Tips Mengamankan Wordpress anda

1. Ganti nama default admin dan berikan password yang aman.

2. Buat database wordpress, dan grant dengan limit access :

Grant Select, Insert, Delete, Update, Create, Drop, Alter
ON namadb.* TO 'namauser'@'localhost' Identified By 'password';
Flush Privileges;

3. Buatlah prefix tabel dengan nama lain, jangan default ( wp_xxx ).

4. Akses ke sini: https://api.wordpress.org/secret-key/1.1/salt/ , untuk generate secret key yang baru pada wp-config.php, carilah kode seperti dibawah dan ganti dengan yang baru.

define(‘AUTH_KEY’, ‘secret key yang baru digenerate’);
define(‘SECURE_AUTH_KEY’, ‘secret key yang baru digenerate’);
define(‘LOGGED_IN_KEY’, ‘secret key yang baru digenerate’);
define(‘NONCE_KEY’, ‘secret key yang baru digenerate’);

5. Jika memang diperlukan, paksa admin untuk menggunakan ssl, tambahkan di wp-config.php :

define('FORCE_SSL_ADMIN', true);

6. Buatlah .htaccess didirektori wp-admin jika anda ingin hanya dari ip tertentu yang bisa login, isinya :

Order Deny,Allow
Allow from 11.22.33.44 (ip address anda)
Deny from all

7. Install WP Security Scan untuk cek installasi , file permission, dan sebagainya.

8. Buat robots.txt di dokumen root, untuk filter bot agent/spider

# vi robots.txt, isikan kode dibawah :
User-agent: *Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

Dan usahakan untuk cek update terbaru dari wordpress.