Minggu, 09 Maret 2014

Tips Melindungi WordPress Dari Hacker


Ada beberapa cara untuk melindungi, mencegah dan mengamankan blog wordpress dari serangan hacker. Tutorial ini saya ambil dari beberapa blog dan saya rangkum menjadi satu karena semuanya saya anggap penting. Sebenarnya hacker tidak semua merusak website, kadang hanya membuat file index.html di public_html.
Kadang hacker juga unik, dia menyerang dengan serangan ringan dan memberikan kita info agar lebih diamankan lagi websitenya. Jangan diremehkan, saat itu juga sebaiknya teliti dan tutup semua pintu masuk hacker jangan hanya mengobati penyakit ringan yang dibuat hacker. Umumnya dalam beberapa hari dia akan menyerang lagi dengan serangan yang lebih pinter. Intinya buat hacker “agak” kerepotan untuk merusak, hingga dia bosan. Walapun kalau dia mau mungkin bisa saja mencari celah lain untuk masuk.
Berikut ini tips mengamankan website (wordpress) dari hacker :
1. Lakukan full backup melalui menu bacup dari cpanel.
2. Silakan intall plugin berikut ini :
+ Better WP Security
+ Bulletproof Security
+ Automatic Updater
- wp security scan
- WordPress-firewall
- LockDown
>> Seting Plugin Better WP Security :
a. Klik “Security” dashboard wordpress Anda, lalu klik “backup…”
b. Klik untuk mengijinkan “..Plugin to Change WordPress Core files”
c. Pilih “Secure My Site from Basic Attacks‟
d. Pada tab “Ban”, klik “Enabled default banned list
e. Pada tab “Prefix‟, pilih “Change Database Table Prefix”
f. Pada tab “Hide”, ubah login, register & admin slugs ke kata yang mudah anda ingat.
g. Pada tab “Detect”, pilih “Enable 404 Detection”, “Enable Email 404 Notifications”, Set Cek Period ke 10, Set Errorthreshold ke 7, Set Lockout period ke 1440, cek blacklist repeat offender.
Enable: File Check Detection, Enable File Change Admin Warning, Enable Email File Change Notifications, tambahkan email anda lalu klik “Save Changes”
h. Pada tab “Login”, Enable Login limits, Set Max login Attempts per host ke 5, Set Max Login Attempts perUser ke 7, Set login Time Period ke 1440, Set Lockout Time Period ke 1440, cek Blacklist Repeat Offender, SetBlacklist Threshold ke 5, tambahkan email Anda dan klik “save changes”
i. Pada tab “Tweaks”, centang semua opsi lalu klik “SAVE”.
>> Setting plugin Bulletproof Security :
a. Klik “BPS Security” di admin panel Anda.
b. Pada tab “Secure Modes”, klik tombol “Create Secure .htaccess file”.
c. Scroll ke bawah dan aktifkan Security Modes, pilih “Bulletprof Mode” pada masing-masing ke empat mode tersebut dan klik “active”.
>> Setting plugin Bulletproof Security
a. Klik “BPS Security” di admin panel Anda.
b. Pada tab “Secure Modes”, klik tombol “Create Secure .htaccess file”.
c. Scroll ke bawah dan aktifkan Security Modes, pilih “Bulletprof Mode” pada masing-masing ke empat mode tersebut dan klik “active”.
>> Setting plugin Automatic Updater
Pada dashboard wordpress Anda, klik “Settings” -> “Automatic Updater”. Centang pada “Update wordpress core automaticly”, masukkan alamat email, lalu centang “show debug information in the notification email”. Klik “Save changes”.
3. Tambahkan User Admin baru yang aman
- Pada dashboard Anda, klik “Users” – “Add New”. Gunakan kombinasi huruf besar, huruf kecil dan angka pada username dan passwordnya, masing-masing minimal 8 karakter.
- Setelah Anda buat admin user baru, silahkan logout dari dashboard Anda. Lalu login ke dashboard lagi dengan user baru tersebut.
- Klik “Users” – “All Users”, pada user lama silahkan klik EDIT, lalu ubah RULE nya menjadi “no role for this site”. Lalu klik SAVE.
4. Ubah file permission
- Ubah file permission .htaccess ke 0404
- Ubah file permission wp-blog-header.php, wp-config.php, index.php menjadi 0400
- Ubah permission folder wp-admin, wp-content, wp-includes ke 0705
5. Update Versi wordpress dan semua pluginnya.
6. Ganti Skrip wp-config.php menjadi seperti ini atau ambil skrip disini
define(‘AUTH_KEY’, ‘Ba[XwKh<0C)Zd`WbWLm&~ZjNvpN$}-Hr^J:$f+HZvlJb^JO33z|l45M6rg0]h@;o’);
define(‘SECURE_AUTH_KEY’, ‘!6ZDHKY;;zZezO:tlxn8BZaRg-~1DBZ!q|Tu(&&+9GOQAGgb4Js+g<pEeumTaz^i’);
define(‘LOGGED_IN_KEY’, ‘ [n#Ti~k6Ur1Q-.%c:H<%U(W1eg,u]MGoeN)D#!K/aZb||v`9]L*>J`?l{b(z;(*’);
define(‘NONCE_KEY’, ’8+=ggukH-tZ7MP.blvd`PV|bO]uqyR+1RL<IuX:${F.6Dmkk3|J+wT0W+Km@TObH’);
define(‘AUTH_SALT’, ‘=Q!f/zP3nOgL46D5s.:fCUhyACVK^}/BLk<%9-@.n3H4O,8<hlx1BWl~[t9*3&kh');
define('SECURE_AUTH_SALT', 'QY;-1N*Iewn<Amtm9xQ{.=]QFzbpw;0?4e(R:Q?Cl|dkXw?jht4|2si+W@8Dr`~9′); define(‘LOGGED_IN_SALT’, ‘=yGeDI*)BO;Gi9b0XnYMMJA0FSbp&I0*aBju`^_qzZ+>]DU?FeW0brSu^`+:n(BD’);
define(‘NONCE_SALT’, ‘?M,/g-%7B(kZ[s/sHVo>XTsV#}Jh2CsE@FgF8Kzv|>%]psgzq/KhimL)w|hy.0T.’);
7. Mengubah Prefix database
Bisa ganti dengan $table_prefix = ‘wp_’; bisa diganti dengan :$table_prefix = ’2w37p_’;
Kita akan membahas bagaimana mengubah prefix database nanti.
8. Melindungi wp-config.php
Cara mudah untuk melindungi file ini adalah dengan menempatkan kode berikut dalam file .Htaccess:
   order allow,deny
   deny from all
9. Melindungi File. Htaccess
Melindungi file htaccess itu sendiri hany dengan menambahkan skrip pada .htaccess itu sendiri :
   order allow,deny
   deny from all
10. Sembunyikan Versi WordPress
Tempatkan kode berikut di bawah function.php dari theme yang aktif.
remove_action(‘wp_head’, ‘wp_generator’);
Kemudian menghapusnya juga dari RSS feed menggunakan ini:
function wpt_remove_version() {
   return '';
}
add_filter('the_generator', 'wpt_remove_version');
11. Instal Plugin WordPress Security Scan
Plugin ini memindai instalasi WordPress dan memberikan saran yang sesuai. Plugin ini akan melakukan pemerikasaan bisa di download disini
Password
File Permissions
Database Security
WordPress Admin protection
12. Batasi Jumlah Gagal Login dengan plugin login lockdown
13. Jangan Gunakan “admin” ganti Username dan gunakan password yang kuat
10. Lindungi Timthumb
Carilah file bernama timthumb.php berikut contoh file timthumb.php ( /wp-conten/themes/Phonemoun/timthumb.php)
- Gantilah file permisionn tadi dengan 0600
- Selain itu tambahkan kode berikut ke .htaccess di public_html
Redirect 301 /wp-conten/themes/Phonemoun/timthumb.php http://domain.com
Load disqus comments

0 komentar