Para blogger yang menggunakan WordPress tentunya akan banyak mengalami hal-hal di luar dugaan yang sering terjadi dengan blog WordPress mereka. Dan ketika masalah muncul, kita cenderung bingung/panik untuk menyelesaikan masalah tersebut.
Hal ini seringlah terjadi dari sisi keamanan sebuah blog terutama WordPress. Karena memang WordPress sendiri menguasai hampir dari 60% cms di Dunia.
Sebagai pengguna WordPress, tentunya kita sudah tidak asing lagi dengan banyaknya plugin yang disediakan. Ada sejumlah plugin keamanan yang dapat kita download pada plugin directory.
Kita dapat dengan mudah memperbarui file functions.php tema kita untuk menambahkan beberapa script keamanan ekstra ke WordPress. Namun, saat kita mempelajari lebih lanjut tentang keamanan tersebut, betapa pentingnya mengamankan situs kita sepenuhnya tanpa bantuan sebuah plugin. Karena pada dasarnya, sebuah plugin tidak bekerja secara ampuh untuk mengamankan situs yang kita miliki.
Dalam post ini, pertama-tama kita akan memperkenalkan sebuah file bernama functions.php. Kemudian, kita akan mencoba menambahakan sebuah script yang tentunya sangat berguna untuk system keamanan WordPress kita.
Apa itu function.php pada wordpress?
Di setiap tema WordPress yang kita gunakan, ada sebuah file bernama function.php, dan seperti namanya, function.php ini dirancang untuk menambahkan beberapa fungsionalitas/fungsi tambahan ke dalam sebuah tema yang sedang kita gunakan.
Daripada mencoba menambahkan fitur di seluruh halaman tema yang sedang kita gunakan, functions.php memberi kita satu tempat khusus agar tidak perlu melakukannya berulang kali pada semua halaman yang ada.
Kita dapat mengaktifkan opsi tema, menambahkan custom style, mengakses fitur built-in/default yang ada pada WordPress , dan masih banyak lagi. Kita juga dapat menulis fungsi kita sendiri untuk menambahkan fitur baru.
Dan seperti yang akan kita coba pada artikel ini adalah salah satunya untuk menambahkan fitur keamanan pada blog kita.
3 Cara Melindungi Situs WordPress Tanpa Plugin Khusus
Beberapa fungsi di bawah inilah yang kami terapkan di beberapa blog kami/teman-teman blogger yang lain. Tetapi ada baiknya sebelum mengikuti tutorial ini, sebaiknya kita backup terlebih dahulu file function.php tersebut sebelum melakukan update
1. Sembungikan detail WordPress kita
Jika kita melakukan klik kanan pada area blog kita, dan memilih “view source code” maka kita akan melihat plain text html dari blog kita. Di situlah kita akan melihat secara detail semua yang berkaitan dengan blog kita yang telah digenerate oleh sebuah function.php bawaan WordPress.
Untuk menyembunyikan beberapa detail tersebut, pastekan kode di bawah ini pada file function.php kita.
Pada baris kode di atas, kita menambahkan sebuah functions yang ditujukan untuk menghapus meta tag dan RSS yang telah digenerate sebelumnya ketika sedang melakukan penginstallan WordPress kita.
Kita juga dapat menghapus versi parameter tag WordPress yang kita gunakan untuk menambahkan keamanan pada blog kita. Sehingga orang lain tidak akan tahu versi WordPress yang sedang kita gunakan.
Pada point ini, kita telah mengamankan beberapa hal penting yang sering terlewatkan oleh banyak orang, yang tentunya dapat menyebabkan situs/blog kita terkena serangan DDoS/CyberThreat.
2. Mengamankan Login Page
Langkah kedua yaitu yaitu mengamankan login area, ketika seseorang mencoba masuk ke situs WordPress Kita dengan nama pengguna atau kata sandi yang salah, mereka diberi petunjuk secara default seperti pada gambar di bawah ini, yang dapat mempermudah mereka untuk meretas web/blog kita.
Kita dapat menyembunyikan pesan error bawaan tersebut untuk mengurangi orang yang ingin iseng dengan blog kita.
Cara mudah dan simple untuk menghilangkan notifikasi tersebut adalah dengan menambahkan script seperti di bawah ini pada file function.php kita.
Jika blog/website kita memiliki users yang terdaftar, kita bisa memodifikasi pesan error tersebut dan mengarahkan mereka untuk mereset password mereka menggunakan link yang berbeda seperti di bawah ini:
3. Load script dari pihak ketiga secara aman
Secara default, baik WordPress sendiri maupun theme yang kita pakai memiliki script dari pihak ketiga yang cukup banyak seperti: jQuery, Google Font, Font Awesome, dan masih banyak lagi.
Meskipun tidak berhubungan dengan database yang kita gunakan, koneksi script yang tidak aman (SSL) dapat dimanfaatkan oleh sebagian orang, atau disebut juga dengan Man In-The Middle Attack (MITM).
Man-in-the-middle attack — Dalam kriptografi dan keamanan komputer, serangan man-in-the-middle atau person-in-the-middle adalah serangan cyber di mana penyerang secara diam-diam menyampaikan dan mungkin mengubah komunikasi antara dua pihak yang percaya bahwa mereka berkomunikasi secara langsung satu sama lain.
Oleh karena itu, sangat penting untuk menggunakan script eksternal dimuat menggunakan protokol “SSL” melalui “HTTPS”. Hal ini mengurangi peluang peretas untuk memasukkan kode berbahaya ke situs kita saat orang lain melihatnya. Karena jQuery adalah salah satu script yang paling umum digunakan, berikut adalah contoh untuk memuatnya menjadi lebih aman:
Script di atas akan memaksa jQuery untuk selalu menggunakan “HTTPS” ketika dimuat di browser pengguna.
Demikianlah 3 tips yang patut kita coba untuk mengamankan blog/website WordPress kita untuk meminimalisir celah dari orang yang tidak bertanggung jawab.
Semoda dapat membantu!
