November 24, 2015

Cara gampang mengamankan wp

Mengamankan wordpress yang dihost sendiri.

Siapa si yang ga kenal wordpress
salah satu cms Opensource berbasis web yg cukup powerfull dan telah digunakan ratusan juta website
mulai dari web pribadi yang sederhana sampai perusahaan kelas dunia seperti... BBC,Facebook news room,Sony music,MTV news, dll cek sendiri dah daftar web yg menggunakan wp.

Opensource ya pasti ada banyak developer yang ikut terlibat
mulai dari tim di perusahaan pro sampe coder di dalam kamar kost,
mulai dari orang baik sampai bandit cyber...
masalah keamanan menjadi pertarungan abadi antara
security vs attacker, hitam vs putih... yang diantara nya abu2 lebay ah.
daripada ngelatur mending lanjut aja, berikut sebagian kecil
rangkuman tips dan trik sederhana untuk meningkatkan keamanan pada wp.


A. tips

1.Rubah database table prefix dari default wordpress yang menggunakan wp_
menjadi  xx_ atau ww_anu dan lain2 .
catatan : (sebaiknya dilakukan ketika pertamakali loe menginstall wordpress )
jika wp telah terinstall, maka bisa juga merubah menggunakan plugins wp-security scan.
2.Selalu update wordpress ke versi terbaru.
3.Gunakan strong password yang kompleks alias ribet berupa perpaduan angka,huruf,besar,kecil,karakter special dengan jumlah karakter yang agak lebih.
4.Jangan pake username admin sebagai username.
5.Sembunyikan username, author pada archive URL
6.Hindari themes/plugin nulled atau hasil crack alias bajakan. selain ilegal biasanya bajakan itu ada jin/tuyul nya nyelip
7.Hapus semua file2 folder2 dari theme dan plugins yang tdak digunakan
8.Backup secara berkala web loe.

B. trik

Lakukan backup tiap-tiap file/folder sebelum memulai editing.

1. Hilangkan file editor dari panel admin/dashboard wp.
skenario, jika attacker berhasil mendapatkan akses kedashboard sebagai admin
maka dia akan kesulitan untuk bertindak lebih jauh,
Cara nya : Tambahkan code dibawah pada file wp-config.php tambah saja pada baris paling bawah:
define( 'DISALLOW_FILE_EDIT', true );

2. Hilangkan fungsi2 yang berpotensi berbahaya
Tambahkan rule berikut pada file php.ini :
Disable register_globals

Disable allow_url_fopen

Disble display_errors

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
catatan : Mendisable beberapa fungsi yg tertera diatas bisa membuat salah script theme/plugin aloe tidak berjalan,
hanya jika script loe membutuhkan fungsi dari fungsi yang kita hilangkan itu.
 (Warning.... Pastikan loe tau persis yang loe lakukan jika tidak tanya mbah gugel)

3. Blokir robot perayap.
blok bot crawl untuk folder tertentu,
Robot perayap pada mesin pencari bagaikan anu bermatadua,
Para atacker sering menggunakan hasil scan dari google untuk keyword tertentu.(google dork)
tentang dork tanya mbah klik to mbah.
Tambahkan rule berikut pada robots.txt
User-agent: *

Disallow: /cgi-bin

Disallow: /wp-admin

Disallow: /wp-includes

Disallow: /wp-content/plugins/

Disallow: /wp-content/cache/

Disallow: /wp-content/themes/

Disallow: */trackback/

Disallow: */feed/

Disallow: /*/feed/rss/$

Disallow: /category/*
dengan menabahkan aturan diatas maka robot perayap dari mesin pencari tidak akan mendapat akses
kedirektori pada fungsi yang diblok.

4. Ganti permission/chmod pada file dan direktori/foder berikut.
Masuk ke panel loe misal :cpanel
- Ganti permission pada file : .htaccess menjadi 0404
- Ganti permission pada file : index.php, wp-config.php, wp-blog-header.php menjadi 0400
- Ganti permission pada folder : wp-content, wp-includes, wp-admin menjadi 0705
perubahan chmod berfungsi mengatur akses untuk read,write,execute pada file dan folder, tentang chmod tanya embah : klik to embah.

5. Tentang .htaccess
kenali dan akrablah dengan file HTACCESS loe...
login ke panel, backup dulu file .htaccess bisa di download dulu atau copy paste
ke text editor favorit loe trus disimpan backupan nya...!!!
kalo udah mari mulai...
Menambah/edit rule2 yang kira2 diperlukan pada .htaccess
- Untuk Proteksi file .htaccess itu sendiri :
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

-Untuk Proteksi file wp-config.php
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

-Untuk Proteksi folder include
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

-Untuk Proteksi dari browsing directory.
# disable directory browsing
Options All –Indexes
Catatan : cara lain bisa juga dengan : membuat file index.php pada tiap2 direktori/folder
yaitu masuk ke panel, pada direktori/folder trus buat new file save jadi index.php
mau dikasih tampilan apa terserah loe.... 404 juga boleh...
cara ini lebih gw sukai meski ribet ngecek tiap2 direktori )

-Untuk Memblok script injection
udah taukan yang nama nya sqli tukang tusuk anu dari belakang...?
yang tiap hari semakin keren teknik nya hehhehe... kalo belum tanya embah link ke embah...
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

6. Kunci direktori/folder wp-admin
Dari panel loe beri password (password protect directory)

C. plugin

Daftar plugin2 security :

Untuk masalah keamanan wp, terdapat juga banyak pluin2 yang bisa dipilih dan diandalkan,
tapi ya balik lagi selama author plugin itu,selama masih aktif dan terus mengawasi/update
it's ok, kalo ga plugin yang outdate bisa saja suatu hari jadi boomerang.
Limit login
Protects your site via .htaccess.
Searches your database for any suspicious code.
Adds a firewall to your site.
Scans your site for malware etc.
Full-featured security plugin.
Offers a wide range of security features.
Comprehensive security tool.
WP security scan

udah segitu aja dulu tentang meningkatkan pengamanan di wp, lain kali ane lengkapi lagi.
ingat ga ada yang 100% aman di jagat maya, seperti kata pepatah : tak ada anu yang tak anu,
maka anukan anu dengan anu....
kalo ada yang kurang tambahin ya... kalo ada yang salah kasi tau ya...kalau anu ya anuin ya.



============================
Rimbaraya Nyatadimaya we do green...

No comments:

Post a Comment

Thank's
We will contact you soon..