this is a blog who inspirate with pocongg's website. this is the first blog i ever made. let's see it!

Selasa, 09 Agustus 2011

Tips aman main wordpress


 Kali ini gue akan mengulas tentang CMS yg sering di gunakan para maniak blog yaitu WordPress.
Sebagai salah satu CMS (Content Management System) yang paling banyak penggunanya, WordPress juga sering menjadi sasaran serangan para hacker. Ada beberapa sebab sebuah blog menjadi target dari para hacker.
Kenapa WordPress Banyak sekali di gunakan oleh maniak blog karena wordpress memiliki kaya akan fitur,plug in yang lebih seo friendly bahkan bisa di katakan bisa berbasis WEB.
Baiklan saya akan berikan sedikit pengetahuan saya tentang tips tips amankan Wordpress



  1. Update versi terbaru WordPress.
    WordPress selalu mengeluarkan versi terbaru mereka secara berkala. Bahkan kadang dalam satu bulan mereka bisa dua kali mengeluarkan update, dan ini semua ada alasannya! Update WordPress tidak sekedar untuk bergaya dengan memperbarui tampilan, tapi juga memperbaiki celah-celah keamanan mereka.
  2. Gunakan password yang cukup rumit.
    Pakailah kombinasi huruf dan angka yang tidak mudah ditebak untuk password anda. Kalau bisa gunakan password dengan minimal 10 digit. dan penting jangan menyamakan password mulai dari Cpanel,Database,Administrator
  3. Gunakan layanan hosting yang reliable.
    Jangan hanya tergoda dengan hosting murah. Carilah rekomendasi dari forum-forum tentang tingkat keamanan suatu hosting.
  4. Jangan install plugin sembarangan.
    Banyak plugin-plugin yang sebenarnya tidak terlalu bermanfaat bagi blog, sebaliknya ada kemungkinan bahwa plugin-plugin tersebut disertai dengan kode yang disisipkan oleh para hacker. Carilah informasi mengenai sebuah plugin di situs resmi WordPress.
  5. Jangan install template sembarangan.
    Banyak situs yang menyediakan template gratis untuk WordPress. Hati-hati, jangan sampai anda memakai template yang sudah disisipi kode-kode mencurigakan. Bahkan satu template yang sama, jika berasal dari dua situs yang berbeda, kodenya pun bisa berbeda pula. Cari situs penyedia template yang benar-benar bisa dipercaya.
  6. Jangan gunakan 777 untuk File Attributes.
    Untuk bisa meng-edit template WordPress, anda harus merubah file permission, dengan cara mengganti file attributes template. Ada beberapa situs yang menganjurkan mengganti file attributes menjadi 777 (all readable, writeable, and executable). Sebaiknya jangan, dan gunakan saja kode 666 (all readable and writeable).
  7. Install beberapa plugin yang bisa membantu security blog WordPress,misalnya:
    • Login Lockdown, yang akan memblok IP sebuah komputer jika komputer tersebut salah memasukkan password berkali-kali.
    • Security Scan, yang bisa menelusuri installasi WordPress anda dan akan memberi saran bila ada celah keamanan yang rentan ditembus.

  1. Backup database secara berkala.
    Kalau sudah melakukan langkah-langkah pencegahan tetapi masih kena hack juga ya apa boleh buat. Hapus saja semua installasi WordPress, kemudian install baru dan restore database anda.


Dan di bawah ini ada trik yg bisa di coba untuk amankan wordpress
  1.  Tambahkan kode ini di file wp-config.php, tepat setelah kode <?php
    ini_set("display_errors", 0);
    error_reporting(0);
    Fungsinya menyembunyikan pesan error dari pengunjung. Pesan error biasanya mengandung nama akun cpanel kita.
  2. Hapus username bawaan Admin, dan gunakan username baru yg susah di tebak. Ubah display name user baru tadi menjadi Admin, agar seakan2 kita tetap menggunakan user name Admin. Caranya, buat dulu user baru dg nama unik, beri dia hak akses administrator, dan ubah display namenya menjadi Admin/Administrator/Nama kamu, yg penting berbeda dg usernamenya. Setelah itu, login lewat user baru tadi, dan hapus user name Admin.
    Cara gampangnya bisa menggunakan plugin Username Changer.
  3. Ganti table prefix database dari wp_ menjadi sesuatu yg sulit seperti wp_dav254_ dsb
    Cara gampangnya bisa menggunakan plugin WordPress Table Prefix Rename atau plugin WP Table Prefix Changer.
  4. Buat file .htaccess baru di folder public_html/wp-admin yg isinya sbb:
    order deny,allow
    deny from all
    allow from 202.125.147.265
    202.125.147.265 adalah contoh IP address yg sedang anda gunakan.
    Fungsinya agar hanya IP address tsb yg dapat masuk ke halaman admin blog wordpress kita. Pengunjung dari IP address yg lain akan mendapatkan Error 404, Page not found.

    Jika menggunakan layanan internet yg IP addressnya selalu berubah, sebelum masuk ke halaman admin, edit dulu file .htaccess tadi lewat FTP/Filezilla dan ubah IPnya sesuai IP saat itu. Alamat IP address kita saat ini bisa diliat lewat situs http://whatismyip.org

    Memang jd agak susah untuk masuk ke halaman admin, tapi kan susah sedikit lebih baik dibanding situsnya di hack orang dan hasil kerja keras kita bertahun2 ilang diambil maling
  5. Tambahkan kode berikut ini di dalam file .htaccess yg ada di root folder:

    # PROTECT WP-CONFIG.PHP & WP-SETTINGS.PHP

    Order deny,allow
    deny from all

    # STRONG HTACCESS PROTECTION

    order allow,deny
    deny from all
    satisfy all

    # DISABLE DIRECTORY BROWSING
    Options All -Indexes

    # PREVENT FOLDER LISTING
    IndexIgnore *

    # PROTECT AGAINST DOS ATTACKS BY LIMITING FILE UPLOAD SIZE
    LimitRequestBody 10240000

    Fungsi dari masing2 kode ada di baris yg dimulai dengan # dan kutulis dengan huruf besar semua
Semoga Bermanfaat untuk para maniak blog khususnya wordpress
Sehebat apapun Server, Script buatan manusia itu terdapat BUG/celah untuk hack

Posted By di 05.59

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)