Tutorial Mengamankan Wordpress Dari Aksi Hacking
Ada sebuah kata bijak yang mengatakan “Tidak ada sistem yang benar-benar aman dan sempurna dimuka bumi ini” termasuk juga sistem pad...
https://mbahroni.blogspot.com/2013/10/tutorial-mengamankan-wordpress-dari.html
Ada sebuah kata bijak yang mengatakan “Tidak ada sistem yang benar-benar
aman dan sempurna dimuka bumi ini” termasuk juga sistem pada CMS yang
satu ini yaitu wordpress bayangkan saja hari demi hari berbagai ilmu
pengetahuan terus berkembang semakin maju dan celah keamanan suatu
sistem semakin beragam. liat saja di website penyedia berbagai exploit
pada website contohnya di http://www.exploit-db.com/
sekarang mari kita cari dengan kata kunci WordPress dan liat hasilnya,
terbukti bahwa pada CMS WordPress masih banyak terdapat bugs/celah pada
CMS tersebut. Setelah tadi penjelasan singkat tentang Exploit pada CMS
WordPress, apa salahnya jika kita berusaha untuk mengoptimalkan dan
meningkatkan keamanan pada web applikasi tersebut berikut “Cara
Mengamankan WordPress Anda Dari Serangan Hacker“ :maling:
1. Update Selalu Versi WordPress Dan Plugin Anda
Karena apabila terdapat bugs/celah keamanan pada versi WordPress Dan plugin sebelumnya maka kemungkinan celah akan terminimalisasi dan mudah-mudahan website kita terhindar dari serangan yang ada pada versi sebelumnya.
2. Jangan menggunakan Username dan Password yang mudah ditebak.
Jika anda menggunakan Username : Admin dengan Password : 123456 maka website anda akan mudah sekali untuk di retas maka gunakanlah username dan password yang sulit ditebak seperti menggabungkan karaktek huruf, nomor dan simbol sebagai contoh : Username : S4y@G4nt3Ng’s Password : iY43Man6#B3n4r:ketawa
3. Jangan Menggunakan Akun Dengan Username Dan Password Yang Sama. Seperti Akun Cpanel, Database, dan WordPress.
Kenapa alasannya? karena apabila hacker telah mendapatkan salah satu akun anda misalkan telah mendapatkan akun WordPress anda maka yang terjadi sang hacker akan dengan mudah untuk masuk ke akun Cpanel anda.:bangga
4. Sembunyikan halaman login wordpress dan Cpanel anda
Cara merubah pada halaman login pada wordpress :
1. Login pada akun Cpanel sobat => Masuk ke file manager sobat => cari file yang bernama wp-login.php
2. Edit file yang bernama wp-login.php => ganti/replace semua text yang bernama wp-login.php dengan nama halaman login yang anda inginkan misalkan ganteng.php => save/simpan
3. rename/ganti naman file tersebut sesuai dengan yang anda inginkan contoh gant3ng.php maka halaman login anda akan menjadi ganteng.php
4. Edit file yang bernama /wp-includes/general-template.php => ganti/replace semua text yang bernama wp-login.php dengan nama halaman login yang anda inginkan misalkan ganteng.php => save/simpan
Maka dengan cara ini orang yang ingin meretas website anda akan kebingungan untuk masuk ke halaman login wordpress anda, sekalipun dia menggunakan software admin finder
Untuk halaman Cpanel sepertinya sedikit sulit untuk menyembuyikannya karena defaulth/bawaan dari hostingnya jika anda punya cara untuk menyembunyikan silahkan menggunakan cara yang anda inginkan tersebut.
5. Gunakan Plugin dari WordPress yang berfungsi untuk mengamankan dan mengoptimalkan security pada wordpress anda.
ini dia contoh plugin wordpress yang menurut saya sangat baik untuk mengamankan wordpress anda :
a. Better WP Security
Keamanan WP Better mengambil fitur keamanan terbaik WordPress dan teknik dan menggabungkan mereka dalam sebuah plugin tunggal sehingga memastikan bahwa lubang keamanan sebanyak mungkin ditambal tanpa harus khawatir tentang fitur bertentangan atau kemungkinan hilang sesuatu di situs Anda.
b. BulletProof Security (recomended) :2thumbup
BulletProff Security melindungisitus anda terhadap WordPress XSS, RFI, CRLF, CSRF, Base64, Injection Kode dan upaya SQL Injection hacking. Satu-klik. Htaccess WordPress perlindungan keamanan. Melindungi wp-config.php, bb-config.php, php.ini, php5.ini, install.php dan README.html dengan. Perlindungan keamanan htaccess. Keamanan Logging. HTTP Error Logging. Satu-klik Pemeliharaan Website Mode (HTTP 503). Pemeriksaan keamanan tambahan website: DB kesalahan off, file dan folder izin memeriksa … Sistem Info: PHP, MySQL, OS, Server, Memory Usage, IP, SAPI, DNS, Max upload … Built-in mengedit file. Htaccess, upload dan download.
c. Secure WordPress
Keamanan instalasi WordPress Anda dengan menghapus informasi kesalahan pada halaman login, menambahkan index.html ke direktori plugin, menyembunyikan versi WordPress dan banyak lagi.
6. Ganti Chmood (Cange Permission) wp-config dan wp-blog-header.php menjadi 400
caranya buka file manager cpanel anda => cari file yang bernama wp-config.php dan wp-blog-header.php => klik kanan => Chmood File/Cange Permission) => ganti menjadi 400 atau centang hanya pada bagian read user
fungsinya untuk mencegah aksi symlink pada website anda.:smangat
7. Edit sedikit Script pada wp-config.php
Cara ini berfungsi jika ada attacker yang ingin menanamkan shell upload pada wordpress anda, dengan masuk ke halaman admin page wordpress anda lalu Pilih menu Appereance pilih editor – ( theme-editor.php )
lalu pilih 404.php atau yang lainnya, copy kan script shell anda di 404.php
Terus klik Update file ( untuk menyimpan shell kita ke website target )
Shell telah tersimpan di website target, maka shell yang telah terupload menjadi
http://Webanda.com/wp-content/themes/nam...if/404.php
untuk mencegah aksi ini anda bisa melakukan dengan cara berikut :
Masuk ke Cpanel Website anda => Masuk “File Manager“ => Public_Html – wp-config.php => Klik edit, tambahkan file ini di wp-config.php
1
define(‘DISALLOW_FILE_MODS’,true);
Saran saya di bawah tulisan ini “ define(‘DB_USER’, ‘username_here’); “
Trus klik save change , pasti tidak bisa kan, ini karena chmod dari file wp-config.php anda yang masih 400, rubah dulu chmod nya ke 0644, setelah chmod di rubah ke 0644, mari kita coba simpan kembali, klik save change, setelah berhasil tersimpan, jangan lupa mengembalikan chmod dari file wp-config.php sobat ke chmod 400 kembali.
selain untuk mencegah shell upload cara ini juga mendisable add new plugin dan add new theme, edit theme dan semua yang berhubungan dengan thema wordpress, jadi jika anda ingin menambahkan/mengedit thema atau plugin anda. Anda harus terlebih dahulu menghapus script “define(‘DISALLOW_FILE_MODS’,true);” untuk cara menghapus script tersebut sama saja caranya dengan cara untuk menambahkannya :)
8. Tambahkan script .htacces pada folder “public_html“
silahkan untuk keamanan tambahan anda bisa menambahkan script dibawah ini save dengan nama .htacces lalu upload file tersebut pada folder “public_html”
1
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR] RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR] RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR] RewriteCond %{HTTP_USER_AGENT} SF [OR] RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR] RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR] RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR] RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR] RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR] RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR] RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR] RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR] RewriteCond %{HTTP:Acunetix-Product} ^WVS RewriteRule ^.* http://127.0.0.1/ [R=301,L]
cara ini berfungsi untuk mencegah apabila sang hacker ingin menscan situs wordpress anda dengan nikto, sqlmap,dirbuster dan sebagainya maka yang terjadi dia akan menscan localhostnya sendiri
jika anda sudah menginstall plugin BulletProof Security dengan benar maka anda secara otomatis akan menambahkan script .htaccess ini ke situs anda, tidak hanya script diatas saja BulletProof Security juga menambahkan berbagai script untuk mengamankan wordpress anda.
9. Tidak menggunakan plugin/thema WordPress sembarangan
nampaknya anda harus berhati-hati dengan plugin/thema yang berada di internet yang keamanannya rendah bahkan dapat membahayakan wordpress anda misalkan thema/plugin wordpress premium yang dishare free kemungkinan saja pada thema/plugin yang anda gunakan tersebut terdapat backdoor atau script yang membahayakan untuk wordpress anda.
10. Mencari wawasan baru tentang security khususnya pada wordpress
11. Mencoba dan mengetes keamanan website wordpress anda sendiri
12. Membackup semua database web anda secara berkala
karena mungkin saja web anda teretas secara tiba-tiba dan yang tidak anda inginkan. ingat ! tidak ada security 100% yang aman karena semua sistem memiliki celah.:pinter
referensi: http://devilzc0de.org/forum/thread-19081.html
1. Update Selalu Versi WordPress Dan Plugin Anda
Karena apabila terdapat bugs/celah keamanan pada versi WordPress Dan plugin sebelumnya maka kemungkinan celah akan terminimalisasi dan mudah-mudahan website kita terhindar dari serangan yang ada pada versi sebelumnya.
2. Jangan menggunakan Username dan Password yang mudah ditebak.
Jika anda menggunakan Username : Admin dengan Password : 123456 maka website anda akan mudah sekali untuk di retas maka gunakanlah username dan password yang sulit ditebak seperti menggabungkan karaktek huruf, nomor dan simbol sebagai contoh : Username : S4y@G4nt3Ng’s Password : iY43Man6#B3n4r:ketawa
3. Jangan Menggunakan Akun Dengan Username Dan Password Yang Sama. Seperti Akun Cpanel, Database, dan WordPress.
Kenapa alasannya? karena apabila hacker telah mendapatkan salah satu akun anda misalkan telah mendapatkan akun WordPress anda maka yang terjadi sang hacker akan dengan mudah untuk masuk ke akun Cpanel anda.:bangga
4. Sembunyikan halaman login wordpress dan Cpanel anda
Cara merubah pada halaman login pada wordpress :
1. Login pada akun Cpanel sobat => Masuk ke file manager sobat => cari file yang bernama wp-login.php
2. Edit file yang bernama wp-login.php => ganti/replace semua text yang bernama wp-login.php dengan nama halaman login yang anda inginkan misalkan ganteng.php => save/simpan
3. rename/ganti naman file tersebut sesuai dengan yang anda inginkan contoh gant3ng.php maka halaman login anda akan menjadi ganteng.php
4. Edit file yang bernama /wp-includes/general-template.php => ganti/replace semua text yang bernama wp-login.php dengan nama halaman login yang anda inginkan misalkan ganteng.php => save/simpan
Maka dengan cara ini orang yang ingin meretas website anda akan kebingungan untuk masuk ke halaman login wordpress anda, sekalipun dia menggunakan software admin finder
Untuk halaman Cpanel sepertinya sedikit sulit untuk menyembuyikannya karena defaulth/bawaan dari hostingnya jika anda punya cara untuk menyembunyikan silahkan menggunakan cara yang anda inginkan tersebut.
5. Gunakan Plugin dari WordPress yang berfungsi untuk mengamankan dan mengoptimalkan security pada wordpress anda.
ini dia contoh plugin wordpress yang menurut saya sangat baik untuk mengamankan wordpress anda :
a. Better WP Security
Keamanan WP Better mengambil fitur keamanan terbaik WordPress dan teknik dan menggabungkan mereka dalam sebuah plugin tunggal sehingga memastikan bahwa lubang keamanan sebanyak mungkin ditambal tanpa harus khawatir tentang fitur bertentangan atau kemungkinan hilang sesuatu di situs Anda.
b. BulletProof Security (recomended) :2thumbup
BulletProff Security melindungisitus anda terhadap WordPress XSS, RFI, CRLF, CSRF, Base64, Injection Kode dan upaya SQL Injection hacking. Satu-klik. Htaccess WordPress perlindungan keamanan. Melindungi wp-config.php, bb-config.php, php.ini, php5.ini, install.php dan README.html dengan. Perlindungan keamanan htaccess. Keamanan Logging. HTTP Error Logging. Satu-klik Pemeliharaan Website Mode (HTTP 503). Pemeriksaan keamanan tambahan website: DB kesalahan off, file dan folder izin memeriksa … Sistem Info: PHP, MySQL, OS, Server, Memory Usage, IP, SAPI, DNS, Max upload … Built-in mengedit file. Htaccess, upload dan download.
c. Secure WordPress
Keamanan instalasi WordPress Anda dengan menghapus informasi kesalahan pada halaman login, menambahkan index.html ke direktori plugin, menyembunyikan versi WordPress dan banyak lagi.
6. Ganti Chmood (Cange Permission) wp-config dan wp-blog-header.php menjadi 400
caranya buka file manager cpanel anda => cari file yang bernama wp-config.php dan wp-blog-header.php => klik kanan => Chmood File/Cange Permission) => ganti menjadi 400 atau centang hanya pada bagian read user
fungsinya untuk mencegah aksi symlink pada website anda.:smangat
7. Edit sedikit Script pada wp-config.php
Cara ini berfungsi jika ada attacker yang ingin menanamkan shell upload pada wordpress anda, dengan masuk ke halaman admin page wordpress anda lalu Pilih menu Appereance pilih editor – ( theme-editor.php )
lalu pilih 404.php atau yang lainnya, copy kan script shell anda di 404.php
Terus klik Update file ( untuk menyimpan shell kita ke website target )
Shell telah tersimpan di website target, maka shell yang telah terupload menjadi
http://Webanda.com/wp-content/themes/nam...if/404.php
untuk mencegah aksi ini anda bisa melakukan dengan cara berikut :
Masuk ke Cpanel Website anda => Masuk “File Manager“ => Public_Html – wp-config.php => Klik edit, tambahkan file ini di wp-config.php
1
define(‘DISALLOW_FILE_MODS’,true);
Saran saya di bawah tulisan ini “ define(‘DB_USER’, ‘username_here’); “
Trus klik save change , pasti tidak bisa kan, ini karena chmod dari file wp-config.php anda yang masih 400, rubah dulu chmod nya ke 0644, setelah chmod di rubah ke 0644, mari kita coba simpan kembali, klik save change, setelah berhasil tersimpan, jangan lupa mengembalikan chmod dari file wp-config.php sobat ke chmod 400 kembali.
selain untuk mencegah shell upload cara ini juga mendisable add new plugin dan add new theme, edit theme dan semua yang berhubungan dengan thema wordpress, jadi jika anda ingin menambahkan/mengedit thema atau plugin anda. Anda harus terlebih dahulu menghapus script “define(‘DISALLOW_FILE_MODS’,true);” untuk cara menghapus script tersebut sama saja caranya dengan cara untuk menambahkannya :)
8. Tambahkan script .htacces pada folder “public_html“
silahkan untuk keamanan tambahan anda bisa menambahkan script dibawah ini save dengan nama .htacces lalu upload file tersebut pada folder “public_html”
1
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR] RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR] RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR] RewriteCond %{HTTP_USER_AGENT} SF [OR] RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR] RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR] RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR] RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR] RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR] RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR] RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR] RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR] RewriteCond %{HTTP:Acunetix-Product} ^WVS RewriteRule ^.* http://127.0.0.1/ [R=301,L]
cara ini berfungsi untuk mencegah apabila sang hacker ingin menscan situs wordpress anda dengan nikto, sqlmap,dirbuster dan sebagainya maka yang terjadi dia akan menscan localhostnya sendiri
jika anda sudah menginstall plugin BulletProof Security dengan benar maka anda secara otomatis akan menambahkan script .htaccess ini ke situs anda, tidak hanya script diatas saja BulletProof Security juga menambahkan berbagai script untuk mengamankan wordpress anda.
9. Tidak menggunakan plugin/thema WordPress sembarangan
nampaknya anda harus berhati-hati dengan plugin/thema yang berada di internet yang keamanannya rendah bahkan dapat membahayakan wordpress anda misalkan thema/plugin wordpress premium yang dishare free kemungkinan saja pada thema/plugin yang anda gunakan tersebut terdapat backdoor atau script yang membahayakan untuk wordpress anda.
10. Mencari wawasan baru tentang security khususnya pada wordpress
11. Mencoba dan mengetes keamanan website wordpress anda sendiri
12. Membackup semua database web anda secara berkala
karena mungkin saja web anda teretas secara tiba-tiba dan yang tidak anda inginkan. ingat ! tidak ada security 100% yang aman karena semua sistem memiliki celah.:pinter
referensi: http://devilzc0de.org/forum/thread-19081.html
sangar mbah :o
ReplyDeleterory humu :>) :>) :>)
Delete