Lakukan Backup

Ini adalah aturan dasar yang sederhana yang dapat menyelamatkan anda dalam banyak kasus. Jangan lupa untuk selalu mem-backup website (root folder dan semua file-file yg ada) dan database secara berkala, agar anda dapat mengembalikan website anda kapan saja jika ada masalah.

Anda dapat menggunakan PhpMyAdmin untuk backup database anda. Bukalah database anda, klik tab Export, pilih semua tabel pada pilihan SQL (jangan lupa centang “Add DROP TABLE“). Selain itu, gunakan fungsi GZIP Compression.

Gunakan WordPress Versi Terbaru

Ini sangat penting untuk memperbarui WordPress anda dari bugs dan masalah keamanan. Anda dapat menggunakan Automatic Upgrade (Tools > Upgrade), atau 3 langkah upgrade manual, yang bisa anda baca di Upgrading WordPress.

Gunakan Password & Lindungi direktori WP-Admin

Instalasi WordPress membuat user admin secara default dengan password yang acak. Jika anda masih menggunakan password acak ini untuk mengakses WP-Admin, saya sarankan segera rubah password anda dan berikan password yang lebih kuat. Selain itu, rubahlah username default dari administrator. Pada bagian Users di halaman admin, anda bisa mengatur profil anda.

Lindungi direktori WP-Admin dengan password dari sisi server. Letakkan file .htaccess pada direktori yang ingin anda amankan. Berikut adalah kode dari file .htaccess

AuthName "WP-Admin"
AuthType Basic
AuthUserFile /path/ke/passwd  #(direktori tujuan file .htpasswd)
Require valid-user

Gunakan htpasswd untuk membuat file passwd (.htpasswd) dan letakkan file ini pada direktori yang tidak bisa diakses dari web (htpasswd -c /tujuan/direktori/passwd username).

Lindungi file wp-config.php

Pertama-tama, anda harus membuat kunci rahasia pada file wp-config.php anda. Kenapa ? karena mulai versi 2.6, WordPress telah memasukkan satu set fitur keamanan untuk password dan jika anda ingin meningkatkan keamanan blog anda, maka anda harus menggunakan generator ini untuk membuat kunci rahasia.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');

WP-Config berisi data yang sangat krusial dan untuk alasan ini, maka anda wajib melindungi file wp-config.php dengan menggunakan .htaccess.

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>


Block Akses Search Engine ke Direktori WP-

Direktori WP- tidak perlu di-index oleh search engine, jadi blok saja akses ke direktori ini. Anda bisa menggunakan konfigurasi berikut di file robots.txt.

Dissalow: /wp-*

Plugin Bad Behavior

Plugin Bad Behavior ini melengkapi plugin lain yang bertindak sebagai penjaga pintu, mencegah spammer untuk mengirimkan “sampah” mereka, dan pada banyak kasus, sampai mencegah spammer tidak meletakkan website anda dalam urutan pertama mereka. Hal ini selain membuat beban situs anda menjadi lebih ringan, juga membuat log website anda menjadi lebih bersih, dan bisa mencegah kondisi Denial of Service yang disebabkan oleh spammer.

Plugin ini juga melampaui plugin spam lain dengan cara kerjanya yang berbeda. Alih-alih hanya melihat isi spam yang potensial, plugin ini juga menganalisa metode penyampaian serta software spammer yang digunakan. Dengan cara ini, plugin Bad Behavior dapat menghentikan serangan spam bahkan ketika tidak ada seorangpun yang melihatnya sebagai spam.

Plugin Login Lock-Down

Pugin Login Lock-Down ini menggabungkan alamat IP dan daftar waktu dari setiap login yang gagal, jadi ketika sudah dideteksi sejumlah tindakan dalam waktu yang singkat dari range alamat IP yang sama, maka plugin ini akan menon-aktifkan semua permintaan dari IP tersebut. Hal ini tentunya dapat mencegah tindakan hacking secara Brute of Force.

Plugin Secure WordPress

Plugin ini akan membantu anda untuk mengamankan instalasi WordPress anda. Plugin ini akan membersihkan informasi kesalahan pada halaman login, menambahkan file index.html pada direktori plugin, menghapus wp-version kecuali pada halaman admin.

Optimalkan Gambar Pada Server Anda

Gambar mempunyai dampak besar bagi tampilan sebuah website, tetapi jika gambar pada halaman web kita tidak dioptimalkan, maka kita bisa mendapat masalah dengan berhubungan dengan load time dan bandwitdh.

Untuk itu, anda harus menggunakan kompresi yang baik untuk gambar anda, tergantung dari software anda, untuk menemukan keseimbangan yang tepat antara kualitas dan ukuran. Saya sempat membaca artikel bagus yang berhubungan dengan kompresi gambar menggunakan 2 software yang berbeda, kompresi photoshop vs fireworks.

Aktifkan GZIP Compression

Kompresi adalah cara cepat dan efektif untuk menghemat bandwidth dan mempercepat website Anda.

Apache memungkinkan kompresi melalui mod_deflate dan tambahkan kode berikut di dalam file .htaccess anda akan mengaktifkan kompresi GZIP pada halaman web Anda.

# BEGIN GZIP
<ifmodule mod_deflate.c>
AddOutputFilterByType DEFLATE text/xml text/css application/x-javascript application/javascript
</ifmodule>
# END GZIP

Tes kompresi web anda di GZIP-Test.

Mengecilkan CSS dan Kompresi File Javascript

Untuk memperkecil CSS anda (dan mempercepat website), anda dapat menggunakan salah satu tool yang tersedia, seperti Styleneat, atau php library, misalnya Minify.

Hal lain yang harus dilakukan adalah menempatkan semua file JavaScript anda ke dalam satu file dan load di bagian bawah halaman (footer.php).

Anda dapat menggunakan Firebug dengan Page Speed pada Mozilla Firefox untuk menguji dan mengoptimalkan halaman web anda.

Mengurangi Jumlah Eksternal Link Website

Website dan skrip eksternal dapat menghabiskan banyak waktu untuk loading tergantung pada koneksi server. Anda harus membatasi widget dan link ke situs lain, pada kenyataannya, dengan mengurangi jumlah hostname dari sumber daya yang dilayani, kita dapat meminimalkan jumlah DNS resolutions dan delay round-trip time (RTT) yang bisa diartikan adalah waktu yang dibutuhkan oleh paket, sejak paket dikirim hingga paket diterima .

Optimalkan dan Repair Database

Secara berkala anda harus mengoptimalkan database anda. Buka struktur database instalasi anda, centang semua tabel, pilih opsi Optimize Table dan Repair.

Jika bingung dengan PhpMyAdmin, tersedia plugin WP-Optimize yang bisa melakukan optimalisasi database dari halaman admin.

Menonaktifkan Fungsi Post Revisions

Untuk menonaktifkan fitur Post Revisions (jika anda tidak memerlukannya), tambahkan kode berikut ini ke wp-config.php:

define ( 'WP_POST_REVISIONS', false);

Hapus Plugin Yang Tidak Terpakai

Lihatlah daftar plugin yang anda gunakan dan cobalah untuk mengoptimalkan WordPress anda dengan menghapus plugin yang tidak digunakan. Jika anda memiliki lebih dari 15 plugin yang aktif pada blog anda, tanyakan kepada diri anda sendiri apa yang sebenarnya anda butuhkan, dan hapus yang tidak perlu.

Plugin WP Super Cache

Plugin WP Super Cache menghasilkan file statis html dari blog anda. Setelah file html terbentuk, webserver anda akan melayani permintaan terhadap file tersebut daripada memproses script yang lebih berat dari WordPress anda.

///////////////////////////////////////////////

Nah, cukup dulu pembahasan tentang mengamankan dan mempercepat wordpress anda. Tapi hati-hati, kadang niatan kita utk mengamankan wordpress, bisa membuat wordpress kita jadi error, seperti yang saya alami pada artikel ini.

Semoga artikel bisa bermanfaat buat anda, dan jika iya, silahkan berikan komentar

Mengganti Nama Stylesheet

Jika ingin mengganti nama style.css dengan nama lain, pada file functions.php di theme anda masukkan script berikut:

add_filter('stylesheet_uri','wpi_stylesheet_uri',10,2);

/**
 * wpi_stylesheet_uri
 * overwrite default theme stylesheet uri
 * filter stylesheet_uri
 * @see get_stylesheet_uri()
 */
function wpi_stylesheet_uri($stylesheet_uri, $stylesheet_dir_uri){

    return $stylesheet_dir_uri.'/css/mytheme.css';
}

Mengganti Direktori Default Stylesheet

Jika anda hanya ingin merubah direktori default dari stylesheet anda, masukkan script berikut pada file functions.php.

add_filter('stylesheet_directory_uri','wpi_stylesheet_dir_uri',10,2);

/**
 * wpi_stylesheet_dir_uri
 * overwrite theme stylesheet directory uri
 * filter stylesheet_directory_uri
 * @see get_stylesheet_directory_uri()
 */
function wpi_stylesheet_dir_uri($stylesheet_dir_uri, $theme_name){

	$subdir = '/css';
	return $stylesheet_dir_uri.$subdir;

}

Jika tips dan trik ini bisa bermanfaat buat anda, silahkan berikan komentar di bawah. Terima kasih…

Sumber : http://code.google.com/p/wp-istalker/source/browse/branches/WordPress/2.7/1.6.2/lib/modules/filters.php#326

Pernah suatu kali teman saya (admin) tadi menulis posting sebagai konten pertama dari blog tersebut. Semua proses berjalan lancar, tanpa ada masalah. Beberapa posting telah dibuat oleh teman saya dengan akses Admin.

Selanjutnya, masalah muncul ketika user dengan status Author melakukan isi konten. Sewaktu mengisikan judul, konten, tag, semua proses tadi berjalan dengan normal, tetapi ketika akan melakukan upload file .flv, muncul masalah bahwa file .flv tadi tidak terupload dengan sempurna. Muncul pesan error seperti pada gambar dibawah ini.

Gambar sebelah kiri sewaktu saya melakukan upload dari Media Library, sedangkan gambar sebelah kanan adalah error pada saat upload dari Post.

Karena penasaran, akhirnya saya (dimintai tolong) untuk mencoba menyelesaikan masalah ini. Saya mencoba menggunakan user dengan akses Author, dan mencoba upload file .flv, dan ternyata proses ini tidak berhasil. Lalu saya coba untuk upload file gambar, proses tersebut berhasil. Saya juga mencoba menggunakan user dengan akses Admin, proses upload file .flv berjalan dengan sempurna.

Setelah browsing beberapa lama, akhirnya menemukan solusinya yaitu :

1. Buka file functions.php yang berada pada direktori wp-includes
2. Carilah function wp_ext2type
3. Pada bagian video, tambahkan ‘flv’ di bagian array
4. Setelah itu, cari juga function wp_check_filetype
5. Pada variabel $mime, tambahkan ‘flv’ => ‘video/x-flv’,
6. Simpan file

Atau cara lain yang lebih mudah, download file FLV-Hack, ekstrak dan kopikan ke direktori plugins dan aktifkan. It’s done…

Sekarang teman saya tidak perlu lagi mengupload-kan setiap file .flv yang akan dipostingkan ke dalam suatu konten, cukup si Author saja

Semoga tip dan trik ini bermanfaat…

Tetapi setelah melakukan posting image pada artikel baru di agungprasetyo.net, ternyata image tidak dapat muncul sebagaimana mestinya. Jadi setiap kali saya klik image, yang muncul bukan window pop-up, tapi image ditampilkan pada halaman tersendiri. Kalau seperti ini, pasti ada yang tidak beres atau terjadi bentrok antar plugin yang ada.

Setelah diamati, memang pada agungprasetyo.net pluginnya lebih banyak daripada di komputer lokal saya. Jadi kalau di komputer lokal berjalan lancar, sedangkan di server luar ada masalah, berarti ini ada bentrok antar plugin. Akhirnya saya mencoba menon-aktifkan plugin satu-per-satu dan mencoba melihat source code dari website dan dibandingkan dengan yang di komputer lokal.

Akhirnya diketahui duduk masalahnya. Ternyata ada plugin dengan nama Ultimate Google Analytics (yang memang tidak saya pakai di komputer lokal) yang membuat fungsi Add Highslide tidak bisa berjalan. Masalahnya adalah, plugin Ultimate Google Analytics ini membuat suatu tambahan fungsi onclick yang berguna untuk melakukan tracking terhadap file yang didownload. Sedangkan Add Highslide mempunyai fungsi onclick yang berguna untuk menampilkan window pop up. Jadi pada setiap link image yang ada, terdapat 2 fungsi onclick dan ini yang membuat plugin Add Highslide tidak berjalan.

Solusinya, dengan terpaksa plugin UGA harus di-remove dan diganti dengan plugin Google Analytics lainnya yang tidak memunculkan fungsi onclick. Akhirnya ketemu dengan plugins Google Analytics for WordPress yang bisa berjalan kompak dengan plugin Add Highslide dan Highslide4WP. Masalah teratasi dan theme dapat running well.

Semoga Bermanfaat…

Pada blog WPEngineering sudah disertakan screenshot dari tool image editor yang saat ini memang dalam proses pengerjaan. Harap diingat juga, bahwa screenshot ini masih dalam pengerjaan, jadi kemungkinan tampilan finalnya nanti bisa berubah.

Menurut saya, meski tool ini tergolong bagus, tapi sebenarnya tool ini tidak terlalu dibutuhkan. WordPress seharusnya lebih meningkatkan sisi keamanan dan stabilitas platform-nya dan menyerahkan urusan editing gambar seperti ini tetap pada pihak ketiga (vendor lain).

Tapi bagaimanapun juga, sebuah terobosan baru memang diperlukan. Saya yakin kalau tool ini akan bermanfaat bagi pengguna WordPress yang ingin tool semacam Image Editing disertakan pada platform tersebut.

Nah…berangkat dari sini, karena beberapa website di kantor menggunakan wordpress, maka mau tidak mau keamanan dari server juga harus diperhatikan. Maka saya berusaha mencari artikel di Google tentang securing server, dan hasilnya banyak sekali di Google.

Setelah menemukan beberapa artikel menarik, akhirnya saya mencoba menerapkan beberapa langkah tersebut pada server saya. Pada artikel tersebut, ada bahasan untuk menutup fungsi Magic Quotes pada konfigurasi php.ini, karena menurut penulis, Magic Quotes ini bisa membahayakan server.

Setelah beberapa minggu, salah satu rekan kantor mengatakan kalau dia tidak bisa reply comment atau jika ingin menulis posting, warna tulisan tidak muncul (warnanya putih semua). Karena penasaran, akhirnya saya mencoba melihat wordpress saya sendiri pada salah satu vhost yang ada, ternyata benar. Hampir semua fungsi wordpress tidak berjalan sebagaimana mestinya. Dari mulai tombol yg tidak aktif, tidak bisa reply comment, visual editor yang blank, dsb. Saya sempat mengira ini karena Tiny MCE (editor bawaan WordPress) yang mengalami masalah, ternyata tidak. Setelah saya coba mengupload folder wp-admin dan wp-includes, error ini tetap muncul. Akhirnya solusi paling akhir, saya melakukan backup terhadap semua database dan themes kemudian saya upload ulang semua instalasi wordpress dengan versi terbaru yaitu 2.8.4, tapi langkah ini ternyata belum memberikan solusi.

Saya sudah mencoba browsing ke berbagai situs dan forum yang membahas tentang masalah ini, tapi tidak ketemu satupun. Kebanyakan hanya memberikan langkah utk menon-aktifkan plugins, menghapus cache browser, mengkopi ulang folder wp-admin dan wp-includes, atau bahkan install ulang aplikasi wordpressnya. Tapi semuanya tidak berhasil. Lalu yang herankan adalah bahwa wordpress yang sudah saya backup ternyata berjalan dengan normal di komputer saya yang sudah saya pasangi XAMPP. Akhirnya saya menyimpulkan trouble yg muncul bukan dari wordpress-nya, tapi dari os linux-nya.

Akhirnya… setelah hampir 1 bulan mencari, membaca, mencari dan membaca lagi, saya membaca salah satu posting di tentang topik Visual Editor is Blank. Disana dijelaskan bahwa hal ini bisa muncul karena Magic Quote dan fungsi ini harus dimatikan. Daripada saya harus merubah fungsi di php.ini, akhirnya saya mengikuti saran si minuszero untuk menambahkannya di file .htaccess. Konfigurasinya adalah :

php_flag magic_quotes_gpc off
php_flag magic_quotes_sybase off
php_flag magic_quotes_runtime off

Setelah saya memasang ini di file .htaccess dan membersihkan cache dari browser, akhirnya semua fungsi wordpress bisa berjalan dengan normal. Dari mulai visual editornya hingga fungsi option lainnya.

Ternyata, niat baik kita untuk memperkuat server (hardening server) malah berimbas ke beberapa aplikasi seperti wordpress yang mungkin hal ini tidak pernah kita prediksikan. Alhamdulillah saya bisa mengalami hal ini, karena tentunya ini sangat bermanfaat buat saya dan saya ingin sharing ke rekan-rekan lain agar tidak perlu harus menunggu sampai 1 bulan untuk mengatasi hal ini. Mungkin kalau semacam non-profit sih tidak masalah, tapi kalau sudah bersifat komersial, waaah…bisa dikomplain habis-habisan sama client nih, hehehe.

Semoga sharing saya ini bisa bermanfaat buat semuanya…