankan website WordPress Anda melalui WHM:
Konfigurasi Firewall
- ConfigServer Security & Firewall (CSF): Pastikan CSF terinstal dan dikonfigurasi dengan benar. Blokir semua port yang tidak digunakan dan hanya buka port yang diperlukan.
- Login Failure Daemon (LFD): Aktifkan LFD di CSF untuk mendeteksi dan memblokir upaya login yang gagal.
Proteksi Login
- Limit Login Attempts: Gunakan plugin seperti “Limit Login Attempts” untuk membatasi jumlah percobaan login.
- Two-Factor Authentication (2FA): Aktifkan 2FA untuk semua akun administrator.
Perbarui Secara Berkala
- WordPress Core, Themes, and Plugins: Pastikan WordPress, tema, dan plugin selalu diperbarui ke versi terbaru.
- Server Software: Selalu perbarui Apache, PHP, dan perangkat lunak server lainnya.
Proteksi File dan Folder
- Permissions: Setel izin file dan folder dengan benar (misalnya, 644 untuk file dan 755 untuk folder).
- .htaccess Protection: Tambahkan aturan di file .htaccess untuk melindungi file wp-config.php dan direktori wp-admin.
Secure wp-config.php
- Move wp-config.php: Pindahkan file wp-config.php ke direktori yang lebih tinggi dari root web untuk meningkatkan Keamanan. Pindahkan file
wp-config.php
ke lokasi yang berada di luar root web publik (misalnya di satu direktori di atas root web Anda). Sebagai contoh, jika root web Anda berada di/home/user/public_html/
, pindahkan filewp-config.php
ke/home/user/
. Setelah memindahkan file, Anda perlu memberi tahu WordPress lokasi baru dariwp-config.php
. Buka fileindex.php
di root web Anda (public_html/
), dan tambahkan kode berikut di bagian paling atas. Periksa apakah situs Anda berfungsi dengan baik setelah memindahkan file wp-config.php. Pastikan semua halaman dan fitur bekerja sebagaimana mestinya.
if (file_exists(dirname(__FILE__) . '/../wp-config.php')) { require_once(dirname(__FILE__) . '/../wp-config.php'); } else { die('File wp-config.php tidak ditemukan.'); }
- Set wp-config permission: Pastikan izin file dan direktori sudah diset dengan benar untuk menghindari akses yang tidak diinginkan. Umumnya, izin untuk
wp-config.php
harus diset ke 400 atau 440, atau setidaknya 600. - Disable File Editing: Tambahkan
define('DISALLOW_FILE_EDIT', true);
di wp-config.php untuk menonaktifkan pengeditan file tema dan plugin dari dashboard WordPress.
# performance define('WP_MEMORY_LIMIT', '256M'); #security define( 'WP_AUTO_UPDATE_CORE', true ); define('DISALLOW_FILE_EDIT', true); define('FORCE_SSL_ADMIN', true);
Database Security
- Database Prefix: Ganti prefix tabel database WordPress dari
wp_
ke sesuatu yang lebih unik. - Secure Database Access: Pastikan akses ke database hanya diperbolehkan dari server web.
Proteksi DDoS
- ModSecurity: Aktifkan dan konfigurasikan ModSecurity untuk mencegah serangan DDoS dan serangan lainnya.
- Cloudflare or Similar Service: Gunakan layanan seperti Cloudflare untuk perlindungan tambahan terhadap serangan DDoS.
Backup Berkala
- Automated Backups: Konfigurasikan backup otomatis menggunakan plugin atau layanan seperti Acronis Cyber Protect yang sudah Anda gunakan.
- Offsite Storage: Simpan backup di lokasi yang terpisah dari server utama.
Security Plugins
- Wordfence / Sucuri: Instal plugin keamanan seperti Wordfence atau Sucuri untuk pemantauan dan proteksi real-time.
SSL/TLS
- Install SSL Certificate: Pastikan semua situs Anda menggunakan HTTPS dengan memasang sertifikat SSL.
- Force HTTPS: Konfigurasikan .htaccess atau plugin untuk memaksa penggunaan HTTPS di seluruh situs.
Disable XML-RPC
- Block XML-RPC: Nonaktifkan XML-RPC jika tidak diperlukan untuk mencegah serangan brute force dan DDoS.
Security Headers
- Add Security Headers: Tambahkan header keamanan seperti Content Security Policy (CSP), X-Content-Type-Options, X-Frame-Options, dan Strict-Transport-Security (HSTS).
Audit Log
- Enable Logging: Aktifkan logging untuk memantau aktivitas pengguna dan mendeteksi aktivitas mencurigakan.
- Review Regularly: Tinjau log secara berkala untuk mendeteksi dan merespons ancaman dengan cepat.
Dengan langkah-langkah di atas, Anda dapat meningkatkan keamanan situs WordPress Anda secara signifikan. Pastikan untuk terus memantau dan memperbarui konfigurasi keamanan sesuai dengan perkembangan terbaru dalam keamanan siber.
Bagikan:
Artikel lain: