cara hack website berbasis wordpress

WordPress CMS (Content management system) merupakan salah satu sumber perangkat lunak yang paling banyak digunakan baik itu untuk skala organisasi dan perusahaan maupun untuk individu. Mengingat semakin begitu populer, banyak pihak yang berusaha menemukan kelemahan dari cms ini.
Berikut ini tips dan trik yang dapat digunakan untuk meningkatkan keamanan yang perlu diketahui oleh para pengguna wordpress sebagai suatu CMS atau sebagai sebuah flatform yang digunakan untuk menampilkan interface web, konten, administrasi user, plugin, addon dan lain sebagainya.
1. User Adminsitrator / Admin
Secara default setelah menginstall WordPress, lalu kita akan mendapatkan sebuah nama user yaitu “admin”. Jangan pernah gunakan nama user ‘admin, ubahlah nama user ‘admin’ dengan nama lainnya, seperti misalnya nama kamu dikombinasikan dengan angka. Banyak kasus pembajakan username wordpress adalah dengan menggunakan nama user ‘admin’ dengan metode brute force.
Secara logika, penyerang akan lebih sulit seperti mereka menebak nama user dan password, dimana jika kamu menggunakan nama user ‘admin’ maka penyerang hanya perlu menebak password kamu saja.
2. Lindungi folder wp-admin
folder Wp-admin merupakan salah satu celah yang berbahaya yang dapat diguanakan penyerang untuk menyelinap ke dalam website. Amankan, amankan, amankan! bagaimana? dibutuhkan usaha kecil untuk melakukannya, tetapi tidak akan memakan waktu sampai 5 menit untuk melakukannya.
Buat sebuah file .htacess yang didalamnya terdapat settig yang mencegah IP darimana saja untuk mengakses direktori ini, setting tersebut seperti di bawah ini:
order deny, allow
deny from all
# allow my work IP address
allow from 192.168.1.123 192.168.1.124
contoh file .htaccess di atas membolehkan IP 192.168.1.123 sampai 124 untuk mengakses folder wp-admin. Kebanyakan pengguna internet menggunakan IP dinamik, meskipun demikian kita harus mengubahnya setiap kali kita ingin meng-akses folder wp-admin? jawabannya adalah benar. Untuk merubah file .htaccess ini anda bisa menggunakan software SFTP. Atau anda dapat menggunakan metode keamanan lain seperti misalnya ApachePassword Protect.
3. Gunakan SSH dibanding SFTP atau FTP
Alasannya cukup sederhana dengan SFTP transfer data yang terjadi dilakukan enkripsi, sementara jika menggunaka software FTP tidak, dalam hal penggunaan FTP dan SFTP relatif sama.
4. File permissions.
Dibawah ini merupakan salah satu contoh file permission untuk file dan folder installasi wordpress yang dapat anda gunakan :
../ 0755
../wp-includes 0755
../.htaccess 0644
index.php 0644
js/ 0755
../wp-content/themes 0755
../wp-content/plugins 0755
../wp-admin 0755
../wp-content 0755
pada aplikasi SSH ketik perintah:
‘chmod -R 755 /home/username/public_html/’ misalnya
atau, anda dapat menggunakan aplikasi ftp klien anda, lalu pilih mode tulis atau file permission pada ftp.
5. Buat file index.html
Ini merupakan cara termudah tetapi cukup powerful untuk melindungi folder tertentu sehingga isi folder tidak dapat dibrowse. Buat file index.html dengan isi file terserah anda, contoh isi file index.html yang dapat digunakan yaitu : akses ke direktori dilarang. Lalu simpan ke dalam folder plugins dan folder lainnya. Ingatlah langkah melakukan hack ke suatu website salah satunya adalah dengan melihat profile dari plugin yang digunakan pada website wordpress tersebut, banyak informasi yang dapat digunakan untuk melihat dan menembus celah keamanan pada website.
Masih banyak hal yang perlu dipertimbangkan dalam meningkatkan keamanan website berbasis wordpress selain dari tulisan ini, oleh karena itu jangan ragu untuk mencari informasi dan bertanya pada sang Guru. Good luck!
Referensi:

http://www.akflabs.tk

Related posts:
How To Fix Your Hacked WordPress Site?
Tentang WebDAV
Browser Chrome dan Firefox Tahan Serangan “Hacker”
Merubah alamat email pengirim pada wordpress
Menjadikan webcam sebagai sistem keamanan pada Ubuntu

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s