Salam sukses semua,kali ini saya akan sedikit membuatkan tips untuk mengamankan website kita khususnya yang sering dipakai yaitu CMS wordpress.Meski prakteknya ini memakai wordpress tp teknik ini juga berlaku untuk cms lain semacam joomla atau atau jenis website lain.
Dari tutorial ini bukan mengamankan 100% trus website kamu tidak dibobol,tapi hanya sedikit memperkuat pengamanan saja.Karena memang tdk ada keamanan yang sempurna dan selamanya,serta keamanan bukan one time deal yang bisa sekali setting dan ditinggal.Karena mungkin yang sekarang di anggap secure besok sudah menjadi yang buggy mengikuti perkembangan technology.
Pada kali ini saya memakai pada hosting yang pakai apache,mungkin dalam environtment hosting lain slah satu cara ada yang berbeda cara setting/tekniknya:
1.Sebelum melakukan apapun silahkan backup dulu database dan filenya.Database download melalui phpmyadmin dan file bisa anda compress dann download.
2.Selalu update engine wordpress/plugin/themes anda ke yang terbaru dan jgn pakai nulled atau hasil krack.
3.Hapus file/folder theme/plugin yang tidak dipakai
4.Jangan pakai username admin sebagai username anda,usahakan ganti dengan yang lain dan pakai Password yang kuat perbaduan angkahuruf (besar-kecil) dan karakter.
5.Pakai pulgin wp-security scan dan jalankan.
6.Ganti database table prefix menjadi yang unique,secara default adalah wp_ silahkan ganti menjadi wp_ak te_pp dll untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix apa.
7.Blok bot untuk crawl folder tertentu,krn orang yang akan deface biasanya hasil scan dr google dengan keyword tertentu untuk mencari bug.Silahkan tambahkan pada robots.txt
Quote:User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
8.Melindungi file wp-config dengan menambah rule berikut pada .htaccess
Quote:<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
9.Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess
Quote:<Files .htaccess>
Order Allow,Deny
Deny from all
</Files
10.Melarang directory listing browsing,tambahkan pada .htaccess atau buat file index.php pada tiap folder
Quote:# disable directory browsing
Options All –Indexes
11.Melarang beberapa script injection
Quote:# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
12.Mengamankan folder include ,tambahkan pada .htaccess
Quote:# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
14.Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
15.Pasang akismet dan plugin cacptcha untuk melindungi dari comment spam
16.Disable edit themes/plugin melalui dashboar dengan menambah tag berikut pada wp-config
Quote:define('DISALLOW_FILE_EDIT', true);
Dengan menambah tag diatas maka menu edit theme/plugin pada dashbord dihilangkan,sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin
17.CHMOD wp-config menjadi 400 atau 600
Diatas dari sisi dalam wordpress,next dari sisi hosting
18.Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau php_flag .htaccess
Quote:Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Dengan mendisable fungsi diatas mungkin saja membuat salah satu script tidak berjalan,jika script tsb membutuhkan fungsi dari salah satu tersebut diatas.
19.Lakukan backup berkala pada akun hosting atau website anda
20.Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami,semoga kami bisa membantu ataupun memberikan backup anda.
Sumber
Dari tutorial ini bukan mengamankan 100% trus website kamu tidak dibobol,tapi hanya sedikit memperkuat pengamanan saja.Karena memang tdk ada keamanan yang sempurna dan selamanya,serta keamanan bukan one time deal yang bisa sekali setting dan ditinggal.Karena mungkin yang sekarang di anggap secure besok sudah menjadi yang buggy mengikuti perkembangan technology.
Pada kali ini saya memakai pada hosting yang pakai apache,mungkin dalam environtment hosting lain slah satu cara ada yang berbeda cara setting/tekniknya:
1.Sebelum melakukan apapun silahkan backup dulu database dan filenya.Database download melalui phpmyadmin dan file bisa anda compress dann download.
2.Selalu update engine wordpress/plugin/themes anda ke yang terbaru dan jgn pakai nulled atau hasil krack.
3.Hapus file/folder theme/plugin yang tidak dipakai
4.Jangan pakai username admin sebagai username anda,usahakan ganti dengan yang lain dan pakai Password yang kuat perbaduan angkahuruf (besar-kecil) dan karakter.
5.Pakai pulgin wp-security scan dan jalankan.
6.Ganti database table prefix menjadi yang unique,secara default adalah wp_ silahkan ganti menjadi wp_ak te_pp dll untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix apa.
7.Blok bot untuk crawl folder tertentu,krn orang yang akan deface biasanya hasil scan dr google dengan keyword tertentu untuk mencari bug.Silahkan tambahkan pada robots.txt
Quote:User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
8.Melindungi file wp-config dengan menambah rule berikut pada .htaccess
Quote:<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
9.Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess
Quote:<Files .htaccess>
Order Allow,Deny
Deny from all
</Files
10.Melarang directory listing browsing,tambahkan pada .htaccess atau buat file index.php pada tiap folder
Quote:# disable directory browsing
Options All –Indexes
11.Melarang beberapa script injection
Quote:# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
12.Mengamankan folder include ,tambahkan pada .htaccess
Quote:# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
14.Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
15.Pasang akismet dan plugin cacptcha untuk melindungi dari comment spam
16.Disable edit themes/plugin melalui dashboar dengan menambah tag berikut pada wp-config
Quote:define('DISALLOW_FILE_EDIT', true);
Dengan menambah tag diatas maka menu edit theme/plugin pada dashbord dihilangkan,sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin
17.CHMOD wp-config menjadi 400 atau 600
Diatas dari sisi dalam wordpress,next dari sisi hosting
18.Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau php_flag .htaccess
Quote:Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Dengan mendisable fungsi diatas mungkin saja membuat salah satu script tidak berjalan,jika script tsb membutuhkan fungsi dari salah satu tersebut diatas.
19.Lakukan backup berkala pada akun hosting atau website anda
20.Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami,semoga kami bisa membantu ataupun memberikan backup anda.
Sumber
