Assalamuailaikum,entry pada hari ini adalah berdasarkan cara-cara untuk mengelak daripada wordpress kenahack!,kredit penuh kepada :Malaysia.coding
Sekiranya blog wordpress anda di host kan di Wordpress.com anda lebih terdedah dengan serangan digodam , berbanding dengan platform yang lain. Kebanyakkan admin sekarang gemar menggunakan plugin seperti Login LockDown untuk menghindar dari Bruteforce attack atau dictionary attack.
Phising attacks juga antara kaedah yang kerap digunakan Hacker untuk mengodam blog wordpress, banyak yang saya lihat pengguna wordpress tertipu dengan teknik ini.
Bagaimana Hacker boleh mengodam Blog Wordpress anda ?
Kebanyakkan Hacker yang mempuyai skill yang tinggi akan menyasarkan file wp-config.php kerana ia berada ditempat yang tidak selamat . Jadi untuk meningkatkan tahap keselamatan fail wp-config.php ,anda perlu setkanpermission ke "400"(pastikan anda boleh login ke ftp atau Cpanel). Sekiranya anda lihat dibawah, ia mengandungi maklumat yang sangat sensitif.
Sekarang kita akan menggunakan fail HTACCESS untuk lock file wp-config.php , fail HTACCESS digunakan untuk mengawal direktori folder yang berada didalam server dan mempunyai banyak lagi fungsi-fungsi yang boleh digunakan .
1. Download fail HTACCESS
2. Buka dengan menggunakan Notepad dan letak kod dibawah.
# protect wpconfig.php
<files wp-config.php>order allow,deny
deny from all
</files>
Pindahkan fail wp-config.php
Secara default fail wp-config akan berada di root , Wordpress sendiri menasihatkan penggunanya memindahkan fail tersebut ke tempat yang sukar di jangka. Anda boleh juga pindahkan luar dari root folder ini dapat mengelakkan Hacker dari menggunakan Symlink bypassing attack atau kaedah lain.
Sekiranya website/blog anda menggunakan Share Hosting anda lebih terdedah dengan serangan Symlink bypassing attack atau Jumping Shell. Saya nasihatkan anda pindah ke VPS atau Dedicated server yang mempunyai tahap keselamatan yang lebih baik.
Sekarang nak terangkan cara-cara nk tambahkan lagi security anda ;)
Login
1. Limit Login Attempts
Limit Login Attempts ialah plugin yang dapat mengawal had limit seseorang untuk login ke admin. Sekiranya setting diset kepada limit 3 , user hanya boleh mencuba sebanyak tiga kali sebelum ia di lock. Ia juga mempunyai banyak lagi fungsi lain.
- Download
2. Login LockDown
Login LockDown ialah plugin yang dapat merekodkan ip address yang gagal setiap kali menucuba untuk login. Plugin ini dapat mengelakkan dari serangan Bruteforce dictionary attacks.
- Download
Admin
1. Admin SSL
Admin SSL berfungsi dengan melindungi page login (www.yoursite.com/login) , admin area , post dan page dengan menggunakan Private SSL . SSl berfungsi encrypted setiap data untuk mengelakkan man-in-middle-attack .
- Donwload
Folder
1. BulletProof Security
BulletProof Security berfungsi melindungi blog/website anda dari XSS, RFI, CRLF, CSRF, Base64, Code Injection dan SQL Injection. Ia juga melindugi fail wp-config.php, bb-config.php, php.ini, php5.ini, install.php dan readme.html dengan .htaccess dengan mengubah setting permission mengikut kesesuaian fail pada direktori tersebut.
- Download
Setakat ini sahaja :
