[Share] 17 cara mengamankan Website Berbasis Wordpress
#1
assalamualaikum wr wb .
sebelum ane buat thread ini , ane search dulu di forum Smile ternyata belum ada yang buat , oke langsung to point aja Big Grin
Seperti yang telah kita ketahui sebelumnya, website yang menggunakan CMS instant seperti Wordpress rentan terhadap hacking, malware, dan aktivitas cybercrime lainnya. Untuk itu, butuh pengamanan ekstra terhadap Wordpress anda.


Berikut 17 Cara untuk menambah sistem keamanan (security) WordPress + Plugin :

1. Tidak Menggunakan Username “admin”.

Karena username “tertinggi” tersebut yang sebetulnya menjadi makanan empuk bagi para hacker. Ada baiknya menggunakan username dengan mengkombinasikan antara huruf dan angka. Misal :“u53r6w”. Terkesan 4L4Y bukan? Namun terkadang kita harus bersikap lebih bervariasi daripada para hacker.

2. Mengupdate ke Versi Terbaru.

Selalu mempunyai website yang terupdate, merupakan langkah bijak bagi para pengguna WordPress. Hal ini untuk menutup celah-celah (hole) yang dapat dimasuki oleh para hacker. Informasi update-an baru biasanya akan tersedia di website utama WordPress[http://wordpress.com/] atau halaman depan administrator (wp-admin).

3. Hapus File “readme.html”.

File “readme.html” berisi versi Wordpress anda. Hapus saja file tersebut sesaat setelah anda melakukan upgrade WordPress.

4. Hapus File “install.php”.

File “wp-admin/install.php” hanya dipakai saat menginstall Wordpress saja. Sudah tidak diperlukan lagi bila Wordpress sudah berjalan. So, hapus juga file tersebut dari sistem WordPress.

5. HAPUS! Dan Jangan Menggunakan Theme Default WordPress

Belakangan terdapat isu bahwa banyaknya hacker yang menyerang website WordPress, masuk melalui theme Default yang diberikan Wordpress yaitu “Twenty Ten”, “Twenty Eleven”, dan“Classic”. Ada baiknya kita tidak mempergunakan theme tersebut, dan dihapus saja. Karena tanpa dipergunakan pun, hacker masih bisa menyerang lewat sana.

6. Gunakan Password Yang Kuat.

Sekali lagi kita harus belajar menjadi manusia yang 4L4Y. Namun hal ini dapat membantu kita jika kekuatan password yang kita miliki maksimal. Bisa juga menggunakanhttp://strongpasswordgenerator.com/ untuk mendapatkan password yang kuat.

7. Lindungi File “wp-config.php”.

Kita harus membuat file ini tidak bisa diakses oleh siapapun juga. Mudah saja, tinggal masukkan kode ini di file “.htaccess” anda :
[Image: wp1.jpg]
Blokir Folder “wp-xxxxxx”.

Kita tidak ingin folder-folder dalam system Wordpress dijelajahi oleh siapapun. Jadi, masukkan kode ini di file “robot.txt”
[Image: wp2-300x35.jpg]
9. Hilangkan Versi WordPress.

Masukkan kode ini di file “functions.php” pada themes anda :
[Image: wp3-300x47.jpg]
10. Ubah Table “Prefix”.

Cara ini cukup efektif, tapi memang agak susah terutama bila website sudah berjalan. Caranya adalah dengan membackup terlebihdahulu database anda. Dengan bantuan Notepad, lakukan“find and replace” dengan merubah setiap awalan “wp_” menjadi prefix lain misalnya “newp_”.
Setelah selesai, import SQL-nya ke phpmyadmin sehingga disana akan ada 2 macam tabel. Yaitu tabel dengan awalan “wp_” dan “newp_”.
Jika proses pengubahan selesai, kini tinggal mengganti table prefix yang ada di “wp-config.php”. Cari kode berikut :
[Image: wp4-300x57.jpg]
Lalu ganti dengan table prefix “newp_”, maka kodenya menjadi seperti ini :
[Image: wp5-300x53.jpg]
11. Sesuaikan CHMOD Permission.

Pastikan CHMOD permission pada file dan folder website anda telah sesuai dengan yang disarankan. biasanya permission untuk folder : 755, dan untuk file : 644[http://www.qwords.com/kb/mengganti-chmod-permission/]

12. Backup Secara Berkala.

Ada baiknya kita mempunyai backup secara berkala. Untuk akun hosting yang menggunakan cPanel, dapat membuat file backup melalui fitur backup yang disediakan oleh cPanel (cPanel->Backups). File backup biasanya berekstensikan .tar.gz, dapat diamankan / disimpan dengan mendownload file tersebut ke komputer pribadi anda. Sehingga jika sewaktu-waktu website anda terkena hack, anda dapat mengupload kembali file backup tersebut, kemudian me-request kepada pihak teknis untuk merestore file backup anda melalui Support Ticket di Tempat hosting anda..

13. Scan Komputer anda

Hal yang sering tidak disadari, ternyata komputer kita sendiri yang memasukan malware ke dalam hosting yang kemudian menjadi alat bagi pembuat malware untuk dapat masuk ke sistem website/hosting kita. jadi sebaiknya selalu scan komputer/laptop yang anda pergunakan secara rutin.

14. Ganti password secara berkala

Sudah pasti jika website kita terhack, dengan segera kita langsung mengubah password dengan password yang baru, namun akan lebih baik jika hal ini dilakukan setiap bulan dan secara menyeluruh (FTP,MYSQL,CPANEL, dan Dashboard wordpress)

15. Mengganti secret key default di wp-config.php

untuk secret key yang baru dapat anda dapatkan dari situs resmi wordpress Secret Key
setelah seorang hacker berhasil login di Wordpress kita, maka cookies dari record akan disimpan agar hacker bisa tetap masuk ke dashboard walaupun password sudah kita ganti dengan yang baru, untuk mengantisipasinya silakan ganti secret key di “wp-config.php” dengan yang anda dapat di link diatas.
contoh secret key:
define(‘AUTH_KEY’, ‘h4VSBp#[])*6K5;vV&fR0]GccHyziEPbs)3>EhK.$P~hW]W4v!Q:47s2GRrq@!K&’);

16. Cek .htaccess segera

Sempatkan untuk mengecek file satu ini, jika anda tidak ingin setiap komputer yang mengakses website anda malah terkena malware dari website berbahaya yang dipasang hacker di htaccess website anda. dengan me-redirect website anda ke website berbahaya, ini membuat anda akan terkena hack dan terinfeksi malware disaat yang bersamaan.
[Image: scripthackerdihtaccess.jpg]
17. Me-recreate hosting anda

Poin terakhir ini anda lakukan hanya jika anda berulang kali terkena hack kembali sedangkan semua tips security sudah anda lakukan, ini disebabkan hacker sudah menanam program didalam website anda sehingga memudahkan hacker untuk kembali melakukan hack, maka anda dapat membersihkan hosting anda ke keadaan baru membeli hosting, silakan membuat support tiket ke bagian teknis dengan subject "recreate hosting".
Langkah-langkah di atas tidak menjamin website Wordpress anda aman 100% dari hacker.
Semoga tutorial ini dapat membantu anda yang ingin selalu menjaga website tetap aman.
Berikut ini Plugin Security Terbaik untuk Mengamankan Blog WordPress:

Secure WordPress

Secure Wordpress akan menjaga keamanan file instalasi Wordpress dengan menghapus informasi fatal pada halaman login, menambahkan index.html ke setiap direktori content, menyembunyikan versi Wordpress dan banyak lagi.

WP Firewall 2

Dengan bantuan plugin ini, blog bisa menjadi lebih kebal dari berbagai serangan yang dapat merugikan blog. WP Firewall akan mem-blok setiap aktifitas yang bersifat inject. Selain itu jika ada serangan yang terjadi, plugin ini akan memblok kemudian memberi tahukannya ke email admin mengenai detail serangan, IP penyerang, jenis serangan dll.

Stealth Login

Plugin Wordpress Stealth Login ini berfungsi untuk membuat url dari halaman login pada blog wordpress menjadi lain dari biasanya. Jika pada Wordpress standart kita melakukan login via urlnamadomain.com/wp-login.php, maka dengan bantuan plugin ini kita bisa membuatnya berbeda. Url halaman login bisa kita modif sesuka kita, misal menjadi namadomain.com/masuk. Jadi hanya admin saja yang dapat mengakses Dashboard wordpress.

Exploit Scanner

Plugin ini akan memindai semua file yang ada pada direktori blo/website, posting, komentar dan juga tabel database untuk memonitor dan memberitahukan tentang adanya file atau celah yang mencurigakan.
Timthumb Vulnerability Scanner
Tak sedikit theme Wordpress yang menggunakan script timthumb (timthumb.php). Dan sayangnya file timthumb ini seringkali mempunyai celah keamanan yang dapat membahayakan penggunanya. Maka dengan bantuan plugin ini kita bisa menambal celah keamanan tersebut.

WP Security Scan
WP Security Scan untuk Wordpress / blog berfungsi untuk memindai kerentanan keamanan dan menyarankan tindakan korektif seperti:
Password
File permissions
Keamanan database
Menyembunyikan Versi WordPress
Menghapus WP Generator META tag
Berikut hanyalah beberapa rekomendasi saja, selebihnya masih banyak lagi plugin-plugin yang dapat kita gunakan untuk lebih meningkatkan security blog Wordpress kita.
Plugin Security Wordpress bisa dilihat selengkapnya disini

segitu aja dulu kaka Big Grin
semoga bermanfaat Smile
root@isdandreas:~# id
uid=0(equirtal) gid=0(equirtal) groups=0(root)
root@isdandreas:~# whoami
root
root@isdandreas:~# rooted by ISD_andreas

www.isdandreas.org/

#2
kayaknya sih pertama... Big Grin nice share brooo,,, lanjutin baca lagi ... :p
~ perubahan sekecil apapun itu akan membawa dampak yang lebih baik ~

#3
haha Big Grin pertama kali ane bro Big Grin thanks bro Big Grin :v
root@isdandreas:~# id
uid=0(equirtal) gid=0(equirtal) groups=0(root)
root@isdandreas:~# whoami
root
root@isdandreas:~# rooted by ISD_andreas

www.isdandreas.org/

#4
(09-29-2013, 03:40 AM)./ISD_andreas Wrote: haha Big Grin pertama kali ane bro Big Grin thanks bro Big Grin :v

Semangat, Plus 1 dari ane, semoga terus sharing dan tidak pernah bosan, thanks ilmunya.

Btw Anggota ISD ya ?, Indonesian Security Down, hihih.. Confused:-
<p>=========Cyberly================

Indonesian Backtrack Team Regional Aceh

" Walau diam tetap belajar"

GPComp</p>

#5
(09-29-2013, 07:33 PM)cyberly Wrote:
(09-29-2013, 03:40 AM)./ISD_andreas Wrote: haha Big Grin pertama kali ane bro Big Grin thanks bro Big Grin :v

Semangat, Plus 1 dari ane, semoga terus sharing dan tidak pernah bosan, thanks ilmunya.

Btw Anggota ISD ya ?, Indonesian Security Down, hihih.. Confused:-

iya bro ane founder ISD Big Grin doain aja biar ane setiap hari bikin thread :p wkwkkwkw
root@isdandreas:~# id
uid=0(equirtal) gid=0(equirtal) groups=0(root)
root@isdandreas:~# whoami
root
root@isdandreas:~# rooted by ISD_andreas

www.isdandreas.org/

#6
wahhh mantap nih om ilmunya,,,selain ngehack jg dikasih tau cara pencegahannya....keep sharing ilmu om



/ Q: Why was Stonehenge abandoned? A: It \
\ wasn't IBM compatible. /
----------------------------------------
\
\
\ __---__
_- /--______
__--( / \ )XXXXXXXXXXX\v.
.-XXX( O O )XXXXXXXXXXXXXXX-
/XXX( U ) XXXXXXX\
/XXXXX( )--_ XXXXXXXXXXX\
/XXXXX/ ( O ) XXXXXX \XXXXX\
XXXXX/ / XXXXXX \__ \XXXXX
XXXXXX__/ XXXXXX \__---->
---___ XXX__/ XXXXXX \__ /
\- --__/ ___/\ XXXXXX / ___--/=
\-\ ___/ XXXXXX '--- XXXXXX
\-\/XXX\ XXXXXX /XXXXX
\XXXXXXXXX \ /XXXXX/
\XXXXXX > _/XXXXX/
\XXXXX--__/ __-- XXXX/
-XXXXXXXX--------------- XXXXXX-
\XXXXXXXXXXXXXXXXXXXXXXXXXX/
""VXXXXXXXXXXXXXXXXXXV""


_ _ ____ _ _ _
__| | _____ _(_)___ / __ \ __| | _____ ____ _(_) |___
/ _` |/ _ \ \ / / / __|/ / _` |/ _` |/ _ \ \/ /\ \ / / | / __|
| (_| | __/\ V /| \__ \ | (_| | (_| | __/> < \ V /| | \__ \
\__,_|\___| \_/ |_|___/\ \__,_|\__,_|\___/_/\_\ \_/ |_|_|___/
\____/
Today is: Mon Sep 30 01:21:59 WIT 2013
Kernel Information: Linux 3.7-trunk-686-pae i686
dexvils uptime is 2:41, 2 users, load average: 0.10, 0.33, 0.46

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
pangkalan bun sweet city

#7
sipsip manteps
yang mau test plugin kecil anti wp-login brute force ayo pm Big Grin

#8
(09-30-2013, 02:29 AM)dexvils Wrote: wahhh mantap nih om ilmunya,,,selain ngehack jg dikasih tau cara pencegahannya....keep sharing ilmu om



/ Q: Why was Stonehenge abandoned? A: It \
\ wasn't IBM compatible. /
----------------------------------------
\
\
\ __---__
_- /--______
__--( / \ )XXXXXXXXXXX\v.
.-XXX( O O )XXXXXXXXXXXXXXX-
/XXX( U ) XXXXXXX\
/XXXXX( )--_ XXXXXXXXXXX\
/XXXXX/ ( O ) XXXXXX \XXXXX\
XXXXX/ / XXXXXX \__ \XXXXX
XXXXXX__/ XXXXXX \__---->
---___ XXX__/ XXXXXX \__ /
\- --__/ ___/\ XXXXXX / ___--/=
\-\ ___/ XXXXXX '--- XXXXXX
\-\/XXX\ XXXXXX /XXXXX
\XXXXXXXXX \ /XXXXX/
\XXXXXX > _/XXXXX/
\XXXXX--__/ __-- XXXX/
-XXXXXXXX--------------- XXXXXX-
\XXXXXXXXXXXXXXXXXXXXXXXXXX/
""VXXXXXXXXXXXXXXXXXXV""


_ _ ____ _ _ _
__| | _____ _(_)___ / __ \ __| | _____ ____ _(_) |___
/ _` |/ _ \ \ / / / __|/ / _` |/ _` |/ _ \ \/ /\ \ / / | / __|
| (_| | __/\ V /| \__ \ | (_| | (_| | __/> < \ V /| | \__ \
\__,_|\___| \_/ |_|___/\ \__,_|\__,_|\___/_/\_\ \_/ |_|_|___/
\____/
Today is: Mon Sep 30 01:21:59 WIT 2013
Kernel Information: Linux 3.7-trunk-686-pae i686
dexvils uptime is 2:41, 2 users, load average: 0.10, 0.33, 0.46

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

thanks bro Big Grin insyallah ane buat thread mengenani cms joomla Big Grin
root@isdandreas:~# id
uid=0(equirtal) gid=0(equirtal) groups=0(root)
root@isdandreas:~# whoami
root
root@isdandreas:~# rooted by ISD_andreas

www.isdandreas.org/

#9
(09-30-2013, 01:16 AM)./ISD_andreas Wrote:
(09-29-2013, 07:33 PM)cyberly Wrote:
(09-29-2013, 03:40 AM)./ISD_andreas Wrote: haha Big Grin pertama kali ane bro Big Grin thanks bro Big Grin :v

Semangat, Plus 1 dari ane, semoga terus sharing dan tidak pernah bosan, thanks ilmunya.

Btw Anggota ISD ya ?, Indonesian Security Down, hihih.. Confused:-

iya bro ane founder ISD Big Grin doain aja biar ane setiap hari bikin thread :p wkwkkwkw

Hiihihh pantesan enggk asing lagi di mata ane hehehe,, thanks kembali bro,, semoga bisa semakin betah terus dah... semangat".... Smile:-
<p>=========Cyberly================

Indonesian Backtrack Team Regional Aceh

" Walau diam tetap belajar"

GPComp</p>

#10
(10-01-2013, 02:48 PM)cyberly Wrote:
(09-30-2013, 01:16 AM)./ISD_andreas Wrote:
(09-29-2013, 07:33 PM)cyberly Wrote:
(09-29-2013, 03:40 AM)./ISD_andreas Wrote: haha Big Grin pertama kali ane bro Big Grin thanks bro Big Grin :v

Semangat, Plus 1 dari ane, semoga terus sharing dan tidak pernah bosan, thanks ilmunya.

Btw Anggota ISD ya ?, Indonesian Security Down, hihih.. Confused:-

iya bro ane founder ISD Big Grin doain aja biar ane setiap hari bikin thread :p wkwkkwkw

Hiihihh pantesan enggk asing lagi di mata ane hehehe,, thanks kembali bro,, semoga bisa semakin betah terus dah... semangat".... Smile:-

haha Big Grin orangnya apa Teamnya nih pak Big Grin
root@isdandreas:~# id
uid=0(equirtal) gid=0(equirtal) groups=0(root)
root@isdandreas:~# whoami
root
root@isdandreas:~# rooted by ISD_andreas

www.isdandreas.org/






Users browsing this thread: 2 Guest(s)