Yahoo dibeli Verizon

Yahoo logo
Yahoo dibeli Verizon
Yahoo dibeli Verizon

Siapa yang tidak kenal dengan Yahoo! adalah sebuah search engine pertama kali ketika internet mulai booming pada tahun 90an dimana orang mengunjungi Yahoo sebanyak lebih dari 700 juta tiap bulannya. Selain search engine, Yahoo juga memberikan layanan gratis lainnya seperti email, groups, video sharing dan layanan lainnya yang sangat membantu pengguna internet. Kini Yahoo dibeli oleh sebuah perusahaan penyedia layanan internet (ISP) di amerika bernama Verizon.

Yahoo yang didirikan oleh Yang dan Filo mahasiswa dari Stanford University memilih kata Yahoo yang adalah kepanjangan dari Yet Another Hierarchically Organized Oracle dengan arti memiliki sumber kebenaran  dan kearifan.

Seiring dengan munculnya search engine baru seperti altavista dan munculnya raksasa search engine google, Yahoo mulai kehilangan pamornya sebagai search engine di internet. Google dengan layanan search enginenya memberikan keakuratan serta kecepatan yang tidak dimiliki oleh Yahoo. Selain search engine Google juga mulai memberikan layanan yang serupa seperti Yahoo seperti email gratis dengan brand gmail. Pengguna internet lebih memilih google karena search engine ini memiliki kecepatan untuk pencarian situs serta memiliki tampilan yang lebih simple jika dibandingkan dengan Yahoo.

Tujuan utama dari verizon dengan membeli Yahoo ini adalah ingin menggabungkan antara Yahoo dengan AOL (America Online) yang merupakan satu situs populer di amerika dengan keunikan tersendiri. AOL ini adalah situs portal awal ketika di amerika terjadinya booming internet. Banyak pengguna internet amerika memilih AOL untuk situs portal utamanya selain menggunakan layanan emailnya, AOL memiliki kekhasan untuk pengguna amerika.

Verizon membeli Yahoo dengan biaya sebesar 4 juta dollar amerika, dimana sebelumnya Yahoo juga pernah akan dibeli oleh Microsoft sebesar 40 juta dollar. CEO Yahoo yang saat ini adalah Marissa Mayer berencana akan tetap sebagai CEO di Yahoo setelah proses pembelian Yahoo ini oleh Verizon. Marissa yakin akan bisa mengembangkan Yahoo bersama dengan AOL untuk memberikan layanan yang lebih baik. Kabar terakhir Marissa mengirimkan email kepada semua pegawai Yahoo untuk bersemangat membangun kembali Yahoo dan AOL untuk sesuatu yang lebih baik.

Google membunuh password di tahun 2017

Google ATAP
Google ATAP

Rencana google untuk membunuh password di tahun 2017 tampaknya akan segera terwujud dimana sebuah proyek yang bernama “Abacus” yang akan menggantikan fungsi dari password menjadi sebuah authentifikasi bersumber dari biometric, pengenalan suara, atau sumber lainnya yang bisa dijadikan sebagau authentifikasi selain password. Sebagai contoh ketika anda hendak berbelanja online dimungkinkan untuk menggunakan face recognition sebagai cara authentifikasi bahwa itu adalah anda yang sedang berbelanja dan bukan orang lain.

Abacus ini adalah sebuah proyek yang bekerjasama dengan sebuah institusi finansial dimana menggunakan Trust API sebagai interface untuk mendapatkan authentifikasi. Sebagai contoh google akan menanamkan sebuah program yang bersifat resident (berjalan terus menerus) pada device android untuk digunakan sebagai program authentifikasi. Ketika anda melakukan transaksi dimanapun kapanpun program ini akan membantu untuk melakukan authentifikasi pada kegiatan anda.

Dalam waktu dekat ini google juga akan menanamkan program tersebut ke dalam sistem operasi berbasis android.

Trust Api ini dapat digunakan oleh pihak ketiga untuk membantu mengauthentifikasi penggunanya sebagai contoh pihak perbankan dimana sekarang ini ketika kita berbelanja akan menggunakan PIN sebagai authentifikasi; dengan adanya abacus ini maka cukup kita menggunakan biometric untuk melakukan validasi pembelian. Selain biometric juga bisa menggunakan face recognition, voice recognition dan sebagainya.

Dengan adanya validasi seperti ini tentunya akan meningkatkan trust (kepercayaan) dari customer untuk menggunakan sebuah service (jasa) seperti kartu kredit. Sekarang ini banyak sekali terjadi pencurian penggunaan kartu kredit dikarenakan lemahnya sistem authentifikasi pada saat penggunaan kartu kredit pada transaksi baik transaksi online maupun offline. Hanya dengan mendapatkan nomor dari kartu-kredit dan nomor cvv maka anda dengan bebas bisa melakukan transaksi online. Meskipun sekarang kartu-kredit sudah dilengkapi dengan sistem 3d secure dimana ketika anda melakukan transaksi maka harus melalui mekanisme authentifikasi melakukan input nomor yang dilakukan pada telepon genggam anda. Namun disayangkan tidak semua bank menggunakan sistem authentifikasi 3d ini.

Siapkah anda untuk bermigrasi menggunakan sistem authentifikasi yang lebih baik ?

Cara melakukan export import wordpress

Ketika website anda mengalami masalah, sebagai contoh tiba tiba hosting anda menjadi rewel sering down atau lambat maka mau tidak mau kita akan berpindah ke tempat yang lain. Namun jika blog anda sudah berisikan puluhan bahkan ratusan artikel maka akan sayang jika memulai lagi dari awal. Cara untuk melakukan

export dan import di wordpress

sangatlah mudah dan anda tidak perlu kehilangan artikel anda dan memulai wordpress yang baru lagi.

Mulailah dengan login ke wordpress anda kemudian pilih menu Tools – Export

Export WordPress
Export WordPress

Ketika anda memilih export maka seluruh artikel, post, page, kategori, menu dan lain lain semuanya akan ter-export dalam bentuk file .xml semakin banyak customisasi yang anda lakukan maka semakin besar pula file xml tersebut.

Kemudian silahkan login ke wordpress anda yang baru, kemudian pilih menu Tools – Import, anda tidak dapat langsung melakukan import namun harus melakukan instalasi tool import terlebih dahulu; kemudian silahkan klik wordpress

Import WordPress
Import WordPress

Kemudian install tools importer dari wordpress tersebut

Instalasi tools import wordpress
Instalasi tools import wordpress

Setelah instalasi berhasil, maka jangan lupa untuk melakukan aktivasi plugin dan menjalankan fungsi importnya

Aktivasi tools import wordpress
Aktivasi tools import wordpress

Kemudian silahkan klik import dan pilih file xml yang sudah ada download dari wordpress lama anda kemudian upload. Perlu diingat bahwa besar file defaultnya adalah sebesar 2 mega; jika anda memiliki file yang lebih besar dari 2 mega silahkan melakukan kustomisasi file konfigurasi php.ini

pilih file import wordpress
pilih file import wordpress

Setelah klik import maka seluruh isi dari file import tersebut akan direstore pada wordpress anda yang baru; kemudian anda dapat melakukan aktivitas blogging seperti biasa tanpa kehilangan artikel anda yang terdahulu. Tools ini juga dapat dilakukan pada blog berbasis blogspot yang disediakan oleh google. Anda dapat melakukan export import pada platform blogspot maupun pada wordpress begitu juga sebaliknya. Jika anda mendapati proses export maupun import tidak sempurna, maka anda dapat mengulangi proses export maupun importnya biasanya terkendala dengan proses download maupun upload file xmlnya.

Menghapus email queue di exim

Exim

Adalah salah satu MTA (Mail Transport Agent) yang banyak digunakan di dalam sistem operasi linux karena kehandalannya yang mampu untuk mengirimkan email dalam jumlah banyak dan dapat mengakomodasi jumlah user yang cukup banyak. Bahkan server manajemen software cPanel juga menggunakan exim untuk memberikan layanan MTAnya selain dovecot dan postfix. Kadang terjadi penumpukan email queue di mailserver, oleh karena itu terkadang perlu juga untuk menghapus email queue di exim agar mailserver dapat berjalan dengan baik.

Menghapus email queue di exim
Exim email spam

Ketika exim mengalami masalah seperti email yang menumpuk, atau kondisi critical dimana email server anda tanpa sengaja melakukan sending email secara tidak wajar (spam) sedikitnya cukup membuat seorang server administrator kebingungan untuk menghentikan proses pengiriman email (queue) yang terlalu banyak akibat dari proses spam ini. Untuk mengecek jumlah email yang sudah masuk ke dalam queue mailserver anda dapat menggunakan perintah :

#exim -bp

Jika anda mendapati jumlah email queue yang tidak wajar maka anda akan mendapati ratusan bahkan ribuan email queue dan anda tidak dapat serta merta menghentikannya. Jika di dalam list tersebut anda masih bisa mendapati message-id maka anda dapat menghentikan email tersebut dengan menggunakan message-idnya dengan perintah :

#exim -Mrm <message-id>

Jika queue listnya terlalu banyak maka anda dapat langsung menghapus semua email queue dengan perintah :

#exim -bp | awk ‘/^ *[0-9]+[mhd]/{print “exim -Mrm ” $3}’ | bash

Namun cara diatas tidak disarankan karena akan secara langsung menghapus semua email queue yang ada, berikut ini adalah cara yang lebih aman untuk menghapus queue dari exim tersebut dengan perintah :

#exim -bp | exiqgrep -i | xargs exim -Mrm

Kemudian anda dapat melihat dengan mudah siapa user yang ada di server email anda yang melakukan tindakan pengiriman email secara membabi-buta (mass email sending) dan jangan lupa untuk menganalisa melalui header email yang terkirim siapa user yang melakukan hal ini, dan biasanya ini

Cara ini dapat anda lakukan di sistem operasi linux centos, pada sistem management server berbasis cPanel anda dapat juga melakukan perintah ini. Tentunya anda harus login sebagai user tertinggi pada sistem operasi linux ini, yaitu root.

Mematikan list direktori global di cpanel

Cara instalasi cPanel DNS Only
Mematikan list direktori global di cpanel
Mematikan list direktori global di cpanel

Kali ini kita akan membahas bagaimana caranya mematikan list direktori global di cpanel, dimana cpanel ini adalah salah satu software server management yang banyak dipakai oleh para penyedia jasa hosting. Salah satu faktor keamanan yang paling vital pada sebuah webserver adalah ketika sebuah direktori dapat dilihat isinya secara langsung pada aplikasi baik cms maupun non cms yang bisa menjadikan salah satu jalan hacker untuk mempelajari struktur direktori yang ada. Kita ambil contoh salah satu plugin wordpress yang populer digunakan adalah wp contact form, plugin ini secara default akan memperlihatkan seluruh file yang ada pada direktori plugin tersebut.

Salah satu cara yang dapat digunakan dengan mudah untuk mengamankan direktori tersebut adalah dengan memberikan file kosong dengan nama file index.php atau index.html sehingga direktori tersebut tidak akan dapat dibaca secara langsung. Apabila kita memiliki puluhan direktori dari beberapa customer, tentunya akan sangat merepotkan untuk dapat mengamankan satu persatu folder yang dimiliki oleh customer kita.

Untuk dapat mengamankan folder ini secara global di server maka kita perlu mematikan fungsi index direktori
pada apache, berikut ini adalah cara untuk menonaktifkan fungsi index secara global dan permanan pada server berbasis cpanel.

  • Silahkan login pada cpanel WHM anda, kemudian cari pada search dengan keyword “Apache” kemudian pilih “Apache Configuration”
  • Kemudian kita pilih Global Configuration
  • Pada bagian Direktori silahkan hilangkan tanda centang pada Indexes
  • Kemudian lakukan restart pada apache webserver anda atau restart litespeed webserver jika anda menggunakan litespeed webserver. Secara otomatis direktori yang tidak memiliki file index.php atau index.html akan ditutup dan isi dari folder tersebut tidak akan bisa dibaca lagi.
list direktori global cpanel
Disable Global Index Apache step 1
list direktori global cpanel
Disable Global Index Apache step 2

Seorang server administrator mutlak harus mengerti untuk mematikan fitur display direktori list ini karena dengan terbukanya fitur display direktori list ini maka secara otomatis juga mengekspos isi dari direktori aplikasi yang ada di server. Perlu diingat juga bahwa direktori tidak diperkenankan untuk memiliki hak akses write untuk other, jika other sampai memiliki hak akses untuk write maka bisa dipastikan akan digunakan orang lain untuk mengupload malicious script seperti PHP shell yang selanjutnya akan digunakan untuk mengupload file lainnya yang bisa membahayakan keamanan webserver. Oleh karena itu mematikan list direktori global di cpanel sangatlah penting.

Bagi pengguna webserver apache bawaan dari cpanel maupun litespeed webserver berbayar option direktori list ini defaultnya adalah diaktifkan.

Merubah wordpress dari http menjadi https

Merubah wordpress dari http menjadi https
Merubah wordpress dari http menjadi https
Merubah wordpress dari http menjadi https

Merubah alamat wordpress dari http menjadi https sangat mudah

Di dalam dunia SEO SSL adalah salah satu faktor yang terpenting saat ini karena keamanan adalah keutamaan yang tidak dapat diabaikan, banyak sekali situs-situs yang kelihatannya aman tetapi sebenarnya dapat dengan mudah menginfeksi komputer pengunjungnya dengan melakukan instalasi sebuah program yang tanpa disadari oleh pengunjung.

Saat ini wordpress adalah sebuah cms yang paling banyak digunakan oleh para blogger untuk menuliskan artikel, selain itu wordpress juga memiliki fungsi lain seperti online store, social network dan berbagai macam fungsi situs hanya dengan menggunakan sebuah plugin. Bagus atau tidaknya sebuah website bertipe blog ini ditentukan oleh kualitas kontennya, selain itu di dalam penilaian SEO jika sebuah situs wordpress tidak menggunakan SSL (Secure Socket Layer) yaitu sebuah komunikasi antara pengunjung situs dengan webserver didalamnya terdapat mekanisme enkripsi sehingga data yang ditransfer tidak dapat disadap atau dilihat oleh pihak ketiga. Maka dari itu merubah wordpress dari http menjadi https menjadi sangat penting dan dapat membantu search engine untuk dapat mengenali ssl anda.

Untuk mengimplementasikan sebuah SSL pada situs wordpress anda harus memiliki ip address, karena SSL ini hanya dapat dipasang pada satu ip address. Selain itu anda juga harus membeli sebuah sertifikat SSL yang berharga sekitar $10 sampai dengan $15 per tahunnya. Untuk sewa ip sendiri bervariasi pada sebuah perusahaan hosting, ada yang memberikan sewa 25 ribu sampai dengan 50 ribu untuk perbulannya.

Setelah anda memiliki keduanya, maka anda dapat memaksa sebuah situs blog berbasis wordpress untuk dapat menggunakan protokol SSL sehingga data yang dikirim dan diterima dapat dilakukan enkripsi. Untuk mengganti protokol ini anda dapat menggunakan bantuan .htaccess yang diletakkan pada folder utama sebuah website berbasis wordpress. Berikut ini adalah isi dari .htaccess yang digunakan untuk merubah dan memaksa pengunjung untuk menggunakan protokol SSL

# BEGIN WordPress

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

</IfModule>

# END WordPress

RewriteEngine On
RewriteCond %{ENV:HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Dengan menggunakan .htaccess diatas maka secara otomatis ketika pengunjung mengetikkan http://www.namadomain.com maka akan dirubah menjadi https://www.namadomain.com sehingga faktor keamanan data dapat terjamin.

Di dalam SEO pun bobot nilai situs yang menggunakan protokol SSL dan yang tidak beda lebih tinggi karena dipandang situs dengan menggunakan protokol SSL dinilai lebih aman selain itu memberikan jaminan dari pihak penyelenggaran SSL sertifikat ini. Provider dari SSL ini adalah verisign, commodo, dan masih banyak vendor lain yang memberikan harga murah untuk SSL sertifikat dengan jangka waktu minimal adalah satu tahun.

Selamat merubah website anda menjadi SSL dan website / blog anda akan lebih diperhatikan oleh google search engine.

Melihat informasi perangkat cisco

Cara melihat informasi perangkat cisco maupun versi software maupun hardware dari perangkat cisco adalah dengan menggunakan perintah “show version” atau bisa juga disingkat dengan “sh ver”. Untuk menggunakan perintah ini tidak memerlukan priviledge mode. Untuk dapat menjalankan perintah ini anda harus login ke dalam sistem perangkat cisco dengan melakukan akses menggunakan telnet maupun dengan menggunakan protokol ssh.

Berikut ini adalah contoh informasi dari Cisco Router 3825-K9

Melihat informasi Perangkat Cisco Router 3825
Perangkat Cisco Router 3825

Gambar diatas memberikan informasi software IOS yaitu cisco router seri 3800 dan disertai dengan IOS yang terinstall pada hardware.

Selain itu ada informasi tentang kapan cisco router tersebut disiapkan (dicompile) oleh alnguyen dan juga diinformasikan pada tanggal berapa perangkat tersebut dibuat oleh pabrik cisco.

Informasi selanjutnya adalah sudah berapa lama cisco router tersebut berjalan, ini dapat dilihat pada baris “uptime is 2 weeks …..” ini baris yang menunjukkan informasi berapa lama perangkat tersebut sudah berjalan serta terdapat informasi terakhir kali dihidupkan dengan cara apa.

Kemudian informasi image apa yang digunakan, yaitu “flash:c3825-advip ….”

Informasi tentang jumlah memori RAM yang dimiliki yaitu 256k/386k
Menggunakan processor dengan ID FHK1107F0TA
Memiliki interface 4 Fast Ethernet
Memiliki 2 Gigabit Ethernet
Memiliki 2 Virtual Private Network
DRAM 64 bit
479K NVRAM
dan memiliki compact flash sebesar 64kb

Perlu diketahui bahwa seluruh peralatan cisco memiliki informasi dasar tentang software dan hardware yang ada. Selain informasi dasar, pada sistem operasi cisco sendiri terdapat beberapa fitur seperti routing, mac address table dan beberapa fitur lainnya seperti security yang terdapat pada cisco seri k9 atau dengan label security bundle.

Cara mereset mikrotik ke konfigurasi default

MikroTik IPv6 Vulnerabilty
Mikrotik
Mikrotik

Jika anda ingin melakukan reset konfigurasi mikrotik seperti awal atau merubah ke dalam konfigurasi default, maka anda dapat melakukan dengan berbagai cara :

1. Jika anda dapat login ke mikrotik anda dapat menggunakan menu
System – Reset Configuration

Cara mereset mikrotik ke konfigurasi default
Cara mereset mikrotik ke konfigurasi default

Kemudian akan ada opsi yang bisa anda gunakan sebelum melakukan reset.

Mikrotik Reset Options
Mikrotik Reset Options
  • Jika anda centang Keep User Configuration, maka user yang sudah ada tidak akan dihapus.
  • Jika anda centang No Default, maka tidak ada diberikan konfigurasi mikrotik secara default, mikrotik akan benar-benar kosong tanpa konfigurasi bawaan.
  • Jika anda centang Do Not Backup, maka konfigurasi sekarang tidak akan dibackup terlebih dahulu.

Menggunakan terminal (bisa dilakukan dengan koneksi ssh ke mikrotik)

Mikrotik Reset Terminal
Mikrotik Reset Terminal

2. Hard Reset

Anda dapat memaksa mikrotik untuk melakukan hard reset dengan menekan tombol yang ada di bagian belakang chasis mikrotik.

  • Cabut kabel power mikrotik terlebih dahulu
  • Tekan tombol reset tersebut jangan dilepaskan
  • Tancapkan power ke mikrotik
  • Tunggu sampai lampu LED akan berkedip-kedip
  • Lepaskan tombol reset
  • Mikrotik akan secara otomatis meload konfigurasi defaultnya

Cara mereset mikrotik ke konfigurasi default ini adalah cara awal yang dapat digunakan, ada satu cara lagi dimana melakukan hard reset pada mikrotik yang akan dibahas pada artikel mikrotik berikutnya.

Mengamankan SSH Server

SSH Server
Mengamankan SSH Server
SSH Server

OpenSSH atau SSH saat ini telah menjadi standar untuk melakukan remote access yang menggantikan fungsi telnet, dimana ssh ini memiliki beberapa kelebihan jika dibandingkan dengan telnet. SSH menggunakan koneksi yang terenkripsi dan password tidak lagi dikirim dalam bentuk plain text sehingga dapat dilihat secara kasat mata. Pentingnya untuk mengamankan sebuah ssh server tidak dapat dihindari karena dengan ssh server ini anda dapat berkomunikasi dengan server anda.

Sebuah sistem yang menggunakan ssh dengan instalasi standar belum dikategorikan aman karena ada beberapa kelemahan yang bisa digunakan seperti bruteforce attack terhadap ssh server ini.

Berikut ini adalah beberapa tips untuk mengamankan SSH

1. Gunakan username dan password yang baik, jika anda memiliki server serta menggunakan ssh dan terekspose didunia luar maka secara tidak langsung hacker akan mencoba melakukan port scanning dan melakukan brute-force attack untuk mendapatkan akses masuk kedalam server. Agar tidak mudah ditebak maka gunakan password dengan baik dengan :

minimal 8 karakter
gunakan huruf besar dan kecil
gunakan angka dan huruf
gunakan karakter non alphanumeric seperti ! ” $ % ^ * dan sebagainya

2. Nonaktifkan login untuk root, pada file konfigurasi /etc/ssh/sshd_config edit pada baris

# Prevent root logins:
PermitRootLogin no

jangan lupa untuk menjalankan ulang untuk service sshd

#service sshd restart

Jika anda memerlukan akses ke root gunakan su atau sudo

3. Batasi user yang dapat akses ke dalam ssh, pada bagian file konfigurasi /etc/ssh/sshd_config edit pada baris

AllowUser andre indri

jangan lupa untuk menjalankan ulang untuk service sshd

#service sshd restart

4. Matikan protokol 1, pada bagian file konfigurasi /etc/ssh/sshd_config edit pada baris

# Protocol 2,1
Protocol 2

jangan lupa untuk menjalankan ulang untuk service sshd

#service sshd restart

5. Jangan menggunakan port standart ssh (port 22), gunakan port yang mudah anda ingat dan ini akan mengurangi pengeksposan port ssh anda. Pada bagian file konfigurasi /etc/ssh/sshd_config edit pada baris

# Run ssh on a non-standard port:
Port 3113  #Change me

6. Filter akses port ssh anda hanya pada ip yang biasa anda gunakan, gunakan fasilitas iptables untuk membatasinya.

iptables -A INPUT -p tcp -s x.x.x.x –dport 22 -j ACCEPT

untuk mengurasi bruteforce attack pada port ssh

iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name ssh –rsource
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent ! –rcheck –seconds 60 –hitcount 4 –name ssh –rsource -j ACCEPT

7. Gunakan Public/Private keys untuk authentifikasi, dengan menggunakan public/private key anda tidak akan perlu lagi memasukkan password lagi ketika mengakses ssh kemudian anda juga bisa mematikan penggunaan password ketika mengakses ssh

Cara untuk membuat public/private key

$ ssh-keygen -t rsa

Set permisi untuk key anda

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/id_rsa

Copykan key tersebut ke dalam authorized_key list

$ cat id_rsa.pub >> ~/.ssh/authorized_keys

Setelah anda mengkopikan public key tersebut anda dapat menghapus key dari server dan kemudian lakukan setting permission

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

Pastikan pada SELinux contexts diset pada

$ restorecon -Rv ~/.ssh

Jika anda sudah berhasil masuk pada remote server dengan menggunakan public/private key maka anda dapat mematikan authentifikasi dengan menggunakan password pada file konfigurasi etc/ssh/sshd_config edit pada baris

# Disable password authentication forcing use of keys
PasswordAuthentication no

Mengamankan wordpress anda

Mengamankan wordpress anda
Mengamankan wordpress anda
Mengamankan wordpress anda

Jika anda pengguna setiap CMS (Content Management System) berbasis wordpress maka artikel ini sangat tepat bagi anda untuk mengamankan wordpress anda. Perlu diingat bahwa wordpress adalah salah satu cms yang paling banyak digunakan karena lebih simple, memiliki themes dan plugin yang banyak serta bisa dilakukan customisasi sesuai dengan kebutuhan. Namun itu semua tidak terlepas dari celah keamanan baik pada cms wordpress itu sendiri serta themes dan plugin yang digunakannya.

Berikut ini adalah beberapa tips untuk mengamankan wordpress anda

1. Selalu upgrade engine wordpress anda. Pastikan bahwa wordpress engine anda selalu menggunakan versi terbaru, karena versi terbaru biasanya untuk menambal kelemahan pada versi sebelumnya.
2. Gunakan themes yang baik (hindari menggunakan themes yang bajakan) bagaimanapun themes bajakan beresiko memiliki malicious code yang bisa saja ditanam dibagian manapun dari themes tersebut.
3. Gunakan plugin yang anda perlukan saja, menggunakan banyak plugin juga membuat kerja wordpress anda tinggi sehingga menyebabkan cms wordpress anda lambat jika diakses selain itu membuat beban kerja server akan bertambah. Sebagai salah satu contoh plugin yang dapat mengamankan wordpress anda adalah plugin wordfence.
4. Gunakan password yang baik untuk login admin anda, hindari pemakaian username admin secara default untuk wordpress anda. Untuk login default wordpress sebaiknya tidak menggunakan username admin, anda bisa merubah user tersebut sesuai dengan keinginan anda.
5. Batasi akses ke folder wp-includes anda dengan membuat file .htacess

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

# BEGIN WordPress

6. Batasi akses ke file wp-config.php

<files wp-config.php>
order allow,deny
deny from all
</files>

7. Nonaktifkan file editing pada word press anda, tambahkan bagian “define(‘DISALLOW_FILE_EDIT’, true);” pada file wp-config.php

8. Batasi akses ke file wp-login.php sehingga halaman login anda hanya dapat diakses oleh ip anda saja.

<Files wp-login.php>
order deny,allow
Deny from all

# Hanya boleh diakses dengan ip
allow from x.x.x.x
</Files>

x.x.x.x adalah ip address yang biasa anda gunakan untuk mengakses halaman login admin wordpress anda.