Serba-Serbi Plugin All In One WP Security

Sebelumnya ane ingin menyapa agan-agan semua, di hari nan cerah namun sedikit hujan ini. Apa kabarnya kalian semua.

Setelah membahas sedikit mengenai plugin Better WP security yang cukup populer di tahun 2013 kemaren, sekarang di tahun ini kita kedatangan plugin security baru yang harus kita awasi bersama sepak terjangnya.

Plugin yang dikerjakan oleh banyak pihak ini memiliki performa cukup baik di awal debutnya dengan banyaknya review-review positif dari usernya.

Mempunyai metode yang sangat berbeda dari BWPS yang memakan memory sedikit lumayan, plugin ini lebih mengoptimalkan pengamanan melalui htacces dan mengurangi feature pemanggilan database membuat plugin yang satu ini sangat ringan dan dan tidak suka bentrok dengan plugin lainnya.

Langsung saja kita bedah lebih detail feature-feature pentingnya dibawah ini.

1. User login untuk mengamankan WP kamu dari brute force attack.

Serba-Serbi Plugin All In One WP Security

Login lockdown: mempunyai fungsi untuk memblacklist musuh yang mencoba login ke blog kita dengan beberapa kali percobaan.

Login Captcha: mengaktifkan fungsi captcha untuk menghalangi robot untuk login.

Login whitelist: Hanya memperbolehkan IP yang diwhitelist untuk login. Kamu bisa mengaktifkan feature ini kalau IP yang kamu pakai tidak berubah. Tapi jangan coba-coba kalau kamu pakai modem three seperti ane, karena akan akan langsung di blacklist.

Failed Login Records: Catatan dari user yang gagal login beserta nama user dan tanggal.

Force logout: Menentukan durasi waktu buat kamu berada di dalam blog, setelahnya kamu harus login kembali. Feature ini lumayan berguna kalau kamu memakai komputer secara bersama.

Account Activity Logs: Mencatat admin yang berhasil masuk kedalam blog kamu.

Logged In Users: Melihat ada berapa user yang sedang login. Kalau kamu lihat ada user lain yang sedang login berarti itu patut dicurigai.

2. Database security.

Serba-Serbi Plugin All In One WP Security

DB prefix: Pertama kali di instal, folder-folder di database memiliki awalan WP_ something. Settingan awal ini sangat rawan sekali terhadap serangan injeksi yang menargetkan postingan dan komen tanpa perlu si penyerang masuk ke dalam Wp admin. AIOWPS dapat mengganti db prefix anda dengan sekali klik, mudah bukan. Yang perlu diperhatikan adalah anda hanya diperbolehkan menggunakan huruf yang tidak lebih dari 6 karakter. Ingat, penggantian DB prefix ini akan memakan sedikit memori dari blog anda.

DB Backup: tool yang satu ini akan membackup database anda secara terschedulle.

3. Filesystem security untuk file-file di hostingan.

Serba-Serbi Plugin All In One WP Security

File Permissions: File-file dan folder-folder di hostingan kita pada umumnya memiliki setingan yang standar. Tapi kadang ada aja hosting yang punya setingan aneh. File permission ini sangat penting difahami oleh kita karena setingan ini dapat menentukan apakah suatu file boleh dibaca, dirubah, maupun dihapus oleh kita maupun oleh orang luar tanpa perlu masuk ke cpanel hostingan kita. Selain itu dengan mengedit file permission ini kita juga bisa memperkuat WP kita dari serangan dengan setingan yang lebih ketat. Biasanya yang diincar oleh penyerang adalah file-file seperti htaccess, wp-config, folder upload, dll.

PHP File Editing: Tool ini ada untuk mengantisipasi penyerang yang berhasil masuk ke dashboard untuk mengedit file php theme dan file php plugin.

WP File Access: Untuk menghilangkan orang luar mengakses file seperti readme, license, wp-config-sample yang memberikan informasi mengenai versi WP yang kita miliki.

Host System Logs: Tool untuk melihat file error log.

4. Firewall.

Serba-Serbi Plugin All In One WP Security

Basic Firewall Rules:

  • Basic Firewall Settings: Sedikit perlindungan dasar melalui htaccess. Diantaranya menghilangkan akses ke file htaccess, menghilangkan informasi WP, membatasi upload file sebesar 10MB, menghilangkan akses ke file wp-config.
  • WP pingback protection: melindungi WP dari salah satu metode DoS yaitu menyerang fungsi pingback secara masiv melalui banyak host.

Additional Firewall Rules:

  • Listing of Directory Content: menghilangkan kemampuan untuk mengakses daftar folder dan file yang diproteksi.
  • Trace dan Track: Menghilangkan kemampuan debugging bawaan WP yang disalahgunakan untuk membuat lemot WP kita.
  • Proxy comment posting: Menghilangkan akses spam komen dari robot yang melalui host proxy.
  • Bad Query Strings: Memberikan tampilan error bila ada yang mencoba mencari kelemahan di blog kita dengan mengakses URL-URL aneh.
  • Advance Character String Filter: Memberikan proteksi yang lebih kuat seperti fungsi diatas, terutama untuk serangan menggunakan XSS.

5G Blacklist Firewall Rules: Mengaktifkan proteksi melalui htaccess dari para robot yang mencoba mencari-kelemahan dari blog kita dengan mengakses URL-URL aneh dari blog kita. 5G blacklist firewal rules ini sebenarnya kumpulan kode yang dbuat oleh orang-orang di forum Perishable yang mencoba mengexploitasi WP melalui htaccess.

Brute Force Prevention: Tool yang satu menurut ane merupakan setingan terbaik dari AIOWPS. Jadi setiap yang mau login ke blog kita sebelumnya sudah harus memiliki cookies login di komputernya. Cookies tersebut bisa didapat melalui URL yang sudah kita tentukan sebelumnya. Tool yang satu ini menarik karena kita bisa melempar si penyerang ke websitenya sendiri ataupun ke website manapun yang kita inginkan tanpa WP kita harus mengakses file php. Sehingga WP kita tidak memakan memory waktu ada serangan. Bandingkan dengan plugin security lain yang tetap harus memakan memori waktu ada serangan.

5. SPAM prevention.

Serba-Serbi Plugin All In One WP Security

Comment SPAM:

Add captcha to comments form: Menambahkan captcha di kolom komentar untuk memproteksi dari serangan robot.

Block spambot: Memblock spambot yang tidak melalui kolom komentar di domain.

Comment SPAM IP monitoring: Mencatat dari IP manasaja yang biasanya memberikan SPAM, kalau IP tersebut melakukan SPAM berulang-ulang maka bisa di block.

6. Scanner.

Serba-Serbi Plugin All In One WP Security

File change detection: Memeriksa apakah ada file yang dihapus, dirubah, maupun ditambahkan. Tool yang satu ini lumayan terpakai apabila ada yang sudah berhasil masuk ke dalam blog kita dan menguak-atiknya.

Demikianlah nyak, babeh, ncing, abang, tante, pakde, dan om-om semua mengenai pembahasan kita tentang plugin yang satu ini.

Kalau ada yang sudah memakai plugin ini, ditunggu komentarnya ya.

Advertisements

2 thoughts on “Serba-Serbi Plugin All In One WP Security

  1. erwinprasetyo April 24, 2014 / 19:50

    bagus mas penjelasannya. tapi kalo sampai plugin ini memblok robots google kenapa yah? salah satu website saya robots googlenya ke blok 😦

  2. Top Bola January 27, 2016 / 06:32

    Mau tanya, plugin ini bikin visitor turun drastis gak ya Gan?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s