^ Back to Top
18
Jan

Teknik Mengamankan WordPress dari Para “Bajingan”

Maaf kalo judulnya agak sedikit kasar :)) Kenapa bajingan? Ya karena menurut gue, para atacker itu emang seperti bajingan :)) Karena mereka sering “masuk” tanpa ijin, masih mending kalau masuk doang, kadang ada sampe yang ngdrop semua file + database, pasti ilfeel banget kan kalo udah kejadian kaya gitu :|

Nah sekarang gue mau berbagi teknik pengamanan cms wordpress, pasti udah pada tau kan wordpress itu apa? Iya, wordpress adalah sebuah aplikasi open source yang sangat populer digunakan sebagai mesin blog (blog engine). Sebenernya untuk masalah security sendiri wordpress sudah menyediakan banyak plugin security, semisal: wp-secure, wp-sentinel, dll. Tapi disini gue mau berbagi sedikit teknik “racikan” gue sendiri :D Teknik ini terinspirasi setelah gue “mengexplorasi” blognya om Joy CrazyDavinci (http://crazydavinci.net). Maaf ya om ;)) bukan bermaksud untuk jail, tapi saya salut banget sama blognya om joy ;)) udah desainnya unik, sekuritynya bagus pula, emang gak ada matinya dah om joy, hohoho

Ok langsung aja deh :D

Step 1

Rename file wp-login.php, kalo bisa rename file tersebut menjadi nama yang unik dan mudah diingat, karena file ini adalah file yang akan di akses ketika kita akan login ke dashboard wordpress kita. Ok misalkan kita rename menjadi samsul-ganteng.php (Sirik Mati aja deh :p ), nah setelah di rename, buka file tersebut dengan text editor (ex. Notepad++) tekan Ctrl + H, di kolom find what ketik wp-login.php, di kolom replace with ketik : (nama file wp-login yang baru, dalam hal ini kan tadi gue ganti samsul-ganteng.php nah berarti ketik di kolom replace with : samsul-ganteng.php) sesudah itu klik Replace All kemudian di save.

Nah di tahap ini selesai, selanjutnya bila kalian akan login ke wordpress kalian, alamatnya menjadi :

http://alamatblog.us/nama-file-wp-login.php

jadi bukan

http://alamatblog.us/wp-admin

soalnya kan tadi nama filenya udah diganti :D

Ok maksud dari teknik di atas adalah untuk mengecoh si “bajingan” :)) Karena halaman wordpress itu defaultnya kan wp-admin, so sekarang bila si bajingan akan mengakses wp-admin maka halaman yang akan di tuju adalah halaman 404, karena file dengan nama wp-login.php sudah tidak ada lagi :D dan sekarang hanya kita sendiri dan TUHAN lah yang tahu alamat login blog kita =)) =))

Nah apakah sampai disitu saja untuk pengamanan file login wordpress kita? Tentu tidak :D masih ada satu teknik lagi supaya 99,99% aman :)) Sekarang buat file .htaccess di root blog, isi file .htaccess tadi dengan script di bawah ini :

<files nama file wp-login yang baru.php>
order deny,allow
deny from all
allow from IP SERVER HOST
allow from IP KALIAN
</files>
<files wp-config.php>
order deny,allow
deny from all
allow from IP SERVER HOST
allow from IP KALIAN
</files>

Keterangan :
MERAH = Ubah menjadi nama file wp-login yang baru
HIJAU = Ubah menjadi IP Server Hosting kalian (bisa dilihat di CPanel)
BIRU = IP kalian sendiri

Nah dengan file .htaccess di atas, sekarang hanya IP kita dan Server Host lah yang bisa mengakses kedua file di atas :)) Walaupun si bajingan sudah tahu alamat login rahasia kalian, tetap saja dia tidak bisa membukanya karena hanya IP kita yang bisa mengaksesnya :)) Jangan lupa juga untuk merubah permission file wp-config.php di atas menjadi : 600, kenapa? Untuk menghindari “teknik jumping server” ;)

Step 2

Nah langkah kedua ini cukup sederhana :D Pada step ini kita akan menyisipkan beberapa script PHP untuk mencatat setiap kegiatan si bajingan ketika akan meng-attack website/blog kita. Bila si bajingan mencoba menyerang website/blog kita, entah itu dengan teknik SQL, RFI, LFI, XSS, maka akan tampil semacam warning, dan secara otomatis semua informasi tentang si bajingan (IP, Hostname, Time, Method) akan tercatat di sebuah file log.

Teknik ini sebenernya gue dapet dari blognya om joy juga :D dan ternyata setelah gue tes emang work ;) OK pertama copas script dibawah ini :

<?php
/* Copyright (C) 2009 crazydavinci.net */
/* Simple URL Filter + Activity Logger */

function jebak($url){
?>
<body bgcolor="black" text="red"> <h1 align="center">HEY DUDE, WHAT THE HELL ARE U DOING HERE ?!<br> You Activity Has Been Logged !!! Thanks For Trying…</h1> </body>
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$date=date("d/M/y g:i:s a");
$file= fopen('log.txt', 'a');
fwrite($file, "rnURI : $url – $date – IP : $iprn");
fclose($file);
die();
}
$ref=strtolower($_SERVER['QUERY_STRING']);
$filter=array('http://','select','order','=-','null','%3c','%3e','from','–','/*','+','t;','&#');
for($i=0; $i<count($filter); $i++)
{
if(strstr($ref,$filter[$i]))jebak($ref);
}
?>

Bagian biru di atas bila kalian edit sesuka hati ;) Simpan file di atas dengan nama : filter.php upload ke root thema yang sedang aktif, next buka file header.php or index.php lalu sisipkan script di bawah ini di barisan code paling atas :

require(‘filter.php’);

Nah finish :D sekarang bila ada bajingan yang mencoba-coba mencari bug blog/website kalian maka akan tampil warning kurang lebih seperti ini:

Dan di directory yang sama akan tercipta file log.txt yang isinya kurang lebih seperti ini :

Step 3

Sekarang tinggal langkah terakhir, langkah ini sebenarnya hanya penyempurnaan dari Step 1 yaitu melindungi halaman administrator blog kita, disini gue memanfaatkan fitur password directory di CPanel, Nah buat kalian yang ingin meningkatkan proteksi blog kalian, gak ada salahnya buat nyoba cara ini, silahkan kalian proteksi directory wp-admin dengan username dan password ;)

Nah itulah tadi teknik racikan gue mengamankan wordpress dari para bajingan :)) PERHATIAN : Dengan kalian mengikuti tutorial ini, bukan berarti wordpress kalian secure 100%, karena “Tidak Ada System Yang Sempurna di Dunia Ini” ;) Tapi setidaknya, setelah kalian mengikuti tutorial tadi, kalian bisa meminimalisir hal² yang tidak diinginkan ;) Mungkin segitu dulu tuotrial dari gue, sampai jumpa di tutorial berikutnya ;)

Referensi :
– Allah SWT (Always ^_^)
– Google sudah pasti
– Om Joy CrazyDavinci (http://crazydavinci.net)
– Echo


Tweet
Copyfvck ©2010-2018 SamsulBahri.ID. All bitches reserved. Created by ThemeForest | Cracked & Tweaked by Blackshell.
ThumbSniper-Plugin by Thomas Schulte