Baru baru ini saya mendapatkan dua serangan web phising, yang pertama terjadi pada web fakultas dan yang kedua terjadi pada blog saya ini. Entah apa yang motivasi nya, padahal web fakultas hanya berisi berita dan web saya hanya lah share tutorial (saya rasa ga ada untung nya diserang) kecuali cuma pengen eksis. Yah, oke by the way kedua web tersebut menggunakan CMS yang sama dan memang CMS yang paling umum digunakan dan paling gampang, yaitu wordpress. Saya dapat tips ini dari pihak hosting, karena sangat bermanfaat saya akan share disini mudah mudahan bisa diterapkan oleh teman-teman pengguna wordpress yang lain.
Ada banyak tips yang saya gabungkan disini semua, jadi harap sabar membaca nya karena memang agak panjang :D
- Jangan Menggunakan Username admin, karena username ini sangat umum dan gampang di serang. Sebenarnya bukan hanya untuk worpress, untuk sistem mana pun biasakan jangan menggunakan username admin. karena sudah sangat umum dan username tersebut yang selalu dijadikan sasaran untuk bruteforce attack, dsb.
- Selalu update wordpress kita ke versi yang terbaru, karena developer selalu meningkatkan versi nya karena salah satunya adalah celah keamanan. Sama seperti antivirus, tidak ada gunanya antivirus paling mahal sekalipun kalau tidak pernah di update. Jadi stay up to date untuk meminimalisir celah dan bugs keamanan. Tidak hanya core wordpress yang harus dijaga up to date tapi semua plugin dan tema juga harus dijaga update nya.
- Hapus file readme.htmlyang ada pada wordpress kita, kenapa? karena file tersebut berisi tentang versi wordpress kita. Ketika attacker mengetahui versi wordpress kita, maka dia akan tau dimana celah keamanan nya.
- Hapus file install.phpyang ada di folder wp-admin, file ini sudah tidak diperlukan lagi jika wordpress kita sudah terinstall dan sudah berjalan dengan baik.
- Hapus dan jangan menggunakan Theme standar/Default Wordpress, Seperti twentyten, twentyeleven dan classic. themes-themes ini sudah sangat umum dan strukturnya sudah diketahui orang banyak. jadi kalau kita menggunakan themes tersebut akan lebih gampang bagi attacker.
- Gunakan password yang kuat, mengandung karakter, simbol dan angka. jika perlu di alay-alay kan karena memang itu lebih aman dan lebih sulit ditebak.
- Lindungi file wp-config.php, karena file ini berisi semua konfigurasi dan koneksi database kita. bisa menggunakan .htaccess dan tambahkan baris berikut:
[plain]
<Files wp-config.php>
Order Allow,Deny
Deny From All
</Files>
[/plain] - Blokir Folder wp-xxx, folder ini merupakan folder system wordpress. Jangan sampai ada yang bisa menjelajahi isi folder2 ini. Kita bisa melindungi nya dengan menambahkan entri berikut pada robot.txt
[plain]
Disallow: /wp-
[/plain] - Hilangkan informasi versi wordpress, versi bisa menjadi celah jika pada versi yang kita pakai terdapat banyak bugs. hilangkan dengan menambahkan script berikut pada file function.php pada tema kita
[plain]
function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );
[/plain] - Ubah tabel prefix. Secara default wordpress akan membuat prefix table kita dengan wp_ , jadi sebagian besar pengguna wordpress prefix tabel nya itu. usahakan di ganti karena dengan begitu attacker tidak akan tau nama tabel mysql kita.
- Perhatikan Permission file dan folder, Usahakan Permission untuk Folder 755 dan permission File 644 agar tidak bisa di ubah ubah dan di otak atik orang lain sembarangan
- Lakukan Backup Secara Berkala, agar jika terjadi insiden setidaknya kita tidak kehilangan semua data kita dan masih bisa di restore dengan cepat.
- Ganti password secara berkala (ini memang bikin malas, termasuk saya juga malas ganti2 password)
- Ganti Secret key default wordpress, untuk secret key yang baru dapat anda dapatkan dari situs resmi wordpress https://api.wordpress.org/secret-key/1.1/salt/setelah seorang hacker berhasil login di wordpress kita, maka cookies dari record akan disimpan agar hacker bisa tetap masuk ke dashboard walaupun password sudah kita ganti dengan yang baru, untuk mengantisipasinya silakan ganti secret key di “wp-config.php” dengan yang anda dapat di link diatas.contoh secret key:define(‘AUTH_KEY’, ‘h4VSBp#[])*6K5;vV&fR0]GccHyziEPbs)3>EhK.$P~hW]W4v!Q:47s2GRrq@!K&’);
Semoga bermanfaat ;)
0 komentar:
Posting Komentar