berikut ini adalah Tips Mengamankan WordPress Dari Aktifitas Hacking, sekedar untuk anda ketahui WordPress adalah sebuah aplikasi sumber terbuka (open source) yang sangat populer digunakan sebagai mesin blog (blog engine). WordPress dibangun dengan bahasa pemrograman PHP dan basis data MySQL. tepatnya PHP dan MySQL, keduanya merupakan perangkat lunak sumber terbuka (open source software). Selain sebagai blog, WordPress juga mulai digunakan sebagai sebuah CMS (Content Management System) karena kemampuannya untuk dimodifikasi dan disesuaikan dengan kebutuhan penggunanya. WordPress adalah penerus resmi dari b2/cafelog yang dikembangkan oleh Michel Valdrighi. Nama WordPress diusulkan oleh Christine Selleck, teman Matt Mullenweg. WordPress saat ini menjadi platform content management system (CMS) bagi beberapa situs web ternama seperti CNN, Reuters, The New York Times, TechCrunch, dan lainnya. (sumber: wikipedia)
Nah, pada artikel kali ini saya akan berbagi Tips Mengamankan WordPress Dari Aktifitas Hacking. beberapa hal yang harus anda ketahui dalam melakukan troubleshooting wordpress adalah
WordPress Under Attack
1. PENTING! Sebelum melakukan troubleshooting silahkan backup terlebih dahulu file wordpress beserta databasenya.
2. Update wordpress beserta plugin ataupun themes yang anda gunakan. hindari penggunaan themes atau plugin nulled hasil crack.
3. Hapus file dan folder theme atau plugin yang tidak digunakan.
4. Hindari penggunaan user wordpress dengan nama “admin”, usahakan menggunakan username unik dan gunakan password minimal 8 karakter.
5. Gunakan plugin wp-security scan dan jalankan.
6. Ganti database table prefix menjadi yang unik, table prefix default dari wordpress adalah wp_
7. Disable XMLRPC Pingback attack dDOS pada wordpress. untuk mendeteksi XMLRPC Pingback attack silahkan lihat gambar dibawah ini
Untuk menghindari XMLRPC Pingback attack dDOS, silahkan tambahkan script dibawah ini pada file .htacces anda
|
1 2 3 4 5 6 7 8 9 |
# Block attackers by agents <IfModule mod_rewrite.c> RewriteCond %{HTTP_USER_AGENT} ^.*WinHttp\.WinHttpRequest\.5.*$ RewriteRule .* http://%{REMOTE_ADDR}/ [R,L] </IfModule> <Files "xmlrpc.php"> Order Deny,Allow Deny from all </Files> |
8. Blok bot untuk crawl folder tertentu, karena intruder yang akan melakukan aktifitas hacking biasanya mencari hasil scan dr google dengan keyword tertentu untuk mencari bug. Silahkan ini pada tambahkan pada file robots.txt
|
1 2 3 4 5 6 7 8 9 10 11 |
User-agent: * Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins/ Disallow: /wp-content/cache/ Disallow: /wp-content/themes/ Disallow: */trackback/ Disallow: */feed/ Disallow: /*/feed/rss/$ Disallow: /category/* |
9. Melindungi file wp-config dengan menambah rule berikut pada .htaccess
|
1 2 3 4 |
<Files wp-config.php> Order Deny,Allow Deny from all </Files> |
10. Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess
|
1 2 3 4 |
<Files .htaccess> Order Allow,Deny Deny from all </Files |
11. Melarang directory listing browsing, tambahkan pada .htaccess atau buat file index.php pada tiap folder
|
1 2 |
# disable directory browsing Options All –Indexes |
12. Melarang beberapa script untuk melakukan SQL injection
|
1 2 3 4 5 6 7 |
# protect from sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[-9A-Z]{,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[-9A-Z]{,2}) RewriteRule ^(.*)$ index.php [F,L] |
13. Mengamankan folder wp-includes, tambahkan script ini pada .htaccess
|
1 2 3 4 5 6 7 8 |
# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+\.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L] |
14. Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
15. Pasang akismet dan plugin re-captcha untuk melindungi dari spam comments attack
16. Disable edit themes/plugin melalui dashboard dengan menambah tag berikut pada wp-config
|
1 |
define('DISALLOW_FILE_EDIT', true); |
17. Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda memperbolehkan) atau .htaccess
|
1 2 3 4 |
Disable register_globals Disable allow_url_fopen Disble display_errors disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open |
18. buat permission file wp-config.php menjadi 400 atau 600
19. Lakukan backup berkala pada akun hosting atau website anda
20. Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi pihak hosting, atau anda bisa menggunakan jasa kami
Selamat ngoprek Tips Mengamankan WordPress Dari Aktifitas Hacking!
