Inwepo Tutorial - Bagi kalian yang memiliki website blog menggunakan Wordpress, perhatikan keamanan website kalian, karena kalian berdiri sendiri tanpa bantuan dari pihak Wordpress untuk mengamankan website kalian.
Sebenarnya tutorial ini tidak mengamankan 100%, lantas website kalian tidak dibobol, namun hanya sedikit memperkuat pengamanan saja. Karena memang tidak ada keamanan yang sempurna dan selamanya, serta keamanan bukan one time deal yang bisa sekali setting dan ditinggal. Karena mungkin yang sekarang dianggap secure besok sudah menjadi yang buggy mengikuti perkembangan technology.
Pada kali ini saya memakai pada hosting yang pakai apache,mungkin dalam environtment hosting lain slah satu cara ada yang berbeda cara setting/tekniknya:
1. Sebelum melakukan apapun, silahkan backup dulu database dan filenya. Database download melalui phpmyadmin dan file bisa anda compress dan download.
2. Selalu update engine wordpress/plugin/themes anda ke yang terbaru dan jangan pakai nulled atau hasil crack.
3. Hapus file/folder theme/plugin yang tidak dipakai.
4. Hindari pemakaian username admin sebagai username anda, usahakan ganti dengan yang lain dan pakai password yang kuat dari perpaduan angka, huruf (besar-kecil) dan karakter.
5. Install plugin wp-security scan dan jalankan.
6. Ganti database table prefix menjadi yang unique, secara default adalah 'wp_' silahkan ganti menjadi 'in_' 'we_', 'po_', dan lain-lain. Untuk gantinya bisa memakai pulgin wp-security scan.(sebelum melakukan langkah ini cek dulu langkah 1).Pada softaculous pada install WP pertama kali ada juga pihan mau pakai wordpress table prefix yang mana.
7.Blok bot untuk crawl folder tertentu, karen orang yang akan deface biasanya hasil scan dari Google dengan keyword tertentu untuk mencari bug. Silahkan tambahkan pada robots.txt
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
8. Melindungi file wp-config dengan menambah rule berikut pada .htaccess
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
9. Melindungi file htaccess itu sendiri dengan menambah rule berikut pada .htaccess
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>
10. Melarang directory listing browsing, tambahkan pada .htaccess atau buat file index.php pada tiap folder
# disable directory browsing
Options All –Indexes
11. Melarang beberapa script injection
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
12. Mengamankan folder include ,tambahkan pada .htaccess
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
14.Jika diperlukan anda bisa membuat password lagi pada directory wp-admin dengan memberi password melalui cpanel “password protect directory” silahkan diberi password pada folder wp-admin
15. Pasang akismet dan plugin captcha untuk melindungi dari comment spam.
16. Disable edit themes/plugin melalui dashboard dengan menambah tag berikut pada wp-config:
define('DISALLOW_FILE_EDIT', true);Dengan menambah tag di atas, maka menu edit theme/plugin pada dashbord dihilangkan, sebagaimana kita tahu biasanya hacker menanam backdor di halaman theme/plugin.
17.CHMOD wp-config menjadi 400 atau 600
18. Untuk melakukan ini bisa anda tambahkan melalui php.ini (jika hosting anda ada dan memperbolehkan) atau .htaccess
Disable register_globals
Disable allow_url_fopen
Disble display_errors
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Dengan me-disable fungsi yang berpotensi berbahaya diatas mungkin saja membuat salah satu script tidak berjalan, jika script tersebut membutuhkan fungsi dari salah satu tersebut di atas.
19. Lakukan backup berkala pada akun hosting atau website anda
20. Jika anda kena hack/deface dan tidak bisa menyelesaikan sendiri coba silahkan untuk hubungi kami, semoga kami bisa membantu ataupun memberikan backup anda.
good article
BalasHapushttp://www.bagilikemp3.com/download/music/terbaru/lagu-barat-akustik-yang-easy-listening.html
http://www.bagilikemp3.com/music
http://www.bagilikemp3.com/video
Slot Machine Casino App - JSHub
BalasHapusWith so many ways to play, you 통영 출장마사지 can 오산 출장안마 now win even more 충청북도 출장마사지 money than ever. This app 부산광역 출장샵 is designed for the ultimate online gaming 구리 출장안마 experience, where players