Tips Tambahan untuk Menyembunyikan Maklumat Plugin dan Tema bagi Mengelakkan Serangan

Berikut adalah tips tambahan untuk menyembunyikan maklumat plugin dan tema WordPress bagi mengelakkan serangan:

1. Sembunyikan Menu Plugin dan Tema di Dashboard Admin
   Anda boleh menyembunyikan menu plugin dan tema supaya pengguna biasa atau pelanggan tidak dapat mengakses atau mengubahnya. Ini boleh dilakukan dengan menambah kod pada fail functions.php tema anda:

   function wpdocs_remove_menus() {
       remove_menu_page('themes.php');    // Sembunyikan menu Tema
       remove_menu_page('plugins.php');   // Sembunyikan menu Plugin
   }
   add_action('admin_menu', 'wpdocs_remove_menus');
   

   Cara ini tidak memadam menu secara kekal, tetapi hanya menyembunyikannya dari paparan admin tertentu.

2. Gunakan Plugin Khusus untuk Menyembunyikan Plugin dan Elemen Dashboard
   Plugin seperti WP Admin UI Customize membolehkan anda mengawal dan menyembunyikan menu atau elemen tertentu di dashboard WordPress tanpa perlu coding manual. Ini memudahkan pengurusan dan meningkatkan keselamatan dengan mengurangkan pendedahan maklumat plugin dan tema.

3. Sembunyikan Versi WordPress, Server, dan PHP
   Maklumat versi WordPress, server, dan PHP yang dipaparkan boleh dimanfaatkan oleh penggodam untuk mencari kelemahan. Anda boleh sembunyikan maklumat ini dengan menambah kod berikut:

   • Pada .htaccess untuk sembunyikan maklumat server dan PHP:

     ServerSignature Off
     Header unset X-Powered-By
     

   • Pada functions.php untuk sembunyikan versi WordPress:

     remove_action('wp_head', 'wp_generator');
     

   Ini mengurangkan risiko serangan berdasarkan versi yang diketahui.

4. Matikan Debugging Mode
   Debugging yang aktif boleh memaparkan maklumat sensitif seperti nama pengguna atau laluan fail kepada pengunjung. Matikan debugging di wp-config.php dengan kod berikut:

   define('WP_DEBUG', false);
   define('WP_DEBUG_LOG', true);
   define('WP_DEBUG_DISPLAY', false);
   ini_set('display_errors', 0);
   

   Ini menghalang pendedahan maklumat yang boleh digunakan untuk serangan.

5. Gunakan HTTPS untuk Keselamatan Data
   Pastikan laman web anda menggunakan HTTPS untuk melindungi pertukaran data antara pengguna dan server, sekaligus mengurangkan risiko penyusupan dan serangan man-in-the-middle.

6. Kemas Kini dan Padam Plugin/Tema Tidak Digunakan
   Plugin dan tema yang tidak digunakan harus dipadam untuk mengelakkan pendedahan potensi kelemahan keselamatan yang tidak dikemas kini.

7. Sembunyikan Elemen dengan CSS (untuk Dashboard)
   Jika anda hanya mahu menyembunyikan elemen tertentu di dashboard tanpa mengubah kod PHP, anda boleh gunakan CSS custom di Appearance > Customize > Additional CSS:

   .plugin-class { display: none; }
   

   Gantikan .plugin-class dengan kelas CSS elemen yang ingin disembunyikan.

Dengan menggabungkan langkah-langkah ini, anda dapat mengurangkan pendedahan maklumat plugin dan tema, sekaligus meningkatkan keselamatan laman WordPress anda daripada serangan.