Wordpress

Revisi terkini pada 3 Agustus 2021 06.20

Wordpress adalah CMS blog populer dan dapat didownload di wordpress.org. Berikut adalah beberapa hal yang berhubungan dengan instalasi Wordpress di sistem indoglobal.com

Daftar isi

1 Rekomendasi Pasca Instalasi
2 Proteksi Tambahan
- 2.1 Menambahkan Proteksi Tambahan
- 2.2 Mematikan Proteksi Tambahan
3 Masalah wp-cron

[sunting] Rekomendasi Pasca Instalasi

Berikut adalah rekomendasi kami setelah melakukan instalasi Wordpress. Tujuannya adalah agar seluruh fitur yang ada di Wordpress dapat berfungsi penuh tanpa mengorbankan faktor keamanan.

[sunting] Membuat Akun Share untuk keperluan upload

Anda membutuhkan sebuah akun email yang akan diberi akses ke instalasi Wordpress anda. Anda dapat membuat akun email baru, atau menggunakan akun email yang sudah dibuat sebelumnya.
Masuk ke File Manager, navigasikan ke folder instalasi Wordpress anda. Gunakan fungsi 'Share this folder'. Akan keluar menu 'Create a New Share'
Ganti Email address menjadi email yang anda tentukan sebelumnya untuk diberi akses ke instalasi Wordpress.
Masukkan share name misalnya 'wordpress'.
Klik Create Share.

Catat username untuk digunakan pada langkah berikutnya.

[sunting] Konfigurasikan Wordpress untuk menggunakan FTP untuk melakukan modifikasi file

Sunting file wp-config.php, dan tambahkan baris berikut ini:

define('FS_METHOD', 'ftpext');
define('FTP_HOST', 'localhost');
define('FTP_USER', 'user-wordpress@example.com');
define('FTP_PASS', 'password');

(ubah isi variabel sesuai konfigurasi anda)

Anda juga dapat menghapus define FTP_PASS di atas untuk memaksimalkan keamanan. Wordpress akan secara otomatis menanyakan password FTP jika membutuhkannya.

[sunting] Ubah permission folder wp-content

Dengan menggunakan File Manager, ubahlah permission folder wp-content menjadi 'Read Write' (tidak perlu menggunakan fungsi recursive). Anda juga dapat melakukannya melalui FTP dengan mengganti permission folder tersebut menjadi 777 (CHMOD 777).

[sunting] Proteksi Tambahan

[sunting] Menambahkan Proteksi Tambahan

CMS Wordpress sering mengalami serangan brute force dan hal ini adalah penyebab paling sering terjadinya masalah keamanan di situs web. Untuk mengatasinya, tambahlah baris berikut di .htaccess:

<Files wp-login.php>
Require valid-user
</Files>
 
<Files xmlrpc.php>
Require valid-user
</Files>

Dengan perintah tersebut, Wordpress akan menanyakan password tambahan untuk login. Gunakan alamat email apa pada akun yang bersangkutan beserta passwordnya untuk melanjutkan.

[sunting] Mematikan Proteksi Tambahan

Terkadang brute force Wordpress dilakukan secara masal melalui botnet dan kami sebagai pengelola server perlu mengatasinya dengan menerapkan proteksi untuk semua situs secara default.

Jika anda ingin mematikannya, bisa dilakukan dengan perintah .htaccess berikut ini:

<Files wp-login.php>
Require all granted
</Files>
 
<Files xmlrpc.php>
Require all granted
</Files>

[sunting] Masalah wp-cron

Untuk situs dengan beban tinggi, kami sarankan untuk mematikan wp-cron, dan menjalankan cron melalui Task Scheduler. Secara default, wp-cron dijalankan saat ada request masuk. Namun jika banyak request yang terjadi, akan terjadi race condition dan terjadi banyak proses yang menjalankan wp-cron sekaligus.

Untuk mematikan wp-cron, silakan edit wp-config.php, dan tambahkan baris berikut:

define('DISABLE_WP_CRON', true);

Kemudian jadwalkan eksekusi wp-cron setiap jam dengan menambahkan baris berikut di crontab. Sesuaikan directory dengan directory ke web anda pada sistem.

25 * * * * cd domain/example.com/example.com/web && wsudo php wp-cron.php

@@ Baris 1: / Baris 1: @@
 Wordpress adalah CMS blog populer dan dapat didownload di [http://wordpress.org wordpress.org]. Berikut adalah beberapa hal yang berhubungan dengan instalasi Wordpress di sistem indoglobal.com
-==Upgrade otomatis, install plugin atau install theme==
+==Rekomendasi Pasca Instalasi==
-Wordpress memiliki kemampuan untuk mengupgrade dirinya sendiri, serta menginstall plugin atau theme secara otomatis. Dalam modus [[Split web user]], Wordpress tidak dapat langsung melakukan itu, tetapi harus melakukannya melalui FTP.
+Berikut adalah rekomendasi kami setelah melakukan instalasi Wordpress. Tujuannya adalah agar seluruh fitur yang ada di Wordpress dapat berfungsi penuh tanpa mengorbankan faktor keamanan.
-===Solusi pertama: mematikan split web user (tidak direkomendasikan)===
+===Membuat Akun Share untuk keperluan upload===
-Solusi cepat: matikan [[Split web user]].
+* Anda membutuhkan sebuah akun email yang akan diberi akses ke instalasi Wordpress anda. Anda dapat membuat akun email baru, atau menggunakan akun email yang sudah dibuat sebelumnya.
+* Masuk ke File Manager, navigasikan ke folder instalasi Wordpress anda. Gunakan fungsi 'Share this folder'. Akan keluar menu 'Create a New Share'
+* Ganti Email address menjadi email yang anda tentukan sebelumnya untuk diberi akses ke instalasi Wordpress.
+* Masukkan share name misalnya 'wordpress'.
+* Klik Create Share.
-Dengan mematikan split web user, konfigurasi sistem akan menjadi sama dengan kebanyakan konfigurasi web hosting lainnya. Anda akan dapat melakukan upgrade Wordpress, instalasi theme, plugin tanpa melakukan konfigurasi tambahan.
+Catat username untuk digunakan pada langkah berikutnya.
-Kekurangannya adalah, seperti pada web hosting lain, ini akan membuat instalasi anda mudah dikerjai pihak tak bertanggung jawab jika seandainya ditemukan celah keamanan pada Wordpress atau plugin atau theme. Untuk itu, kami merekomendasikan anda menyalakan kembali Split web user setelah melakukan upgrade atau instalasi theme atau instalasi plugin.
+===Konfigurasikan Wordpress untuk menggunakan FTP untuk melakukan modifikasi file===
-===Solusi kedua: mengganti permission direktori wp-content===
+Sunting file wp-config.php, dan tambahkan baris berikut ini:
-Ganti permission direktori wp-content ke 777. Ini akan mengizinkan Wordpress untuk menulis ke dalam direktori wp-content. Selain mengizinkan upgrade theme dan plugin, ini juga mengizinkan Wordpress untuk melakukan file upload.
+<source lang="php">
+define('FS_METHOD', 'ftpext');
+define('FTP_HOST', 'localhost');
+define('FTP_USER', 'user-wordpress@example.com');
+define('FTP_PASS', 'password');
+</source>
-Gunakan aplikasi FTP untuk mengubah permission direktori wp-content menjadi 777. Atau gunakan perintah <code>chmod -R 777 wp-content</code> melalui terminal.
+(ubah isi variabel sesuai konfigurasi anda)
-===Solusi ketiga: menggunakan FTP===
+Anda juga dapat menghapus define FTP_PASS di atas untuk memaksimalkan keamanan. Wordpress akan secara otomatis menanyakan password FTP jika membutuhkannya.
-Solusi melalui FTP:
+===Ubah permission folder wp-content===
-* Tentukan email mana yang akan diberi akses ke instalasi Wordpress anda. Anda dapat membuat akun email baru, atau menggunakan yang sudah ada.
+Dengan menggunakan [[File Manager]], ubahlah permission folder wp-content menjadi 'Read Write' (tidak perlu menggunakan fungsi recursive). Anda juga dapat melakukannya melalui FTP dengan mengganti permission folder tersebut menjadi 777 (CHMOD 777).
-* Masuk ke File Manager, navigasikan ke folder instalasi Wordpress anda. Gunakan fungsi 'Share this folder'. Akan keluar menu 'Create a New Share'
-* Ganti Email address menjadi email yang anda tentukan sebelumnya untuk diberi akses ke instalasi Wordpress.
+==Proteksi Tambahan==
-* Masukkan share name misalnya 'wordpress'.
-* Klik Create Share.
+===Menambahkan Proteksi Tambahan===
-* Pada saat akan upgrade Wordpress, gunakan hostname 'localhost, serta username dan password yang anda dapatkan pada langkah sebelumnya.
+CMS Wordpress sering mengalami serangan brute force dan hal ini adalah penyebab paling sering terjadinya masalah keamanan di situs web. Untuk mengatasinya, tambahlah baris berikut di .htaccess:
+<source lang="apache">
+<Files wp-login.php>
+Require valid-user
+</Files>
+<Files xmlrpc.php>
+Require valid-user
+</Files>
+</source>
+Dengan perintah tersebut, Wordpress akan menanyakan password tambahan untuk login. Gunakan alamat email apa pada akun yang bersangkutan beserta passwordnya untuk melanjutkan.
+===Mematikan Proteksi Tambahan===
+Terkadang brute force Wordpress dilakukan secara masal melalui botnet dan kami sebagai pengelola server perlu mengatasinya dengan menerapkan proteksi untuk semua situs secara default.
+Jika anda ingin mematikannya, bisa dilakukan dengan perintah .htaccess berikut ini:
+<source lang="apache">
+<Files wp-login.php>
+Require all granted
+</Files>
+<Files xmlrpc.php>
+Require all granted
+</Files>
+</source>
+==Masalah wp-cron==
+Untuk situs dengan beban tinggi, kami sarankan untuk mematikan wp-cron, dan menjalankan cron melalui [[Task Scheduler]]. Secara default, wp-cron dijalankan saat ada request masuk. Namun jika banyak request yang terjadi, akan terjadi race condition dan terjadi banyak proses yang menjalankan wp-cron sekaligus.
+Untuk mematikan wp-cron, silakan edit wp-config.php, dan tambahkan baris berikut:
+<source lang="php">
+define('DISABLE_WP_CRON', true);
+</source>
+Kemudian jadwalkan eksekusi wp-cron setiap jam dengan menambahkan baris berikut di crontab. Sesuaikan directory dengan directory ke web anda pada sistem.
-Supaya tidak ditanyai password setiap kali melakukan update, tambahkan <code>define('FTP_PASS', 'password');</code> di wp-config.php.
+<source lang="text">
+* * * * cd domain/example.com/example.com/web && wsudo php wp-cron.php
+</source>
 [[Kategori:Setting CMS]]