Cara Simpel Melindungi Blog Wordpress Anda dari Serangan Hacker
oleh salsabel pada Apr.26, 2009, dalam kategori Blogging, Internet, Wordpress
Beberapa saat lalu ada ulasan di sebuah blog yang menyatakan bahwa seseorang tanpa ijin telah masuk ke dalam sistem 
manajemen web blog wordpressnya. Website tersebut mendapatkan serangan setelah di-deface oleh orang yang tidak dikenal. Menanggapi masalah tersebut, beberapa rekan dalam forum memberikan beberapa respon tentang cara penanganan keamanan web berbasis Wordpress. Tulisan ini mungkin agak telat, tapi jika Anda berkutat dengan Wordpress, saya rekomendasikan Anda membaca yang satu ini..
Dalam laporan serangan tersebut disebutkan bahwa Wordpress 2.1 (waktu itu) punya kelemahan dalam folder /wp-admin. Meski belakangan bug ini sudah diperbaiki dalam versi 2.5 ke atas, tapi jika Anda merasa perlu Anda bisa menerapkan langkah ini, just in case..
Cara menggunakan file .htaccess untuk memberikan batasan khusus terhadap akses folder Wordpress. Dengan menambahkan sedikit baris perintah berikut, Wordpress akan menyaring akses berdasarkan alamat IP pengakses. Jika ada pengakses yang tidak kita kehendaki mencoba masuk, dia akan disambut dengan pesan ‘Forbidden Error’.
Caranya sederhana, tempatkan sebuah file .htaccess dalam folder /wp-admin. (Ingat, dalam folder /wp-admin, bukan .htaccess yang berada dalam root folder blog.) Saya sarankan sebelum Anda melakukan ini, Rename dulu .htaccess asli (jika ada) untuk backup sebelum melakukan upload file .htaccess berikut
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# Alamat IP rumah
allow from xxx.xxx.xxx.xxx
# Alamat IP kantor
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
# Alamat IP mobile
allow from xxx.xxx.xxx.xxx
Catatan: Ganti tanda xxx.xxx.xxx.xxx dengan alamat IP static yang diberikan Internet Provider Anda. Misalnya, untuk IP dari Telkomnet Speedy, biasanya berawalan 125.xxx.xxx.xxx. Ingat, ini bukan alamat IP local network PC yang Anda gunakan. Untuk pengguna dengan alamat IP Dinamic (DHCP), Anda perlu tenaga ekstra untuk menambahkan daftar IP yang Anda gunakan.
Jika Anda merasa tidak yakin, Anda bisa gunakan plugin Lockdown seperti WP-Supercache dan Login Lockdown dari Michael untuk mengantisipasi penyerang untuk melakukan serangan acak password. Dengan plugin ini, semua upaya login yang gagal akan dicatat dan setelah beberapa kali salah login, plugin akan memblokir alamat IP selama waktu yang ditentukan.
Ide tulisan ini ada di situs ini dan artikel ini.
Selamat mencoba…
6 Komentar atas tulisan ini
Balas komentar
Hai! Selamat datang di GBK!
Terimakasih sudah berkenan mampir! Jangan sungkan untuk sekedar memberikan komentar, berdiskusi atau mengikuti perkembangan info dengan mendaftarkan diri di RSS feed GBK.
Anda mencari sesuatu? Silakan cari di sini:
Saya mengundang Anda untuk bergabung dengan ratusan anggota lain yang telah mendaftarkan diri sebagai pembaca Guntingbatukertas. Bagi Anda yang belum bergabung, silakan gunakan menu navigasi
Administrasi > Registeruntuk melakukan pendaftaran. Anda juga bisa menjalin link dengan jejaring para pembaca GBK yang telah bergabung dalamGoogle Connect.Saya yakin Anda juga mau dan bisa berbagi. Jika Anda merasa terbantu dengan artikel GBK dan juga berbaik hati ingin membantu Anda bisa mengawalinya dengan meng-klik iklan GBK. Satu klik saja berarti Anda mendukung proses sharing tetap berlanjut. Namun demikian saya tidak menyarankan Anda untuk termakan begitu saja isi iklan tersebut. Silakan cermati, pahami dan pilih dengan bijak. Terimakasih dan selamat membaca!
Sponsor
July 30th, 2009 on 8:00 AM
mas .. saya mau buat .tampilan wordpress kayak gini.. tuluung dung
July 30th, 2009 on 8:19 PM
@kobayashie
ini mah gampang alias mudah bro, tinggal tanya simbah google dimana download themes wordpress gratis. ntar tinggal upload ke web di bagian wp-content/themes/.
selamat mencoba!
December 30th, 2009 on 9:09 PM
perlu memeriksa:)
December 31st, 2009 on 4:54 AM
@online,
yep, you better do that
January 15th, 2010 on 10:11 PM
Bro mau tanya….mohon bantuanya untuk berbagi yah…..gmn cara mematikan fungsi ctrl+u pada halaman html kita?apalagi klo di tambah menolak fungsi save page as pada browser……tolong ya bro…..
January 17th, 2010 on 3:03 PM
@aditya,
#1 maksudnya mematikan fungsi source itu ya? Sebenarnya untuk mematikan sama sekali, sepertinya mustahil. Tapi minimal ada banyak sekali cara untuk mengenkripsi agar tidak semua orang dengan mudah melakukan copas.. Anda bisa cari sendiri yang tepat dalam Daftar berikut. Saya akan sebut tiga diantaranya:
a. I web tool, silakan copas kode Anda dan dapatkan versi encripted nya di sini
Iwebtool
b. I code co uk, mirip tool di atas.
c. HTML Guardian, tool yang kurang lebih sama.
#2 kalo mematikan fungsi save as sepenuhnya, saya kira itu nggak mungkin.. Kalopun ada yang punya script sperti itu, pasti dengan mudah akan di dekripsi kembali..
CMIIW.