Artikel ini bukanlah artikel komplit yang menyediakan cara mengamankan website wordpress dengan sempurna. Tapi Setidaknya, inilah yang saya lakukan agar website tak melulu jadi bulan-bulanan tangan jahil.

Biasanya, si tangan jahil ini jika telah menemukan celah dan masuk dengan username dan password yang sesuai, maka dia akan berkoar dengan kalimat standar seperti berikut, “web anda vurnelable, silakan perbaiki atau kami akan datang lagi”.

Tapi, bagi saya, jahil tetaplah usil. Ibarat tembok sudah dibangun kokoh, lalu si usil ngetok-ngetok tembok seolah diundang sebagai penguji kekuatan. Kalo begini, anda juga emosi bukan?

gambar ini saya ambil tanggal 10 desember 2013. Total hari itu ada percobaan login sebanyak 40 kali. dengan kombinasi trial error beberapa username. Ada admin, ada user, ada adm ada editor, dst.

Untungnya, saya menambahkan report sehingga bisa diketahui darimana ip itu berasal, dari semua ip itu saya kumpulkan lalu BLACKLIST tanpa ampun.

40 Serangan pada 10 desember 2013, dengan berbagai formasi kata[/caption]

 


Plugin WP Security

Nah, bagi kawan yang pakai wordpress ada baiknya lengkapi blog kawan dengan plugin WP Security, lalu install dan aturlah seperti berikut:

– Pada user login > Login Lockdown Configuration:
1. centang Enable Login Lockdown Feature
2. Max Login Attempts isi dengan 2, artinya jika dua kali salah username maka akan langsung lock (terkunci)
3. masukkan email notifikasi, artinya jika ada percobaan masuk yang gagal maka akan diberitahukan ke email kawan.

– pada Firewall > Brute Force Prevention Firewall Settings:
1. Centang Enable Brute Force Prevention Login Prevention > isi Secret word dengan “terserah kawan”. Nanti kalo kawan login, tak ke wp-admin tapi ke http://alamatweb.com/?terserahkawan=1″ istilahnya Hide Login

BlackLIST IP
Lalu, setelah konfigurasi kawan lakukan seperti di atas, maka ketika ada aktifitas yan gmencurigakan, sistem akan memberitahu kawan lewat email. Nah, email itu nanti berisi aktifitas login dan ip pelaku. Yang kawan lakukan selanjutnya adalah melakukan BlackList IP dengan IP Deny Manager di CPANEL. Dengan demikian, insya allah, si penyusup boro-boro ‘bisa setor muka’.

Berikut, ip address yang saya kumpulkan, yang kawan bisa langsung lakukan black list:

Klik di sini

Catatan: Cara diatas akan sia-sia jika ip server sudah dikuasai penyusup. seperti pada Website WordPress Dihack Lagi dan Lagi dan Lagi